Oracle TDE con AWS CloudHSM: Configure la base de datos y genere la clave de cifrado maestra - AWS CloudHSM
Actualización de la configuración de la base de datos de OracleGeneración de claves de cifrado maestras de TDE de Oracle

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Oracle TDE con AWS CloudHSM: Configure la base de datos y genere la clave de cifrado maestra

Para integrar Oracle TDE con su AWS CloudHSM clúster, consulte los siguientes temas:

  1. Actualización de la configuración de la base de datos de Oracle para utilizar los HSM en su clúster como el módulo de seguridad externa. Para obtener información acerca de módulos de seguridad externos, consulte Introduction to Transparent Data Encryption en la Oracle Database Advanced Security Guide.

  2. Generación de claves de cifrado maestras de TDE de Oracle en los HSM en su clúster.

Actualización de la configuración de la base de datos de Oracle

Para actualizar la configuración de Oracle Database para utilizar un HSM en su clúster como el módulo de seguridad externo, complete los siguientes pasos. Para obtener información acerca de módulos de seguridad externos, consulte Introduction to Transparent Data Encryption en la Oracle Database Advanced Security Guide.

Para actualizar la configuración de Oracle

  1. Conéctese a su instancia de cliente de Amazon EC2. Se trata de la instancia donde instaló Oracle Database.

  2. Realice una copia de backup del archivo denominado sqlnet.ora. Para la ubicación de este archivo, consulte la documentación de Oracle.

  3. Utilice un editor de texto para editar el archivo denominado sqlnet.ora. Añada la siguiente línea. Si una línea existente en el archivo comienza con encryption_wallet_location, sustituya la línea existente por la siguiente.

    encryption_wallet_location=(source=(method=hsm))

    Guarde el archivo.

  4. Ejecute el siguiente comando para crear el directorio en el que Oracle Database espera encontrar el archivo de biblioteca de la biblioteca de software AWS CloudHSM PKCS #11. 

    sudo mkdir -p /opt/oracle/extapi/64/hsm

  5. Ejecute el siguiente comando para copiar la biblioteca de AWS CloudHSM software del archivo PKCS #11 en el directorio que creó en el paso anterior. 

    sudo cp /opt/cloudhsm/lib/libcloudhsm_pkcs11.so /opt/oracle/extapi/64/hsm/
    nota

    El directorio /opt/oracle/extapi/64/hsm solo debe contener un archivo de biblioteca. Elimine cualquier otro archivo que exista en ese directorio.

  6. Ejecute el siguiente comando para cambiar la propiedad del directorio /opt/oracle y todo lo que hay dentro de él.

    sudo chown -R oracle:dba /opt/oracle

  7. Inicie Oracle Database.

Generación de claves de cifrado maestras de TDE de Oracle

Para generar la clave maestra de TDE de Oracle en los HSM en su clúster, complete los pasos que se indican en el siguiente procedimiento.

Para generar la clave maestra

  1. Utilice el siguiente comando para abrir Oracle SQL*Plus. Cuando se le solicite, escriba la contraseña del sistema que configuró cuando instaló Oracle Database. 

    sqlplus / as sysdba
    nota

    Para SDK 3 de cliente, debe establecer la variable de entorno CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE cada vez que genere una clave maestra. Esta variable solo es necesaria para generar claves maestras. Para obtener más información, consulte "Problemas: Oracle establece el atributo CKA_MODIFIABLE de PCKS #11 durante la generación de claves maestras, pero HSM no admite esto" en Problemas conocidos para integrar aplicaciones de terceros.

  2. Ejecute la instrucción SQL que crea la clave de cifrado maestra tal y como se muestra en los siguientes ejemplos. Utilice la declaración que se corresponde con la versión de Oracle Database. Reemplace <nombre de usuario CU> por el nombre del usuario criptográfico (CU). Reemplace <password> por la contraseña del CU.

    importante

    Ejecute el siguiente comando solo una vez. Cada vez que se ejecuta el comando, se crea una nueva clave de cifrado maestra.

    • Para Oracle Database versión 11, ejecute la siguiente instrucción SQL.

      SQL> alter system set encryption key identified by "<CU user name>:<password>";

    • Para Oracle Database versión 12 y versión 19c, ejecute la siguiente instrucción SQL.

      SQL> administer key management set key identified by "<CU user name>:<password>";

    Si la respuesta es System altered o keystore altered, entonces ha generado correctamente y establecido la clave maestra para Oracle TDE.

  3. (Opcional) Ejecute el siguiente comando para comprobar el estado del monedero de Oracle.

    SQL> select * from v$encryption_wallet;

    Si el wallet no está abierto, utilice uno de los siguientes comandos para abrirlo. Reemplace <nombre de usuario CU> por el nombre del usuario criptográfico (CU). Reemplace <password> por la contraseña del CU.

    • Para Oracle 11, ejecute el siguiente comando para abrir el wallet.

      SQL> alter system set encryption wallet open identified by "<CU user name>:<password>";

      Para cerrar manualmente el wallet, ejecute el siguiente comando.

      SQL> alter system set encryption wallet close identified by "<CU user name>:<password>";

    • Para Oracle 12 y Oracle 19c, ejecute el siguiente comando para abrir el wallet.

      SQL> administer key management set keystore open identified by "<CU user name>:<password>";

      Para cerrar manualmente el wallet, ejecute el siguiente comando.

      SQL> administer key management set keystore close identified by "<CU user name>:<password>";