Autonomous Database on Dedicated Exadata Infrastructure 的資料加密
Autonomous Database on Dedicated Exadata Infrastructure 使用隨時開啟的加密來保護靜態和傳輸中的資料。儲存在 Oracle Cloud 中和網路通訊的所有資料預設都會加密。無法關閉加密。
相關主題
靜態資料加密
使用 TDE (透明資料加密) 加密靜態資料,此加密解決方案可保護資料的處理、傳輸及儲存。每個 Autonomous Database on Dedicated Exadata Infrastructure 都有自己的加密金鑰,而其備份擁有不同的加密金鑰。
依照預設,Oracle Autonomous Database 會建立和管理用於保護資料的所有主要加密金鑰,並將它們儲存在資料庫所在之相同 Exadata 系統的安全 PKCS 12 金鑰存放區中。如果您的公司安全原則需要,Oracle Autonomous Database 可以改用您在 Oracle Cloud Infrastructure Vault 服務或 Oracle Key Vault 中建立和管理的金鑰,視您是在 Oracle Cloud 或 Exadata Cloud@Customer 上部署 Oracle Autonomous Database 而定。如需詳細資訊,請參閱管理主要加密金鑰。
此外,無論您是使用 Oracle 管理的金鑰還是客戶管理的金鑰,都可以視需要輪換用於現有資料庫中的金鑰,以符合貴公司的安全原則。
附註:
當您複製資料庫時,新資料庫會取得自己的新加密金鑰組。傳輸中資料加密
用戶端 (應用程式和工具) 使用 Oracle Net Services (也稱為 SQL*Net) 和預先定義的資料庫連線服務連線到 Autonomous Database 。Oracle Autonomous Database 提供兩種類型的資料庫連線服務,每種服務都有自己的技術來加密資料庫與用戶端之間傳輸中的資料:
-
TCPS (安全 TCP) 資料庫連線服務使用業界標準的 TLS 1.2 和 TLS 1.3 (傳輸層安全) 通訊協定進行連線。不過,只有 Oracle Database 23ai 或更新版本支援 TLS 1.3。
當您建立自治式資料庫時,系統會產生一個連線公事包,其中包含從屬端使用 TCPS 連線的所有必要檔案。您只會將此公事包分發給想要授予資料庫存取權的從屬端,而且從屬端組態會使用公事包中的資訊來執行對稱金鑰資料加密。
-
TCP 資料庫連線服務使用 Oracle Net Services 內建的原生網路加密加密系統,在傳輸期間交涉及加密資料。在此協商中,Autonomous Database 設定為需要使用 AES256、AES192 或 AES128 加密進行加密。
由於在建立連線時會交涉加密,因此 TCP 連線不需要 TCPS 連線所需的連線公事包。不過,從屬端會需要資料庫連線服務的相關資訊。此資訊可透過按一下 Oracle Cloud Infrastructure 主控台中資料庫 Autonomous Database 詳細資訊頁面上的資料庫連線,以及包含在包含使用 TCPS 連線所需檔案之相同可下載壓縮檔案中的
tnsnames.ora檔案。
您可以使用 DBMS_CRYPTO 加密演算法或使用者定義的加密功能,在將表格資料匯出至物件儲存時加密。物件儲存中的加密資料也可以解密以供外部表格使用,或使用 DBMS_CRYPTO 加密演算法或使用者定義的加密功能從物件儲存匯入時使用。請參閱匯出至物件儲存時加密資料和從物件儲存匯入時解密資料,以取得相關指示。