Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Oracle Native Network Encryption
Amazon RDS unterstützt Oracle Native Network Encryption (NNE). Mit dieser NATIVE_NETWORK_ENCRYPTION
Option können Sie Daten verschlüsseln, während sie zu und von einer DB-Instance übertragen werden. Amazon RDS unterstützt NNE für alle Editionen von Oracle Database.
Eine detaillierte Beschreibung von Oracle Native Network Encryption geht über den Rahmen dieses Handbuchs hinaus, jedoch sollten Sie die Stärken und Schwächen jedes Algorithmus und Schlüssels kennen, bevor Sie sich für eine Bereitstellungslösung entscheiden. Weitere Informationen zu den Algorithmen und Schlüsseln, die über Oracle Native Network Encryption verfügbar sind, finden Sie unter Configuring Network Data Encryption
Anmerkung
Sie können entweder Native Network Encryption oder Secure Sockets Layer verwenden, jedoch nicht beides zusammen. Weitere Informationen finden Sie unter Oracle Secure Sockets Layer.
Einstellungen der Option NATIVE_NETWORK_ENCRYPTION
Sie können Verschlüsselungsanforderungen sowohl auf dem Server als auch auf dem Client angeben. Die DB-Instanz kann als Client fungieren, wenn sie beispielsweise einen Datenbanklink verwendet, um eine Verbindung mit einer anderen Datenbank herzustellen. Möglicherweise möchten Sie vermeiden, dass die Verschlüsselung auf der Serverseite erzwungen wird. Beispielsweise möchten Sie möglicherweise nicht alle Clientkommunikationen dazu zwingen, die Verschlüsselung zu verwenden, da der Server dies erfordert. In diesem Fall können Sie die Verschlüsselung auf der Clientseite mit demSQLNET.*CLIENT
-Optionen.
Amazon RDS unterstützt die folgenden Einstellungen für die NATIVE_NETWORK_ENCRYPTION
Option.
Anmerkung
Wenn Sie Werte für eine Optionseinstellung durch Kommas trennen, setzen Sie kein Leerzeichen nach dem Komma.
Optionseinstellung | Zulässige Werte | Standardwerte | Beschreibung |
---|---|---|---|
|
|
|
Das Verhalten des Servers, wenn ein Client, der eine nicht sichere Chiffre verwendet, versucht, sich mit der Datenbank zu verbinden. Wenn Wenn die Einstellung
|
|
|
|
Das Verhalten des Servers, wenn ein Client, der eine nicht sichere Chiffre verwendet, versucht, sich mit der Datenbank zu verbinden. Die folgenden Chiffren gelten als nicht sicher:
Wenn die Einstellung Wenn die Einstellung
|
|
|
|
Das Datenintegritätsverhalten, wenn eine DB-Instance eine Verbindung zum Client oder zu einem als Client fungierenden Server herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.
|
|
|
|
Das Datenintegritätsverhalten, wenn ein Client oder ein Server, der als Client agiert, sich mit der DB-Instance verbindet. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.
|
|
|
|
Eine Liste von Prüfsummenalgorithmen. Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein Dieser Parameter und |
|
|
|
Eine Liste von Prüfsummenalgorithmen. Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein Dieser Parameter und |
|
|
|
Das Verschlüsselungsverhalten des Clients, wenn ein Client oder ein Server, der als Client fungiert, eine Verbindung zur DB-Instanz herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.
|
|
|
|
Das Verschlüsselungsverhalten des Servers, wenn ein Client oder ein Server, der als Client fungiert, eine Verbindung zur DB-Instanz herstellt. Wenn eine DB-Instance einen Datenbanklink verwendet, fungiert sie als Client.
|
|
|
|
Eine Liste der vom Client verwendeten Verschlüsselungsalgorithmen. Der Client verwendet jeden Algorithmus der Reihe nach, um zu versuchen, die Servereingabe zu entschlüsseln, bis ein Algorithmus erfolgreich oder das Ende der Liste erreicht ist. Amazon RDS verwendet die folgende Standardliste von Oracle. RDS beginnt mit
Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein Dieser Parameter und |
|
|
|
Eine Liste der von der DB-Instance verwendeten Verschlüsselungsalgorithmen. Die DB-Instance nutzt die einzelnen Algorithmen (der Reihe nach), um die vom Client stammenden Daten zu entschlüsseln, bis ein Algorithmus zum Erfolg führt oder das Ende der Liste erreicht ist. Amazon RDS verwendet die folgende Standardliste von Oracle. Sie können die Reihenfolge ändern oder die Algorithmen einschränken, die der Kunde akzeptieren wird.
