Cifrado de datos transparente de Oracle

Amazon RDS es compatible con el cifrado de datos transparente (TDE) de Oracle, una característica de la opción Oracle Advanced Security disponible en Oracle Enterprise Edition. Esta característica cifra automáticamente los datos antes de que se escriban en el sistema de almacenamiento y los descifra automáticamente cuando se leen. Esta opción solo se admite el modelo “traiga su propia licencia” (BYOL).

El TDE es útil en situaciones en las que es necesario cifrar información confidencial por si un tercero obtiene los archivos de datos y las copias de seguridad. El TDE también es útil cuando se necesita cumplir con las normas relacionadas con la seguridad.

Esta guía no tiene el propósito de ofrecerle una descripción detallada del TDE en Oracle Database. Para obtener información, consulte los siguientes recursos de Oracle Database:

• Securing stored data using Transparent Data Encryption en la documentación de Oracle Database

• Oracle advanced security en la documentación de Oracle Database

• Oracle advanced security Transparent Data Encryption best practices, que es un documento técnico de Oracle

Para obtener más información acerca del uso del TDE con RDS para Oracle, consulte los siguientes blogs:

• Opciones de cifrado de bases de datos Oracle en Amazon RDS

• Migre una instancia de base de datos de Amazon RDS para Oracle multicuenta con TDE y reduzca el tiempo de inactividad mediante AWS DMS

Modos de cifrado de TDE

El cifrado de datos transparente de Oracle admite dos modos de cifrado: el cifrado de espacios de tabla de TDE y el cifrado de columnas de TDE. El cifrado de espacios de tabla de TDE se utiliza para cifrar tablas de aplicaciones completas. El cifrado de columnas de TDE se utiliza para cifrar elementos de datos individuales que contienen información confidencial. También es posible aplicar una solución de cifrado híbrida que utilice tanto el cifrado de espacios de tabla como el cifrado de columnas de TDE.

nota

Amazon RDS administra la clave maestra de TDE y de Oracle Wallet para la instancia de base de datos. No es necesario configurar la clave de cifrado con el comando ALTER SYSTEM set encryption key.

Una vez activada la opción TDE, puede comprobar el estado del wallet de Oracle mediante el siguiente comando:

SELECT * FROM v$encryption_wallet;

Para crear un espacio de tabla cifrado, utilice el siguiente comando:

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

Para especificar el algoritmo de cifrado, utilice el comando siguiente:

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

Las instrucciones anteriores para cifrar un espacio de tablas son las mismas que se utilizarían en una base de datos de Oracle en las instalaciones.

Restricciones para la opción TDE

La opción TDE es persistente y permanente. Después de asociar su instancia de base de datos con un grupo de opciones que tiene la opción TDE habilitada, no puede realizar las siguientes acciones:

• Deshabilitar la opción TDE en el grupo de opciones actualmente asociado.

• Asociar la instancia de base de datos a un grupo de opciones diferente que no incluya la opción TDE.

• Compartir una instantánea de base de datos que utilice la opción TDE. Para obtener más información sobre el uso compartido de instantáneas de base de datos, consulte Compartir una instantánea de base de datos.

Para obtener más información sobre las opciones persistentes y permanentes, consulte Opciones permanentes y persistentes.

Determinación de si su instancia de base de datos utiliza TDE

Puede que quiera determinar si la instancia de base de datos está asociada a un grupo de opciones que tenga la opción TDE habilitada. Para ver el grupo de opciones al que está asociada una instancia de base de datos, utilice la consola de RDS, el comando describe-db-instance de la AWS CLI o la operación DescribeDBInstances de la API.

Adición de la opción TDE

Para agregar la opción TDE a su instancia de base de datos, siga los pasos que se describen a continuación:

1. (Recomendado) Cree una instantánea de su instancia de base de datos.

2. Realice una de las siguientes tareas siguientes:

   • Cree un nuevo grupo de opciones desde cero. Para obtener más información, consulte Creación de un grupo de opciones.

