Gestisci chiavi di cifratura
Questo articolo fornisce i dettagli sulle chiavi di cifratura e cifratura.
Oracle Base Database Service cifra i dati memorizzati nelle tabelle e nelle tablespace utilizzando la cifratura dei dati trasparente (TDE, Transparent Data Encryption).
- Cifratura dei dati trasparente
- Il servizio Base Database utilizza TDE per cifrare e decifrare tutte le tablespace create dall'utente.
- Chiavi di cifratura
- Puoi scegliere di cifrare il database utilizzando le tue chiavi di cifratura ("chiavi gestite dal cliente") o utilizzare chiavi gestite da Oracle. Per impostazione predefinita, Base Database Service utilizza chiavi gestite da Oracle. La chiave gestita dal cliente viene memorizzata nel vault OCI, esterno all'host del database.
- Chiave vault OCI
- Nel vault OCI le chiavi di cifratura sono entità logiche che contengono una o più versioni delle chiavi utilizzate per la cifratura e la decifrazione. Queste versioni delle chiavi possono essere generate automaticamente dal vault OCI o importate da un'origine esterna (Bring-Your-Own-Key).
Per ulteriori informazioni, vedere Introduzione alla cifratura dei dati trasparente e Gestione delle chiavi di OCI Vault.
Criterio IAM necessario
Se si desidera utilizzare le proprie chiavi di cifratura per cifrare un database, è necessario creare un gruppo dinamico e assegnare criteri specifici al gruppo per le chiavi di cifratura gestite dal cliente. Vedere l'argomento Gestione dei gruppi dinamici e Consenti agli amministratori della sicurezza di gestire vault, chiavi e segreti in Criteri comuni.
Argomenti correlati
Informazioni generali
Durante la creazione di un nuovo sistema DB, una chiave verrà assegnata sia al container database che al pluggable database.
La versione della chiave, se fornita, verrà utilizzata solo per il container database e non per il relativo pluggable database. Al pluggable database verrà assegnata una nuova versione di chiave generata automaticamente. Impossibile assegnare versioni chiave specifiche ai pluggable database durante la creazione.
Il pluggable database utilizzerà sempre la stessa chiave del container database, ma con la stessa versione della chiave o con una versione diversa.
È possibile specificare qualsiasi versione della chiave, inclusa la versione più recente della chiave selezionata.
Per impostazione predefinita, il database viene configurato utilizzando le chiavi gestite da Oracle. Tuttavia, è possibile scegliere di configurarlo utilizzando chiavi gestite dal cliente.
Ruota chiave di cifratura
L'operazione di rotazione della chiave di cifratura genera una nuova versione della chiave per la stessa chiave.
È possibile eseguire un numero qualsiasi di rotazioni chiave. La rotazione periodica delle chiavi limita la quantità di dati cifrati o firmati da una versione della chiave. Viene inoltre mantenuta la cronologia delle chiavi ritirate, che consente di ruotare la chiave e di decifrare i dati cifrati con una chiave precedente.
La chiave di rotazione a livello di container database e pluggable database funziona in modo indipendente l'uno dall'altro. L'operazione di rotazione delle chiavi in un container database non comporterà la rotazione delle chiavi nei pluggable database. Analogamente, la rotazione delle chiavi in un pluggable database non comporterà la rotazione delle chiavi in altri pluggable database o nel relativo container database.
Per assicurarsi di utilizzare la versione più recente, ruotare le chiavi dalla pagina dei dettagli del database in OCI Console anziché dalla pagina Console del servizio Vault.
Nota
La rotazione delle chiavi di cifratura non è disponibile per i database che utilizzano la cifratura gestita da Oracle.Per ruotare una chiave di cifratura utilizzando la console OCI, vedere Ruota chiave di cifratura per un database e Ruota chiave di cifratura per un pluggable database.
Assegna versione chiave
È possibile creare e assegnare nuove versioni di chiavi sia per i container database che per i pluggable database. È possibile modificare solo la versione della chiave. Impossibile modificare la chiave.
Per assegnare la versione della chiave utilizzando OCI Console, vedere Assegnare una nuova versione della chiave per un database e Assegnare una nuova versione della chiave per un database collegabile.
Modifica gestione delle chiavi
È possibile passare da chiavi gestite da Oracle a chiavi gestite dal cliente nei database esistenti. Tuttavia, il passaggio da chiavi gestite dal cliente a chiavi gestite da Oracle non è supportato.
Quando una chiave viene modificata per un container database, viene applicata automaticamente anche a un pluggable database. La chiave di un pluggable database non può essere modificata in modo indipendente. Il pluggable database utilizzerà sempre la stessa chiave del container database, ma potrà utilizzare la stessa versione della chiave o una versione diversa.
Quando si passa alle chiavi gestite dal cliente, il container database e tutti i relativi pluggable database devono essere aperti e tutte le tablespace devono essere in modalità di lettura/scrittura.
Per modificare il tipo di gestione delle chiavi utilizzando OCI Console, vedere Modifica del tipo di gestione delle chiavi per un database.
Duplica, copia remota e riposiziona pluggable database
Il database duplicato utilizzerà la stessa versione della chiave del database di origine quando si duplica un sistema DB che utilizza chiavi di cifratura gestite dal cliente.
I database di origine e di destinazione devono utilizzare la stessa chiave, ma possono avere una versione chiave diversa. L'operazione di duplicazione o riposizionamento remoto non riesce se i database di origine e di destinazione utilizzano chiavi diverse.
Le chiavi vengono ruotate nel vault di chiavi di destinazione dopo le operazioni di duplicazione e riposizionamento remoto. Pertanto, verranno generate nuove versioni della chiave per il pluggable database remoto duplicato o riposizionato nel database di destinazione.