Cifrado de datos transparente de Oracle
Amazon RDS es compatible con el cifrado de datos transparente (TDE) de Oracle, una característica de la opción Oracle Advanced Security disponible en Oracle Enterprise Edition. Esta característica cifra automáticamente los datos antes de que se escriban en el sistema de almacenamiento y los descifra automáticamente cuando se leen. Esta opción solo se admite el modelo “traiga su propia licencia” (BYOL).
El TDE es útil en situaciones en las que es necesario cifrar información confidencial por si un tercero obtiene los archivos de datos y las copias de seguridad. El TDE también es útil cuando se necesita cumplir con las normas relacionadas con la seguridad.
Esta guía no tiene el propósito de ofrecerle una descripción detallada del TDE en Oracle Database. Para obtener información, consulte los siguientes recursos de Oracle Database:
-
Introducción al cifrado de datos transparente
en la documentación de Oracle Database -
Oracle advanced security
en la documentación de Oracle Database -
Oracle advanced security Transparent Data Encryption best practices
, que es un documento técnico de Oracle
Para obtener más información acerca del uso del TDE con RDS para Oracle, consulte los siguientes blogs:
Modos de cifrado de TDE
El cifrado de datos transparente de Oracle admite dos modos de cifrado: el cifrado de espacios de tabla de TDE y el cifrado de columnas de TDE. El cifrado de espacios de tabla de TDE se utiliza para cifrar tablas de aplicaciones completas. El cifrado de columnas de TDE se utiliza para cifrar elementos de datos individuales que contienen información confidencial. También es posible aplicar una solución de cifrado híbrida que utilice tanto el cifrado de espacios de tabla como el cifrado de columnas de TDE.
nota
Amazon RDS administra la clave maestra de TDE y de Oracle Wallet para la instancia de base de datos. No es necesario configurar la clave de cifrado con el comando ALTER SYSTEM set encryption
key
.
Una vez activada la opción TDE
, puede comprobar el estado del wallet de Oracle mediante el siguiente comando:
SELECT * FROM v$encryption_wallet;
Para crear un espacio de tabla cifrado, utilice el siguiente comando:
CREATE TABLESPACE encrypt_ts ENCRYPTION DEFAULT STORAGE (ENCRYPT);
Para especificar el algoritmo de cifrado, utilice el comando siguiente:
CREATE TABLESPACE encrypt_ts ENCRYPTION USING 'AES256' DEFAULT STORAGE (ENCRYPT);
Las instrucciones anteriores para cifrar un espacio de tablas son las mismas que se utilizarían en una base de datos de Oracle en las instalaciones.
Restricciones para la opción TDE
La opción TDE es persistente y permanente. Después de asociar su instancia de base de datos con un grupo de opciones que tiene la opción TDE habilitada, no puede realizar las siguientes acciones:
-
Deshabilitar la opción
TDE
en el grupo de opciones actualmente asociado. -
Asociar la instancia de base de datos a un grupo de opciones diferente que no incluya la opción
TDE
. -
Compartir una instantánea de base de datos que utilice la opción
TDE
. Para obtener más información sobre el uso compartido de instantáneas de base de datos, consulte Uso compartido de una instantánea manual de base de datos de Amazon RDS.
Para obtener más información sobre las opciones persistentes y permanentes, consulte Opciones permanentes y persistentes.
Determinación de si su instancia de base de datos utiliza TDE
Puede que quiera determinar si la instancia de base de datos está asociada a un grupo de opciones que tenga la opción TDE
habilitada. Para ver el grupo de opciones al que está asociada una instancia de base de datos, utilice la consola de RDS, el comando describe-db-instance de la AWS CLI o la operación DescribeDBInstances de la API.
Adición de la opción TDE
Para agregar la opción TDE
a su instancia de base de datos, siga los pasos que se describen a continuación:
-
(Recomendado) Cree una instantánea de su instancia de base de datos.
