Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Oracle NNE (Native Network Encryption)
Amazon RDS prend en charge le chiffrement Oracle NNE. Avec NATIVE_NETWORK_ENCRYPTION
cette option, vous pouvez chiffrer les données lors de leur transfert vers et depuis une instance de base de données. Amazon RDS prend en charge NNE pour toutes les éditions de base de données Oracle.
Une présentation détaillée d'Oracle NNE dépasse le propos de ce guide, mais vous devez bien comprendre les points forts et les points faibles de chaque algorithme et de chaque clé avant de choisir une solution pour votre déploiement. Pour plus d'informations sur les algorithmes et les clés qui sont disponibles via Oracle NNE, consultez Configuration du chiffrement des données réseau
Note
Vous pouvez utiliser le chiffrement réseau natif ou le protocole SSL (Secure Sockets Layer), mais pas les deux. Pour plus d’informations, consultez Oracle Secure Sockets Layer (SSL).
Paramètres de l'option NATIVE_NETWORK_ENCRYPTION
Vous pouvez spécifier les exigences de chiffrement à la fois sur le serveur et le client. L'instance de base de données peut agir en tant que client lorsque, par exemple, elle utilise un lien de base de données pour se connecter à une autre base de données. Vous pouvez éviter de forcer le chiffrement côté serveur. Par exemple, vous pouvez ne pas forcer toutes les communications client à utiliser le chiffrement car le serveur en a besoin. Dans ce cas, vous pouvez forcer le chiffrement côté client à l'aide des options SQLNET.*CLIENT
.
Amazon RDS prend en charge les paramètres suivants pour NATIVE_NETWORK_ENCRYPTION
cette option.
Note
Lorsque vous utilisez des virgules pour séparer les valeurs d'un paramètre d'option, ne placez pas d'espace après la virgule.
Paramètre d'option | Valeurs valides | Valeurs par défaut | Description |
---|---|---|---|
|
|
|
Comportement du serveur lorsqu'un client utilisant un chiffrement non sécurisé tente de se connecter à la base de données. Si Si le paramètre est
|
|
|
|
Comportement du serveur lorsqu'un client utilisant un chiffrement non sécurisé tente de se connecter à la base de données. Les chiffrements suivants sont considérés comme non sécurisés :
Si le paramètre est Si le paramètre est
|
|
|
|
Comportement d'intégrité des données quand une instance de base de données se connecte au client, ou à un serveur agissant en tant que client. Lorsqu'une instance DB utilise un lien de base de données, elle agit en tant que client.
|
|
|
|
Comportement d'intégrité des données quand un client, ou un serveur agissant en tant que client, se connecte à l'instance de base de données. Lorsqu'une instance DB utilise un lien de base de données, elle agit en tant que client.
|
|
|
|
Une liste d'algorithmes de somme de contrôle. Vous pouvez spécifier une valeur ou une liste de valeurs séparées par des virgules. Si vous spécifiez une virgule, n'insérez pas d'espace après celle-ci ; sinon, vous recevez une erreur Ce paramètre et |
|
|
|
Une liste d'algorithmes de somme de contrôle. Vous pouvez spécifier une valeur ou une liste de valeurs séparées par des virgules. Si vous spécifiez une virgule, n'insérez pas d'espace après celle-ci ; sinon, vous recevez une erreur Ce paramètre et |
|
|
|
Comportement de chiffrement du client quand un client, ou un serveur agissant en tant que client, se connecte à l'instance de base de données. Lorsqu'une instance DB utilise un lien de base de données, elle agit en tant que client.
|
|
|
|
Comportement de chiffrement du serveur quand un client, ou un serveur agissant en tant que client, se connecte à l'instance de base de données. Lorsqu'une instance DB utilise un lien de base de données, elle agit en tant que client.
|
|
|
|
Liste d'algorithmes de chiffrement utilisés par le client. Le client tente de déchiffrer l'entrée du serveur en essayant chaque algorithme, dans l'ordre, jusqu'à ce qu'un algorithme réussisse ou que la fin de la liste soit atteinte. Amazon RDS utilise la liste par défaut suivante d'Oracle. RDS commence par
Vous pouvez spécifier une valeur ou une liste de valeurs séparées par des virgules. Si vous spécifiez une virgule, n'insérez pas d'espace après celle-ci ; sinon, vous recevez une erreur Ce paramètre et |
|
|
|
Liste d'algorithmes de chiffrement utilisés par l'instance de base de données. L'instance de base de données utilise chaque algorithme, dans l'ordre, pour tenter de déchiffrer l'entrée du client jusqu'à ce qu'un algorithme réussisse ou que la fin de la liste soit atteinte. Amazon RDS utilise la liste par défaut suivante d'Oracle. Vous pouvez modifier l'ordre ou limiter les algorithmes que le client accepte.
