Documentação do Oracle Cloud Infrastructure

Configurar Recursos do Oracle Database para o Oracle Exadata Database Service no Exascale Infrastructure

Saiba como configurar o Oracle Multitenant, a criptografia de tablespace e outras opções para sua instância do Oracle Exadata Database Service no Exascale Infrastructure.

Tópico principal: Guias de Instruções

Usando o Oracle Multitenant em uma Instância de Infraestrutura do Oracle Exadata Database Service no Exascale

Saiba mais sobre os requisitos para diferentes recursos ao usar ambientes Multitenant no Oracle Exadata Database Service on Exascale Infrastructure.

Quando você cria uma Instância de Infraestrutura do Oracle Exadata Database Service no Exascale, um ambiente do Oracle Multitenant é criado.

A arquitetura multitenant permite que o Oracle Database funcione como um banco de dados contêiner (CDB) multilocatário que inclui zero, um ou mais bancos de dados plugáveis (PDBs). Um PDB é um conjunto móvel de esquemas, objetos de esquema e objetos que não são de esquema que aparecem para um cliente Oracle Net Services como um não CDB.

Para usar a TDE (Criptografia Transparente de Dados) da Oracle em um PDB (banco de dados plugável), você deve criar e ativar uma chave de criptografia principal para o PDB.

Em um ambiente multitenant, cada PDB tem sua própria chave de criptografia principal que é armazenada em um armazenamento de chaves usado por todos os contêineres.

Exporte e importe a chave de criptografia principal para qualquer PDB criptografado conectado ao Oracle Exadata Database Service no CDB da Instância de Infraestrutura do Exascale.

Se o PDB de origem estiver criptografado, exporte a chave de criptografia principal e importe-a.

Você pode exportar e importar todas as chaves de criptografia principais de TDE que pertencem ao PDB exportando e importando essas chaves de criptografia principais de TDE de um PDB. A exportação e a importação das chaves de criptografia principais de TDE suportam as operações de desplugamento e plugamento do PDB. Durante um desplugamento e plugamento de um PDB, todas as chaves de criptografia principais de TDE que pertencem a um PDB, assim como os metadados, são envolvidos.

Consulte "Using Transparent Data Encryption with Other Oracle Features" no Oracle Database Advanced Security Guide.

Consulte "ADMINISTER KEY MANAGEMENT" na Oracle Database SQL Language Reference.

Para determinar se você precisa criar e ativar uma chave de criptografia para o PDB

  1. Chame o SQL*Plus e faça log-in no banco de dados como o usuário SYS com privilégios SYSDBA.

  2. Defina o contêiner como PDB:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  3. Consulte V$ENCRYPTION_WALLET da seguinte forma: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

    Se a coluna STATUS contiver um valor OPEN_NO_MASTER_KEY, será necessário criar e ativar a chave de criptografia principal.

Para criar e ativar a chave de criptografia principal em um PDB

  1. Defina o contêiner como PDB:

    SQL> ALTER SESSION SET CONTAINER = pdb;

  2. Crie e ative uma chave de criptografia principal no PDB executando este comando:

    SQL> ADMINISTER KEY MANAGEMENT SET KEY USING TAG 'tag' FORCE KEYSTORE IDENTIFIED BY keystore-password WITH BACKUP USING 'backup_identifier';

    No comando anterior:

    • keystore-password corresponde à senha do armazenamento de chaves. Por padrão, a senha do armazenamento de chaves é definida como o valor da senha de administração que é especificada quando o banco de dados é criado.
    • A cláusula USING TAG 'tag' opcional pode ser usada para associar uma tag à nova chave de criptografia principal.
    • A cláusula WITH BACKUP e a cláusula USING 'backup_identifier' opcional podem ser usadas para criar um backup do armazenamento de chaves antes da criação da nova chave de criptografia principal.

    Consulte também ADMINISTER KEY MANAGEMENT na Oracle Database SQL Language Reference da Release 19, 18 ou 12.2.

    Observação

    Para ativar operações de gerenciamento de chaves enquanto o armazenamento de chaves estiver em uso, o Oracle Database 12c Release 2 e posteriores, inclui a opção FORCE KEYSTORE para o comando ADMINISTER KEY MANAGEMENT. Esta opção também está disponível para o Oracle Database 12c Release 1 com o patch do bundle de outubro de 2017 ou posterior.

