Oracle Secure Sockets Layer (SSL) - Amazon Relational Database Service

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Oracle Secure Sockets Layer (SSL)

Pour activer SSL le chiffrement RDS pour une instance de base de données Oracle, ajoutez l'SSLoption Oracle au groupe d'options associé à l'instance de base de données. Amazon RDS utilise un deuxième port, comme l'exige Oracle, pour les SSL connexions. Cette approche permet à la fois d'établir une communication en texte clair et SSL cryptée entre une instance de base de données et SQL *Plus. Par exemple, vous pouvez utiliser le port avec une communication en texte clair pour communiquer avec d'autres ressources VPC pendant un certain temps en utilisant le port avec une communication SSL cryptée pour communiquer avec des ressources extérieures à. VPC

Note

Vous pouvez utiliser l'un ou l'autre SSL ou Native Network Encryption (NNE) de la même manière RDS pour une instance de base de données Oracle, mais pas les deux. Si vous utilisez SSL le chiffrement, assurez-vous de désactiver tout autre chiffrement de connexion. Pour de plus amples informations, veuillez consulter Oracle NNE (Native Network Encryption).

SSL/TLSet ne NNE font plus partie d'Oracle Advanced Security. Dans RDS for Oracle, vous pouvez utiliser le SSL chiffrement avec toutes les éditions sous licence des versions de base de données suivantes :

  • Oracle Database 21c (21.0.0)

  • Oracle Database 19c (19.0.0)

TLSversions pour l'SSLoption Oracle

Amazon RDS pour Oracle prend en charge les versions 1.0 et 1.2 de Transport Layer Security (TLS). Lorsque vous ajoutez une nouvelle SSL option Oracle, définissez SQLNET.SSL_VERSION explicitement une valeur valide. Les valeurs suivantes sont autorisées pour ce paramètre d'option :

  • "1.0"— Les clients peuvent se connecter à l'instance de base de données uniquement en utilisant TLS la version 1.0. Pour les SSL options Oracle existantes, SQLNET.SSL_VERSION est défini sur "1.0" automatiquement. Vous pouvez modifier au besoin ce paramètre.

  • "1.2"— Les clients peuvent se connecter à l'instance de base de données en utilisant la TLS version 1.2 uniquement.

  • "1.2 or 1.0"— Les clients peuvent se connecter à l'instance de base de données à l'aide de la version TLS 1.2 ou 1.0.

Suites de chiffrement pour l'option Oracle SSL

Amazon RDS pour Oracle prend en charge plusieurs suites de SSL chiffrement. Par défaut, l'SSLoption Oracle est configurée pour utiliser la suite de SSL_RSA_WITH_AES_256_CBC_SHA chiffrement. Pour spécifier une autre suite de chiffrement à utiliser sur SSL les connexions, utilisez le paramètre d'SQLNET.CIPHER_SUITEoption.

Vous pouvez spécifier plusieurs valeurs pourSQLNET.CIPHER_SUITE. Cette technique est utile si vous avez des liens de base de données entre vos instances de base de données et que vous décidez de mettre à jour vos suites de chiffrement.

Le tableau suivant récapitule le SSL support RDS d'Oracle dans toutes les éditions d'Oracle Database 19c et 21c.

Suite de chiffrement (SQLNET. CIPHER_SUITE) TLSsupport de version (SQLNET. SSL_VERSION) FIPSsoutien RAMPConforme à la Fed
SSL_ _ RSA WITH _ AES _256_ CBC _ SHA (par défaut) 1.0 et 1.2 Oui Non
SSL_ _ RSA WITH _ AES CBC _256_ _ SHA256 1.2 Oui Non
SSL_ _ RSA WITH _ AES GCM _256_ _ SHA384 1.2 Oui Non
TLS_ ECDHE _ _ RSA WITH _ AES GCM _256_ _ SHA384 1.2 Oui Oui
TLS_ ECDHE _ _ RSA WITH _ AES GCM _128_ _ SHA256 1.2 Oui Oui
TLS_ ECDHE _ _ RSA WITH _ AES CBC _256_ _ SHA384 1.2 Oui Oui
TLS_ ECDHE _ _ RSA WITH _ AES CBC _128_ _ SHA256 1.2 Oui Oui
TLS_ ECDHE _ _ RSA WITH _ AES CBC _256_ _ SHA 1.2 Oui Oui
TLS_ ECDHE _ _ RSA WITH _ AES CBC _128_ _ SHA 1.2 Oui Oui

FIPSsoutien

RDSpour Oracle vous permet d'utiliser la norme Federal Information Processing Standard (FIPS) pour 140-2. FIPS140-2 est une norme du gouvernement des États-Unis qui définit les exigences de sécurité des modules cryptographiques. Vous activez la FIPS norme en définissant FIPS.SSLFIPS_140 TRUE l'SSLoption Oracle sur. Lorsque FIPS 140-2 est configuré pourSSL, les bibliothèques cryptographiques chiffrent les données entre le client et l'instance de base RDS de données Oracle.

Les clients doivent utiliser la suite de chiffrement conformeFIPS. Lors de l'établissement d'une connexion, le client et l'instance RDS de base de données Oracle négocient la suite de chiffrement à utiliser lors de la transmission de messages dans les deux sens. Le tableau ci-dessous Suites de chiffrement pour l'option Oracle SSL indique les suites de SSL chiffrement FIPS compatibles pour chaque TLS version. Pour plus d'informations, consultez les paramètres de la base de données Oracle FIPS 140-2 dans la documentation de la base de données Oracle.