专用 Exadata 基础结构上的自治 AI 数据库中的数据加密
专用 Exadata 基础结构上的自治 AI 数据库使用始终启用的加密来保护静态和传输中的数据。All data stored in and network communication with Oracle Cloud is encrypted by default. 无法禁用加密。
静态数据和传输中的数据加密
静态数据使用 TDE(Transparent Data Encryption,透明数据加密)进行加密,该加密解决方案可保护数据的处理、传输和存储。专用 Exadata 基础结构上的每个自治 AI 数据库都具有自己的加密密钥,其备份具有自己的不同加密密钥。
默认情况下,基于专用 Exadata 基础结构的 Oracle Autonomous AI Database 将创建和管理用于保护数据的所有主加密密钥,并将它们存储在数据库所在的相同 Exadata 系统上的安全 PKCS 12 密钥库中。如果公司安全策略需要,则 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 可以使用您在 Oracle Cloud Infrastructure Vault 服务或 Oracle Key Vault 中创建和管理的密钥,具体取决于您是在 Oracle Cloud 或 Exadata Cloud@Customer 上的 Dedicated Exadata Infrastructure 上部署 Oracle Autonomous AI Database。有关更多信息,请参见 Manage Master Encryption Keys 。
此外,无论您使用的是 Oracle 管理的密钥还是客户管理的密钥,您都可以在需要时轮换现有数据库中使用的密钥,以满足公司安全策略。
注:克隆数据库时,新数据库将获得自己的新加密密钥集。
传输中数据的加密
客户机(应用程序和工具)使用 Oracle Net Services(也称为 SQL*Net)和预定义的数据库连接服务连接到自治 AI 数据库。Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 提供两种类型的数据库连接服务,每种服务都有自己的技术来加密数据库与客户端之间传输的数据:
-
TCPS(Secure TCP,安全 TCP)数据库连接服务使用行业标准的 TLS 1.2 和 TLS 1.3(Transport Layer Security,传输层安全)协议进行连接。但是,仅 Oracle Database 23ai 或更高版本支持 TLS 1.3。
创建自治 AI 数据库时,将生成连接 wallet,其中包含客户机使用 TCPS 连接所需的所有文件。您仅将此 wallet 分发给要授予数据库访问权限的那些客户机,并且客户端配置使用 wallet 中的信息执行对称密钥数据加密。
-
TCP 数据库连接服务使用 Oracle Net Services 中内置的原生网络加密生态系统在传输过程中协商和加密数据。对于此协商,自治 AI 数据库配置为需要使用 AES256、AES192 或 AES128 加密进行加密。
由于在建立连接时协商加密,因此 TCP 连接不需要 TCPS 连接所需的连接 wallet。但是,客户机确实需要有关数据库连接服务的信息。单击数据库 Autonomous AI Database Details(自治 AI 数据库详细信息)页面上的 DB Connection(DB 连接),该页面位于 Oracle Cloud Infrastructure 控制台和
tnsnames.ora文件中,该文件包含在包含使用 TCPS 连接所需文件的同一可下载 zip 文件中。
您可以使用 DBMS_CRYPTO 加密算法或用户定义的加密函数在导出到对象存储时对表数据进行加密。对象存储中的加密数据也可以解密以用于外部表,或者在使用 DBMS_CRYPTO 加密算法或用户定义的加密功能从对象存储导入时。有关说明,请参见 Encrypt Data While Exporting to Object Storage 和 Decrypt Data While Importing from Object Storage 。