专用 Exadata 基础结构上的 Autonomous Database 中的数据加密

Autonomous Database on Dedicated Exadata Infrastructure 使用始终启用的加密技术来保护静态和传输中的数据。默认情况下,存储在 Oracle Cloud 中的所有数据以及与 Oracle Cloud 的网络通信都是加密的。无法禁用加密。

相关主题

静态数据加密

静态数据使用 TDE(透明数据加密)进行加密,TDE 是一种保护数据处理、传输和存储的加密解决方案。每个 Autonomous Database on Dedicated Exadata Infrastructure 都有自己的加密密钥,其备份有自己的不同加密密钥。

默认情况下,Oracle Autonomous Database 创建和管理用于保护数据的所有主加密密钥,并将这些密钥存储在数据库所在的同一 Exadata 系统上的安全 PKCS 12 密钥库中。如果贵公司需要安全策略,则 Oracle Autonomous Database 可以改用您在 Oracle Cloud Infrastructure Vault 服务或 Oracle Key Vault 中创建和管理的密钥,具体取决于您是在 Oracle Cloud 上还是 Exadata Cloud@Customer 上部署 Oracle Autonomous Database 。有关更多信息,请参见 Manage Master 加密密钥

此外,无论您使用的是 Oracle 管理的密钥还是客户管理的密钥,您都可以在需要时轮换现有数据库中使用的密钥以满足公司安全策略。

注意:

克隆数据库时,新数据库将获得一组新的加密密钥。

传输中数据的加密

客户端(应用程序和工具)使用 Oracle Net Services(也称为 SQL*Net)和预定义数据库连接服务连接到 Autonomous DatabaseOracle Autonomous Database 提供两种类型的数据库连接服务,每种服务都有自己的技术来加密数据库和客户端之间传输的数据:

  • TCPS(Secure TCP,安全 TCP)数据库连接服务使用行业标准的 TLS 1.2 和 TLS 1.3(Transport Layer Security,传输层安全)协议进行连接。但是,仅 Oracle Database 23ai 或更高版本支持 TLS 1.3。

    创建自治数据库时,将生成一个连接 wallet,其中包含客户机使用 TCPS 进行连接所需的所有文件。您仅将此 Wallet 分发给要向其提供数据库访问权限的客户端,而客户端配置使用 Wallet 中的信息执行对称密钥数据加密。

  • TCP 数据库连接服务使用 Oracle Net Services 中内置的本机网络加密加密加密系统在传输期间协商和加密数据。对于此洽谈,Autonomous Database 配置为需要使用 AES256、AES192 或 AES128 加密进行加密。

    由于加密是在建立连接时协商的,因此 TCP 连接不需要 TCPS 连接所需的连接 wallet。但是,客户机确实需要有关数据库连接服务的信息。单击数据库 Oracle Cloud Infrastructure 控制台中的 Autonomous Database Details 页面和 tnsnames.ora 文件中的 DB Connection (包含使用 TCPS 进行连接所需文件的同一可下载 zip 文件)即可获得此信息。

您可以使用 DBMS_CRYPTO 加密算法或用户定义的加密功能将表数据导出到对象存储时进行加密。对象存储中的加密数据也可以解密,以供外部表使用,或者在使用 DBMS_CRYPTO 加密算法或用户定义的加密功能从对象存储导入时使用。有关说明,请参见 Encrypt Data While Exporting to Object StorageDecrypt Data While Importing from Object Storage