Transparente Datenverschlüsselung der Oracle-Datenbank (TDE) mit AWS CloudHSM - AWS CloudHSM
Einrichten der VoraussetzungenSchritt 3: Generieren Sie den TDE Oracle-Master-Verschlüsselungsschlüssel

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Transparente Datenverschlüsselung der Oracle-Datenbank (TDE) mit AWS CloudHSM

Transparente Datenverschlüsselung (TDE) wird verwendet, um Datenbankdateien zu verschlüsseln. Mithilfe von Datenbanksoftware werden Daten verschlüsseltTDE, bevor sie auf der Festplatte gespeichert werden. Die Daten in den Tabellenspalten oder Tablespaces der Datenbank werden mit einem Tabellenschlüssel oder einem Tablespace-Schlüssel verschlüsselt. Einige Versionen der Datenbanksoftware von Oracle bietenTDE. In Oracle TDE werden diese Schlüssel mit einem TDE Master-Verschlüsselungsschlüssel verschlüsselt. Sie können mehr Sicherheit erreichen, indem Sie den TDE Master-Verschlüsselungsschlüssel HSMs in Ihrem AWS CloudHSM Cluster speichern.

Speichern Sie den TDE Oracle-Master-Verschlüsselungsschlüssel in AWS CloudHSM.

In dieser Lösung verwenden Sie Oracle Database, die auf einer EC2 Amazon-Instance installiert ist. Oracle Database ist in die AWS CloudHSM Softwarebibliothek für PKCS #11 integriert, um den TDE Hauptschlüssel HSMs in Ihrem Cluster zu speichern.

Wichtig

  • Wir empfehlen, Oracle Database auf einer EC2 Amazon-Instance zu installieren.

Führen Sie die folgenden Schritte aus, um die TDE Oracle-Integration mit durchzuführen AWS CloudHSM.

Schritt 1. Richten Sie die Voraussetzungen ein

Um die TDE Oracle-Integration mit durchzuführen AWS CloudHSM, benötigen Sie Folgendes:

  • Ein aktiver AWS CloudHSM Cluster mit mindestens einemHSM.

  • Eine EC2 Amazon-Instance, auf der das Amazon Linux-Betriebssystem ausgeführt wird und die folgende Software installiert ist:

    • Der AWS CloudHSM Client und die Befehlszeilentools.

    • Die AWS CloudHSM Softwarebibliothek für PKCS #11.

    • Oracle-Datenbank. AWS CloudHSM unterstützt die TDE Oracle-Integration. Client SDK 5.6 und höher unterstützen Oracle TDE für Oracle Database 19c. Client SDK 3 unterstützt Oracle TDE für Oracle Database-Versionen 11g und 12c.

  • Ein kryptografischer Benutzer (CU), der den TDE Master-Verschlüsselungsschlüssel HSMs in Ihrem Cluster besitzt und verwaltet.

Führen Sie zum Einrichten aller Voraussetzungen die folgenden Schritte aus.

Um die Voraussetzungen für die TDE Oracle-Integration mit einzurichten AWS CloudHSM

  1. Führen Sie die Schritte unter Erste Schritte aus. Nachdem Sie dies getan haben, haben Sie einen aktiven Cluster mit einemHSM. Sie werden auch über eine EC2 Amazon-Instance verfügen, auf der das Amazon Linux-Betriebssystem ausgeführt wird. Die AWS CloudHSM Client- und Befehlszeilentools werden ebenfalls installiert und konfiguriert.

  2. (Optional) Fügen Sie Ihrem Cluster weitere HSMs hinzu. Weitere Informationen finden Sie unter Zu einem HSM AWS CloudHSM Cluster hinzufügen.

  3. Connect zu Ihrer EC2 Amazon-Client-Instance her und gehen Sie wie folgt vor:

    1. Installieren Sie die AWS CloudHSM Softwarebibliothek für PKCS #11.

    2. Installieren Sie Oracle Database. Weitere Informationen finden Sie in der Oracle Database-Dokumentation. Client SDK 5.6 und höher unterstützen Oracle TDE für Oracle Database 19c. Client SDK 3 unterstützt Oracle TDE für Oracle Database-Versionen 11g und 12c.

