Lapisan Soket Aman Oracle - Layanan Basis Data Relasional Amazon
TLSversiCipher suite untuk SSLFIPSdukungan untuk SSL

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Lapisan Soket Aman Oracle

Untuk mengaktifkan SSL enkripsi RDS untuk instance Oracle DB, tambahkan opsi Oracle ke grup SSL opsi yang terkait dengan instans DB. Amazon RDS menggunakan port kedua, seperti yang dipersyaratkan oleh Oracle, untuk SSL koneksi. Pendekatan ini memungkinkan teks yang jelas dan komunikasi SSL -terenkripsi terjadi pada saat yang sama antara instans DB dan *Plus. SQL Misalnya, Anda dapat menggunakan port dengan komunikasi teks yang jelas untuk berkomunikasi dengan sumber daya lain di dalam VPC sementara menggunakan port dengan komunikasi SSL -terenkripsi untuk berkomunikasi dengan sumber daya di luar. VPC

catatan

Anda dapat menggunakan salah satu SSL atau Native Network Encryption (NNE) yang sama RDS untuk instance Oracle DB, tetapi tidak keduanya. Jika Anda menggunakan SSL enkripsi, pastikan untuk mematikan enkripsi koneksi lainnya. Untuk informasi selengkapnya, lihat Enkripsi jaringan asli Oracle.

SSL/TLSdan tidak lagi NNE menjadi bagian dari Oracle Advanced Security. RDSUntuk Oracle, Anda dapat menggunakan SSL enkripsi dengan semua edisi berlisensi dari versi database berikut:

  • Oracle Database 21c (21.0.0)

  • Oracle Database 19c (19.0.0)

Topik

TLSversi untuk opsi Oracle SSL

Amazon RDS untuk Oracle mendukung Transport Layer Security (TLS) versi 1.0 dan 1.2. Saat Anda menambahkan SSL opsi Oracle baru, atur SQLNET.SSL_VERSION secara eksplisit ke nilai yang valid. Nilai-nilai berikut diizinkan untuk pengaturan opsi ini:

  • "1.0"— Klien dapat terhubung ke instans DB menggunakan TLS versi 1.0 saja. Untuk SSL opsi Oracle yang ada, SQLNET.SSL_VERSION diatur ke "1.0" secara otomatis. Anda dapat mengubah pengaturan bila diperlukan.

  • "1.2"— Klien dapat terhubung ke instans DB hanya menggunakan TLS 1.2.

  • "1.2 or 1.0"— Klien dapat terhubung ke instans DB menggunakan TLS 1.2 atau 1.0.

Cipher suite untuk opsi Oracle SSL

Amazon RDS untuk Oracle mendukung beberapa SSL cipher suite. Secara default, SSL opsi Oracle dikonfigurasi untuk menggunakan SSL_RSA_WITH_AES_256_CBC_SHA cipher suite. Untuk menentukan cipher suite yang berbeda untuk digunakan melalui SSL koneksi, gunakan pengaturan SQLNET.CIPHER_SUITE opsi.

Anda dapat menentukan beberapa nilai untukSQLNET.CIPHER_SUITE. Teknik ini berguna jika Anda memiliki link database antara instans DB Anda dan memutuskan untuk memperbarui cipher suite Anda.

Tabel berikut merangkum SSL dukungan RDS untuk Oracle di semua edisi Oracle Database 19c dan 21c.

Suite Cipher (. SQLNET CIPHER_SUITE) TLSdukungan versi (SQLNET. SSL_VERSION) FIPSdukungan RAMPPatuh Fed
SSL_ _ RSA WITH _ AES _256_ CBC _ SHA (default) 1.0 dan 1.2 Ya Tidak
SSL_ _ RSA WITH _ AES CBC _256_ _ SHA256 1.2 Ya Tidak
SSL_ _ RSA WITH _ AES GCM _256_ _ SHA384 1.2 Ya Tidak
TLS_ _ ECDHE _ RSA WITH _ AES GCM _256_ _ SHA384 1.2 Ya Ya
TLS_ _ ECDHE _ RSA WITH _ AES GCM _128_ _ SHA256 1.2 Ya Ya
TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA384 1.2 Ya Ya
TLS_ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA256 1.2 Ya Ya
TLS_ _ ECDHE _ RSA WITH _ AES CBC _256_ _ SHA 1.2 Ya Ya
TLS_ _ ECDHE _ RSA WITH _ AES CBC _128_ _ SHA 1.2 Ya Ya

FIPSdukungan

RDSuntuk Oracle memungkinkan Anda untuk menggunakan standar Federal Information Processing Standard (FIPS) untuk 140-2. FIPS140-2 adalah standar pemerintah Amerika Serikat yang mendefinisikan persyaratan keamanan modul kriptografi. Anda mengaktifkan FIPS standar dengan mengatur FIPS.SSLFIPS_140 TRUE untuk SSL opsi Oracle. Ketika FIPS 140-2 dikonfigurasi untukSSL, pustaka kriptografi mengenkripsi data antara klien dan instance untuk Oracle DB. RDS

Klien harus menggunakan cipher suite yang -compliant. FIPS Saat membuat koneksi, klien dan RDS untuk instans Oracle DB menegosiasikan cipher suite mana yang akan digunakan saat mengirimkan pesan bolak-balik. Tabel di Cipher suite untuk opsi Oracle SSL menunjukkan suite SSL cipher FIPS -compliant untuk setiap versi. TLS Untuk informasi selengkapnya, lihat pengaturan database Oracle FIPS 140-2 dalam dokumentasi Oracle Database.