Oracle Native Network Encryption - Amazon Relational Database Service

Oracle Native Network Encryption

Amazon RDS unterstützt Oracle Native Network Encryption (NNE). Mit Native Network Encryption können Sie Daten für die Übertragung von und auf die DB-Instance verschlüsseln. Amazon RDS unterstützt NNE für alle Editionen von Oracle.

Eine detaillierte Beschreibung von Oracle Native Network Encryption geht über den Rahmen dieses Handbuchs hinaus, jedoch sollten Sie die Stärken und Schwächen jedes Algorithmus und Schlüssels kennen, bevor Sie sich für eine Bereitstellungslösung entscheiden. Weitere Informationen zu den Algorithmen und Schlüsseln, die über Oracle Native Network Encryption verfügbar sind, finden Sie unter Configuring Network Data Encryption in der Oracle-Dokumentation. Weitere Informationen zur AWS-Sicherheit finden Sie im AWS-Sicherheitszentrum.

Anmerkung

Sie können entweder Native Network Encryption oder Secure Sockets Layer verwenden, jedoch nicht beides zusammen. Weitere Informationen finden Sie unter Oracle Secure Sockets Layer.

NNE-Optionseinstellungen

Amazon RDS unterstützt die folgenden Einstellungen für die NNE-Option.

Anmerkung

Wenn Sie Werte für eine Optionseinstellung durch Kommas trennen, setzen Sie kein Leerzeichen nach dem Komma.

Optionseinstellung Zulässige Werte Standardwert Beschreibung

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

Das Verschlüsselungsverhalten, wenn ein Client oder ein Server, der als Client agiert, sich mit der DB-Instance verbindet.

Requested gibt an, dass für die DB-Instance der Datenverkehr vom Client nicht verschlüsselt sein muss.

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

Das Datenintegritätsverhalten, wenn ein Client oder ein Server, der als Client agiert, sich mit der DB-Instance verbindet.

Requested gibt an, dass für die DB-Instance keine Prüfsumme vom Client ausgeführt werden muss.

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Eine Liste der von der DB-Instance verwendeten Verschlüsselungsalgorithmen. Die DB-Instance nutzt die einzelnen Algorithmen (der Reihe nach), um die vom Client stammenden Daten zu entschlüsseln, bis ein Algorithmus zum Erfolg führt oder das Ende der Liste erreicht ist.

Amazon RDS verwendet die folgende Standardliste von Oracle. Sie können die Reihenfolge ändern oder die Anzahl der Algorithmen verringern, die von DB-Instance verwendet werden sollen.

  1. RC4_256: RSA RC4 (256-bit Schlüsselgröße)

  2. AES256: AES (256-bit Schlüsselgröße)

  3. AES192: AES (192-bit Schlüsselgröße)

  4. 3DES168: 3-key Triple-DES (112-bit effektive Schlüsselgröße)

  5. RC4_128: RSA RC4 (128-bit Schlüsselgröße)

  6. AES128: AES (128-bit Schlüsselgröße)

  7. 3DES112: 2-key Triple-DES (80-bit effektive Schlüsselgröße)

  8. RC4_56: RSA RC4 (56-bit Schlüsselgröße)

  9. DES: Standard DES (56-bit Schlüsselgröße)

  10. RC4_40: RSA RC4 (40-bit Schlüsselgröße)

  11. DES40: DES40 (40-bit Schlüsselgröße)

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512, SHA1, MD5

Eine Liste von Prüfsummenalgorithmen.

Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein InvalidParameterValue-Fehler angezeigt.

Hinzufügen der NNE-Option

Im Allgemeinen wird die NNE-Option wie folgt zu einer DB-Instance hinzugefügt:

  1. Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.

  2. Hinzufügen der Option zur Optionsgruppe.

  3. Ordnen Sie die Optionsgruppe der DB-Instance zu.

Nachdem Sie die NNE-Option hinzugefügt haben, ist NNE aktiviert, sobald die Optionsgruppe aktiviert ist.

