Oracle Transparent Data Encryption - Amazon Relational Database Service

Oracle Transparent Data Encryption

Amazon RDS는 Oracle Enterprise Edition에서 지원되는 Oracle Advanced Security 옵션의 한 가지 기능인 Oracle Transparent Data Encryption(TDE)을 지원합니다. 이 기능은 스토리지에 데이터를 쓰기 전에 자동으로 데이터를 암호화한 뒤에 데이터를 스토리지에서 읽을 때 다시 자동으로 해독합니다.

TDE는 제3자가 데이터 파일 및 백업을 가져올 경우 민감한 데이터를 암호화해야 하는 시나리오에서 유용합니다. TDE는 보안 관련 규정을 준수해야 하는 경우에도 유용합니다.

TDE 옵션은 지속적이고 영구적입니다. RDS for Oracle DB 인스턴스를 TDE 옵션이 활성화된 옵션 그룹과 연결하는 경우 비활성화할 수 없습니다. 옵션 그룹은 변경할 수 있지만, 새 옵션 그룹에는 TDE 옵션이 포함되어야 합니다. 지속 옵션 및 영구 옵션에 대한 자세한 내용은 지속적이거나 영구적인 옵션 섹션을 참조하세요.

참고

TDE 옵션을 사용하는 DB 스냅샷은 공유할 수 없습니다. DB 스냅샷 공유에 대한 자세한 내용은 DB 스냅샷 공유 단원을 참조하십시오.

Oracle Database의 TDE에 대한 자세한 설명은 이 가이드의 범위를 벗어납니다. 자세한 내용은 다음 Oracle Database 리소스를 참조하세요.

RDS for Oracle과 TDE를 사용하는 방법에 대한 자세한 내용은 다음 블로그를 참조하세요.

TDE 암호화 모델

Oracle Transparent Data Encryption은 TDE 테이블스페이스 암호화 및 TDE 열 암호화의 두 가지 모드를 지원합니다. TDE 테이블스페이스 암호화는 전체 애플리케이션 테이블을 암호화하는 데 사용됩니다. TDE 열 암호화는 중요 데이터를 포함하는 개별 데이터 요소를 암호화하는 데 사용됩니다. TDE 테이블스페이스 암호화와 열 암호화를 모두 사용하는 하이브리드 암호화 솔루션을 적용할 수도 있습니다.

참고

Amazon RDS가 DB 인스턴스의 Oracle Wallet 및 TDE 마스터 키를 관리합니다. [ALTER SYSTEM set encryption key] 명령을 사용하여 암호화 키를 설정하지 않아도 됩니다.

TDE 옵션을 활성화한 후 다음 명령을 사용하여 Oracle Wallet의 상태를 확인할 수 있습니다.

SELECT * FROM v$encryption_wallet;

암호화된 테이블스페이스를 생성하려면 다음 명령을 사용합니다.

CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);

암호화 알고리즘을 지정하려면 다음 명령을 사용하십시오.

CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);

테이블스페이스 암호화에 대한 이전 문은 온프레미스 Oracle 데이터베이스에서 사용하는 것과 동일합니다.

DB 인스턴스가 TDE를 사용하는지 여부 결정

DB 인스턴스가 TDE 옵션을 활성화한 옵션 그룹과 연결되어 있는지 확인할 수 있습니다. DB 인스턴스와 연동되어 있는 옵션 그룹은 RDS 콘솔, describe-db-instance AWS CLI 명령 또는 API 작업 DescribeDBInstances를 사용하여 확인할 수 있습니다.

TDE 옵션 추가

Amazon RDS에서 Oracle Transparent Data Encryption(TDE)을 사용하는 프로세스는 다음과 같습니다.

  1. DB 인스턴스가 TDE 옵션이 활성화된 옵션 그룹과 연결되어 있지 않으면 먼저 옵션 그룹을 생성한 후 TDE 옵션을 추가하거나 연결되어 있는 옵션 그룹을 변경하여 TDE 옵션을 추가합니다. 옵션 그룹의 생성 및 변경에 대한 자세한 내용은 옵션 그룹 작업 단원을 참조하십시오. 옵션 그룹에 옵션을 추가하는 방법에 대한 자세한 내용은 옵션 그룹에 옵션 추가 단원을 참조하십시오.

  2. DB 인스턴스를 TDE 옵션이 있는 옵션 그룹과 연결합니다. DB 인스턴스와 옵션 그룹의 연동에 대한 자세한 내용은 Amazon RDS DB 인스턴스 수정 단원을 참조하십시오.

TDE 옵션이 포함되지 않은 DB 인스턴스로 데이터 복사

TDE 옵션을 DB 인스턴스에서 제거하거나 TDE 옵션을 포함하지 않는 옵션 그룹과 연결할 수 없습니다. TDE 옵션이 포함되지 않은 인스턴스로 데이터를 마이그레이션하려면 다음 작업을 수행하세요.

  1. DB 인스턴스의 데이터를 복호화합니다.

  2. TDE가 활성화된 옵션 그룹과 연결되지 않은 새 DB 인스턴스로 데이터를 복사합니다.

  3. 원본 DB 인스턴스를 삭제합니다.

새 인스턴스의 이름을 이전 DB 인스턴스와 동일하게 지정할 수 있습니다.

Oracle Data Pump에서 TDE 사용

Oracle Data Pump를 사용하여 암호화된 덤프 파일을 가져오거나 내보낼 수 있습니다. Amazon RDS는 Oracle Data Pump에 대한 암호 암호화 모드 (ENCRYPTION_MODE=PASSWORD)를 지원합니다. Amazon RDS는 Oracle Data Pump에 대해 투명 암호화 모드 (ENCRYPTION_MODE=TRANSPARENT)를 지원하지 않습니다. 자세한 내용은 Oracle Data Pump를 사용한 가져오기 단원을 참조하십시오.