Oracle Transparent Data Encryption

Amazon RDS unterstützt Oracle Transparent Data Encryption (TDE), eine Funktion der Oracle Advanced Security-Option, die in der Oracle Enterprise Edition erhältlich ist. Mit dieser Funktion werden Daten vor dem Speichern automatisch verschlüsselt und beim Abruf aus dem Speicher automatisch entschlüsselt.

TDE ist in Szenarien nützlich, in denen Sie sensible Daten verschlüsseln müssen, falls Datendateien und Backups von Drittanbietern bezogen werden. TDE ist auch nützlich, wenn Sie die sicherheitsrelevanten Vorschriften einhalten müssen.

Die TDE Option ist persistent und dauerhaft. Wenn Sie Ihre DB-Instance von RDS für Oracle einer Optionsgruppe zuordnen, für die die TDE Option aktiviert ist, können Sie sie nicht deaktivieren. Sie können die Optionsgruppe ändern, aber die neue Optionsgruppe muss die TDE Option enthalten. Weitere Informationen zu persistenten und permanenten Optionen finden Sie unter Persistente und permanente Optionen.

Anmerkung

Sie können keinen DB-Snapshot freigeben, der die Option TDE verwendet. Weitere Informationen zum Freigeben von DB-Snapshots finden Sie unter Freigeben eines DB Schnappschusses.

Eine ausführliche Erläuterung zu TDE in Oracle Database geht über den Rahmen dieses Handbuchs hinaus. Weitere Informationen finden Sie in den folgenden Oracle Database-Ressourcen:

• Sichern von gespeicherten Daten mit Transparent Data Encryption in der Oracle Database-Dokumentation

• Oracle Advanced Security in der Oracle Database-Dokumentation

• Bewährte Methoden für Oracle Advanced Security Transparent Data Encryption, ein Oracle-Whitepaper

Weitere Informationen zur Verwendung von TDE mit RDS für Oracle finden Sie in den folgenden Blogs:

• Oracle-Datenbankverschlüsselungsoptionen in Amazon RDS

• Migrieren einer kontoübergreifenden TDE-fähigen DB-Instance von Amazon RDS für Oracle mit reduzierter Ausfallzeit mithilfe von AWS DMS

TDE-Verschlüsselungsmodi

Oracle Transparent Data Encryption unterstützt zwei Verschlüsselungsmodi: die Tabellenraumverschlüsselung und die Spaltenverschlüsselung. Mit der Tabellenraumverschlüsselung der TDE-Funktion lassen sich gesamte Anwendungstabellen verschlüsseln. Die Spaltenverschlüsselung der TDE-Funktion dient hingegen der Verschlüsselung einzelner Datenelemente, die vertrauliche Daten enthalten. Sie können auch eine hybride Verschlüsselung verwenden, bei der sowohl die Tabellenraum- als auch die Spaltenverschlüsselung von TDE zum Einsatz kommt.

Anmerkung

Amazon RDS verwaltet Oracle Wallet und den TDE-Hauptschlüssel für die DB-Instance. Sie müssen den Verschlüsselungsschlüssel nicht durch den Befehl festlege ALTER SYSTEM set encryption key.

Nachdem Sie die TDE Option aktiviert haben, können Sie den Status der Oracle Wallet mit dem folgenden Befehl überprüfen:

SELECT * FROM v$encryption_wallet;

Sie können mit folgendem Befehl einen verschlüsselten Tabellenraum erzeugen:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Um den Verschlüsselungsalgorithmus anzugeben, verwenden Sie den folgenden Befehl:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Die vorherigen Anweisungen zum Verschlüsseln eines Tabellenraums sind dieselben wie bei einer lokalen Oracle-Datenbank.

Ermitteln, ob Ihre DB-Instance TDE verwendet

Möglicherweise möchten Sie feststellen, ob Ihre DB-Instance einer Optionsgruppe zugeordnet ist, für die die TDE Option aktiviert ist. Um die Optionsgruppe anzuzeigen, der eine DB-Instance zugeordnet ist, verwenden Sie die RDS-Konsole, den -describe-db-instance AWS CLI Befehl oder die API-Operation DescribeDBInstances .

Hinzufügen der TDE-Option

Führen Sie die folgenden Schritte aus, um Oracle Transparent Data Encryption (TDE) mit Amazon RDS zu verwenden:

1. Wenn die DB-Instance keiner Optionsgruppe zugeordnet ist, für die die TDE Option aktiviert ist, müssen Sie entweder eine Optionsgruppe erstellen und die TDE Option hinzufügen oder die zugehörige Optionsgruppe ändern, um die TDE Option hinzuzufügen. Weitere Informationen zum Erstellen oder Ändern einer Optionsgruppe finden Sie unter Arbeiten mit Optionsgruppen. Weitere Informationen zum Hinzufügen einer Option zu einer Optionsgruppe finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

2. Ordnen Sie der DB-Instance eine Optionsgruppe zu, die über die Option TDE verfügt. Weitere Informationen zum Zuordnen einer DB-Instance zu einer Optionsgruppe finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Kopieren Ihrer Daten in eine DB-Instance, die die Option TDE nicht enthält

Sie können die TDE-Option nicht aus der DB-Instance entfernen oder einer Optionsgruppe zuordnen, die die TDE-Option nicht enthält. Gehen Sie wie folgt vor, um Ihre Daten zu einer Instance zu migrieren, die die Option TDE nicht enthält:

1. Entschlüsseln Sie die Daten auf Ihrer DB-Instance.

2. Kopieren Sie die Daten in eine neue DB-Instance, die keiner Optionsgruppe zugeordnet ist, für die TDE aktiviert ist.

3. Löschen Sie Ihre ursprüngliche DB-Instance.

Sie können der neuen Instanz denselben Namen geben wie der vorherigen DB-Instanz.

Verwenden von TDE mit Oracle Data Pump

Sie können Oracle Data Pump verwenden, um verschlüsselte Dump-Dateien zu importieren oder zu exportieren. Amazon RDS unterstützt den Passwortverschlüsselungsmodus (ENCRYPTION_MODE=PASSWORD) für Oracle Data Pump. Amazon RDS unterstützt keinen transparenten Verschlüsselungsmodus (ENCRYPTION_MODE=TRANSPARENT) für Oracle Data Pump. Weitere Informationen finden Sie unter Importieren mit Oracle Data Pump.