Gerenciar Chaves de Criptografia
Este artigo fornece os detalhes sobre criptografia e chaves de criptografia.
O Oracle Base Database Service criptografa dados armazenados em tabelas e tablespaces usando a Criptografia Transparente de Dados (TDE).
- Criptografia Transparente de Dados
- O Base Database Service usa TDE para criptografar e decriptografar todos os tablespaces criados pelo usuário.
- Chaves de Criptografia
- Você pode optar por criptografar o banco de dados usando suas próprias chaves de criptografia ("chave gerenciadas pelo cliente") ou usar chaves gerenciadas pela Oracle. Por padrão, o Base Database Service usa chaves gerenciadas pela Oracle. A chave gerenciada pelo cliente é armazenada no OCI Vault, que é externo ao host do banco de dados.
- Chave do OCI Vault
- No OCI Vault, as chaves de Criptografia são entidades lógicas que contêm uma ou mais versões de chave usadas para criptografia e decriptografia. Essas versões de chave podem ser geradas automaticamente pelo OCI Vault ou importadas de uma origem externa (Bring-Your-Own-Key).
Para obter mais informações, consulte Introdução à Criptografia Transparente de Dados e Gerenciamento de Chaves do OCI Vault.
Política Obrigatória de IAM
Se quiser usar suas próprias chaves de criptografia para criptografar um banco de dados, crie um grupo dinâmico e designe políticas específicas do grupo para chaves de criptografia gerenciadas pelo cliente. Consulte Gerenciando Grupos Dinâmicos e o tópico Permitir que os administradores de segurança gerenciem vaults, chaves e segredos em Políticas Comuns.
Tópicos Relacionados
Informações Gerais
Ao criar um novo sistema de BD, uma chave será designada ao banco de dados contêiner e ao banco de dados plugável.
A versão da chave, se fornecida, só será usada para o banco de dados contêiner e não para seu banco de dados plugável. O banco de dados plugável receberá uma nova versão de chave gerada automaticamente. Versões de chave específicas não podem ser designadas aos bancos de dados plugáveis durante a criação.
O banco de dados plugável sempre usará a mesma chave que o banco de dados contêiner, mas com a mesma versão ou uma versão de chave diferente.
Você pode especificar qualquer versão da chave, incluindo a versão mais recente da chave selecionada.
Por padrão, o banco de dados é configurado usando chaves gerenciadas pela Oracle. No entanto, você pode optar por configurá-lo usando chaves gerenciadas pelo cliente.
Rotacionar Chave de Criptografia
A operação rotacionar chave de criptografia gera uma nova versão da chave para a mesma chave.
Você pode executar qualquer número de rodízios de chave. A rotação periódica de chaves limita o volume de dados criptografados ou assinados por uma versão de chave. O histórico de chaves retiradas também é mantido, o que permite rotacionar a chave e ainda assim descriptografar dados criptografados por uma chave anterior.
A chave rotativa nos níveis de banco de dados contêiner e banco de dados plugável funciona de forma independente. A operação de rotacionar chave em um banco de dados contêiner não rotacionará chaves nos bancos de dados plugáveis. Da mesma forma, a rotação de chaves em um banco de dados plugável não rotacionará chaves em outros bancos de dados plugáveis ou em seu banco de dados contêiner.
Para garantir que você esteja usando a versão mais recente, rotacione as chaves na página de detalhes do banco de dados na Console do OCI em vez da página Console do serviço Vault.
Observação:
A rotação das chaves de criptografia não está disponível para os bancos de dados que usam criptografia gerenciada pela Oracle.Para rotacionar uma chave de criptografia usando a Console do OCI, consulte Alternar Chave de Criptografia para um Banco de Dados e Alternar Chave de Criptografia para um Banco de Dados Plugável.
Atribuir Versão da Chave
Você pode criar e designar novas versões de chave para bancos de dados contêineres e plugáveis. Somente a versão da chave pode ser alterada. A chave não pode ser alterada.
Para designar a versão da chave usando a Console do OCI, consulte Designar uma Nova Versão de Chave para um Banco de Dados e Designar uma Nova Versão de Chave para um Banco de Dados Plugável.
Alterar Gerenciamento de Chaves
Você pode alternar de chaves gerenciadas pela Oracle para chaves gerenciadas pelo cliente em bancos de dados existentes. No entanto, não há suporte para a mudança de chaves gerenciadas pelo cliente para chaves gerenciadas pela Oracle.
Quando uma chave é alterada para um banco de dados contêiner, ela também é aplicada automaticamente a um banco de dados plugável. A chave de um banco de dados plugável não pode ser alterada de forma independente. O banco de dados plugável sempre usará a mesma chave que a do banco de dados contêiner, mas eles podem usar a mesma versão ou uma versão de chave diferente.
Ao alternar para chaves gerenciadas pelo cliente, o banco de dados contêiner e todos os seus bancos de dados plugáveis devem estar abertos e todos os tablespaces devem estar no modo leitura/gravação.
Para alterar o tipo de gerenciamento de chaves usando a Console do OCI, consulte Alterar Tipo de Gerenciamento de Chaves para um Banco de Dados.
Clonar, Clonar Remoto e Realocar Banco de Dados Plugável
O banco de dados clonado usará a mesma versão da chave do banco de dados de origem ao clonar um sistema de banco de dados que usa chaves de criptografia gerenciadas pelo cliente.
Os bancos de dados de origem e de destino devem usar a mesma chave, mas podem ter uma versão de chave diferente. A operação de clonagem ou realocação remota falhará se os bancos de dados de origem e destino usarem chaves diferentes.
As chaves são rotacionadas no vault de chaves de destino após operações de clonagem remota e realocação. Portanto, novas versões de chave serão geradas para o banco de dados plugável clonado ou realocado remoto no banco de dados de destino.