Vous pouvez spécifier une valeur ou une liste de valeurs séparées par des virgules. Si vous spécifiez une virgule, n'insérez pas d'espace après celle-ci ; sinon, vous recevez une erreur Ce paramètre et |
Ajout de l'option NATIVE_NETWORK_ENCRYPTION
Le processus général pour ajouter l'NATIVE_NETWORK_ENCRYPTION
option à une instance de base de données est le suivant :
Créer un groupe d'options ou copier ou modifier un groupe existant.
Ajoutez l'option au groupe d'options.
Associez le groupe d'options à l'instance de base de données.
Quand le groupe d'options est actif, NNE est actif.
Pour ajouter l'option NATIVE_NETWORK_ENCRYPTION à une instance de base de données à l'aide du AWS Management Console
-
Pour Moteur, sélectionnez l'édition d'Oracle que vous voulez utiliser. NNE est pris en charge par toutes les éditions.
-
Pour Version majeure du moteur, choisissez la version de votre instance de base de données.
Pour plus d’informations, consultez Création d'un groupe d'options.
-
Ajoutez l'option NATIVE_NETWORK_ENCRYPTION au groupe d'options. Pour plus d'informations sur l'ajout d'options, consultez Ajout d'une option à un groupe d'options.
Note
Après avoir ajouté l'option NATIVE_NETWORK_ENCRYPTION, vous n'avez pas besoin de redémarrer vos instances de base de données. Dès que le groupe d'options est actif, NNE est actif.
-
Appliquez le groupe d'options à une instance de base de données nouvelle ou existante:
-
Pour une nouvelle instance de base de données, vous appliquez le groupe d'options lorsque vous lancez l'instance. Pour plus d'informations, consultez Création d'une instance de base de données Amazon RDS.
-
Pour une instance de base de données existante, vous appliquez le groupe d'options en modifiant l'instance et en attachant le nouveau groupe d'options. Après avoir ajouté l'option NATIVE_NETWORK_ENCRYPTION, vous n'avez pas besoin de redémarrer votre instance de base de données. Dès que le groupe d'options est actif, NNE est actif. Pour plus d’informations, consultez Modification d'une instance de base de données Amazon RDS.
-
Définition des valeurs NNE dans sqlnet.ora
Avec le chiffrement réseau natif Oracle, vous pouvez spécifier le chiffrement réseau côté serveur et côté client. Le client est l'ordinateur utilisé pour se connecter à l'instance de base de données. Vous pouvez spécifier les paramètres client suivants dans le fichier slqnet.ora :
-
SQLNET.ALLOW_WEAK_CRYPTO
-
SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS
-
SQLNET.CRYPTO_CHECKSUM_CLIENT
-
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
-
SQLNET.ENCRYPTION_CLIENT
-
SQLNET.ENCRYPTION_TYPES_CLIENT
Pour plus d'informations, consultez Configuration du chiffrement des données réseau et intégrité des clients et serveurs Oracle
Parfois, l'instance de base de données rejette une demande de connexion provenant d'une application. Par exemple, un rejet peut se produire lorsque les algorithmes de chiffrement sur le client et sur le serveur ne correspondent pas. Pour tester le chiffrement réseau natif Oracle, ajoutez les lignes suivantes dans le fichier sqlnet.ora sur le client :
DIAG_ADR_ENABLED=off TRACE_DIRECTORY_CLIENT=/tmp TRACE_FILE_CLIENT=nettrace TRACE_LEVEL_CLIENT=16
Lors d'une tentative de connexion, ces lignes génèrent un fichier de trace sur le client appelé /tmp/nettrace*
. Le fichier de trace contient des informations concernant la connexion. Pour plus d'informations sur les problèmes liés à la connexion lorsque vous utilisez le chiffrement de réseau natif Oracle, veuillez consulter À propos de la négociation du chiffrement et de l'intégrité
Modification des paramètres de l'option NATIVE_NETWORK_ENCRYPTION
Après avoir activé l'option NATIVE_NETWORK_ENCRYPTION
, vous pouvez modifier ses paramètres. Actuellement, vous ne pouvez modifier les paramètres des NATIVE_NETWORK_ENCRYPTION
options qu'avec l'API AWS CLI ou RDS. Vous ne pouvez pas utiliser la console. L'exemple suivant modifie deux paramètres de l'option.
