Autonomous Database on Dedicated Exadata Infrastructure의 데이터 암호화

Autonomous Database on Dedicated Exadata Infrastructure는 유휴 상태 및 전송 중 데이터를 보호하는 상시 암호화를 사용합니다. Oracle Cloud에 저장된 모든 데이터와 Oracle Cloud와의 네트워크 통신은 기본적으로 암호화됩니다. 암호화를 해제할 수 없습니다.

관련 항목

사용 중인 데이터 암호화

유휴 데이터는 데이터 처리, 전송 및 저장을 보호하는 암호화 솔루션인 TDE(Transparent Data Encryption)를 사용하여 암호화됩니다. 각 Autonomous Database on Dedicated Exadata Infrastructure에는 자체 암호화 키가 있으며, 백업에는 서로 다른 암호화 키가 있습니다.

기본적으로 Oracle Autonomous Database는 데이터를 보호하는 데 사용되는 모든 마스터 암호화 키를 생성하고 관리하며 데이터베이스가 상주하는 동일한 Exadata 시스템의 보안 PKCS 12 키 저장소에 저장합니다. 회사 보안 정책에 필요한 경우 Oracle Autonomous Database는 Oracle Cloud 또는 Exadata Cloud@CustomerOracle Autonomous Database를 배포하고 있는지 여부에 따라 Oracle Cloud Infrastructure Vault 서비스 또는 Oracle Key Vault에서 생성하고 관리하는 키를 대신 사용할 수 있습니다. 자세한 내용은 Manage Master Encryption Keys를 참조하십시오.

또한 Oracle 관리 키 또는 고객 관리 키를 사용하는지 여부에 관계없이 회사 보안 정책을 충족하기 위해 필요할 때 기존 데이터베이스에서 사용되는 키를 교체할 수 있습니다.

주:

데이터베이스를 복제할 때 새 데이터베이스는 고유한 새 암호화 키 집합을 가져옵니다.

전송 중인 데이터 암호화(encryption)

클라이언트(응용 프로그램 및 툴)는 Oracle Net Services(SQL*Net이라고도 함) 및 미리 정의된 데이터베이스 연결 서비스를 사용하여 Autonomous Database에 연결합니다. Oracle Autonomous Database는 두 가지 유형의 데이터베이스 연결 서비스를 제공합니다. 각 서비스에는 데이터베이스와 클라이언트 간에 전송 중인 데이터를 암호화하기 위한 고유 기술이 포함되어 있습니다.

  • TCPS(보안 TCP) 데이터베이스 연결 서비스는 연결에 산업 표준 TLS 1.2 및 TLS 1.3(전송 계층 보안) 프로토콜을 사용합니다. 하지만 TLS 1.3은 Oracle Database 23ai 이상에서만 지원됩니다.

    자율운영 데이터베이스를 생성하면 클라이언트가 TCPS를 사용하여 연결하는 데 필요한 모든 파일이 포함된 연결 전자 지갑이 생성됩니다. 이 전자 지갑은 데이터베이스 액세스 권한을 부여하려는 클라이언트에만 배포되며, 클라이언트측 구성은 전자 지갑의 정보를 사용하여 대칭 키 데이터 암호화를 수행합니다.

  • TCP 데이터베이스 연결 서비스는 Oracle Net Services에 내장된 고유 네트워크 암호화 암호화 시스템을 사용하여 전송 중 데이터를 협상하고 암호화합니다. 이 협상의 경우 Autonomous Database는 AES256, AES192 또는 AES128 암호화를 사용하는 암호화를 요구하도록 구성됩니다.

    연결이 설정될 때 암호화가 협상되므로 TCP 연결에는 TCPS 연결에 필요한 연결 전자 지갑이 필요하지 않습니다. 그러나 클라이언트에는 데이터베이스 연결 서비스에 대한 정보가 필요하지 않습니다. 이 정보는 Oracle Cloud Infrastructure 콘솔의 데이터베이스 Autonomous Database Details 페이지에서 DB Connection을 누르고 TCPS를 사용하여 접속하는 데 필요한 파일이 포함된 다운로드 가능한 동일한 zip 파일에 포함된 tnsnames.ora 파일에서 사용할 수 있습니다.

DBMS_CRYPTO 암호화 알고리즘 또는 사용자 정의 암호화 기능을 사용하여 오브젝트 스토리지로 익스포트하는 동안 테이블 데이터를 암호화할 수 있습니다. 오브젝트 스토리지의 암호화된 데이터는 외부 테이블에서 사용하거나 DBMS_CRYPTO 암호화 알고리즘 또는 사용자 정의 암호화 기능을 사용하여 오브젝트 스토리지에서 임포트하는 동안 해독할 수도 있습니다. 지침은 객체 스토리지로 익스포트하는 동안 데이터 암호화객체 스토리지에서 임포트하는 동안 데이터 해독을 참조하십시오.