NATIVE_NETWORK_ENCRYPTION 옵션 설정 수정
NATIVE_NETWORK_ENCRYPTION
옵션을 활성화한 후 해당 설정을 수정할 수 있습니다. 현재는 AWS CLI 또는 RDS API로만 NATIVE_NETWORK_ENCRYPTION
옵션 설정을 수정할 수 있습니다. 콘솔은 사용할 수 없습니다. 다음 예제에서는 옵션의 두 가지 설정을 수정합니다.
aws rds add-option-to-option-group \ --option-group-name my-option-group \ --options "OptionName=NATIVE_NETWORK_ENCRYPTION,OptionSettings=[{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256},{Name=SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER,Value=SHA256}]" \ --apply-immediately
CLI를 사용하여 옵션 설정을 수정하는 방법은 AWS CLI 섹션을 참조하세요. 각 설정에 대한 자세한 내용은 NATIVE_NETWORK_ENCRYPTION 옵션 설정 단원을 참조하십시오.
CRYPTO_CHECKSUM_* 값 수정
NATIVE_NETWORK_ENCRYPTION 옵션 설정을 수정하는 경우 다음 옵션 설정에 공통 암호가 하나 이상 있어야 합니다.
-
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
-
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
다음 예제에서는 SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
를 수정한 시나리오를 보여줍니다. 구성은 CRYPTO_CHECKSUM_TYPES_CLIENT
및 CRYPTO_CHECKSUM_TYPES_SERVER
가 모두 SHA256
을 사용해서 유효합니다.
옵션 설정 | 수정 전 값 | 수정 후 값 |
---|---|---|
|
|
변경 사항이 없습니다 |
|
|
SHA1,MD5,SHA256 |
또 다른 예를 들어, SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER
을(를) 기본 설정에서 SHA1,MD5
(으)로 수정하려고 한다고 가정합니다. 이 경우 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
을(를) SHA1
또는 MD5
(으)로 설정해야 합니다. 이러한 알고리즘은 SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT
에 대한 기본값에 포함되지 않습니다.
ALLOW_WEAK_CRYPTO* 설정 수정
기본값으로 SQLNET.ALLOW_WEAK_CRYPTO*
옵션을 FALSE
로 설정하려면 다음 조건을 충족하는지 확인하세요.
-
SQLNET.ENCRYPTION_TYPES_SERVER
및SQLNET.ENCRYPTION_TYPES_CLIENT
는 일치하는 보안 암호화 방법이 하나 있습니다.DES
,3DES
또는RC4
가 아닌 경우 방법이 안전한 것으로 간주됩니다(모든 키 길이). -
SQLNET.CHECKSUM_TYPES_SERVER
및SQLNET.CHECKSUM_TYPES_CLIENT
는 일치하는 보안 체크섬 방법이 하나 있습니다.MD5
가 아닌 경우 방법은 안전한 것으로 간주됩니다. -
클라이언트는 2021년 7월 PSU로 패치됩니다. 클라이언트가 패치되지 않은 경우 클라이언트는 연결을 끊고
ORA-12269
오류를 받습니다.
다음 예는 NNE 설정 샘플을 보여줍니다. SQLNET.ENCRYPTION_TYPES_SERVER
및 SQLNET.ENCRYPTION_TYPES_CLIENT
를 FALSE로 설정하려는 경우 비보안 연결을 차단합니다. 체크섬 옵션 설정은 두 가지 모두 SHA256
을 가지고 있어서 필수 구성 요소를 충족합니다. 그러나 SQLNET.ENCRYPTION_TYPES_CLIENT
및 SQLNET.ENCRYPTION_TYPES_SERVER
는 DES
, 3DES
및 RC4
암호화 방법을 사용하여 안전하지 않습니다. 따라서 SQLNET.ALLOW_WEAK_CRYPTO*
옵션이 FALSE
로 설정되면 먼저 SQLNET.ENCRYPTION_TYPES_SERVER
및 SQLNET.ENCRYPTION_TYPES_CLIENT
를 AES256
과 같은 보안 암호화 방법으로 설정합니다.
옵션 설정 | 값 |
---|---|
|
|
|
SHA1,MD5,SHA256 |
|
|
|
|