   • Copie un grupo de opciones existente con la AWS CLI o la API. Para obtener más información, consulte Copia de un grupo de opciones.

   • Reutilice un grupo de opciones existente que no sea predeterminado. Se recomienda utilizar un grupo de opciones que no esté asociado actualmente a ninguna instancia de base de datos o instantánea.

3. Agregue la nueva opción al grupo de opciones del paso anterior.

4. Si el grupo de opciones que está actualmente asociado a la instancia de base de datos tiene opciones habilitadas, agregue estas opciones al nuevo grupo de opciones. Esta estrategia evita que se desinstalen las opciones existentes y, al mismo tiempo, se habilita la nueva opción.

5. Añada el nuevo grupo de opciones a la instancia de base de datos.

Consola

Añadido de la opción TDE a un grupo de opciones y asociarla a su instancia de base de datos

1. En la consola de RDS, elija Grupos de opciones.

2. Elija el nombre del grupo de opciones al que desea agregar la opción.

3. Elija Add option (Agregar opción).

4. En Nombre de la opción, elija TDE y, a continuación, configure los ajustes de la opción.

5. Elija Add option (Agregar opción).

   importante

   Si agrega la opción TDE a un grupo de opciones existente que ya se ha adjuntado a una o varias instancias de base de datos, se producirá una breve interrupción mientras se reinician todas las instancias de base de datos.

   Para obtener más información acerca de la adición de opciones, consulte Agregar una opción a un grupo de opciones.

6. Asocie el grupo de opciones a una instancia de base de datos nueva o ya existente:

   • Si se trata de una instancia de base de datos nueva, aplique el grupo de opciones al lanzar la instancia. Para obtener más información, consulte Creación de una instancia de base de datos de Amazon RDS.

   • Para una instancia de base de datos existente, el grupo de opciones se aplica modificando la instancia y asociando el grupo de opciones nuevo. Cuando se agrega la nueva opción a una instancia de base de datos existente, se produce una breve interrupción mientras la instancia de base de datos se reinicia automáticamente. Para obtener más información, consulte Modificación de una instancia de base de datos de Amazon RDS.

AWS CLI

En el ejemplo siguiente, se usa el comando de la AWS CLI add-option-to-option-group para añadir la opción TDE a un grupo de opciones llamado myoptiongroup. Para obtener más información, consulte Introducción: Flink 1.13.2 .

Para Linux, macOS o Unix:

aws rds add-option-to-option-group \
    --option-group-name "myoptiongroup" \
    --options "OptionName=TDE" \
    --apply-immediately

En Windows:

aws rds add-option-to-option-group ^
    --option-group-name "myoptiongroup" ^
    --options "OptionName=TDE" ^
    --apply-immediately

Copia de los datos a una instancia de base de datos que no incluye la opción TDE

No puede eliminar la opción de TDE de una instancia de base de datos ni asociarla a un grupo de opciones que no incluya la opción de TDE. Para migrar los datos a una instancia que no incluya la opción de TDE, haga lo siguiente:

1. Descifre los datos en la instancia de base de datos.

2. Copie los datos en una nueva instancia de base de datos que no esté asociada a un grupo de opciones con la opción TDE habilitada.

3. Elimine la instancia de base de datos original.

Puede usar para la instancia nueva el mismo nombre que la instancia de base de datos anterior.

Consideraciones al usar TDE con Oracle Data Pump

Puede utilizar Oracle Data Pump para importar o exportar archivos de volcado cifrados. Amazon RDS admite el modo de cifrado de contraseñas (ENCRYPTION_MODE=PASSWORD) para Oracle Data Pump. Amazon RDS no admite el modo de cifrado transparente (ENCRYPTION_MODE=TRANSPARENT) para Oracle Data Pump. Para obtener más información, consulte Importación mediante Oracle Data Pump.