Oracle TDE com AWS CloudHSM: Configure o banco de dados e gere a chave mestra de criptografia - AWS CloudHSM
Atualizar a configuração do Oracle DatabaseGerar a chave de criptografia mestra do Oracle TDE

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Oracle TDE com AWS CloudHSM: Configure o banco de dados e gere a chave mestra de criptografia

Para integrar o Oracle TDE ao seu AWS CloudHSM cluster, consulte os tópicos a seguir:

  1. Atualizar a configuração do Oracle Database para usar os HSMs no seu cluster como o módulo de segurança externo. Para obter informações sobre módulos de segurança externos, consulte o tópico de Introdução ao Transparent Data Encryption no Oracle Database Advanced Security Guide.

  2. Gerar a chave de criptografia mestra do Oracle TDE nos HSMs no seu cluster.

Atualizar a configuração do Oracle Database

Para atualizar a configuração do Oracle Database para usar um HSM no cluster como o módulo de segurança externa, conclua as etapas a seguir. Para obter informações sobre módulos de segurança externos, consulte o tópico de Introdução ao Transparent Data Encryption no Oracle Database Advanced Security Guide.

Para atualizar a configuração Oracle

  1. Conecte-se à sua instância do cliente Amazon EC2. Esta é a instância na qual você instalou o Oracle Database.

  2. Faça uma cópia de backup do arquivo chamado sqlnet.ora. Para a localização deste arquivo, consulte a documentação da Oracle.

  3. Use um editor de texto para editar o arquivo chamado sqlnet.ora. Adicione a seguinte linha. Se uma linha existente no arquivo começar com encryption_wallet_location, substitua-a pela seguinte.

    encryption_wallet_location=(source=(method=hsm))

    Salve o arquivo.

  4. Execute o comando a seguir para criar o diretório em que o Oracle Database espera encontrar o arquivo de biblioteca da biblioteca de software AWS CloudHSM PKCS #11. 

    sudo mkdir -p /opt/oracle/extapi/64/hsm

  5. Execute o comando a seguir para copiar a biblioteca de AWS CloudHSM software do arquivo PKCS #11 para o diretório que você criou na etapa anterior. 

    sudo cp /opt/cloudhsm/lib/libcloudhsm_pkcs11.so /opt/oracle/extapi/64/hsm/
    nota

    O diretório /opt/oracle/extapi/64/hsm deve conter apenas um arquivo de biblioteca. Remova qualquer outro arquivo existente nesse diretório.

  6. Execute o seguinte comando para alterar a propriedade do diretório /opt/oracle e tudo dentro dele.

    sudo chown -R oracle:dba /opt/oracle

  7. Inicie o Oracle Database.

Gerar a chave de criptografia mestra do Oracle TDE

Para gerar a chave-mestra do Oracle TDE nos HSMs do seu cluster, conclua as etapas no procedimento a seguir.

Para gerar a chave-mestra

  1. Use o comando a seguir para abrir o Oracle SQL*Plus. Quando solicitado, digite a senha do sistema que você definiu quando instalou o Oracle Database. 

    sqlplus / as sysdba
    nota

    Para Client SDK 3, é necessário definir a variável de ambiente CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE sempre que você gerar uma chave mestra. Essa variável é necessária apenas para a geração de chave mestra. Para obter mais informações, consulte "Problema: Oracle define o atributo PCKS #11 CKA_MODIFIABLE durante a geração da chave mestra, mas o HSM não oferece suporte a ele" em Problemas conhecidos para integração de aplicativos de terceiros.

  2. Execute a instrução SQL que cria a chave de criptografia mestra, conforme mostrado nos exemplos a seguir. Use a instrução que corresponda à sua versão do Oracle Database. Substitua <CU user name> pelo nome do usuário de criptografia (CU). Substitua <password> pela senha CU.

    Importante

    Execute o seguinte comando apenas uma vez. Cada vez que o comando é executado, ele cria uma nova chave de criptografia mestra.

    • Para o Oracle Database versão 11, execute a seguinte instrução SQL.

      SQL> alter system set encryption key identified by "<CU user name>:<password>";

    • Para o Oracle Database versão 12 e versão 19c, execute a seguinte instrução SQL.

      SQL> administer key management set key identified by "<CU user name>:<password>";

    Se a resposta for System altered ou keystore altered, você gerou e definiu com êxito a chave-mestra do Oracle TDE.

  3. (Opcional) Execute o seguinte comando para verificar o status da Oracle wallet.

    SQL> select * from v$encryption_wallet;

    Se a carteira não estiver aberta, use um dos seguintes comandos para abri-lo. Substitua <CU user name> pelo nome do usuário de criptografia (CU). Substitua <password> pela senha CU.

    • Para o Oracle 11, execute o seguinte comando para abrir a wallet.

      SQL> alter system set encryption wallet open identified by "<CU user name>:<password>";

      Para fechar manualmente a carteira, execute o seguinte comando.

      SQL> alter system set encryption wallet close identified by "<CU user name>:<password>";

    • Para o Oracle 12 e Oracle 19c, execute o seguinte comando para abrir a wallet.

      SQL> administer key management set keystore open identified by "<CU user name>:<password>";

      Para fechar manualmente a carteira, execute o seguinte comando.

      SQL> administer key management set keystore close identified by "<CU user name>:<password>";