Oracle Secure Sockets Layer - Amazon Relational Database Service

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Oracle Secure Sockets Layer

Um die SSL Verschlüsselung RDS für eine Oracle-DB-Instance zu aktivieren, fügen Sie die SSL Oracle-Option der Optionsgruppe hinzu, die der DB-Instance zugeordnet ist. Amazon RDS verwendet einen zweiten Port, wie von Oracle gefordert, für SSL Verbindungen. Dieser Ansatz ermöglicht die gleichzeitige Kommunikation zwischen einer DB-Instance und SQL *Plus sowohl im Klartext als auch in SSL verschlüsselter Form. Sie können beispielsweise den Port mit Klartext-Kommunikation verwenden, um mit anderen Ressourcen innerhalb von zu kommunizieren, VPC während Sie den Port mit SSL -verschlüsselter Kommunikation für die Kommunikation mit Ressourcen außerhalb von verwenden. VPC

Anmerkung

Sie können entweder SSL oder Native Network Encryption (NNE) auf derselben RDS Oracle-DB-Instance verwenden, aber nicht beide. Wenn Sie SSL Verschlüsselung verwenden, stellen Sie sicher, dass Sie alle anderen Verbindungsverschlüsselungen ausschalten. Weitere Informationen finden Sie unter Oracle Native Network Encryption.

SSL/TLSund NNE sind nicht mehr Teil von Oracle Advanced Security. In RDS Oracle können Sie SSL Verschlüsselung mit allen lizenzierten Editionen der folgenden Datenbankversionen verwenden:

  • Oracle Database 21c (21.0.0)

  • Oracle Database 19c (19.0.0)

TLSVersionen für die SSL Oracle-Option

Amazon RDS for Oracle unterstützt die Transport Layer Security (TLS) Versionen 1.0 und 1.2. Wenn Sie eine neue SSL Oracle-Option hinzufügen, legen Sie diese SQLNET.SSL_VERSION explizit auf einen gültigen Wert fest. Die folgenden Werte sind für diese Optionseinstellung zulässig:

  • "1.0"— Clients können nur mit TLS Version 1.0 eine Verbindung zur DB-Instance herstellen. SQLNET.SSL_VERSIONIst für bestehende SSL Oracle-Optionen auf "1.0" automatisch gesetzt. Sie können die Einstellung bei Bedarf ändern.

  • "1.2"— Clients können nur mit TLS 1.2 eine Verbindung zur DB-Instance herstellen.

  • "1.2 or 1.0"— Clients können entweder mit TLS 1.2 oder 1.0 eine Verbindung zur DB-Instance herstellen.

Cipher Suites für die Oracle-Option SSL

Amazon RDS for Oracle unterstützt mehrere SSL Cipher Suites. Standardmäßig ist die SSL Oracle-Option für die Verwendung der SSL_RSA_WITH_AES_256_CBC_SHA Cipher Suite konfiguriert. Verwenden Sie die Optionseinstellung, um eine andere Verschlüsselungssuite für SSL Verbindungen anzugeben. SQLNET.CIPHER_SUITE

Sie können mehrere Werte für angeben. SQLNET.CIPHER_SUITE Diese Technik ist nützlich, wenn Sie Datenbanklinks zwischen Ihren DB-Instances haben und beschließen, Ihre Cipher Suites zu aktualisieren.

In der folgenden Tabelle wird die SSL Unterstützung RDS für Oracle in allen Editionen von Oracle Database 19c und 21c zusammengefasst.

Verschlüsselungssuite (. SQLNET CIPHER_) SUITE TLSVersionsunterstützung (SQLNET. SSL_VERSION) FIPSunterstützen RAMPFed-konform
SSL_ RSA _ WITH _ AES _256_ CBC _ SHA (Standard) 1.0 und 1.2 Ja Nein
SSL_ _ _ RSA _256_ WITH _ AES CBC SHA256 1.2 Ja Nein
SSL_ _ _ RSA _256_ WITH _ AES GCM SHA384 1.2 Ja Nein
TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES GCM SHA384 1.2 Ja Ja
TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES GCM SHA256 1.2 Ja Ja
TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES CBC SHA384 1.2 Ja Ja
TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES CBC SHA256 1.2 Ja Ja
TLS_ _ _ ECDHE _ RSA _256_ WITH _ AES CBC SHA 1.2 Ja Ja
TLS_ _ _ ECDHE _ RSA _128_ WITH _ AES CBC SHA 1.2 Ja Ja

FIPSunterstützen

RDSfür Oracle ermöglicht es Ihnen, den Federal Information Processing Standard (FIPS) -Standard für 140-2 zu verwenden. FIPS140-2 ist ein Regierungsstandard der Vereinigten Staaten, der Sicherheitsanforderungen für kryptografische Module definiert. Sie aktivieren den FIPS Standard, indem Sie TRUE für die FIPS.SSLFIPS_140 Oracle-Option auf setzen. SSL Wenn FIPS 140-2 für konfiguriert istSSL, verschlüsseln die kryptografischen Bibliotheken Daten zwischen dem Client und der RDS Oracle-DB-Instance.

Clients müssen die Cipher Suite verwenden, die -konform ist. FIPS Beim Aufbau einer Verbindung handeln der Client und die Oracle-DB-Instance aus, welche Cipher Suite RDS für die Hin- und Herübertragung von Nachrichten verwendet werden soll. Die Tabelle in Cipher Suites für die Oracle-Option SSL zeigt die FIPS -konformen SSL Cipher Suites für jede Version. TLS Weitere Informationen finden Sie unter Oracle Database FIPS 140-2-Einstellungen in der Oracle Database-Dokumentation.