    3. Verwenden Sie zum Erstellen eines Crypto-Benutzers (CU) in Ihrem Cluster das Befehlszeilen-Tool cloudhsm_mgmt_util. Weitere Informationen zum Erstellen einer CU finden Sie unter How to Manage HSM Users with CMU and. HSMBenutzer

Schritt 3: Generieren Sie den TDE Oracle-Master-Verschlüsselungsschlüssel

Um den TDE Oracle-Masterschlüssel auf dem HSMs in Ihrem Cluster zu generieren, führen Sie die Schritte im folgenden Verfahren aus.

So generieren Sie den Masterschlüssel

  1. Verwenden Sie den folgenden Befehl, um Oracle SQL *Plus zu öffnen. Geben Sie, wenn Sie dazu aufgefordert werden, das Systempasswort ein, das Sie beim Installieren von Oracle Database festgelegt haben. 

    sqlplus / as sysdba
    Anmerkung

    Für Client SDK 3 müssen Sie die CLOUDHSM_IGNORE_CKA_MODIFIABLE_FALSE Umgebungsvariable jedes Mal festlegen, wenn Sie einen Hauptschlüssel generieren. Diese Variable wird nur für die Generierung des Masterschlüssels benötigt. Weitere Informationen finden Sie unter „Problem: Oracle legt das PCKS #11 -Attribut CKA_MODIFIABLE bei der Generierung des Hauptschlüssels fest, unterstützt es aber HSM nicht“ in Bekannte Probleme bei der Integration von Drittanbieteranwendungen.

  2. Führen Sie die SQL Anweisung aus, die den Master-Verschlüsselungsschlüssel erstellt, wie in den folgenden Beispielen gezeigt. Verwenden Sie die Anweisung, die Ihrer Version von Oracle Database entspricht. Ersetzen <CU user name> mit dem Benutzernamen des kryptografischen Benutzers (CU). Ersetzen <password> mit dem CU-Passwort.

    Wichtig

    Führen Sie einmalig den folgenden Befehl aus. Jedes Mal, wenn der Befehl ausgeführt wird, wird ein neuer Master-Verschlüsselungsschlüssel erstellt.

    • Führen Sie für Oracle Database Version 11 die folgende SQL Anweisung aus.

      SQL> alter system set encryption key identified by "<CU user name>:<password>";

    • Führen Sie für Oracle Database Version 12 und Version 19c die folgende SQL Anweisung aus.

      SQL> administer key management set key identified by "<CU user name>:<password>";

    Wenn die Antwort System altered oder lautetkeystore altered, haben Sie erfolgreich den Hauptschlüssel für Oracle TDE generiert und festgelegt.

  3. (Optional) Führen Sie den folgenden Befehl aus, um den Status von Oracle Wallet zu verifizieren.

    SQL> select * from v$encryption_wallet;

    Ist das Wallet nicht geöffnet, öffnen Sie es mit einem der folgenden Befehle. Ersetzen <CU user name> mit dem Namen des kryptografischen Benutzers (CU). Ersetzen <password> mit dem CU-Passwort.

    • Führen Sie für Oracle 11 zum Öffnen des Wallet den folgenden Befehl aus.

      SQL> alter system set encryption wallet open identified by "<CU user name>:<password>";

      Führen Sie zum manuellen Schließen des Wallet den folgenden Befehl aus.

      SQL> alter system set encryption wallet close identified by "<CU user name>:<password>";

    • Bei Oracle 12 und Oracle 19c führen Sie den folgenden Befehl aus, um die Brieftasche zu öffnen.

      SQL> administer key management set keystore open identified by "<CU user name>:<password>";

      Führen Sie zum manuellen Schließen des Wallet den folgenden Befehl aus.

      SQL> administer key management set keystore close identified by "<CU user name>:<password>";