Sie können entweder einen Wert oder eine durch Kommas getrennte Werteliste angeben. Wenn Sie ein Komma verwenden, fügen Sie kein Leerzeichen nach dem Komma ein, andernfalls wird ein Dieser Parameter und |
Die Option NATIVE_NETWORK_ENCRYPTION wird hinzugefügt
Das allgemeine Verfahren zum Hinzufügen der NATIVE_NETWORK_ENCRYPTION
Option zu einer DB-Instance ist wie folgt:
Erstellen Sie eine neue Optionsgruppe oder kopieren oder ändern Sie eine bestehende Optionsgruppe.
Hinzufügen der Option zur Optionsgruppe.
Ordnen Sie die Optionsgruppe der DB-Instance zu.
Wenn die Optionsgruppe aktiv ist, ist NNE aktiv.
Um die Option NATIVE_NETWORK_ENCRYPTION zu einer DB-Instance hinzuzufügen, verwenden Sie den AWS Management Console
-
Wählen Sie im Feld Engine die Oracle-Edition aus, die Sie verwenden möchten. NNE wird in allen Editionen unterstützt.
-
Wählen Sie für Major Engine Version (Engine-Hauptversion) die Version Ihrer DB-Instance aus.
Weitere Informationen finden Sie unter Erstellen einer Optionsgruppe.
-
Fügen Sie die Option NATIVE_NETWORK_ENCRYPTION der Optionsgruppe hinzu. Weitere Informationen über das Hinzufügen von Optionen finden Sie unter Hinzufügen einer Option zu einer Optionsgruppe.
Anmerkung
Nachdem Sie die Option NATIVE_NETWORK_ENCRYPTION hinzugefügt haben, müssen Sie Ihre DB-Instances nicht neu starten. Sobald die Optionsgruppe aktiv ist, ist auch NNE aktiv.
-
Ordnen Sie die Optionsgruppe einer neuen oder bestehenden DB-Instance zu:
-
Einer neuen DB-Instance wird die Optionsgruppe beim Starten der Instance zugewiesen. Weitere Informationen finden Sie unter Erstellen einer Amazon RDS-DB-Instance.
-
Bei einer bestehenden DB-Instance weisen Sie die Optionsgruppe zu, indem Sie die Instance ändern und die neue Optionsgruppe anhängen. Nachdem Sie die Option NATIVE_NETWORK_ENCRYPTION hinzugefügt haben, müssen Sie Ihre DB-Instance nicht neu starten. Sobald die Optionsgruppe aktiv ist, ist auch NNE aktiv. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.
-
Einstellen von NNE-Werten in der sqlnet.ora
Mit der nativen Netzwerkverschlüsselung von Oracle können Sie die Netzwerkverschlüsselung sowohl auf der Server- als auch auf der Client-Seite einstellen. Der Client ist der Computer, mit dem eine Verbindung zur DB-Instance hergestellt wird. Sie können die folgenden Client-Einstellungen in slqnet.ora festlegen:
-
SQLNET.ALLOW_WEAK_CRYPTO
-
SQLNET.ALLOW_WEAK_CRYPTO_CLIENTS
-
SQLNET.CRYPTO_CHECKSUM_CLIENT
-
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
-
SQLNET.ENCRYPTION_CLIENT
-
SQLNET.ENCRYPTION_TYPES_CLIENT
Weitere Informationen finden Sie unter Configuring Network Data Encryption and Integrity for Oracle Servers and Clients
Manchmal lehnt die DB-Instance eine Verbindungsanfrage von einer Anwendung ab. Beispielsweise kann eine Ablehnung auftreten, wenn die Verschlüsselungsalgorithmen auf dem Client und auf dem Server nicht übereinstimmen. Um die Oracle-eigene Netzwerkverschlüsselung zu testen, fügen Sie die folgenden Zeilen in die Datei sqlnet.ora auf dem Client ein:
DIAG_ADR_ENABLED=off TRACE_DIRECTORY_CLIENT=/tmp TRACE_FILE_CLIENT=nettrace TRACE_LEVEL_CLIENT=16
Wenn eine Verbindung versucht wird, erzeugen die vorangehenden Zeilen eine Trace-Datei auf dem Client mit der Bezeichnung /tmp/nettrace*
. Die Trace-Datei enthält Informationen zur Verbindung. Weitere Informationen zu verbindungsbezogenen Problemen bei der Verwendung von Oracle Native Network Encryption finden Sie unter About Negotiating Encryption and Integrity
Ändern der Optionseinstellungen für NATIVE_NETWORK_ENCRYPTION
Nachdem Sie die Option NATIVE_NETWORK_ENCRYPTION
aktiviert haben, können Sie ihre Einstellungen ändern. Derzeit können Sie NATIVE_NETWORK_ENCRYPTION
Optionseinstellungen nur mit der oder der RDS-API ändern. AWS CLI Die Konsole können Sie nicht verwenden. Im folgenden Beispiel werden zwei Einstellungen in der Option geändert.
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
Weitere Informationen über das Ändern von Optionseinstellungen über die CLI finden Sie unter AWS CLI. Weitere Informationen zu den einzelnen Einstellungen finden Sie unter Einstellungen der Option NATIVE_NETWORK_ENCRYPTION.
