Capa de conexión segura de Oracle
A fin de habilitar el cifrado SSL para una instancia de base de datos de RDS para Oracle, añada la opción Oracle SSL al grupo de opciones asociado a la instancia de base de datos. Amazon RDS utiliza un segundo puerto, según lo requiera Oracle, para las conexiones SSL. Este enfoque permite que se produzca la comunicación cifrada de SSL y de texto sin cifrar al mismo tiempo entre una instancia de base de datos y SQL*Plus. Por ejemplo, es posible utilizar el puerto con la comunicación de texto sin cifrar para ponerse en contacto con otros recursos dentro de una VPC mientras se utiliza el puerto con comunicación cifrada SSL para ponerse en contacto con recursos situados fuera de la VPC.
nota
Se puede utilizar SSL o Native Network Encryption (NNE) en la misma instancia de base de datos de RDS para Oracle, pero no ambos. Si se utiliza el cifrado SSL, se debe desactivar cualquier otro cifrado de conexión. Para obtener más información, consulte Oracle Native Network Encryption.
SSL/TLS y NNE ya no forman parte de Oracle Advanced Security. En RDS para Oracle, el cifrado SSL puede utilizarse con las ediciones con licencia de las siguientes versiones:
-
Oracle Database 21c (21.0.0)
-
Oracle Database 19c (19.0.0)
Temas
- Versiones de TLS para la opción Oracle SSL
- Conjuntos de cifrado para la opción Oracle SSL
- Compatibilidad FIPS
- Adición de la opción SSL
- Configuración de SQL*Plus para utilizar SSL con una instancia de base de datos de RDS para Oracle
- Conexión a una instancia de base de datos de RDS para Oracle mediante SSL
- Configuración de una conexión SSL a través de JDBC
- Obligatoriedad de la coincidencia del DN con una conexión SSL
- Solución de problemas de las conexiones SSL
Versiones de TLS para la opción Oracle SSL
Amazon RDS para Oracle supports Transport Layer Security (TLS) versiones 1.0 y 1.2. Cuando añada una nueva opción Oracle SSL, establezca SQLNET.SSL_VERSION explícitamente en un valor válido. Los siguientes valores están permitidos para esta continuación de opciones:
-
"1.0": los clientes pueden conectarse a la instancia de base de datos utilizando TLS versión 1.0 solo. Para las opciones de Oracle SSL existentes,SQLNET.SSL_VERSIONse establece en"1.0"automáticamente. Puede cambiar la configuración si es necesario. -
"1.2": los clientes pueden conectarse a la instancia de base de datos utilizando TLS 1.2 solo. -
"1.2 or 1.0": los clientes pueden conectarse a la instancia de base de datos utilizando TLS 1.2 o 1.0.
Conjuntos de cifrado para la opción Oracle SSL
Amazon RDS para Oracle es compatible con múltiples conjuntos de cifrado SSL. De manera predeterminada, la opción Oracle SSL está configurada para utilizar el conjunto de cifrado SSL_RSA_WITH_AES_256_CBC_SHA. Para especificar un conjunto de cifrado diferente para utilizarlo en las conexiones SSL, utilice la configuración de opciones SQLNET.CIPHER_SUITE.
Puede especificar varios valores para SQLNET.CIPHER_SUITE. Esta técnica resulta útil si tiene enlaces de bases de datos entre sus instancias de base de datos y decide actualizar los conjuntos de cifrado.
En la siguiente tabla se resume la compatibilidad de SSL para RDS para Oracle en todas las ediciones de Oracle Database 19c y 21c.
| Conjunto de cifrado (SQLNET.CIPHER_SUITE) | Compatibilidad de la versión de TLS (SQLNET.SSL_VERSION) | Compatibilidad FIPS | Conforme con FedRAMP |
|---|---|---|---|
| SSL_RSA_WITH_AES_256_CBC_SHA (predeterminado) | 1.0 y 1.2 | Sí | No |
| SSL_RSA_WITH_AES_256_CBC_SHA256 | 1.2 | Sí | No |
| SSL_RSA_WITH_AES_256_GCM_SHA384 | 1.2 | Sí | No |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 | 1.2 | Sí | Sí |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 | 1.2 | Sí | Sí |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 | 1.2 | Sí | Sí |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 | 1.2 | Sí | Sí |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 1.2 | Sí | Sí |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 1.2 | Sí | Sí |
Compatibilidad FIPS
RDS para Oracle le permite usar el estándar federal de procesamiento de la información (FIPS) para 140-2. FIPS 140-2 es un estándar del gobierno estadounidense que define los requisitos de seguridad de los módulos criptográficos. Para activar el estándar FIPS, establezca el valor FIPS.SSLFIPS_140 en TRUE para la opción SSL de Oracle. Cuando FIPS 140-2 se configura para SSL, las bibliotecas criptográficas cifran los datos entre el cliente y la instancia de base de datos de RDS para Oracle.
Los clientes deben usar el conjunto de cifrado compatible con FIPS. Al establecer una conexión, el cliente y la instancia de base de datos de RDS para Oracle negocian qué conjunto de cifrado utilizar al transmitir mensajes entre ellos. La tabla en Conjuntos de cifrado para la opción Oracle SSL muestra los conjuntos de cifrado SSL compatibles con FIPS para cada versión de TLS. Para obtener más información, consulte Oracle Database FIPS 140-2 Settings
