Cifratura dei dati in Autonomous AI Database su un'infrastruttura Exadata dedicata

Autonomous AI Database on Dedicated Exadata Infrastructure utilizza una cifratura sempre attiva che protegge i dati in archivio e in transito. Per impostazione predefinita, tutti i dati memorizzati e le comunicazioni di rete con Oracle Cloud vengono cifrati. Impossibile disattivare la cifratura.

Argomenti correlati

Cifratura dei dati a riposo

I dati in archivio vengono crittografati utilizzando TDE (Transparent Data Encryption), una soluzione crittografica che protegge l'elaborazione, la trasmissione e la memorizzazione dei dati. Ogni Autonomous AI Database on Dedicated Exadata Infrastructure ha la propria chiave di cifratura e i suoi backup hanno una propria chiave di cifratura diversa.

Per impostazione predefinita, Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata crea e gestisce tutte le chiavi di cifratura principali utilizzate per proteggere i dati, memorizzandole in un keystore PKCS 12 sicuro sugli stessi sistemi Exadata in cui risiedono i database. Se i criteri di sicurezza della tua azienda lo richiedono, Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata può invece utilizzare le chiavi create e gestite nel servizio Oracle Cloud Infrastructure Vault o Oracle Key Vault, a seconda che si stia distribuendo Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata su Oracle Cloud o su Exadata Cloud@Customer. Per ulteriori informazioni, vedere Gestisci chiavi di cifratura master.

Inoltre, indipendentemente dal fatto che tu utilizzi chiavi gestite da Oracle o gestite dal cliente, puoi ruotare le chiavi utilizzate nei database esistenti quando necessario per soddisfare i criteri di sicurezza della tua azienda.

Nota

Quando si duplica un database, il nuovo database ottiene il proprio nuovo set di chiavi di cifratura.

Cifratura dei dati in transito

I client (applicazioni e strumenti) si connettono a un Autonomous AI Database utilizzando Oracle Net Services (noto anche come SQL*Net) e servizi di connessione al database predefiniti. Oracle Autonomous AI Database on Dedicated Exadata Infrastructure fornisce due tipi di servizi di connessione al database, ciascuno con la propria tecnica per cifrare i dati in transito tra il database e il client:

  • I servizi di connessione al database TPS (TCP sicuro) utilizzano i protocolli TLS 1.2 e TLS 1.3 (Transport Layer Security) standard del settore per le connessioni. Tuttavia, TLS 1.3 è supportato solo su Oracle Database 23ai o versioni successive.

    Quando si crea un Autonomous AI Database, viene generato un wallet di connessione contenente tutti i file necessari affinché un client possa connettersi utilizzando TCPS. Si distribuisce questo wallet solo ai client a cui si desidera concedere l'accesso al database e la configurazione lato client utilizza le informazioni nel wallet per eseguire la cifratura dei dati a chiave simmetrica.

  • I servizi di connessione al database TCP utilizzano il cryptosystem di cifratura della rete nativa integrato in Oracle Net Services per negoziare e cifrare i dati durante la trasmissione. Per questa negoziazione, i database AI autonomi sono configurati per richiedere la cifratura utilizzando la crittografia AES256, AES192 o AES128.

    Poiché la cifratura viene negoziata quando viene stabilita la connessione, le connessioni TCP non richiedono il wallet di connessione richiesto per le connessioni TCPS. Tuttavia, il client necessita di informazioni sui servizi di connessione al database. Queste informazioni sono disponibili facendo clic su Connessione al database nella pagina Dettagli Autonomous AI Database del database nella console di Oracle Cloud Infrastructure e nel file tnsnames.ora incluso nello stesso file zip scaricabile contenente i file necessari per la connessione mediante TCPS.

Puoi cifrare i dati delle tabelle durante l'esportazione nello storage degli oggetti utilizzando algoritmi di cifratura DBMS_CRYPTO o una funzione di cifratura definita dall'utente. I dati cifrati nello storage degli oggetti possono anche essere decifrati per l'uso in una tabella esterna o durante l'importazione dallo storage degli oggetti utilizzando gli algoritmi di cifratura DBMS_CRYPTO o una funzione di cifratura definita dall'utente. Per istruzioni, vedere Cifra dati durante l'esportazione nello storage degli oggetti e Decifra dati durante l'importazione dallo storage degli oggetti.