So fügen Sie die NNE-Option zu einer DB-Instance hinzu

  1. Wählen Sie im Feld Engine die Oracle-Edition aus, die Sie verwenden möchten. NNE wird in allen Editionen unterstützt.

  2. Wählen Sie für Major Engine Version (Engine-Hauptversion) die Version Ihrer DB-Instance aus.

    Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.

  3. Fügen Sie der Optionsgruppe die Option NNE hinzu. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.

    Anmerkung

    Nachdem Sie die NNE-Option hinzugefügt haben, müssen Sie Ihre DB-Instances neustarten. Sobald die Optionsgruppe aktiv ist, ist auch NNE aktiv.

  4. Ordnen Sie die Optionsgruppe einer neuen oder bestehenden DB-Instance zu:

    • Einer neuen DB-Instance wird die Optionsgruppe beim Starten der Instance zugewiesen. Weitere Informationen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.

    • Bei einer bestehenden DB-Instance weisen Sie die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Wenn Sie die NNE-Funktion hinzugefügt haben, ist kein Neustart der DB-Instance erforderlich. Sobald die Optionsgruppe aktiv ist, ist auch NNE aktiv. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.

Verwenden von NNE

Mit Oracle Native Network Encryption können Sie auch die clientseitige Netzwerkverschlüsselung angeben. Auf dem Client (das ist der Computer, über den die Verbindung zur DB-Instance hergestellt wird), können Sie mithilfe der Datei "sqlnet.ora" folgende Clienteinstellungen vorgeben: SQLNET.CRYPTO_CHECKSUM_CLIENT, SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT, SQLNET.ENCRYPTION_CLIENT und SQLNET.ENCRYPTION_TYPES_CLIENT. Weitere Informationen finden Sie unter Configuring Network Data Encryption and Integrity for Oracle Servers and Clients in der Oracle-Dokumentation.

Gelegentlich lehnt die DB-Instance eine angeforderte Verbindung von einer Anwendung ab, beispielsweise bei unterschiedlichen Verschlüsselungsalgorithmen von Client und Server.

Fügen Sie die folgenden Zeilen zur Datei "sqlnet.ora" des Clients hinzu, um Oracle Native Network Encryption zu testen:

DIAG_ADR_ENABLED=off TRACE_DIRECTORY_CLIENT=/tmp TRACE_FILE_CLIENT=nettrace TRACE_LEVEL_CLIENT=16

Mit diesen Zeilen wird eine Trace-Datei mit dem Namen /tmp/nettrace* auf dem Client generiert, wenn ein Verbindungsversuch stattfindet. Die Trace-Datei enthält Informationen zur Verbindung. Weitere Informationen zu verbindungsbezogenen Problemen bei der Verwendung von Oracle Native Network Encryption finden Sie unter About Negotiating Encryption and Integrity in der Oracle-Dokumentation.

Ändern der NNE-Einstellungen

Nachdem Sie NNE aktiviert haben, können Sie die Einstellungen für die Option ändern. Weitere Informationen über das Ändern von Optionseinstellungen finden Sie unter Ändern einer Optionseinstellung. Weitere Informationen zu den einzelnen Einstellungen finden Sie unter NNE-Optionseinstellungen.

Entfernen der NNE-Option

Sie können NNE aus einer DB-Instance entfernen.

Führen Sie die folgenden Schritte aus, um NNE aus einer DB-Instance zu entfernen:

  • Um NNE aus mehreren DB-Instances zu entfernen, entfernen Sie die NNE-Option aus der Optionsgruppe, zu der sie gehören. Diese Änderung wirkt sich auf alle DB-Instances aus, die die betreffende Optionsgruppe verwenden. Nachdem Sie die NNE-Option entfernt haben, müssen Sie Ihre DB-Instances neu starten. Weitere Informationen finden Sie unter Entfernen einer Option aus einer Optionsgruppe.

  • Um NNE von einer einzelnen DB-Instance zu entfernen, modifizieren Sie die DB-Instance und geben Sie eine andere Optionsgruppe an, die die NNE-Option nicht enthält. Sie können die (leere) Standardoptionsgruppe oder eine andere benutzerdefinierte Optionsgruppe angeben. Nachdem Sie die NNE-Funktion entfernt haben, ist kein Neustart der DB-Instance erforderlich. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.