Amazon Relational Database Service
Guide de l'utilisateur (Version de l'API 2014-10-31)

Oracle NNE (Native Network Encryption)

Amazon RDS prend en charge le chiffrement Oracle NNE. Avec le chiffrement réseau natif, vous pouvez chiffrer les données lors de leur déplacement vers ou depuis une instance de base de données. Amazon RDS prend en charge NNE pour toutes les éditions d'Oracle.

Une présentation détaillée d'Oracle NNE dépasse le propos de ce guide, mais vous devez bien comprendre les points forts et les points faibles de chaque algorithme et de chaque clé avant de choisir une solution pour votre déploiement. Pour plus d'informations sur les algorithmes et les clés qui sont disponibles via Oracle NNE, consultez Configuration du chiffrement des données réseau dans la documentation Oracle. Pour plus d'informations sur la sécurité AWS, consultez le Centre de sécurité AWS.

Note

Vous pouvez utiliser le chiffrement réseau natif ou le protocole SSL (Secure Sockets Layer), mais pas les deux. Pour plus d'informations, consultez Oracle Secure Sockets Layer (SSL).

Paramètres d'option NNE

Amazon RDS prend en charge les paramètres suivants pour l'option NNE.

Paramètre d'option Valeurs valides Valeur par défaut Description

SQLNET.ENCRYPTION_SERVER

Accepted, Rejected, Requested, Required

Requested

Comportement de chiffrement quand un client, ou un serveur agissant en tant que client, se connecte à l'instance de base de données.

Requested indique que l'instance de base de données ne requiert pas que le trafic depuis le client soit chiffré.

SQLNET.CRYPTO_CHECKSUM_SERVER

Accepted, Rejected, Requested, Required

Requested

Comportement d'intégrité des données quand un client, ou un serveur agissant en tant que client, se connecte à l'instance de base de données.

Requested indique que l'instance de base de données ne nécessite pas que le client effectue un total de contrôle.

SQLNET.ENCRYPTION_TYPES_SERVER

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

RC4_256, AES256, AES192, 3DES168, RC4_128, AES128, 3DES112, RC4_56, DES, RC4_40, DES40

Liste d'algorithmes de chiffrement utilisés par l'instance de base de données. L'instance de base de données utilisera chaque algorithme, dans l'ordre, pour tenter de déchiffrer l'entrée du client jusqu'à ce qu'un algorithme réussisse ou que la fin de la liste soit atteinte.

Amazon RDS utilise la liste par défaut suivante d'Oracle. Vous pouvez modifier l'ordre ou limiter les algorithmes que l'instance de base de données accepte.

  1. RC4_256 : RSA RC4 (taille de clé 256 bits)

  2. AES256 : AES (taille de clé 256 bits)

  3. AES192 : AES (taille de clé 192 bits)

  4. 3DES168: 3-key Triple-DES (taille de clé effective 112 bits)

  5. RC4_128 : RSA RC4 (taille de clé 128 bits)

  6. AES128 : AES (taille de clé 128 bits)

  7. 3DES112 : 2-key Triple-DES (taille de clé effective 80 bits)

  8. RC4_56 : RSA RC4 (taille de clé 56 bits)

  9. DES : Standard DES (taille de clé 56 bits)

  10. RC4_40 : RSA RC4 (taille de clé 40 bits)

  11. DES40 : DES40 (taille de clé 40 bits)

SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER

SHA256, SHA384, SHA512, SHA1, MD5

SHA256, SHA384, SHA512, SHA1, MD5

Algorithme total de contrôle.

Ajout de l'option NNE

La procédure générale pour ajouter de l'option NNE à une instance de base de données est la suivante :

  1. Créer un groupe d'options ou copier ou modifier un groupe existant.

  2. Ajouter l'option au groupe d'options.

  3. Associer un groupe d'options à une instance de base de données.

Une fois que vous avez ajouté l'option NNE, dès que le groupe d'options est actif, NNE est actif.

Pour ajouter l'option NNE à une instance de base de données

  1. Pour Moteur, sélectionnez l'édition d'Oracle que vous voulez utiliser. NNE est pris en charge par toutes les éditions.

  2. Pour Version majeure du moteur, choisissez la version de votre instance de base de données.

    Pour de plus amples informations, veuillez consulter Création d'un groupe d'options.

  3. Ajouter l'option NNE au groupe d'options. Pour de plus amples informations sur l'ajout d'options, veuillez consulter Ajout d'une option à un groupe d'options.

    Note

    Une fois que vous ajoutez l'option NNE, vous n'avez pas besoin de redémarrer vos instances de base de données. Dès que le groupe d'options est actif, NNE est actif.

  4. Appliquez le groupe d'options à une instance de base de données nouvelle ou existante:

Utilisation de NNE

Avec Oracle NNE, vous pouvez aussi spécifier le chiffrement réseau côté client. Sur le client (l'ordinateur utilisé pour la connexion à l'instance de base de données), vous pouvez utiliser le fichier sqlnet.ora pour spécifier les paramètres clients suivants : SQLNET.CRYPTO_CHECKSUM_CLIENT, SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT, SQLNET.ENCRYPTION_CLIENT et SQLNET.ENCRYPTION_TYPES_CLIENT. Pour plus d'informations, consultez Configuration du chiffrement des données réseau et intégrité des clients et serveurs Oracle dans la documentation Oracle.

Parfois, l'instance de base de données rejette une demande de connexion à partir d'une application : par exemple, s'il existe une différence entre les algorithmes de chiffrement sur le client et sur le serveur.

Pour tester le chiffrement réseau natif Oracle, ajoutez les lignes suivantes dans le fichier sqlnet.ora sur le client :

DIAG_ADR_ENABLED=off TRACE_DIRECTORY_CLIENT=/tmp TRACE_FILE_CLIENT=nettrace TRACE_LEVEL_CLIENT=16

Ces lignes génèrent un fichier de trace sur le client appelé /tmp/nettrace* lors de la tentative de connexion. Le fichier de trace contient des informations sur la connexion. Pour plus d'informations sur les problèmes liés à la connexion lorsque vous utilisez le chiffrement de réseau natif Oracle, consultez A propos de la négociation du chiffrement et de l'intégrité dans la documentation Oracle.

Modification des paramètres NNE

Une fois que vous activez NNE, vous pouvez modifier les paramètres de l'option. Pour plus d'informations sur la modification des paramètres d'options, consultez Modification d'un paramètre d'option. Pour plus d'informations sur chaque paramètre, consultez Paramètres d'option NNE.

Suppression de l'option NNE

Vous pouvez supprimer NNE d'une instance de base de données.

Pour supprimer NNE d'une instance de base de données, exécutez l'une des actions suivantes :

  • Pour supprimer NNE de plusieurs instances de base de données, supprimez l'option NNE du groupe d'options auquel elles appartiennent. Ce changement affecte toutes les instances de bases de données qui utilisent le groupe d'options. Une fois l'option NNE supprimée, vous n'avez pas besoin de redémarrer vos instances de base de données. Pour plus d'informations, consultez Suppression d'une option d'un groupe d'options.

  • Pour supprimer l'option NNE d'une seule instance de base de données, modifiez l'instance de base de données et spécifiez un autre groupe d'options qui n'inclut pas l'option NNE. Vous pouvez spécifier le groupe d'options (vide) par défaut, ou un groupe d'options personnalisées différent. Une fois que vous supprimez l'option NNE, vous n'avez pas besoin de redémarrer votre instance de base de données. Pour plus d'informations, consultez Modification d'une instance de base de données exécutant le moteur de base de données Oracle.

Rubriques connexes