    Se o banco de dados Oracle Database 12c Release 1 não tiver o patch do bundle de outubro de 2017, ou posterior, instalado, você poderá executar as seguintes etapas alternativas:

    1. Feche a área de armazenamento de chaves.
    2. Abra o armazenamento de chaves baseado em senha.
    3. Crie e ative uma chave de criptografia principal no PDB usando ADMINISTER KEY MANAGEMENT sem a opção FORCE KEYSTORE.
    4. Atualize o armazenamento de chaves de log-in automático usando o comando ADMINISTER KEY MANAGEMENT com a opção CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE.

  3. Consulte mais uma vez V$ENCRYPTION_WALLET para verificar se a coluna STATUS está definida como OPEN: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM v$encryption_wallet;

  4. Consulte V$INSTANCE e anote o valor na coluna HOST_NAME, que identifica o servidor de banco de dados que contém os arquivos de armazenamento de chaves atualizados recentemente: 

    SQL> SELECT host_name FROM v$instance;

  5. Copie os arquivos de armazenamento de chaves atualizados para todos os outros servidores de banco de dados.

    Para distribuir o armazenamento de chaves atualizado, você deve executar as seguintes ações em cada servidor de banco de dados que não contenha os arquivos de armazenamento de chaves atualizados:

    1. Conecte-se ao contêiner raiz e consulte V$ENCRYPTION_WALLET. Anote o local do armazenamento de chaves contido na coluna WRL_PARAMETER: 

      SQL> SELECT wrl_parameter, status FROM v$encryption_wallet;

    2. Copie os arquivos de armazenamento de chaves atualizados.

      Você deve copiar todos os arquivos de armazenamento de chaves atualizados de um servidor de banco de dados que já esteja atualizado. Use o local do armazenamento de chaves observado na coluna WRL_PARAMETER de V$ENCRYPTION_WALLET.

    Abra o armazenamento de chaves atualizado:
    SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE open FORCE KEYSTORE IDENTIFIED BY keystore-password CONTAINER=all;
    Observação

    Para ativar operações de gerenciamento de chaves enquanto o armazenamento de chaves estiver em uso, o Oracle Database 12c Release 2 e posteriores, inclui a opção FORCE KEYSTORE para o comando ADMINISTER KEY MANAGEMENT. Esta opção também está disponível para o Oracle Database 12c Release 1 com o patch do bundle de outubro de 2017 ou posterior.

    Se o banco de dados Oracle Database 12c Release 1 não tiver o patch do bundle de outubro de 2017, ou posterior, instalado, você poderá executar as seguintes etapas alternativas:

    1. Feche o armazenamento de chaves antes de copiar os arquivos de armazenamento de chaves atualizados.
    2. Copie os arquivos de armazenamento de chaves atualizados.
    3. Abra o armazenamento de chaves atualizado usando o comando ADMINISTER KEY MANAGEMENT sem a opção FORCE KEYSTORE.

  6. Consulte GV$ENCRYPTION_WALLET para verificar se a coluna STATUS está definida como OPEN em todas as instâncias do banco de dados: 

    SQL> SELECT wrl_parameter, status, wallet_type FROM gv$encryption_wallet;

Para exportar e importar uma chave de criptografia principal

  1. Exporte a chave de criptografia principal.
    1. Chame o SQL*Plus e faça log-in no PDB.

    2. Execute o seguinte comando:

      SQL> ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "secret" TO 'filename' IDENTIFIED BY keystore-password;
  2. Importe a chave de criptografia principal.
    1. Chame o SQL*Plus e faça log-in no PDB.

    2. Execute o seguinte comando:

      SQL> ADMINISTER KEY MANAGEMENT IMPORT ENCRYPTION KEYS WITH SECRET "secret" FROM 'filename' IDENTIFIED BY keystore-password;

Gerenciando Criptografia de Tablespace

Saiba como a criptografia de tablespace é implementada no Oracle Exadata Database Service no Exascale Infrastructure

Por padrão, todos os novos tablespaces criados em um banco de dados Exadata são criptografados.

No entanto, os tablespaces que são criados inicialmente quando o banco de dados é criado podem não ser criptografados por padrão.

