■概要
Oracleはデータベースの盗聴、流出対策として、下記の暗号化ソリューションを提供している。
①通信の暗号化
②データファイルの暗号化
③バックアップの暗号化
このメモでは、③のうちData Pumpを使用してバックアップを取得する場合※1について記載する。
※1 他にもRMAN(Recovery Manager)によるバックアップ暗号化も可能である。
■暗号化の対象
暗号化の対象は、ENCRYPTIONオプションで指定することができる。※2
#
|
暗号化の対象
|
パラメータ
|
備考
|
1.
|
・データ(暗号化列を含む)
・メタデータ
・SecureFiles
|
ALL
|
デフォルト
|
2.
|
・データ
|
DATA_ONLY
|
|
3.
|
・暗号化列
|
ENCRYPTED_COLUMN_ONLY
|
|
4.
|
・メタデータ
|
METADATA_ONLY
|
|
5.
|
暗号化しない
|
NONE
|
※2 指定しない場合は、デフォルト(ALLである。NONEではない。)
■暗号化のアルゴリズム
暗号化のアルゴリズム※3は、ENCRYPTION_ALGORITHMオプションでAESの128bit、196bit、256bitから選択できる。
#
|
パラメータ
|
備考
|
1.
|
AES128
|
デフォルト
|
2.
|
AES196
|
|
3.
|
AES256
|
※3 基本的にRMANと同じ。
■鍵
パスワードはENCRYPTION_PASSWORDで指定する。
『透過的暗号化』や『デュアル・モード暗号化』を選択する※4ことで、Wallet※5にある鍵を使うこともできる。
※4 下記の3方式から選択する。
#
|
方式
|
備考
|
1.
|
透過的暗号化
|
Walletの鍵を使用する。
パスワードは指定しなくてよい。
|
2.
|
パスワード暗号化
|
操作の度にパスワードを指定する。
|
3.
|
デュアル・モード暗号化
|
バックアップ操作時は、パスワードを指定する。
リカバリ操作時は、Walletを使えたら使う。使えなかったらパスワードを指定する。
|
※5 12cからは、暗号化鍵管理専門のロールが追加されている。
■例
% expdp hr DIRECTORY=foo
DUMPFILE=bar.dmp ENCRYPTION=all ¥ENCRYPTION_MODE=dual ENCRYPTION_PASSWORD=passwd
% impdp hr DIRECTORY=foo DUMPFILE=bar.dmp ¥
ENCRYPTION_PASSWORD=passwd
■参考
http://www.oracle.com/technetwork/jp/ondemand/db-basic/20100824-encryption-251749-ja.pdf
0 件のコメント:
コメントを投稿