専用Exadataインフラストラクチャ上のAutonomous AI Databaseのデータ暗号化

専用Exadataインフラストラクチャ上のAutonomous AI Databaseは、保存中および転送中のデータを保護する常時オン暗号化を使用します。Oracle Cloudに格納されるデータ、およびOracle Cloudとのネットワーク通信はすべて、デフォルトで暗号化されます。暗号化をオフにすることはできません。

静止中のデータの暗号化

静止中のデータは、TDE (透過的データ暗号化)を使用して暗号化されます。これは、データの処理、転送および格納を保護する暗号化ソリューションです。専用Exadataインフラストラクチャ上のAutonomous AI Databaseにはそれぞれ独自の暗号化キーがあり、バックアップには独自の異なる暗号化キーがあります。

デフォルトでは、Oracle Autonomous AI Database on Dedicated Exadata Infrastructureによって、データの保護に使用されるすべてのマスター暗号化キーが作成および管理され、データベースが存在するのと同じExadataシステム上のセキュアなPKCS 12キーストアに保存されます。If your company security policies require, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure can instead use keys you create and manage in the Oracle Cloud Infrastructure Vault service or Oracle Key Vault, depending on whether you are deploying Oracle Autonomous AI Database on Dedicated Exadata Infrastructure on Oracle Cloud or on Exadata Cloud@Customer.詳細は、「マスター暗号化キーの管理」を参照してください。

さらに、Oracle管理キーまたは顧客管理キーのどちらを使用するかに関係なく、会社のセキュリティ・ポリシーを遵守するために、既存のデータベースで使用されるキーを必要に応じてローテーションできます。

ノート:

データベースをクローニングすると、新しいデータベースは独自の新しい暗号化キーのセットを取得します。

転送中のデータの暗号化

クライアント(アプリケーションおよびツール)は、Oracle Net Services (SQL*Netとも呼ばれる)および事前定義済のデータベース接続サービスを使用して、Autonomous AI Databaseに接続します。Oracle Autonomous AI Database on Dedicated Exadata Infrastructureには、2つのタイプのデータベース接続サービスがあり、それぞれにデータベースとクライアント間で転送されるデータを暗号化するための独自の方法があります:

  • TCPS (Secure TCP)データベース接続サービスでは、接続に業界標準のTLS 1.2およびTLS 1.3 (Transport Layer Security)プロトコルが使用されます。ただし、TLS 1.3はOracle Database 23ai以降でのみサポートされています。

    Autonomous AI Databaseを作成すると、クライアントがTCPSを使用して接続するために必要なすべてのファイルを含む接続ウォレットが生成されます。このウォレットは、データベース・アクセスを許可するクライアントにのみ配布します。クライアント側構成では、ウォレット内の情報を使用して対称キー・データ暗号化が実行されます。

  • TCPデータベース接続サービスでは、Oracle Net Servicesに組み込まれたネイティブ・ネットワーク暗号化暗号システムを使用して、転送中のデータをネゴシエートおよび暗号化します。このネゴシエーションのために、Autonomous AI Databaseは、AES256、AES192またはAES128暗号化を使用する暗号化を必要とするように構成されています。

    接続が行われるときに暗号化がネゴシエートされるため、TCP接続ではTCPS接続に必要な接続ウォレットは必要ありません。ただし、クライアントはデータベース接続サービスに関する情報を必要とします。この情報は、Oracle Cloud Infrastructureコンソールでデータベースの「Autonomous AI Database」の詳細ページの「DB接続」をクリックすると表示されます。また、TCPSを使用して接続するために必要なファイルを含む、ダウンロード可能な同じzipファイルに含まれているtnsnames.oraファイル内にもがあります。

DBMS_CRYPTO暗号化アルゴリズムまたはユーザー定義暗号化機能を使用して、オブジェクト・ストレージへのエクスポート中に表データを暗号化できます。オブジェクト・ストレージの暗号化データは、外部表で使用するために、またはDBMS_CRYPTO暗号化アルゴリズムまたはユーザー定義暗号化機能を使用してオブジェクト・ストレージからインポートする際に復号化することもできます。手順については、オブジェクト・ストレージへのエクスポート中のデータの暗号化およびオブジェクト・ストレージからのインポート中のデータの復号化を参照してください。