-
Realice una de las siguientes tareas siguientes:
-
Cree un nuevo grupo de opciones desde cero. Para obtener más información, consulte Creación de un grupo de opciones.
-
Copie un grupo de opciones existente con la AWS CLI o la API. Para obtener más información, consulte Copia de un grupo de opciones.
-
Reutilice un grupo de opciones existente que no sea predeterminado. Se recomienda utilizar un grupo de opciones que no esté asociado actualmente a ninguna instancia de base de datos o instantánea.
-
-
Agregue la nueva opción al grupo de opciones del paso anterior.
-
Si el grupo de opciones que está actualmente asociado a la instancia de base de datos tiene opciones habilitadas, agregue estas opciones al nuevo grupo de opciones. Esta estrategia evita que se desinstalen las opciones existentes y, al mismo tiempo, se habilita la nueva opción.
-
Añada el nuevo grupo de opciones a la instancia de base de datos.
Añadido de la opción TDE a un grupo de opciones y asociarla a su instancia de base de datos
-
En la consola de RDS, elija Grupos de opciones.
-
Elija el nombre del grupo de opciones al que desea agregar la opción.
-
Elija Add option (Agregar opción).
-
En Nombre de la opción, elija TDE y, a continuación, configure los ajustes de la opción.
-
Elija Add option (Agregar opción).
importante
Si agrega la opción TDE a un grupo de opciones existente que ya se ha adjuntado a una o varias instancias de base de datos, se producirá una breve interrupción mientras se reinician todas las instancias de base de datos.
Para obtener más información acerca de la adición de opciones, consulte Agregar una opción a un grupo de opciones.
-
Asocie el grupo de opciones a una instancia de base de datos nueva o ya existente:
-
Si se trata de una instancia de base de datos nueva, aplique el grupo de opciones al lanzar la instancia. Para obtener más información, consulte Creación de una instancia de base de datos de Amazon RDS.
-
Para una instancia de base de datos existente, el grupo de opciones se aplica modificando la instancia y asociando el grupo de opciones nuevo. Cuando se agrega la nueva opción a una instancia de base de datos existente, se produce una breve interrupción mientras la instancia de base de datos se reinicia automáticamente. Para obtener más información, consulte Modificación de una instancia de base de datos de Amazon RDS.
-
En el ejemplo siguiente, se usa el comando de la AWS CLI add-option-to-option-group para añadir la opción TDE
a un grupo de opciones llamado myoptiongroup
. Para obtener más información, consulte Introducción: Flink 1.13.2 .
Para Linux, macOS o:Unix
aws rds add-option-to-option-group \ --option-group-name "
myoptiongroup
" \ --options "OptionName=TDE
" \ --apply-immediately
En:Windows
aws rds add-option-to-option-group ^ --option-group-name "
myoptiongroup
" ^ --options "OptionName=TDE
" ^ --apply-immediately
Copia de los datos a una instancia de base de datos que no incluye la opción TDE
No puede eliminar la opción de TDE de una instancia de base de datos ni asociarla a un grupo de opciones que no incluya la opción de TDE. Para migrar los datos a una instancia que no incluya la opción de TDE, haga lo siguiente:
-
Descifre los datos en la instancia de base de datos.
-
Copie los datos en una nueva instancia de base de datos que no esté asociada a un grupo de opciones con la opción
TDE
habilitada. -
Elimine la instancia de base de datos original.
Puede usar para la instancia nueva el mismo nombre que la instancia de base de datos anterior.
Consideraciones al usar TDE con Oracle Data Pump
Puede utilizar Oracle Data Pump para importar o exportar archivos de volcado cifrados. Amazon RDS admite el modo de cifrado de contraseñas (ENCRYPTION_MODE=PASSWORD)
para Oracle Data Pump. Amazon RDS no admite el modo de cifrado transparente (ENCRYPTION_MODE=TRANSPARENT)
para Oracle Data Pump. Para obtener más información, consulte Importación mediante Oracle Data Pump.