Oracle TDE con AWS CloudHSM: configurazione del database e creazione della chiave di crittografia principale - AWS CloudHSM
Aggiornamento della configurazione di Oracle DatabaseCreazione della chiave di crittografia principale di Oracle TDE

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Oracle TDE con AWS CloudHSM: configurazione del database e creazione della chiave di crittografia principale

Per integrare Oracle TDE con il cluster AWS CloudHSM, consulta i seguenti argomenti:

  1. Aggiornamento della configurazione di Oracle Database per utilizzare gli HSM nel cluster come modulo di sicurezza esterno. Per informazioni sui moduli di sicurezza esterni, vedi la sezione Introduction to Transparent Data Encryption nella Oracle Database Advanced Security Guide.

  2. Creazione della chiave di crittografia principale di Oracle TDE negli HSM del cluster.

Aggiornamento della configurazione di Oracle Database

Per aggiornare la configurazione di Oracle Database per utilizzare un HSM nel cluster come modulo di sicurezza esterno, attieniti alla seguente procedura. Per informazioni sui moduli di sicurezza esterni, vedi la sezione Introduction to Transparent Data Encryption nella Oracle Database Advanced Security Guide.

Per aggiornare la configurazione di Oracle

  1. Esegui la connessione all'istanza del client Amazon EC2. Si tratta dell'istanza in cui è installato Oracle Database.

  2. Crea una copia di backup del file sqlnet.ora. Per informazioni sul percorso del file, consulta la documentazione Oracle.

  3. Usare un editor di testo per modificare il fine denominato sqlnet.ora. Aggiungi la seguente riga. Se una linea esistente nel file inizia con encryption_wallet_location, sostituiscila con quella riportata di seguito.

    encryption_wallet_location=(source=(method=hsm))

    Salva il file.

  4. Esegui il seguente comando per creare la directory in cui Oracle Database presume si trovi il file della libreria software PKCS #11 di AWS CloudHSM. 

    sudo mkdir -p /opt/oracle/extapi/64/hsm

  5. Esegui uno dei seguenti comandi per copiare la libreria software AWS CloudHSM per il file PKCS #11 nella directory creata nella fase precedente. 

    sudo cp /opt/cloudhsm/lib/libcloudhsm_pkcs11.so /opt/oracle/extapi/64/hsm/
    Nota

    La directory /opt/oracle/extapi/64/hsm deve contenere solo un file della libreria. Rimuovi tutti gli altri file presenti in tale directory.

  6. Esegui il seguente comando per modificare le proprietà della directory /opt/oracle e del relativo contenuto.

    sudo chown -R oracle:dba /opt/oracle

  7. Avvia Oracle Database.

Creazione della chiave di crittografia principale di Oracle TDE

Per creare la chiave principale di Oracle TDE negli HSM del cluster, completa le fasi della seguente procedura.

Per generare la chiave principale

  1. Utilizza il comando seguente per aprire Oracle SQL*Plus. Quando richiesto, immetti la password di sistema impostata al momento dell'installazione di Oracle Database. 

    sqlplus / as sysdba
    Nota

    Per Client SDK 3 è necessario impostare la variabile di ambiente CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE ogni volta che si genera una chiave principale. Questa variabile è necessaria solo per la generazione di chiavi principali. Per ulteriori informazioni, consulta "Problema: Oracle imposta l'attributo PCKS #11 CKA_MODIFIABLE durante la generazione della chiave principale, ma HSM non lo supporta" in Problemi noti per l'integrazione di applicazioni di terze parti.

  2. Esegui l'istruzione SQL che crea la chiave di crittografia principale, come mostrato negli esempi di seguito. Utilizza l'istruzione corrispondente alla versione in uso di Oracle Database. Sostituisci il <Nome utente CU> con quello dell'utente di crittografia (CU). Sostituire la <password> con quella del CU.

    Importante

    Esegui il seguente comando solo una volta. Ogni volta che lo esegui, il comando crea una nuova chiave di crittografia principale.

    • In Oracle Database versione 11, esegui la seguente istruzione SQL.

      SQL> alter system set encryption key identified by "<CU user name>:<password>";

    • In Oracle Database versione 12 e 19c, esegui la seguente istruzione SQL.

      SQL> administer key management set key identified by "<CU user name>:<password>";

    Se la risposta è System altered oppure keystore altered, la creazione della chiave principale di Oracle TDE è stata completata senza errori.

  3. (Opzionale) Esegui il seguente comando per verificare lo stato di Oracle Wallet.

    SQL> select * from v$encryption_wallet;

    Se il wallet non è aperto, utilizza uno dei seguenti comandi per aprirlo. Sostituisci il <Nome utente CU> con il nome dell'utente di crittografia (CU). Sostituire la <password> con quella del CU.

    • In Oracle 11, esegui il seguente comando per aprire il wallet.

      SQL> alter system set encryption wallet open identified by "<CU user name>:<password>";

      Per chiudere manualmente il wallet, esegui il seguente comando.

      SQL> alter system set encryption wallet close identified by "<CU user name>:<password>";

    • In Oracle 12 e Oracle 19c, esegui il seguente comando per aprire il wallet.

      SQL> administer key management set keystore open identified by "<CU user name>:<password>";

      Per chiudere manualmente il wallet, esegui il seguente comando.

      SQL> administer key management set keystore close identified by "<CU user name>:<password>";