Cifrado transparente de datos (TDE) para el espacio de trabajo de Workflow Manager en Oracle

Puede adoptar varias precauciones para ayudar a proteger la base de datos, como diseñar un sistema de protección, cifrar activos confidenciales y crear un firewall en torno a los servidores de base de datos. Sin embargo, en un escenario en el que se sustraigan los medios físicos (como unidades o cintas de copia de seguridad) un intruso malintencionado puede restaurar o adjuntar la base de datos y examinar los datos. Una solución consiste en cifrar los datos confidenciales de la base de datos y proteger las claves utilizadas para cifrar los datos con un certificado. Esto evita que alguien que no tenga las claves pueda utilizar los datos, pero este tipo de protección debe planearse con antelación.

El cifrado transparente de datos (TDE) permite cifrar datos confidenciales tales como números de tarjetas de crédito almacenados en tablas y espacios de tabla. Los datos cifrados se descifran de forma transparente para una aplicación o un usuario de base de datos que tenga acceso a los datos. TDE ayuda a proteger los datos almacenados en medios en caso de sustracción de los medios de almacenamiento o los archivos de datos. Oracle usa mecanismos de autenticación, autorización y auditoría para proteger los datos de la base de datos pero no los archivos de datos del sistema operativo donde se almacenan datos. Para proteger estos archivos de datos, Oracle proporciona TDE. TDE cifra los datos confidenciales almacenados en los archivos de datos. Para evitar descifrados no autorizados, TDE almacena las claves de cifrado en un módulo de seguridad externo a la base de datos.

Con Oracle, se pueden definir espacios de tabla nuevos como cifrados. La definición de un espacio de tablas cifrado significa que los archivos de datos físicos creados en el sistema operativo se cifrarán. Las tablas, índices y demás objetos definidos en el espacio de tablas nuevo se cifrarán de forma predeterminada, sin requisitos de espacio de almacenamiento adicional. Los datos se cifran automáticamente cuando se escriben en el disco y se descifran automáticamente cuando la aplicación accede a ellos.

Ventajas de utilizar TDE:

• Como administrador de seguridad tendrá la tranquilidad de que los datos confidenciales estén protegidos en caso de sustracción de los medios de almacenamiento o de los archivos de datos.
• La implementación de TDE ayuda a abordar los aspectos de cumplimiento reglamentario relacionados con la seguridad.
• No es necesario crear desencadenadores ni vistas para descifrar los datos para una aplicación o usuario autorizados. Los datos de las tablas se descifran de forma transparente para la aplicación y el usuario de la base de datos.
• No es necesario que las aplicaciones y usuarios de base de datos sepan que los datos a los que acceden están almacenados en modo cifrado. Los datos se descifran de forma transparente para las aplicaciones y usuarios de base de datos.
• No hace falta modificar las aplicaciones para controlar los datos cifrados. La base de datos administra el cifrado y descifrado de datos.
• Las operaciones de administración de claves están automatizadas. El usuario o la aplicación no necesitan administrar las claves de cifrado.

Consulte información acerca de la configuración del cifrado TDE de espacios de tabla en la documentación de Oracle.

Para usar TDE, siga uno de estos métodos.

Configuración de TDE con Oracle Enterprise Manager (OEM)

El siguiente procedimiento muestra cómo configurar TDE utilizando Oracle Enterprise Manager (OEM).

Nota:

La operación de copiar y pegar los ejemplos puede dar lugar a errores de sintaxis.

Pasos:

1. Cree la carpeta de cartera.

   mkdir C:\oracle\admin\wallets
   
   OEM > login as sys / sysdba
   
   OEM > Server > Transparent Data Encryption
   
   Advanced Options > Change Location
   
   	Host Credentials
   	Username: <DOMAIN>\dbs_ora
   	Password: xxxxxxx
   
   	Configuration Method: File System
   	
   	Encryption Wallet Directory: C:\oracle\admin\wallets
   
   	OK
   
   Create Wallet > Local Auto-Open Wallet > Create
   
   	Host Credentials
   	Username: <DOMAIN>\dbs_ora
   	Password: xxxxxxx
   
   	Wallet Password:  walletadmin
   
   	Continue
   

2. Realice una copia de seguridad de la carpeta de cartera.

   cd C:\oracle\admin
   
   zip -r wallets wallets
   

Configuración manual del TDE

El siguiente procedimiento muestra cómo configurar manualmente TDE.

Nota:

La operación de copiar y pegar los ejemplos puede dar lugar a errores de sintaxis.

Pasos:

1. En la ventana de comando, cree la carpeta de cartera.

   mkdir C:\oracle\admin\wallets
   

2. Añada la ubicación de cartera al archivo sqlnet.ora.

   ENCRYPTION_WALLET_LOCATION =
     (SOURCE =
       (METHOD = FILE)
       (METHOD_DATA =
         (DIRECTORY = C:\oracle\admin\wallets\$ORACLE_SID)
   

   Nota:

   La ubicación predeterminada de la cartera de cifrado es $ORACLE_BASE/admin/<nombre_db_global>/wallet. Si desea que Oracle administre una cartera en la ubicación predeterminada, no hay necesidad de establecer el parámetro ENCRYPTION_WALLET_LOCATION en el archivo sqlnet.ora.

3. Utilice Oracle SQL Plus u Oracle SQL Developer para generar una clave principal.

   alter system set encryption key identified by "walletadmin";
   

4. Mediante el uso de Oracle SQL Plus u Oracle SQL Developer, compruebe el estado de la cartera.

   select * from "v$encryption_wallet";
   

5. En la ventana de comando, establezca la cartera para inicio de sesión automático.

   set ORACLE_SID=wmxdb
   
   orapki wallet create -wallet C:\oracle\admin\wallets -auto_login -pwd walletadmin
   

6. En la ventana de comando, cree una copia de seguridad de la carpeta de cartera.

   cd C:\oracle\admin
   
   zip -r wallets wallets