専用Exadataインフラストラクチャ上のAutonomous Databaseのデータ暗号化

Autonomous Database on Dedicated Exadata Infrastructureでは、保存中および転送中のデータを保護する常時稼働の暗号化を使用します。Oracle Cloudに格納されるデータ、およびOracle Cloudとのネットワーク通信はすべて、デフォルトで暗号化されます。暗号化をオフにすることはできません。

関連項目

静止中のデータの暗号化

静止中のデータは、TDE (透過的データ暗号化)を使用して暗号化されます。これは、データの処理、転送および格納を保護する暗号化ソリューションです。各専用Exadataインフラストラクチャ上のAutonomous Databaseには独自の暗号化キーがあり、そのバックアップにはそれぞれ異なる暗号化キーがあります。

デフォルトでは、Oracle Autonomous Databaseによって、データの保護に使用されるすべてのマスター暗号化キーが作成および管理され、データベースが存在する同じExadataシステム上のセキュアなPKCS 12キーストアに格納されます。会社のセキュリティ・ポリシーで必要であれば、Oracle Autonomous Databaseでは、Oracle Autonomous DatabaseをOracle Cloudにデプロイするか、Exadata Cloud@Customerにデプロイするかに応じて、ユーザーがOracle Cloud Infrastructure VaultサービスまたはOracle Key Vaultで作成および管理するキーを使用できます。詳細は、「マスター暗号化キーの管理」を参照してください。

さらに、Oracle管理キーまたは顧客管理キーのどちらを使用するかに関係なく、会社のセキュリティ・ポリシーを遵守するために、既存のデータベースで使用されるキーを必要に応じてローテーションできます。

ノート:

データベースをクローニングすると、新しいデータベースは独自の新しい暗号化キーのセットを取得します。

転送中のデータの暗号化

クライアント(アプリケーションおよびツール)は、Oracle Net Services (SQL*Netとも呼ばれる)および事前定義済のデータベース接続サービスを使用してAutonomous Databaseに接続します。Oracle Autonomous Databaseには、2つのタイプのデータベース接続サービスがあり、それぞれがデータベースとクライアント間で転送中のデータを暗号化するために独自の方法を使用します:

  • TCPS (Secure TCP)データベース接続サービスでは、接続に業界標準のTLS 1.2およびTLS 1.3 (Transport Layer Security)プロトコルが使用されます。ただし、TLS 1.3はOracle Database 23ai以降でのみサポートされています。

    Autonomous Databaseを作成すると、クライアントがTCPSを使用して接続するために必要なすべてのファイルを含む接続ウォレットが生成されます。このウォレットは、データベース・アクセスを許可するクライアントにのみ配布します。クライアント側構成では、ウォレット内の情報を使用して対称キー・データ暗号化が実行されます。

  • TCPデータベース接続サービスでは、Oracle Net Servicesに組み込まれたネイティブ・ネットワーク暗号化の暗号方式を使用して、転送中のデータがネゴシエートおよび暗号化されます。このネゴシエーションのために、Autonomous Databaseは、AES256、AES192またはAES128暗号化を使用した暗号化を必要とするように構成されます。

    接続が行われるときに暗号化がネゴシエートされるため、TCP接続ではTCPS接続に必要な接続ウォレットは必要ありません。ただし、クライアントはデータベース接続サービスに関する情報を必要とします。この情報は、Oracle Cloud Infrastructureコンソールでデータベースの「Autonomous Databaseの詳細」ページの「DB接続」をクリックすると表示されます。また、TCPSを使用して接続するために必要なファイルを含む、ダウンロード可能な同じzipファイルに含まれるtnsnames.oraファイル内にもあります。

DBMS_CRYPTO暗号化アルゴリズムまたはユーザー定義暗号化機能を使用して、オブジェクト・ストレージへのエクスポート中に表データを暗号化できます。オブジェクト・ストレージの暗号化データは、外部表で使用するために、またはDBMS_CRYPTO暗号化アルゴリズムまたはユーザー定義暗号化機能を使用してオブジェクト・ストレージからインポートする際に復号化することもできます。手順については、オブジェクト・ストレージへのエクスポート中のデータの暗号化およびオブジェクト・ストレージからのインポート中のデータの復号化を参照してください。