Oracle 보안 소켓 Layer

RDS for Oracle DB 인스턴스에 대해 SSL 암호화를 활성화하려면 DB 인스턴스와 연결된 옵션 그룹에 Oracle SSL 옵션을 추가합니다. Amazon RDS는 Oracle에서 요구하는 대로 SSL 연결을 위해 두 번째 포트를 사용합니다. 이 접근 방식에서는 DB 인스턴스와 SQL*Plus 간에 클리어 텍스트 통신과 SSL로 암호화된 통신이 동시에 발생할 수 있습니다. 예를 들어 이 포트를 클리어 텍스트 통신에 사용하여 VPC 내의 다른 리소스와 통신하면서 동일한 포트를 SSL로 암호화된 통신에 사용하여 VPC 외부의 리소스와 통신할 수 있습니다.

참고

동일한 RDS for Oracle DB 인스턴스에서 SSL 또는 NNE(기본 네트워크 암호화)를 사용할 수 있지만 동시에 사용할 수는 없습니다. SSL 암호화를 사용할 경우 다른 연결 암호화는 모두 해제해야 합니다. 자세한 내용은 Oracle 기본 네트워크 암호화 단원을 참조하십시오.

SSL/TLS 및 NNE는 더 이상 Oracle Advanced Security의 일부가 아닙니다. RDS for Oracle에서는 다음 데이터베이스 버전의 모든 정식 에디션에서 SSL 암호화를 사용할 수 있습니다.

• Oracle Database 21c(21.0.0)

• Oracle Database 19c(19.0.0)

주제

• Oracle SSL 옵션에 대한 TLS 버전

• Oracle SSL 옵션에 대한 암호 그룹

• FIPS 지원

• SSL 옵션 추가

• RDS for Oracle DB 인스턴스에 SSL을 사용하도록 SQL*Plus 구성

• SSL을 사용하여 RDS for Oracle DB 인스턴스에 연결

• JDBC를 통한 SSL 연결 설정

• SSL 연결과 DN 일치 적용

• SSL 연결 문제 해결

Oracle SSL 옵션에 대한 TLS 버전

Amazon RDS for Oracle은 TLS(전송 계층 보안) 버전 1.0 및 1.2를 지원합니다. 새 Oracle SSL 옵션을 추가할 경우, 유효한 값에 SQLNET.SSL_VERSION을 명시적으로 설정합니다. 다음은 이 옵션 설정으로 허용되는 값입니다.

• "1.0" – 클라이언트는 TLS 버전 1.0만 사용하여 DB 인스턴스에 연결할 수 있습니다. 기존 Oracle SSL 옵션에서 SQLNET.SSL_VERSION은 "1.0"으로 자동 설정됩니다. 필요할 경우 설정을 변경할 수 있습니다.

• "1.2" – 클라이언트는 TLS 1.2만 사용하여 DB 인스턴스에 연결할 수 있습니다.

• "1.2 or 1.0" – 클라이언트는 TLS 1.2 또는 1.0을 사용하여 DB 인스턴스에 연결할 수 있습니다.

Oracle SSL 옵션에 대한 암호 그룹

Amazon RDS for Oracle은 여러 개의 SSL 암호 그룹을 지원합니다. 기본적으로 Oracle SSL은 SSL_RSA_WITH_AES_256_CBC_SHA 암호 그룹을 사용하도록 구성되어 있습니다. SSL 연결을 통해 사용할 다른 암호 그룹을 지정하려면 SQLNET.CIPHER_SUITE 옵션 설정을 사용하십시오.

SQLNET.CIPHER_SUITE에 대해 여러 값을 지정할 수 있습니다. 이 기법은 DB 인스턴스 간에 데이터베이스 링크가 있고 암호 그룹을 업데이트하려는 경우에 유용합니다.

다음 표에는 Oracle 데이터베이스 19c 및 21c의 모든 버전에서 RDS for Oracle에 대한 SSL 지원이 요약되어 있습니다.

암호 그룹(SQLNET.CIPHER_SUITE)	TLS 버전 지원(SQLNET.SSL_VERSION)	FIPS 지원	FedRAMP 규정 준수
SSL_RSA_WITH_AES_256_CBC_SHA(기본)	1.0 및 1.2	예	아니요
SSL_RSA_WITH_AES_256_CBC_SHA256	1.2	예	아니요
SSL_RSA_WITH_AES_256_GCM_SHA384	1.2	예	아니요
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	1.2	예	예
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	1.2	예	예
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	1.2	예	예
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	1.2	예	예
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	1.2	예	예
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	1.2	예	예

FIPS 지원

RDS for Oracle을 사용하면 140-2에 대해 FIPS(Federal Information Processing Standard) 표준을 사용할 수 있습니다. FIPS 140-2는 암호 모듈 보안 요구 사항을 정의하는 미국 정부 표준입니다. Oracle SSL 옵션에 대해 FIPS.SSLFIPS_140을 TRUE로 설정하여 FIPS 표준을 활성화합니다. FIPS 140-2가 SSL용으로 구성된 경우 암호화 라이브러리는 클라이언트와 RDS for Oracle DB 인스턴스 간의 데이터를 암호화합니다.

클라이언트는 FIPS를 준수하는 암호 제품군을 사용해야 합니다. 연결을 설정할 때 클라이언트와 RDS for Oracle DB 인스턴스는 메시지를 주고받을 때 사용할 암호 제품군을 협상합니다. Oracle SSL 옵션에 대한 암호 그룹의 테이블에서는 각 TLS 버전에 대한 FIPS 호환 SSL 암호 그룹을 보여줍니다. 자세한 내용은 Oracle Database 설명서의 Oracle Database FIPS 140-2 설정을 참조하세요.