メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

Oracle ネイティブネットワーク暗号化

Amazon RDS は、Oracle ネイティブネットワーク暗号化 (NNE) をサポートしています。ネイティブネットワーク暗号化を使用すると、DB インスタンスとの間でデータ移動を暗号化できます。Amazon RDS は、すべてのエディションの Oracle で NNE をサポートしています。Amazon RDS では、db.t1.micro より大きい DB インスタンスクラスで Oracle ネイティブのネットワーク暗号化がサポートされます。

Oracle ネイティブネットワーク暗号化の詳細な説明はこのガイドでは取り上げませんが、配置で使用するソリューションを決定する前に各アルゴリズムおよびキーの長所と短所を理解する必要があります。デフォルト以外の TDE 暗号化アルゴリズムは、Oracle バージョン 11.2.0.2.v7 以降でのみ機能する点に注意してください。Oracle ネイティブネットワークの暗号化で使用できるアルゴリズムとキーについては、Oracle ドキュメントの「Configuring Network Data Encryption」を参照してください。AWS セキュリティの詳細については、AWS セキュリティセンターを参照してください。

注記

ネイティブネットワーク暗号化または Secure Sockets Layer を使用できますが、両方を使用することはできません。詳細については、「Oracle SSL」を参照してください。

NNE オプション設定

Amazon RDS は、NNE オプションの次の設定をサポートします。

オプション設定 有効な値 デフォルト値 説明

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

クライアント、またはクライアントとして機能しているサーバーが DB インスタンスに接続する場合の暗号化動作。

Requested は、DB インスタンスでクライアントからのトラフィックを暗号化する必要がないことを示します。

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

クライアント、またはクライアントとして機能しているサーバーが DB インスタンスに接続する場合のデータ整合性動作。

Requested は、DB インスタンスでクライアントがチェックサムを実行できる必要がないことを示します。

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256,AES256, AES192,3DES168, RC4_128,AES128, 3DES112,RC4_56, DES,RC4_40, DES40

RC4_256,AES256, AES192,3DES168, RC4_128,AES128, 3DES112,RC4_56, DES,RC4_40, DES40

DB インスタンスによって使用された暗号化アルゴリズムのリスト。DB インスタンスは、各アルゴリズムを順序どおりに使用し、アルゴリズムが成功するか、リストの末尾に到達するまでクライアントの復号を試みます。

Amazon RDS は、Oracle による次のデフォルトリストを使用します。 順序を変更したり、DB インスタンスで受け入れられるアルゴリズムを制限したりすることができます。

  1. RC4_256: RSA RC4 (256 ビットのキーサイズ)

  2. AES256: AES (256 ビットのキーサイズ)

  3. AES192: AES (192 ビットのキーサイズ)

  4. 3DES168112: 3-key Triple-DES ( ビットの有効キーサイズ)

  5. RC4_128: RSA RC4 (128 ビットのキーサイズ)

  6. AES128: AES (128 ビットのキーサイズ)

  7. 3DES1122-key Triple-DES (80 ビットの有効キーサイズ)

  8. RC4_56: RSA RC4 (56 ビットのキーサイズ)

  9. DES: Standard DES (56 ビットのキーサイズ)

  10. RC4_40: RSA RC4 (40 ビットのキーサイズ)

  11. DES40: DES40 (40 ビットのキーサイズ)

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

sha-1,md5

sha-1,md5

チェックサムアルゴリズム。

NNE オプションの追加

DB インスタンスに NNE オプションを追加する一般的な手順は以下のとおりです。

  1. 新しいオプショングループを作成するか、既存のオプショングループをコピーまたは変更します。

  2. オプショングループにオプションを追加します。

  3. オプショングループを DB インスタンスに関連付けます。

NNE オプションの追加後、オプショングループがアクティブになるとすぐに、NNE がアクティブになります。

NNE オプションを DB インスタンスに追加するには

  1. [Engine] で、使用する Oracle のエディションを選択します。NNE はすべてのエディションでサポートされます。

  2. [Major Engine Version] で、[11.2] または [12.1] を選択します。

    詳細については、「オプショングループを作成する」を参照してください。

  3. オプショングループに [NNE] オプションを追加します。オプションの追加方法の詳細については、「オプショングループにオプションを追加する」を参照してください。

    注記

    NNE オプションを追加した後に DB インスタンスを再起動する必要はありません。オプショングループがアクティブになると、すぐに NNE がアクティブになります。

  4. 新規または既存の DB インスタンスに、DB オプショングループを適用します。

NNE の使用

Oracle ネイティブネットワーク暗号化を使用すると、クライアント側でネットワーク暗号化を指定することもできます。クライアント (DB インスタンスへの接続に使用されるコンピュータ) では、sqlnet.ora ファイルを使用してクライアント設定 SQLNET.CRYPTO_CHECKSUM_CLIENT、SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT、SQLNET.ENCRYPTION_CLIENT、および SQLNET.ENCRYPTION_TYPES_CLIENT を指定できます。詳細については、Oracle ドキュメントの「Oracle サーバーおよびクライアントのネットワークデータ暗号化と整合性の設定」を参照してください。

クライアントとサーバーで暗号化アルゴリズムが一致しない場合など、場合によっては、DB インスタンスがアプリケーションからの接続リクエストを拒否することがあります。

Oracle ネイティブネットワーク暗号化をテストするには、クライアント側で sqlnet.ora ファイルに以下の行を追加します。

Copy
DIAG_ADR_ENABLED=off TRACE_DIRECTORY_CLIENT=/tmp TRACE_FILE_CLIENT=nettrace TRACE_LEVEL_CLIENT=16

これらの行は、接続が試行されるとクライアントに /tmp/nettrace* というトレースファイルを生成します。トレースファイルには、接続に関する情報が含まれています。Oracle ネイティブネットワーク暗号化を使用した場合の接続に関連する問題の詳細については、Oracle ドキュメントの「暗号化と整合性のネゴシエーションについて」を参照してください。

NNE 設定の変更

NNE を有効にした後、オプションの設定を変更できます。オプション設定の変更方法の詳細については、「オプションの設定を変更する」を参照してください。各設定の詳細については、「NNE オプション設定」を参照してください。

NNE オプションの削除

DB インスタンスから NNE を削除できます。

DB インスタンスから NNE を削除するには、次のいずれかを実行します。

  • 複数の DB インスタンスから NNE を削除するには、属しているオプショングループから NNE オプションを削除します。この変更はそのオプショングループを使用するすべての DB インスタンスに影響します。NNE オプションを削除した後に DB インスタンスを再起動する必要はありません。詳細については、「オプショングループからオプションを削除する」を参照してください。

     

  • 単一の DB インスタンスから NNE を削除するには、DB インスタンスを変更し、NNE オプションが含まれていない別のオプショングループを指定します。デフォルト (空) のオプショングループや別のカスタムオプショングループを指定できます。NNE オプションを削除した後に DB インスタンスを再起動する必要はありません。詳細については、「Oracle データベースエンジンを実行する DB インスタンスの変更」を参照してください。

関連トピック