专用 Exadata 基础结构上的自治 AI 数据库中的数据加密
Autonomous AI Database on Dedicated Exadata Infrastructure 使用始终开启的加密技术来保护静态和传输中的数据。All data stored in and network communication with Oracle Cloud is encrypted by default.无法禁用加密。
相关主题
静态数据加密
静态数据使用 TDE(Transparent Data Encryption,透明数据加密)进行加密,该加密解决方案可保护数据的处理、传输和存储。每个 Autonomous AI Database on Dedicated Exadata Infrastructure 都有自己的加密密钥,其备份也有自己的不同加密密钥。
默认情况下,Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 会创建和管理用于保护数据的所有主加密密钥,并将它们存储在数据库所在的相同 Exadata 系统上的安全 PKCS 12 密钥库中。如果公司安全策略需要,Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 可以改用您在 Oracle Cloud Infrastructure Vault 服务或 Oracle Key Vault 中创建和管理的密钥,具体取决于您是在 Oracle Cloud 上部署 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 还是 Exadata Cloud@Customer 。有关更多信息,请参见 Manage Master Encryption Keys 。
此外,无论您使用的是 Oracle 管理的密钥还是客户管理的密钥,您都可以在需要时轮换现有数据库中使用的密钥以满足公司安全策略。
注意:
克隆数据库时,新数据库将获得一组新的加密密钥。传输中数据的加密
客户机(应用程序和工具)使用 Oracle Net Services(也称为 SQL*Net)和预定义的数据库连接服务连接到自治 AI 数据库。基于专用 Exadata 基础设施的 Oracle Autonomous AI Database 提供两种类型的数据库连接服务,每种服务都采用自己的技术来加密数据库与客户端之间传输的数据:
-
TCPS(Secure TCP,安全 TCP)数据库连接服务使用行业标准的 TLS 1.2 和 TLS 1.3(Transport Layer Security,传输层安全)协议进行连接。但是,仅 Oracle Database 23ai 或更高版本支持 TLS 1.3。
创建自治 AI 数据库时,将生成连接 wallet,其中包含客户机使用 TCPS 连接所需的所有文件。您仅将此 wallet 分发给要授予数据库访问权限的那些客户机,并且客户端配置使用 wallet 中的信息执行对称密钥数据加密。
-
TCP 数据库连接服务使用 Oracle Net Services 中内置的原生网络加密生态系统在传输过程中协商和加密数据。对于此协商, Autonomous AI Database 配置为需要使用 AES256、AES192 或 AES128 加密进行加密。
由于在建立连接时协商加密,因此 TCP 连接不需要 TCPS 连接所需的连接 wallet。但是,客户机确实需要有关数据库连接服务的信息。This information available by clicking DB Connection on the database's Autonomous AI Database Details page in the Oracle Cloud Infrastructure console and in the
tnsnames.orafile that is included in the same downloadable zip file containing the files necessary to connect using TCPS.
您可以使用 DBMS_CRYPTO 加密算法或用户定义的加密功能将表数据导出到对象存储时进行加密。对象存储中的加密数据也可以解密,以供外部表使用,或者在使用 DBMS_CRYPTO 加密算法或用户定义的加密功能从对象存储导入时使用。有关说明,请参见 Encrypt Data While Exporting to Object Storage 和 Decrypt Data While Importing from Object Storage 。