Cifrado de datos transparente de Oracle - Amazon Relational Database Service

Cifrado de datos transparente de Oracle

Amazon RDS es compatible con el cifrado de datos transparente (TDE) de Oracle, una característica de la opción Oracle Advanced Security disponible en Oracle Enterprise Edition. Esta característica cifra automáticamente los datos antes de que se escriban en el sistema de almacenamiento y los descifra automáticamente cuando se leen.

El cifrado de datos transparente de Oracle se usa en situaciones en las que es necesario cifrar información confidencial por si un tercero obtiene los archivos de datos y las copias de seguridad, o cuando es necesario abordar problemas de conformidad normativa relacionados con la seguridad.

La opción de cifrado de datos transparente (TDE) es una opción permanente que no se puede quitar de un grupo de opciones. No se puede desactivar el TDE en una instancia de base de datos una vez que dicha instancia esté asociada a un grupo de opciones con la opción de TDE de Oracle. Puede cambiar el grupo de opciones de una instancia de base de datos que esté utilizando la opción de TDE, pero el grupo de opciones asociado a la instancia de base de datos debe incluir la opción de TDE. También puede modificar un grupo de opciones que incluya la opción de TDE mediante la adición o eliminación de otras opciones.

Esta guía no tiene el propósito de ofrecerle una descripción detallada del cifrado de datos transparente de Oracle. Para obtener información acerca del uso del cifrado de datos transparente de Oracle, consulte Securing Stored Data Using Transparent Data Encryption. Para obtener más información acerca de Oracle Advanced Security, consulte Oracle Advanced Security en la documentación de Oracle. Para obtener más información sobre la seguridad de AWS, consulte el centro de seguridad de AWS.

nota

No puede compartir una instantánea de base de datos que utilice esta opción. Para obtener más información sobre el uso compartido de instantáneas de base de datos, consulte Compartir una instantánea de base de datos.

Modos de cifrado de TDE

El cifrado de datos transparente de Oracle admite dos modos de cifrado: el cifrado de espacios de tabla de TDE y el cifrado de columnas de TDE. El cifrado de espacios de tabla de TDE se utiliza para cifrar tablas de aplicaciones completas. El cifrado de columnas de TDE se utiliza para cifrar elementos de datos individuales que contienen información confidencial. También es posible aplicar una solución de cifrado híbrida que utilice tanto el cifrado de espacios de tabla como el cifrado de columnas de TDE.

nota

Amazon RDS administra la clave maestra de TDE y de Oracle Wallet para la instancia de base de datos. No es necesario configurar la clave de cifrado con el comando ALTER SYSTEM set encryption key.

Para obtener información acerca de las prácticas recomendadas de TDE, consulte Oracle Advanced Security Transparent Data Encryption Best Practices.

Una vez activada la opción, puede comprobar el estado del wallet de Oracle mediante el siguiente comando:

SELECT * FROM v$encryption_wallet;

Para crear un espacio de tabla cifrado, utilice el siguiente comando:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Para especificar el algoritmo de cifrado, utilice el comando siguiente:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Tenga en cuenta que los comandos anteriores para cifrar un espacio de tabla son los mismos que se utilizarían con una instalación de Oracle que no esté en Amazon RDS, y la sintaxis de ALTER TABLE para cifrar una columna también es la misma que los comandos que se utilizarían para una instalación de Oracle que no esté en Amazon RDS.

Debe determinar si la instancia de base de datos está asociada a un grupo de opciones que tiene la opción TDE. Para ver el grupo de opciones al que está asociada una instancia de base de datos, puede utilizar la consola de RDS, el comando describe-db-instance AWS CLI o la operación DescribeDBInstances de la API.

Para cumplir diversos estándares de seguridad, Amazon RDS está trabajando para implementar la rotación periódica automática de claves maestras.

Adición de la opción TDE

El proceso para utilizar el cifrado de datos transparente (TDE) de Oracle con Amazon RDS es el siguiente:

  1. Si la instancia de base de datos no está asociada a un grupo de opciones que tenga la opción TDE habilitada, debe crear un grupo de opciones y añadir la opción TDE o modificar el grupo de opciones asociado para añadir la opción TDE. Para obtener información acerca de cómo crear o modificar un grupo de opciones, consulte Trabajo con grupos de opciones. Para obtener información acerca de cómo añadir una opción a un grupo de opciones, consulte Agregar una opción a un grupo de opciones.

  2. Asocie la instancia de base de datos con el grupo de opciones con la opción TDE. Para obtener información acerca de cómo asociar una instancia de base de datos a un grupo de opciones, consulte Modificación de una instancia de base de datos de Amazon RDS.

Eliminación de la opción Cifrado de datos transparente (TDE)

Para eliminar la opción TDE con una instancia de base de datos, siga los pasos que se describen a continuación:

  1. Descifre todos los datos en la instancia de base de datos.

  2. Copie los datos en una nueva instancia de base de datos que no esté asociada a un grupo de opciones con la opción TDE habilitada.

  3. Elimine la instancia original.

Puede cambiar el nombre de la instancia nueva para que coincida con el de la instancia de base de datos anterior.

Uso de TDE con Oracle Data Pump

Puede utilizar Oracle Data Pump para importar o exportar archivos de volcado cifrados. Amazon RDS admite el modo de cifrado de contraseñas (ENCRYPTION_MODE=PASSWORD) para Oracle Data Pump. Amazon RDS no admite el modo de cifrado transparente (ENCRYPTION_MODE=TRANSPARENT) para Oracle Data Pump. Para obtener más información acerca de cómo usar Oracle Data Pump con Amazon RDS, consulte Importación mediante Oracle Data Pump.