Oracle Secure Sockets Layer

Para habilitar a criptografia SSL para uma instância de banco de dados do RDS para Oracle, adicione a opção Oracle SSL ao grupo de opções associado à instância de banco de dados. O Amazon RDS usa uma segunda porta, conforme exigido pela Oracle, para conexões SSL. Essa abordagem permite que comunicações de texto sem formatação e de texto com criptografia SSL ocorram ao mesmo tempo entre uma instância de banco de dados e o SQL*Plus. Por exemplo, você pode usar a porta com comunicação de texto simples para se comunicar com outros recursos dentro de uma VPC enquanto usa a porta com comunicação criptografada em SSL para se comunicar com recursos fora da VPC.

nota

É possível usar SSL ou a Native Network Encryption (NNE) na mesma instância de banco de dados do RDS para Oracle, mas não ambas. Se você usar a criptografia SSL, desative qualquer outra criptografia de conexão. Para ter mais informações, consulte Oracle Native Network Encryption.

SSL/TLS e NNE não fazem mais parte do Oracle Advanced Security. No RDS para Oracle, é possível usar a criptografia SSL com todas as edições licenciadas das seguintes versões do banco de dados:

• Oracle Database 21c (21.0.0)

• Oracle Database 19c (19.0.0)

Tópicos

• Versões do TLS para a opção Oracle SSL

• Pacotes de criptografia para a opção Oracle SSL

• Suporte ao FIPS

• Adicionar a opção do SSL

• Configurar o SQL*Plus para usar SSL com uma instância de banco de dados do RDS para Oracle

• Conectar-se a uma instância de banco de dados do RDS para Oracle usando SSL

• Configurar uma conexão SSL via JDBC

• Forçar uma correspondência de DN com uma conexão SSL

• Solução de problemas de conexões SSL

Versões do TLS para a opção Oracle SSL

O Amazon RDS for Oracle oferece suporte ao Transport Layer Security (TLS) versões 1.0 e 1.2. Quando você adiciona uma nova opção Oracle SSL, defina SQLNET.SSL_VERSION explicitamente como um valor válido. Os seguintes valores são permitidos para essa configuração de opção:

• "1.0": os clientes só podem se conectar à instância de banco de dados usando o TLS versão 1.0. Para opções Oracle SSL existentes, a SQLNET.SSL_VERSION é definida como "1.0" automaticamente. Você pode alterar a configuração se necessário.

• "1.2" – os clientes podem se conectar à instância de banco de dados usando somente o TLS 1.2.

• "1.2 or 1.0" – os clientes podem se conectar à instância de banco de dados usando o TLS 1.2 ou 1.0.

Pacotes de criptografia para a opção Oracle SSL

O Amazon RDS for Oracle oferece suporte para vários pacotes de criptografia SSL. Por padrão, a opção Oracle SSL está configurada para usar o pacote de criptografia SSL_RSA_WITH_AES_256_CBC_SHA. Para especificar um pacote de criptografia diferente para usar em conexões SSL, use a configuração da opção SQLNET.CIPHER_SUITE.

É possível especificar vários valores para SQLNET.CIPHER_SUITE. Essa técnica é útil caso você tenha links de banco de dados entre suas instâncias de banco de dados e decida atualizar seus pacotes de criptografia.

A tabela a seguir resume o suporte a SSL no RDS para Oracle em todas as edições do Oracle Database 19c e 21c.

Suíte de cifras (SQLNET.CIPHER_SUITE)	Versão do TLS compatível (SQLNET.SSL_VERSION)	Suporte ao FIPS	Conformidade com FedRAMP
SSL_RSA_WITH_AES_256_CBC_SHA (padrão)	1.0 e 1.2	Sim	Não
SSL_RSA_WITH_AES_256_CBC_SHA256	1.2	Sim	Não
SSL_RSA_WITH_AES_256_GCM_SHA384	1.2	Sim	Não
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	1.2	Sim	Sim

Suporte ao FIPS

O RDS para Oracle permite usar o padrão FIPS (Federal Information Processing Standard) para 140-2. O FIPS 140-2 é um padrão do governo dos Estados Unidos que define os requisitos de segurança de módulos criptográficos. Ative o padrão FIPS definindo FIPS.SSLFIPS_140 como TRUE para a opção do Oracle SSL. Quando o FIPS 140-2 é configurado para SSL, as bibliotecas criptográficas criptografam dados entre o cliente e a instância de banco de dados do RDS para Oracle.

Os clientes devem usar o pacote de criptografia compatível com o FIPS. Ao estabelecer uma conexão, o cliente e a instância de banco de dados do RDS para Oracle negociam qual pacote de criptografia deverá ser usado ao transmitir mensagens nas duas direções. A tabela em Pacotes de criptografia para a opção Oracle SSL mostra os pacotes de criptografia SSL compatíveis com o FIPS para cada versão do TLS. Para receber mais informações, consulte Oracle Database FIPS 140-2 Settings na documentação da Oracle.