Oracle Transparent Data Encryption - Amazon Relational Database Service

Oracle Transparent Data Encryption

Amazon RDS unterstützt Oracle Transparent Data Encryption (TDE), eine Funktion der Oracle Advanced Security-Option, die in der Oracle Enterprise Edition erhältlich ist. Mit dieser Funktion werden Daten vor dem Speichern automatisch verschlüsselt und beim Abruf aus dem Speicher automatisch entschlüsselt.

Oracle Transparent Data Encryption eignet sich für Szenarien, in denen vertrauliche Daten verschlüsseln werden müssen, für den Fall, dass Dateien und Sicherungen an Drittanbieter geraten, oder in denen es um sicherheitsbezogene Fragen zur Einhaltung gesetzlicher Vorschriften geht.

Die TDE-Option ist eine permanente Option, die nicht aus einer Optionsgruppe entfernt werden kann. TDE kann für eine DB-Instance nicht mehr deaktiviert werden, sobald diese Instance mit einer Optionsgruppe verknüpft wurde, in der die Oracle TDE-Option enthalten ist. Sie können die Optionsgruppe einer DB-Instance ändern, die die TDE-Option nutzt. Die der DB-Instance zugeordnete Optionsgruppe muss aber die gleiche TDE-Option enthalten. Sie können eine Optionsgruppe, in der die TDE-Option enthalten ist, auch durch Hinzufügen oder Entfernen von anderen Optionen abändern.

Eine detaillierte Beschreibung von Oracle Transparent Data Encryption geht über den Rahmen dieses Handbuchs hinaus. Weitere Informationen zum Verwenden von Oracle Transparent Data Encryption finden Sie unter Sichern gespeicherter Daten mit Transparent Data Encryption. Weitere Informationen zu Oracle Advanced Security finden Sie unter Oracle Advanced Security in der Oracle-Dokumentation. Weitere Informationen zur AWS-Sicherheit finden Sie im AWS-Sicherheitszentrum.

Anmerkung

DB-Snapshots, die diese Option nutzen, können nicht freigegeben werden. Weitere Informationen zum Freigeben von DB-Snapshots finden Sie unter Freigeben eines DB--Snapshots.

TDE-Verschlüsselungsmodi

Oracle Transparent Data Encryption unterstützt zwei Verschlüsselungsmodi: die Tabellenraumverschlüsselung und die Spaltenverschlüsselung. Mit der Tabellenraumverschlüsselung der TDE-Funktion lassen sich gesamte Anwendungstabellen verschlüsseln. Die Spaltenverschlüsselung der TDE-Funktion dient hingegen der Verschlüsselung einzelner Datenelemente, die vertrauliche Daten enthalten. Sie können auch eine hybride Verschlüsselung verwenden, bei der sowohl die Tabellenraum- als auch die Spaltenverschlüsselung von TDE zum Einsatz kommt.

Anmerkung

Amazon RDS verwaltet Oracle Wallet und den TDE-Hauptschlüssel für die DB-Instance. Sie müssen den Verschlüsselungsschlüssel nicht durch den Befehl ALTER SYSTEM set encryption key festlegen.

Weitere Informationen über bewährte TDE-Methoden finden Sie unter Bewährte Methoden für die Advanced Security Transparent Data Encryption.

Ist die Option erstmal aktiviert, können Sie den Status von Oracle Wallet mit dem folgenden Befehl überprüfen:

SELECT * FROM v$encryption_wallet;

Sie können mit folgendem Befehl einen verschlüsselten Tabellenraum erzeugen:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Um den Verschlüsselungsalgorithmus anzugeben, verwenden Sie den folgenden Befehl:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Die obigen Befehle zur Verschlüsselung des Tabellenraums sind übrigens dieselben Befehle, die in einer Oracle-Installation außerhalb von Amazon RDS verwendet werden. Auch die ALTER TABLE-Syntax für die Spaltenverschlüsselung entspricht den Befehlen, die in einer Amazon RDS-fremden Oracle-Ausführung eingesetzt werden.

Sie sollten ermitteln, ob der DB-Instance bereits eine Optionsgruppe zugeordnet ist, die über die Option TDE verfügt. Um die Optionsgruppe anzuzeigen, der die DB-Instance zugeordnet ist, können Sie die RDS-Konsole, den AWS CLI-Befehl describe-db-instance oder die API-Operation DescribeDBInstances verwenden.

Um mehrere Sicherheitsstandards einzuhalten, arbeitet Amazon RDS daran, eine automatische, periodische Hauptschlüssel-Rotation umzusetzen.

Hinzufügen der TDE-Option

Führen Sie die folgenden Schritte aus, um Oracle Transparent Data Encryption (TDE) mit Amazon RDS zu verwenden:

  1. Wenn der DB-Instance keine Optionsgruppe mit aktivierter Option TDE zugeordnet ist, können Sie entweder eine Optionsgruppe erstellen und die Option TDE hinzufügen oder die zugeordnete Optionsgruppe ändern, um die Option TDE hinzuzufügen. Weitere Informationen zum Erstellen oder Ändern einer Optionsgruppe finden Sie unter Arbeiten mit Optionsgruppen. Weitere Informationen zum Hinzufügen einer Option zu einer Optionsgruppe finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

  2. Ordnen Sie der DB-Instance eine Optionsgruppe zu, die über die Option TDE verfügt. Weitere Informationen zum Zuordnen einer DB-Instance zu einer Optionsgruppe finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Entfernen der TDE-Option

Soll die TDE-Option nicht länger mit einer DB-Instance verwendet werden, entschlüsseln Sie alle Daten auf der DB-Instance und kopieren diese Daten auf eine neue DB-Instance, deren zugeordnete Sicherheitsgruppe keine aktivierte TDE-Option enthält. Anschließend löschen Sie die ursprüngliche Instance. Sie können der neuen Instance den gleichen Namen wie der vorherigen DB-Instance geben, wenn dies gewünscht ist.

Verwenden von TDE mit Oracle Data Pump

Sie können Oracle Data Pump verwenden, um verschlüsselte Dump-Dateien zu importieren oder zu exportieren. Amazon RDS unterstützt den Passwortverschlüsselungsmodus (ENCRYPTION MODE=PASSWORD) für Oracle Data Pump. Amazon RDS unterstützt nicht den Transparent Encryption-Modus (ENCRYPTION MODE=TRANSPARENT) für Oracle Data Pump. Weitere Informationen zum Verwenden von Oracle Data Pump mit Amazon RDS finden Sie unter Importieren mit Oracle Data Pump.