Oracle Transparent Data Encryption

Amazon RDS unterstützt Oracle Transparent Data Encryption (TDE), eine Funktion der Oracle Advanced Security-Option, die in der Oracle Enterprise Edition erhältlich ist. Mit dieser Funktion werden Daten vor dem Speichern automatisch verschlüsselt und beim Abruf aus dem Speicher automatisch entschlüsselt. Diese Option wird nur für das BYOL-Modell (Bring-Your-Own-License) unterstützt.

TDE ist sinnvoll in Szenarien, in denen vertrauliche Daten verschlüsselt werden müssen, für den Fall, dass Dateien und Sicherungen an Drittanbieter geraten. TDE ist auch hilfreich, wenn Sie sicherheitsrelevante Vorschriften einhalten müssen.

Eine detaillierte Beschreibung von TDE in Oracle Database geht über den Rahmen dieses Handbuchs hinaus. Weitere Informationen finden Sie in den folgenden Ressourcen von Oracle Database:

• Einführung in die transparente Datenverschlüsselung in der Dokumentation zu Oracle Database

• Oracle Advanced Security in der Dokumentation zu Oracle Database

• Bewährte Methoden für die Advanced Security Transparent Data Encryption, ein Oracle Whitepaper

Weitere Informationen zur Verwendung von TDE mit RDS für Oracle finden Sie in den folgenden Blogs:

• Oracle Database Encryption Options on Amazon RDS

• Migrate a cross-account TDE-enabled Amazon RDS für Oracle DB instance with reduced downtime using AWS DMS

TDE-Verschlüsselungsmodi

Oracle Transparent Data Encryption unterstützt zwei Verschlüsselungsmodi: die Tabellenraumverschlüsselung und die Spaltenverschlüsselung. Mit der Tabellenraumverschlüsselung der TDE-Funktion lassen sich gesamte Anwendungstabellen verschlüsseln. Die Spaltenverschlüsselung der TDE-Funktion dient hingegen der Verschlüsselung einzelner Datenelemente, die vertrauliche Daten enthalten. Sie können auch eine hybride Verschlüsselung verwenden, bei der sowohl die Tabellenraum- als auch die Spaltenverschlüsselung von TDE zum Einsatz kommt.

Anmerkung

Amazon RDS verwaltet Oracle Wallet und den TDE-Hauptschlüssel für die DB-Instance. Sie müssen den Verschlüsselungsschlüssel nicht durch den Befehl festlege ALTER SYSTEM set encryption key.

Nachdem Sie die Option TDE aktiviert haben, können Sie den Status von Oracle Wallet mit dem folgenden Befehl überprüfen:

SELECT * FROM v$encryption_wallet;

Sie können mit folgendem Befehl einen verschlüsselten Tabellenraum erzeugen:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Um den Verschlüsselungsalgorithmus anzugeben, verwenden Sie den folgenden Befehl:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Die vorherigen Anweisungen zur Verschlüsselung eines Tabellenbereichs entsprechen denen, die Sie für eine lokale Oracle-Datenbank verwenden würden.

Einschränkungen für die TDE-Option

Die TDE-Option ist permanent und persistent. Nachdem Sie Ihre DB-Instance mit einer Optionsgruppe verknüpft haben, für die die Option TDE aktiviert ist, können Sie die folgenden Aktionen nicht ausführen:

• Deaktivieren Sie die TDE-Option in der aktuell verknüpften Optionsgruppe.

• Ordnen Sie Ihre DB-Instance einer anderen Optionsgruppe zu, die die TDE-Option nicht enthält.

• Geben Sie einen DB-Snapshot frei, der die TDE-Option verwendet. Weitere Informationen zum Freigeben von DB-Snapshots finden Sie unter Freigeben eines DB-Snapshots für Amazon RDS.

Weitere Informationen zu persistenten und permanenten Optionen finden Sie unter Persistente und permanente Optionen.

Feststellen, ob Ihre DB-Instance TDE verwendet

Sie können ermitteln, ob Ihre DB-Instance bereits einer Optionsgruppe mit aktivierter TDE-Option zugeordnet ist. Zum Anzeigen der Optionsgruppe, der die DB-Instance zugeordnet ist, können Sie die RDS-Konsole, den AWS CLI-Befehl describe-db-instance oder die API-Operation DescribeDBInstances verwenden.

