Criptografia de Dados no Autonomous Database on Dedicated Exadata Infrastructure

O Autonomous Database on Dedicated Exadata Infrastructure usa criptografia sempre ativa que protege os dados em armazenamento e em trânsito. Por padrão, todos os dados armazenados e a comunicação de rede com o Oracle Cloud são criptografados. A criptografia não pode ser desativada.

Tópicos Relacionados

Criptografia de Dados em Repouso

Os dados em repouso são criptografados usando Criptografia Transparente de Dados (TDE), uma solução criptográfica que protege o processamento, a transmissão e o armazenamento de dados. Cada Autonomous Database na Infraestrutura Dedicada do Exadata tem sua própria chave de criptografia e seus backups têm suas próprias chaves de criptografia diferentes.

Por padrão, o Oracle Autonomous Database cria e gerencia todas as chaves de criptografia principais usadas para proteger seus dados, armazenando-as em um armazenamento de chaves PKCS 12 seguro nos mesmos sistemas Exadata em que os bancos de dados residem. Se as políticas de segurança da sua empresa exigirem, o Oracle Autonomous Database poderá usar chaves que você cria e gerencia no serviço Oracle Cloud Infrastructure Vault ou no Oracle Key Vault, dependendo se você estiver implantando o Oracle Autonomous Database no Oracle Cloud ou no Exadata Cloud@Customer. Para obter mais informações, consulte Gerenciar Chaves de Criptografia Principais.

Além disso, independentemente de você usar chaves gerenciadas pela Oracle ou gerenciadas pelo cliente, poderá rotacionar as chaves usadas em bancos de dados existentes quando necessário para atender às políticas de segurança da sua empresa.

Observação:

Quando você clona um banco de dados, o novo banco de dados obtém seu próprio conjunto de chaves de criptografia.

Criptografia de Dados em Trânsito

Os clientes (aplicativos e ferramentas) estabelecem conexão com um Autonomous Database usando o Oracle Net Services (também conhecido como SQL*Net) e serviços de conexão de banco de dados predefinidos. O Oracle Autonomous Database fornece dois tipos de serviços de conexão de banco de dados, cada um com sua própria técnica para criptografar dados em trânsito entre o banco de dados e o cliente:

  • Os serviços de conexão de banco de dados TCPS (TCP Seguro) usam o protocolo TLS 1.2 e TLS 1.3 (Transport Layer Security) padrão do setor para conexões. No entanto, o TLS 1.3 só é suportado no Oracle Database 23ai ou em uma versão posterior.

    Quando você cria um banco de dados autônomo, uma wallet de conexão é gerada, contendo todos os arquivos necessários para que um cliente se conecte usando a TCPS. Você só distribui essa wallet para os clientes aos quais deseja conceder acesso ao banco de dados e a configuração do cliente usa informações na wallet para executar criptografia de dados de chave simétrica.

  • Os serviços de conexão de banco de dados TCP usam o criptossistema Criptografia de Rede Nativa incorporado no Oracle Net Services para negociar e criptografar dados durante a transmissão. Para essa negociação, os Autonomous Databases são configurados para exigir criptografia usando criptografia AES256, AES192 ou AES128.

    Como a criptografia é negociada quando a conexão é estabelecida, as conexões TCP não precisam da wallet de conexão necessária para conexões TCPS. No entanto, o cliente precisa de informações sobre os serviços de conexão de banco de dados. Essas informações estão disponíveis clicando em Conexão do BD na página Detalhes do Autonomous Database do banco de dados na Console do Oracle Cloud Infrastructure e no arquivo tnsnames.ora incluído no mesmo arquivo zip para download que contém os arquivos necessários para conexão usando o TCPS.

Você pode criptografar dados da tabela ao exportar para o Object Storage usando algoritmos de criptografia DBMS_CRYPTO ou uma função de criptografia definida pelo usuário. Os dados criptografados no Object Storage também podem ser descriptografados para uso em uma tabela externa ou durante a importação do Object Storage usando os algoritmos de criptografia DBMS_CRYPTO ou uma função de criptografia definida pelo usuário. Consulte Criptografar Dados ao Exportar para o Serviço Object Storage e Descriptografar Dados ao Importar do Serviço Object Storage para obter instruções.