Oracle TDE dengan AWS CloudHSM: Konfigurasikan database dan hasilkan kunci enkripsi master - AWS CloudHSM
Perbarui konfigurasi database OracleHasilkan kunci enkripsi master Oracle TDE

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Oracle TDE dengan AWS CloudHSM: Konfigurasikan database dan hasilkan kunci enkripsi master

Untuk mengintegrasikan Oracle TDE dengan AWS CloudHSM cluster Anda, lihat topik berikut:

  1. Perbarui konfigurasi database Oracle untuk menggunakan HSM di klaster Anda sebagai modul keamanan eksternal. Untuk informasi tentang modul keamanan eksternal, lihat Pengenalan Enkripsi Data Transparan di Panduan Keamanan Tingkat Lanjut Oracle Database.

  2. Hasilkan kunci enkripsi master Oracle TDE pada HSM di klaster Anda.

Perbarui konfigurasi database Oracle

Untuk memperbarui konfigurasi Oracle Database untuk menggunakan HSM di klaster Anda sebagai modul keamanan eksternal, selesaikan langkah-langkah berikut. Untuk informasi tentang modul keamanan eksternal, lihat Pengenalan Data Transparan di Panduan Keamanan Tingkat Lanjut Oracle Database.

Memperbarui Konfigurasi Oracle Database

  1. Hubungkan ke instans klien Amazon EC2 Anda. Ini adalah contoh tempat Anda menginstal Oracle Database.

  2. Buat salinan cadangan dari file bernama sqlnet.ora. Untuk lokasi file ini, lihat dokumentasi Oracle.

  3. Gunakan editor teks untuk mengedit file bernama sqlnet.ora. Tambahkan baris berikut. Jika baris yang ada dalam file dimulai dengan encryption_wallet_location, ganti baris yang ada dengan yang berikut.

    encryption_wallet_location=(source=(method=hsm))

    Simpan file tersebut.

  4. Jalankan perintah berikut untuk membuat direktori tempat Oracle Database mengharapkan untuk menemukan file perpustakaan untuk pustaka perangkat lunak AWS CloudHSM PKCS #11. 

    sudo mkdir -p /opt/oracle/extapi/64/hsm

  5. Jalankan perintah berikut untuk menyalin pustaka AWS CloudHSM perangkat lunak untuk file PKCS #11 ke direktori yang Anda buat pada langkah sebelumnya. 

    sudo cp /opt/cloudhsm/lib/libcloudhsm_pkcs11.so /opt/oracle/extapi/64/hsm/
    catatan

    Direktori /opt/oracle/extapi/64/hsm harus berisi hanya satu file pustaka. Hapus file lain yang ada di direktori tersebut.

  6. Jalankan perintah berikut untuk mengubah kepemilikan direktori /opt/oracle dan segala sesuatu di dalamnya.

    sudo chown -R oracle:dba /opt/oracle

  7. Mulai Oracle Database.

Hasilkan kunci enkripsi master Oracle TDE

Untuk menghasilkan kunci utama Oracle TDE pada HSM di klaster Anda, selesaikan langkah-langkah dalam prosedur berikut.

Untuk menghasilkan kunci utama

  1. Gunakan perintah berikut untuk membuka Oracle SQL* Plus. Saat diminta, ketik sandi sistem yang Anda tetapkan saat Anda menginstal Oracle Database. 

    sqlplus / as sysdba
    catatan

    Untuk Client SDK 3, Anda harus mengatur variabel CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE lingkungan setiap kali Anda membuat kunci master. Variabel ini hanya diperlukan untuk pembuatan kunci utama. Untuk informasi lebih lanjut, lihat “Masalah: Oracle menetapkan atribut PCKS #11CKA_MODIFIABLEselama pembuatan kunci utama, tapi HSM tidak mendukungnya” di Masalah yang Diketahui untuk Mengintegrasikan Aplikasi Pihak Ketiga.

  2. Jalankan pernyataan SQL yang membuat kunci enkripsi master, seperti yang ditunjukkan dalam contoh berikut. Gunakan pernyataan yang sesuai dengan versi Oracle Database. Ganti <nama pengguna CU> dengan nama pengguna dari pengguna kriptografi (CU). Ganti <kata sandi> dengan kata sandi CU.

    penting

    Jalankan perintah berikut hanya sekali. Setiap kali perintah dijalankan, itu membuat kunci enkripsi utama baru.

    • Untuk Oracle Database versi 11, jalankan pernyataan SQL berikut.

      SQL> alter system set encryption key identified by "<CU user name>:<password>";

    • Untuk Oracle Database versi 12 dan versi 19c, jalankan pernyataan SQL berikut.

      SQL> administer key management set key identified by "<CU user name>:<password>";

    Jika respons adalah System altered atau keystore altered, maka Anda berhasil dihasilkan dan mengatur kunci utama untuk Oracle TDE.

  3. (Opsional) Jalankan perintah berikut untuk memverifikasi status dompet Oracle.

    SQL> select * from v$encryption_wallet;

    Jika dompet tidak terbuka, gunakan salah satu perintah berikut untuk membukanya. Ganti <nama pengguna CU> dengan nama pengguna kriptografi (CU). Ganti <kata sandi> dengan kata sandi CU.

    • Untuk Oracle 11, jalankan perintah berikut untuk membuka dompet.

      SQL> alter system set encryption wallet open identified by "<CU user name>:<password>";

      Untuk menutup dompert secara manual, jalankan perintah berikut.

      SQL> alter system set encryption wallet close identified by "<CU user name>:<password>";

    • Untuk Oracle 12 dan Oracle 19c, jalankan perintah berikut untuk membuka dompet.

      SQL> administer key management set keystore open identified by "<CU user name>:<password>";

      Untuk menutup dompert secara manual, jalankan perintah berikut.

      SQL> administer key management set keystore close identified by "<CU user name>:<password>";