전용 Exadata 인프라의 자율운영 AI 데이터베이스에서 데이터 암호화

Autonomous AI Database on Dedicated Exadata Infrastructure는 유휴 상태 및 전송 중인 데이터를 보호하는 상시 암호화를 사용합니다. Oracle Cloud에 저장된 모든 데이터와 네트워크 통신은 기본적으로 암호화됩니다. 암호화를 해제할 수 없습니다.

관련 항목

사용 중인 데이터 암호화

유휴 데이터는 데이터 처리, 전송 및 저장을 보호하는 암호화 솔루션인 TDE(Transparent Data Encryption)를 사용하여 암호화됩니다. 각 Autonomous AI Database on Dedicated Exadata Infrastructure에는 자체 암호화 키가 있으며, 백업에는 자체적으로 서로 다른 암호화 키가 있습니다.

기본적으로 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure는 데이터를 보호하는 데 사용되는 모든 마스터 암호화 키를 생성 및 관리하여 데이터베이스가 상주하는 동일한 Exadata 시스템의 보안 PKCS 12 키 저장소에 저장합니다. 회사 보안 정책이 필요한 경우 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure는 Oracle Cloud 또는 Exadata Cloud@Customer에서 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure를 배포할지 여부에 따라 Oracle Cloud Infrastructure Vault 서비스 또는 Oracle Key Vault에서 생성하고 관리하는 키를 대신 사용할 수 있습니다. 자세한 내용은 Manage Master Encryption Keys를 참조하십시오.

또한 Oracle 관리 키 또는 고객 관리 키를 사용하는지 여부에 관계없이 회사 보안 정책을 충족하기 위해 필요할 때 기존 데이터베이스에서 사용되는 키를 교체할 수 있습니다.

주:

데이터베이스를 복제할 때 새 데이터베이스는 고유한 새 암호화 키 집합을 가져옵니다.

전송 중인 데이터 암호화(encryption)

클라이언트(애플리케이션 및 도구)는 Oracle Net Services(SQL*Net이라고도 함) 및 사전 정의된 데이터베이스 연결 서비스를 사용하여 자율운영 AI 데이터베이스에 연결합니다. Oracle Autonomous AI Database on Dedicated Exadata Infrastructure는 두 가지 유형의 데이터베이스 연결 서비스를 제공합니다. 각 서비스에는 데이터베이스와 클라이언트 간 전송 중인 데이터를 암호화하는 고유의 기술이 포함됩니다.

  • TCPS(보안 TCP) 데이터베이스 연결 서비스는 연결에 산업 표준 TLS 1.2 및 TLS 1.3(전송 계층 보안) 프로토콜을 사용합니다. 하지만 TLS 1.3은 Oracle Database 23ai 이상에서만 지원됩니다.

    자율운영 AI 데이터베이스를 생성하면 클라이언트가 TCPS를 사용하여 접속하는 데 필요한 모든 파일이 포함된 접속 전자 지갑이 생성됩니다. 데이터베이스 액세스 권한을 부여하려는 클라이언트에만 이 전자 지갑을 배포하고, 클라이언트측 구성은 전자 지갑의 정보를 사용하여 대칭 키 데이터 암호화를 수행합니다.

  • TCP 데이터베이스 연결 서비스는 Oracle Net Services에 내장된 고유 네트워크 암호화 암호화 시스템을 사용하여 전송 중에 데이터를 협상하고 암호화합니다. 이 협상의 경우 자율운영 AI 데이터베이스가 AES256, AES192 또는 AES128 암호화를 사용하여 암호화를 요구하도록 구성됩니다.

    연결이 수행될 때 암호화가 협상되므로 TCP 연결에는 TCPS 연결에 필요한 연결 전자 지갑이 필요하지 않습니다. 그러나 클라이언트는 데이터베이스 연결 서비스에 대한 정보가 필요합니다. 이 정보는 Oracle Cloud Infrastructure 콘솔의 데이터베이스 자율운영 AI 데이터베이스 세부정보 페이지 및 TCPS를 사용하여 접속하는 데 필요한 파일이 포함된 다운로드 가능한 동일한 zip 파일에 포함된 tnsnames.ora 파일에서 DB 접속을 눌러 사용할 수 있습니다.

DBMS_CRYPTO 암호화 알고리즘 또는 사용자 정의 암호화 기능을 사용하여 오브젝트 스토리지로 익스포트하는 동안 테이블 데이터를 암호화할 수 있습니다. 오브젝트 스토리지의 암호화된 데이터는 외부 테이블에서 사용하거나 DBMS_CRYPTO 암호화 알고리즘 또는 사용자 정의 암호화 기능을 사용하여 오브젝트 스토리지에서 임포트하는 동안 해독할 수도 있습니다. 지침은 객체 스토리지로 익스포트하는 동안 데이터 암호화객체 스토리지에서 임포트하는 동안 데이터 해독을 참조하십시오.