전용 Exadata 인프라의 자율운영 AI 데이터베이스에서 데이터 암호화
전용 Exadata 인프라의 자율운영 AI 데이터베이스는 미사용 및 전송 중인 데이터를 보호하는 상시 암호화를 사용합니다. Oracle Cloud에 저장된 모든 데이터와 네트워크 통신은 기본적으로 암호화됩니다. 암호화를 해제할 수 없습니다.
유휴 상태 데이터 암호화
유휴 데이터는 데이터 처리, 전송 및 저장을 보호하는 암호화 솔루션인 TDE(Transparent Data Encryption)를 사용하여 암호화됩니다. 전용 Exadata 인프라의 각 자율운영 AI 데이터베이스에는 자체 암호화 키가 있으며 백업에는 자체적으로 서로 다른 암호화 키가 있습니다.
기본적으로 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure는 데이터를 보호하는 데 사용되는 모든 마스터 암호화 키를 생성 및 관리하며, 이를 데이터베이스가 상주하는 동일한 Exadata 시스템의 안전한 PKCS 12 키 저장소에 저장합니다. 회사 보안 정책이 필요한 경우 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure는 Oracle Cloud 또는 Exadata Cloud@Customer에서 전용 Exadata 인프라에 Oracle Autonomous AI Database를 배포하는지 여부에 따라 Oracle Cloud Infrastructure Vault 서비스 또는 Oracle Key Vault에서 생성하고 관리하는 키를 대신 사용할 수 있습니다. 자세한 내용은 Manage Master Encryption Keys를 참조하십시오.
또한 Oracle 관리 키 또는 고객 관리 키 사용 여부에 관계없이 필요에 따라 기존 데이터베이스에서 사용되는 키를 교체하여 회사 보안 정책을 충족할 수 있습니다.
주: 데이터베이스를 복제할 때 새 데이터베이스는 고유한 새 암호화 키 집합을 가져옵니다.
전송 중 데이터 암호화
클라이언트(애플리케이션 및 툴)는 Oracle Net Services(SQL*Net이라고도 함) 및 미리 정의된 데이터베이스 연결 서비스를 사용하여 자율운영 AI 데이터베이스에 연결합니다. 전용 Exadata 인프라의 Oracle Autonomous AI Database는 두 가지 유형의 데이터베이스 연결 서비스를 제공하며, 각각 데이터베이스와 클라이언트 간에 전송되는 데이터를 암호화하기 위한 자체 기술을 제공합니다.
-
TCPS(보안 TCP) 데이터베이스 연결 서비스는 연결에 산업 표준 TLS 1.2 및 TLS 1.3(전송 계층 보안) 프로토콜을 사용합니다. 하지만 TLS 1.3은 Oracle Database 23ai 이상에서만 지원됩니다.
자율운영 AI 데이터베이스를 생성하면 클라이언트가 TCPS를 사용하여 접속하는 데 필요한 모든 파일이 포함된 접속 전자 지갑이 생성됩니다. 데이터베이스 액세스 권한을 부여하려는 클라이언트에만 이 전자 지갑을 배포하고, 클라이언트측 구성은 전자 지갑의 정보를 사용하여 대칭 키 데이터 암호화를 수행합니다.
-
TCP 데이터베이스 연결 서비스는 Oracle Net Services에 내장된 고유 네트워크 암호화 암호화 시스템을 사용하여 전송 중에 데이터를 협상하고 암호화합니다. 이 협상의 경우 자율운영 AI 데이터베이스는 AES256, AES192 또는 AES128 암호화를 사용하여 암호화를 요구하도록 구성됩니다.
연결이 수행될 때 암호화가 협상되므로 TCP 연결에는 TCPS 연결에 필요한 연결 전자 지갑이 필요하지 않습니다. 그러나 클라이언트는 데이터베이스 연결 서비스에 대한 정보가 필요합니다. 이 정보는 Oracle Cloud Infrastructure 콘솔의 데이터베이스 자율운영 AI 데이터베이스 세부정보 페이지에서 DB 접속을 누르고 TCPS를 사용하여 접속하는 데 필요한 파일이 포함된 다운로드 가능한 동일한 zip 파일에 포함된
tnsnames.ora파일에서 사용할 수 있습니다.
DBMS_CRYPTO 암호화 알고리즘 또는 사용자 정의 암호화 기능을 사용하여 오브젝트 스토리지로 익스포트하는 동안 테이블 데이터를 암호화할 수 있습니다. 오브젝트 스토리지의 암호화된 데이터는 외부 테이블에서 사용하도록 해독하거나 DBMS_CRYPTO 암호화 알고리즘 또는 사용자 정의 암호화 기능을 사용하여 오브젝트 스토리지에서 가져오는 동안에도 해독할 수 있습니다. 지침은 Object Storage로 익스포트하는 동안 데이터 암호화 및 Object Storage에서 임포트하는 동안 데이터 해독을 참조하십시오.