專用 Exadata 基礎架構上的自治式 AI 資料庫資料加密
專用 Exadata 基礎架構上的自治式 AI 資料庫使用一律開啟的加密,可保護靜態和傳輸中的資料。所有儲存在 Oracle Cloud 中的資料和與網路通訊預設都會加密。無法關閉加密功能。
相關主題
靜態資料加密
靜態資料使用 TDE (通透資料加密) 加密,這是一種保護資料處理、傳輸及儲存的加密解決方案。每個專用 Exadata 基礎架構上的自治式 AI 資料庫都有自己的加密金鑰,而其備份則有自己的不同加密金鑰。
依照預設,專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 會建立和管理用於保護資料的所有主要加密金鑰,並將它們儲存在資料庫所在之相同 Exadata 系統上的安全 PKCS 12 金鑰存放區中。如果您的公司安全原則需要,Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 可以改用您在 Oracle Cloud Infrastructure Vault 服務或 Oracle Key Vault 中建立和管理的金鑰,這取決於您是要在 Oracle Cloud 或 Exadata Cloud@Customer 上部署 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 。如需詳細資訊,請參閱 Manage Master Encryption Keys 。
此外,無論您是使用 Oracle 管理的金鑰還是客戶管理的金鑰,都可以視需要輪換用於現有資料庫中的金鑰,以符合貴公司的安全原則。
附註:
當您複製資料庫時,新資料庫會取得自己的新加密金鑰組。傳輸中資料加密
用戶端 (應用程式和工具) 使用 Oracle Net Services (也稱為 SQL*Net) 和預先定義的資料庫連線服務連線至 Autonomous AI Database 。專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 提供兩種類型的資料庫連線服務,每一種都具備加密資料庫與從屬端之間傳輸資料的技術:
-
TCPS (安全 TCP) 資料庫連線服務使用業界標準的 TLS 1.2 和 TLS 1.3 (傳輸層安全) 通訊協定進行連線。不過,只有 Oracle Database 23ai 或更新版本支援 TLS 1.3。
建立自治式 AI 資料庫時,會產生一個連線公事包,其中包含從屬端使用 TCPS 連線時所需的所有檔案。您只能將此公事包分送給想要授予資料庫存取權的從屬端,而從屬端組態會使用公事包中的資訊來執行對稱金鑰資料加密。
-
TCP 資料庫連線服務使用 Oracle Net Services 內建的原生網路加密加密系統,在傳輸期間協商和加密資料。對於此協商, Autonomous AI Database 設定為需要使用 AES256、AES192 或 AES128 加密進行加密。
由於加密會在連線進行時交涉,因此 TCP 連線不需要 TCPS 連線所需的連線公事包。不過,從屬端則需要資料庫連線服務的相關資訊。This information available by clicking DB Connection on the database's Autonomous AI Database Details page in the Oracle Cloud Infrastructure console and in the
tnsnames.orafile that is included in the same downloadable zip file containing the files necessary to connect using TCPS.
您可以使用 DBMS_CRYPTO 加密演算法或使用者定義的加密功能,在將表格資料匯出至物件儲存時加密。物件儲存中的加密資料也可以解密以供外部表格使用,或使用 DBMS_CRYPTO 加密演算法或使用者定義的加密功能從物件儲存匯入時使用。請參閱匯出至物件儲存時加密資料和從物件儲存匯入時解密資料,以取得相關指示。