Hinzufügen der TDE-Option

Führen Sie die folgenden Schritte aus, um Ihrer DB-Instance die TDE-Option hinzuzufügen:

1. (Empfohlen) Erstellen Sie einen Snapshot Ihrer DB-Instance.

2. Führen Sie eine der folgenden Aktionen aus:

   • Erstellen Sie eine neue Optionsgruppe von Grund auf. Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.

   • Kopieren Sie eine vorhandene Optionsgruppe über die AWS CLI oder API. Weitere Informationen finden Sie unter Kopieren einer Optionsgruppe.

   • Verwenden Sie eine vorhandene nicht standardmäßige Optionsgruppe. Es hat sich bewährt, eine Optionsgruppe zu verwenden, die derzeit keiner DB-Instance oder keinem Snapshot zugeordnet ist.

3. Fügen Sie der Optionsgruppe aus dem vorherigen Schritt die neue Option hinzu.

4. Wenn für die Optionsgruppe, die derzeit mit Ihrer DB-Instance verknüpft ist, Optionen aktiviert sind, fügen Sie diese Optionen zu Ihrer neuen Optionsgruppe hinzu. Diese Strategie verhindert, dass die vorhandenen Optionen deinstalliert werden, während die Zeitzonenoption aktiviert wird.

5. Fügen Sie Ihrer DB-Instance die neue Optionsgruppe hinzu.

Konsole

So fügen Sie einer Optionsgruppe die TDE-Option hinzu und ordnen sie einer DB-Instance zu

1. Wählen Sie in der RDS-Konsole Optionsgruppen aus.

2. Wählen Sie den Namen der Optionsgruppe aus, der Sie die Option hinzufügen möchten.

3. Wählen Sie Add option (Option hinzufügen).

4. Wählen Sie als Optionsname die Option TDE aus, und konfigurieren Sie dann die Optionseinstellungen.

5. Wählen Sie Add option (Option hinzufügen).

   Wichtig

   Wenn Sie einer Optionsgruppe, die derzeit mit einer oder mehreren DB-Instances verknüpft ist, die Option TDE hinzufügen, werden alle DB-Instances neu gestartet und es entsteht ein kurzzeitiger Nutzungsausfall.

   Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

6. Ordnen Sie die Optionsgruppe einer neuen oder vorhandenen DB-Instance zu:

   • Wenden Sie für eine neue DB-Instance die Optionsgruppe an, wenn Sie die Instance starten. Weitere Informationen finden Sie unter Erstellen einer Amazon-RDS-DB-Instance.

   • Weisen Sie bei einer bestehenden DB-Instance die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Die DB-Instance wird im Rahmen dieses Vorgangs nicht neu gestartet. Weitere Informationen finden Sie unter Ändern einer Amazon-RDS-DB-Instance.

AWS CLI

Im folgenden Beispiel wird mit dem AWS CLI-Befehl add-option-to-option-group die Option TDE zu einer Optionsgruppe mit dem Namen myoptiongroup hinzugefügt. Weitere Informationen finden Sie unter Erste Schritte 1: Flink 1.13.2.

Für Linux, macOS oder Unix:

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

Für Windows:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

Kopieren Ihrer Daten in eine DB-Instance, die die TDE-Option nicht enthält

Sie können die TDE-Option nicht aus einer DB-Instance entfernen oder sie mit einer Optionsgruppe verknüpfen, in der die TDE-Option nicht enthalten ist. Gehen Sie wie folgt vor, um Ihre Daten auf eine Instance zu migrieren, die die TDE-Option nicht enthält:

1. Entschlüsseln Sie alle Daten auf der DB-Instance.

2. Kopieren Sie die Daten in eine neue DB-Instance, die keiner Optionsgruppe mit aktivierter TDE.

3. Löschen Sie Ihre ursprüngliche DB-Instance.

Sie können für die neue Instance denselben Namen wie für die vorherige DB-Instance verwenden.

Überlegungen zur Verwendung von TDE mit Oracle Data Pump

Sie können Oracle Data Pump verwenden, um verschlüsselte Dump-Dateien zu importieren oder zu exportieren. Amazon RDS unterstützt den Kennwortverschlüsselungsmodus (ENCRYPTION_MODE=PASSWORD) für Oracle Data Pump. Amazon RDS unterstützt den transparenten Verschlüsselungsmodus (ENCRYPTION_MODE=TRANSPARENT) für Oracle Data Pump nicht. Weitere Informationen finden Sie unter Importieren mit Oracle Data Pump.