  • Para bancos de dados que usam o Oracle Database 12c Release 2 ou posterior, apenas os tablespaces USERS criados inicialmente quando o banco de dados foi criado são criptografados. Não há outros tablespaces criptografados, incluindo os não USERS em:
    • O contêiner raiz (CDB$ROOT).
    • O banco de dados plugável pré-implantado (PDB$SEED).
    • O primeiro PDB, que é criado quando o banco de dados é criado.
  • Para bancos de dados que usam o Oracle Database 12c Release 1 ou Oracle Database 11g, nenhum dos tablespaces criado inicialmente quando o banco de dados foi criado é criptografado.

Para obter mais informações sobre a implementação da criptografia de tablespace no Exadata, além de como ela afeta vários cenários de implantação, consulte:

Comportamento de Criptografia de Tablespace do Oracle Database no Oracle Cloud (ID do Documento 2359020.1).

Criando Tablespaces Criptografados

Por padrão, os tablespaces criados pelo usuário são criptografados.

Por padrão, todos os novos tablespaces criados usando o comando SQL CREATE TABLESPACE são criptografados com o algoritmo de criptografia AES128. Não é necessário incluir a cláusula USING 'encrypt_algorithm' para usar a criptografia padrão.

Você pode especificar outro algoritmo suportado incluindo a cláusula USING 'encrypt_algorithm' no comando CREATE TABLESPACE. Os algoritmos suportados são AES256, AES192, AES128 e 3DES168.

Gerenciando Criptografia de Tablespace

Você pode gerenciar o armazenamento de chaves de software (conhecido como wallet da Oracle no Oracle Database 11g), a chave de criptografia principal e controlar se a criptografia está ativada por padrão.

Gerenciando a Chave de Criptografia Principal

A criptografia de tablespace usa uma arquitetura de duas camadas baseada em chaves para criptografar (e descriptografar) tablespaces de forma transparente. A chave de criptografia principal é armazenada em um módulo de segurança externo (armazenamento de chaves do software). Essa chave de criptografia principal é usada para criptografar a chave de criptografia do tablespace, que por sua vez é usada para criptografar e descriptografar dados no tablespace.

Quando um banco de dados é criado em uma instância do Exadata Cloud Service, um armazenamento de chaves de software local é criado. O armazenamento de chaves é local nos nós de computação e é protegido pela senha de administração especificada durante o processo de criação do banco de dados. O armazenamento de chaves do software de log-in automático é aberto automaticamente quando o banco de dados é iniciado.

Você pode alterar (alternar) a chave de criptografia principal usando a instrução ADMINISTER KEY MANAGEMENT SQL. Por exemplo: 

SQL> ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY USING TAG 'tag'
IDENTIFIED BY password WITH BACKUP USING 'backup';
keystore altered.

Consulte "Managing the TDE Master Encryption Key" no Oracle Database Advanced Security Guide.

Controlando a Criptografia de Tablespace Padrão

O parâmetro de inicialização ENCRYPT_NEW_TABLESPACES controla a criptografia padrão de novos tablespaces. Em bancos de dados Exadata, esse parâmetro é definido como CLOUD_ONLY por padrão.

Os valores desse parâmetro são encontrados a seguir.

Valor Descrição
ALWAYS Durante a criação, os tablespaces são criptografados de forma transparente com o algoritmo AES128, a menos que um algoritmo distinto seja especificado na cláusula ENCRYPTION.
CLOUD_ONLY Os tablespaces criados em um banco de dados Exadata são criptografados de forma transparente com o algoritmo AES128, a menos que um algoritmo distinto seja especificado na cláusula ENCRYPTION. Para bancos de dados que não estão na nuvem, os tablespaces só serão criptografados se a cláusula ENCRYPTION for especificada. ENCRYPTION é o valor padrão.
DDL Durante a criação, os tablespaces não são criptografados de forma transparente por padrão e só são criptografados se a cláusula ENCRYPTION for especificada.
Observação

Com o Oracle Database 12c Release 2 (12.2) ou posterior, não é mais possível criar um tablespace não criptografado em um banco de dados Exadata. Uma mensagem de erro será retornada se você definir ENCRYPT_NEW_TABLESPACES como DDL e emitir um comando CREATE TABLESPACE sem especificar uma cláusula ENCRYPTION.