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
Pour découvrir comment modifier des paramètres d'option avec l'interface de ligne de commande, consultez AWS CLI. Pour plus d'informations sur chaque paramètre, consultez Paramètres de l'option NATIVE_NETWORK_ENCRYPTION.
Modification des valeurs CRYPTO_CHECKSUM_*
Si vous modifiez les paramètres de l'option NATIVE_NETWORK_ENCRYPTION, assurez-vous que les paramètres d'option suivants comportent au moins un chiffre commun :
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
-
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
L'exemple suivant montre un scénario dans lequel vous modifiez SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
. La configuration est valide car CRYPTO_CHECKSUM_TYPES_CLIENT
et CRYPTO_CHECKSUM_TYPES_SERVER
utilisent tous les deux SHA256
.
Paramètre d'option | Valeurs avant modification | Valeurs après modification |
---|---|---|
|
|
Pas de modification |
|
|
SHA1,MD5,SHA256 |
Pour un autre exemple, supposons que vous souhaitez modifier SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
à partir de son paramètre par défaut vers SHA1,MD5
. Dans ce cas, veillez à définir SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
sur SHA1
ou MD5
. Ces algorithmes ne sont pas inclus dans les valeurs par défaut pour SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
.
Modification des paramètres ALLOW_WEAK_CRYPTO*
Pour définir le paramètre SQLNET.ALLOW_WEAK_CRYPTO*
de la valeur par défaut à FALSE
, vérifiez que les conditions suivantes sont réunies :
-
SQLNET.ENCRYPTION_TYPES_SERVER
etSQLNET.ENCRYPTION_TYPES_CLIENT
possèdent une méthode de chiffrement sécurisée correspondante. Une méthode est considérée comme sécurisée si elle n'est pasDES
,3DES
ouRC4
(toutes les longueurs de clés). -
SQLNET.CHECKSUM_TYPES_SERVER
etSQLNET.CHECKSUM_TYPES_CLIENT
disposent d'une méthode de total de contrôle sécurisée correspondante. Une méthode est considérée comme sécurisée si elle n'est pasMD5
. -
Le client est corrigé avec la PSU de juillet 2021. Si le client n'est pas corrigé, il perd la connexion et reçoit l'erreur
ORA-12269
.
L'exemple suivant montre des exemples de paramètres NNE. Supposons que vous souhaitez définir SQLNET.ENCRYPTION_TYPES_SERVER
et SQLNET.ENCRYPTION_TYPES_CLIENT
à FALSE, bloquant ainsi les connexions non sécurisées. Les paramètres de l'option de total de contrôle répondent aux conditions préalables car ils ont tous les deux SHA256
. Cependant, SQLNET.ENCRYPTION_TYPES_CLIENT
et SQLNET.ENCRYPTION_TYPES_SERVER
utilisent les méthodes de chiffrement DES
, 3DES
et RC4
, qui ne sont pas sécurisées. Par conséquent, pour définir les options SQLNET.ALLOW_WEAK_CRYPTO*
à FALSE
, définissez d'abord SQLNET.ENCRYPTION_TYPES_SERVER
et SQLNET.ENCRYPTION_TYPES_CLIENT
pour utiliser une méthode de chiffrement sécurisée telle que AES256
.
Paramètre d'option | Valeurs |
---|---|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|
Suppression de l'option NATIVE_NETWORK_ENCRYPTION
Vous pouvez supprimer NNE d'une instance de base de données.
Pour supprimer l'option NATIVE_NETWORK_ENCRYPTION
d'une instance de base de données, effectuez l'une des actions suivantes :
-
Pour supprimer l'option de plusieurs instances de base de données,
NATIVE_NETWORK_ENCRYPTION
supprimez-la du groupe d'options auquel elles appartiennent. Ce changement affecte toutes les instances de bases de données qui utilisent le groupe d'options. Une fois l'NATIVE_NETWORK_ENCRYPTION
option supprimée, vous n'avez pas besoin de redémarrer vos instances de base de données. Pour plus d’informations, consultez Suppression d'une option d'un groupe d'options. -
Pour supprimer l'option d'une seule instance de base de données, modifiez l'instance de base de données et spécifiez un autre groupe d'options qui n'inclut pas l'
NATIVE_NETWORK_ENCRYPTION
option. Vous pouvez spécifier le groupe d'options (vide) par défaut, ou un groupe d'options personnalisées différent. Une fois que vous supprimez l'optionNATIVE_NETWORK_ENCRYPTION
, vous n'avez pas besoin de redémarrer votre instance de base de données. Pour plus d'informations, voir Modification d'une instance de base de données Amazon RDS.