Criptografia de Dados no Autonomous AI Database na Infraestrutura Dedicada do Exadata
O Autonomous AI Database on Dedicated Exadata Infrastructure usa criptografia sempre ativa que protege dados em repouso e em trânsito. Por padrão, todos os dados armazenados e a comunicação de rede com o Oracle Cloud são criptografados. A criptografia não pode ser desativada.
Criptografia de Dados em Repouso
Os dados em repouso são criptografados usando Criptografia Transparente de Dados (TDE), uma solução criptográfica que protege o processamento, a transmissão e o armazenamento de dados. Cada Autonomous AI Database na Dedicated Exadata Infrastructure tem sua própria chave de criptografia e seus backups têm sua própria chave de criptografia diferente.
Por padrão, o Oracle Autonomous AI Database on Dedicated Exadata Infrastructure cria e gerencia todas as chaves de criptografia principais usadas para proteger seus dados, armazenando-as em um keystore PKCS 12 seguro nos mesmos sistemas Exadata nos quais residem os banco de dados. Se a política de segurança de sua empresa exigir, o Oracle Autonomous AI Database on Dedicated Exadata Infrastructure poderá usar as chaves que você criar e gerenciar no serviço Oracle Cloud Infrastructure Vault ou no Oracle Key Vault, dependendo de você estar implantando o Oracle Autonomous AI Database on Dedicated Exadata Infrastructure no Oracle Cloud ou no Exadata Cloud@Customer. Para obter mais informações, consulte Gerenciar Chaves de Criptografia Principais.
Além disso, independentemente de você usar chaves gerenciadas pela Oracle ou gerenciadas pelo cliente, poderá rotacionar as chaves usadas em bancos de dados existentes quando necessário para atender às políticas de segurança da sua empresa.
Observação: Quando você clona um banco de dados, o novo banco de dados obtém seu próprio novo conjunto de chaves de criptografia.
Criptografia de Dados em Trânsito
Clientes (aplicativos e ferramentas) se conectam a um Autonomous AI Database usando o Oracle Net Services (também conhecido como SQL*Net) e serviços de conexão de banco de dados predefinidos. O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure fornece dois tipos de serviços de conexão de banco de Dados, cada qual com sua própria técnica para criptografar dados em trânsito entre o banco de Dados e o cliente:
-
Os serviços de conexão de banco de dados TCPS (TCP Seguro) usam o protocolo TLS 1.2 e TLS 1.3 (Transport Layer Security) padrão do setor para conexões. No entanto, o TLS 1.3 só é suportado no Oracle Database 23ai ou em uma versão posterior.
Quando você cria um Autonomous AI Database, uma wallet de conexão é gerada, contendo todos os arquivos necessários para um cliente se conectar usando TCPS. Você só distribui essa wallet para os clientes aos quais deseja conceder acesso ao banco de dados e a configuração do cliente usa informações na wallet para executar criptografia de dados de chave simétrica.
-
Os serviços de conexão de banco de dados TCP usam o criptossistema de Criptografia de Rede Nativa incorporado ao Oracle Net Services para negociar e criptografar dados durante sua transmissão. Para essa negociação, os Autonomous AI Databases são configurados para exigir criptografia usando a criptografia AES256, AES192 ou AES128.
Como a criptografia é negociada quando a conexão é estabelecida, as conexões TCP não precisam da wallet de conexão necessária para conexões TCPS. No entanto, o cliente precisa de informações sobre os serviços de conexão de banco de dados. Essas informações estão disponíveis ao clicar em Conexão do Banco de Dados na página Detalhes do Autonomous AI Database no console do Oracle Cloud Infrastructure e no arquivo
tnsnames.oraincluído no mesmo arquivo zip que pode ser submetido a download e que contém os arquivos necessários para conexão usando o TCPS.
Você pode criptografar dados da tabela durante a exportação para o Object Storage usando algoritmos de criptografia DBMS_CRYPTO ou uma função de criptografia definida pelo usuário. Os dados criptografados no Object Storage também podem ser decriptografados para uso em uma tabela externa ou durante a importação do Object Storage usando os algoritmos de criptografia DBMS_CRYPTO ou uma função de criptografia definida pelo usuário. Consulte Criptografar Dados Durante a Exportação para o Serviço Object Storage e Decriptografar Dados Durante a Importação do Serviço Object Storage para obter instruções.