Прозрачное шифрование данных (TDE) для рабочей области проверок в Oracle

Вы можете принять некоторые меры предосторожности для защиты базы данных, такие как проектирование безопасной системы, шифрование конфиденциальных активов, а также создание сетевого экрана (firewall) вокруг серверов баз данных. Однако в случае, когда физические носители (такие как диски и ленты с резервными копиями) украдены, злоумышленник может восстановить или подключиться к базе данных и просматривать эти данные. Одним из решений является шифрование конфиденциальных данных в базе данных и защита ключей, используемых для шифрования данных с помощью сертификатов. Это предотвращает использования данных лицами без ключей, но этот вид защиты должен быть спланирован заранее.

Прозрачное шифрование данных (Transparent Data Encryption (TDE) позволяет шифровать конфиденциальные данные, такие как номера кредитных карт, хранящиеся в таблицах и табличных областях. Зашифрованные данные явно расшифрованы для пользователя базы данных или приложения, которое имеет доступ к данным. TDE помогает защитить данные, хранящиеся на устройствах, в случае похищения носителя данных или файла данных. Oracle использует аутентификацию, авторизацию и механизмы проверки для защиты данных в базе данных, но не в файлах данных операционной системы, где хранятся данные. Для защиты этих файлов данных в Oracle предусмотрено TDE. TDE шифрует конфиденциальные данные, хранящихся в файлах данных. Для предотвращения несанкционированной расшифровки, TDE хранит ключи шифрования в модуле защиты внешне по отношению к базе данных.

С Oracle новые табличные пространства могут быть определены как зашифрованные. Определение табличного пространства, как зашифрованного, означает, что будут зашифрованы физические файлы данных, созданные в операционной системе. Любые таблицы, индексы и другие объекты, заданные в новой табличной области, будут по умолчанию шифроваться без дополнительно требуемого пространства для хранения. Данные автоматически шифруются при записи на диск и автоматически дешифруются, когда становятся доступными приложению.

Преимущества использования TDE:

• Как администратор по вопросам безопасности, вы можете быть уверены, что в случае кражи носителя для хранения данных или файла данных, любые конфиденциальные сведения будут в безопасности.
• Применение прозрачного шифрования данных (TDE) поможет вам решить вопросы, имеющие отношение к соблюдению мер безопасности.
• Вам не придется создавать некую схему или механизм, который обеспечивал бы запуск шифрования данных для авторизованного пользователя или приложения. Данные из таблиц прозрачно дешифруются для пользователя базы данных и для приложения.
• Пользователям баз данных, как и приложениям, не надо знать о том, что доступные им данные хранятся в зашифрованном виде. Данные прозрачно дешифруются для пользователей базы данных и для приложений.
• Приложениям не требуется какая-либо модификация для обработки зашифрованных данных. Шифрование и дешифрование данных управляется базой данных.
• Операции управления ключом шифрования автоматизированы. Ни пользователь, ни приложение не имеют никакого отношения к управлению ключами шифрования.

Для получения более детальной информации о конфигурировании TDE-шифрования табличных пространств, см. Документацию по Oracle (Oracle documentation).

Для выполнения прозрачного шифрования данных (TDE) используется один из этих методов.

Настройка TDE Oracle Enterprise Manager

Ниже приводятся шаги для настройки TDE с помощью Oracle Enterprise Manager (OEM).

Примечание:

При копировании и вставке примеров могут возникнуть синтаксические ошибки.

Шаги:

1. Создайте каталог бумажника.

   mkdir C:\oracle\admin\wallets
   
   OEM > login as sys / sysdba
   
   OEM > Server > Transparent Data Encryption
   
   Advanced Options > Change Location
   
   	Host Credentials
   	Username: <DOMAIN>\dbs_ora
   	Password: xxxxxxx
   
   	Configuration Method: File System
   	
   	Encryption Wallet Directory: C:\oracle\admin\wallets
   
   	OK
   
   Create Wallet > Local Auto-Open Wallet > Create
   
   	Host Credentials
   	Username: <DOMAIN>\dbs_ora
   	Password: xxxxxxx
   
   	Wallet Password:  walletadmin
   
   	Continue
   

2. Выполните резервное копирование каталога бумажника.

   cd C:\oracle\admin
   
   zip -r wallets wallets
   

Настройка TDE вручную

Ниже приведены шаги по настройке TDE вручную.

Примечание:

При копировании и вставке примеров могут возникнуть синтаксические ошибки.

Шаги:

1. Из командного окна создайте каталог бумажника.

   mkdir C:\oracle\admin\wallets
   

2. Добавьте местоположение бумажника в файл sqlnet.ora.

   ENCRYPTION_WALLET_LOCATION =
     (SOURCE =
       (METHOD = FILE)
       (METHOD_DATA =
         (DIRECTORY = C:\oracle\admin\wallets\$ORACLE_SID)
   

   Примечание:

   Местоположением бумажника шифрования по умолчанию является $ORACLE_BASE/admin/<global_db_name>/wallet. Если вы принимаете установку Oracle бумажника в местоположении по умолчанию, то установка параметра ENCRYPTION_WALLET_LOCATION в файле sqlnet.ora не требуется.

3. Используя Oracle SQL Plus или Oracle SQL Developer, создайте главный ключ.

   alter system set encryption key identified by "walletadmin";
   

4. Используя Oracle SQL Plus или Oracle SQL Developer, проверьте состояние бумажника.

   select * from "v$encryption_wallet";
   

5. Установите "бумажник" для автоматического входа в систему.
   set ORACLE_SID=revdb
   
   orapki wallet create -wallet C:\oracle\admin\wallets -auto_login -pwd walletadmin
   

6. Из командного окна выполните резервное копирование каталога бумажника.

   cd C:\oracle\admin
   
   zip -r wallets wallets