Ändern von CRYPTO_CHECKSUM_*-Werten
Wenn Sie die Optionseinstellungen von NATIVE_NETWORK_ENCRYPTION ändern, stellen Sie sicher, dass die folgenden Optionseinstellungen mindestens eine gemeinsame Chiffre haben:
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
-
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
Das folgende Beispiel zeigt ein Szenario, in dem Sie SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
ändern. Die Konfiguration ist gültig, da CRYPTO_CHECKSUM_TYPES_CLIENT
und CRYPTO_CHECKSUM_TYPES_SERVER
beide SHA256
verwenden.
Optionseinstellung | Werte vor Änderung | Werte nach Änderung |
---|---|---|
|
|
Keine Änderung |
|
|
SHA1,MD5,SHA256 |
Nehmen Sie für ein anderes Beispiel an, dass SieSQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
von der Standardeinstellung aufSHA1,MD5
aus. Stellen Sie in diesem Fall sicher, dass SieSQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
aufSHA1
oderMD5
aus. Diese Algorithmen sind nicht in den Standardwerten fürSQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
aus.
Ändern der Einstellungen von ALLOW_WEAK_CRYPTO*
Um die SQLNET.ALLOW_WEAK_CRYPTO*
-Optionen vom Standardwert auf FALSE
festzulegen, stellen Sie sicher, dass die folgenden Bedingungen erfüllt sind:
-
SQLNET.ENCRYPTION_TYPES_SERVER
undSQLNET.ENCRYPTION_TYPES_CLIENT
haben eine passende sichere Verschlüsselungsmethode. Eine Methode gilt als sicher, wenn sie nichtDES
,3DES
, oderRC4
(alle Schlüssellängen) ist. -
SQLNET.CHECKSUM_TYPES_SERVER
undSQLNET.CHECKSUM_TYPES_CLIENT
haben eine passende sichere Prüfsummierungs-Methode. Eine Methode gilt als sicher, wenn sie nichtMD5
ist. -
Der Kunde wird mit dem Netzteil vom Juli 2021 gepatcht. Wenn der Client nicht gepatcht ist, verliert der Client die Verbindung und erhält den
ORA-12269
-Fehler.
Das folgende Beispiel zeigt Beispiel-NNE-Einstellungen. Angenommen, Sie möchten SQLNET.ENCRYPTION_TYPES_SERVER
und SQLNET.ENCRYPTION_TYPES_CLIENT
auf FALSE festlegen und dadurch unsichere Verbindungen blockieren. Die Einstellungen der Prüfsummenoption erfüllen die Voraussetzungen, da beide SHA256
haben. Allerdings. benutzen SQLNET.ENCRYPTION_TYPES_CLIENT
und SQLNET.ENCRYPTION_TYPES_SERVER
die DES
-, 3DES
-, und RC4
-Verschlüsselungsmethoden, die nicht sicher sind. Um die SQLNET.ALLOW_WEAK_CRYPTO*
-Optionen auf FALSE
festzulegen, setzen Sie daher zuerst SQLNET.ENCRYPTION_TYPES_SERVER
und SQLNET.ENCRYPTION_TYPES_CLIENT
auf eine sichere Verschlüsselungsmethode wie AES256
.
Optionseinstellung | Werte |
---|---|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|
Die Option NATIVE_NETWORK_ENCRYPTION wird entfernt
Sie können NNE aus einer DB-Instance entfernen.
Führen Sie eine der folgenden Maßnahmen durch, um die NATIVE_NETWORK_ENCRYPTION
-Option aus einer DB-Instance zu entfernen:
-
Um die Option aus mehreren DB-Instances zu entfernen, entfernen Sie die
NATIVE_NETWORK_ENCRYPTION
Option aus der Optionsgruppe, zu der sie gehören. Diese Änderung wirkt sich auf alle DB-Instances aus, welche die betreffende Optionsgruppe verwenden. Nachdem Sie dieNATIVE_NETWORK_ENCRYPTION
Option entfernt haben, müssen Sie Ihre DB-Instances nicht neu starten. Weitere Informationen finden Sie unter Entfernen einer Option aus einer Optionsgruppe. -
Um die Option aus einer einzelnen DB-Instance zu entfernen, ändern Sie die DB-Instance und geben Sie eine andere Optionsgruppe an, die die
NATIVE_NETWORK_ENCRYPTION
Option nicht enthält. Sie können die (leere) Standardoptionsgruppe oder eine andere benutzerdefinierte Optionsgruppe angeben. Nachdem Sie dieNATIVE_NETWORK_ENCRYPTION
-Option entfernt haben, müssen Sie Ihre DB-Instance nicht neu starten. Weitere Informationen finden Sie unter Ändern einer Amazon RDS-DB-Instance.