Прозрачное шифрование данных

Средствами TDE обеспечивается шифрование данных перед записью на диск и расшифровывание данных, прежде чем они возвращаются в приложение. Процесс зашифровывания и расшифровывания выполняется на уровне SQL и полностью прозрачен для прикладных программ и пользователей. Резервные копии баз данных, записанные на диск или магнитную ленту, будут содержать эти данные в зашифрованном виде. TDE, при необходимости, может быть использовано в сочетании с Oracle RMAN для зашифровывания всей СУБД Oracle в ходе резервирования на диски.

Преимущества прозрачного шифрования данных:

1. Встроенное управление ключами шифрования.

2. Прозрачное шифрование защищаемых данных (по столбцам) в прикладных программах.

3. Прозрачное шифрование табличных пространств (Впервые в 11g).

4. Прозрачное шифрование файлов/LOBS (Впервые в 11g).

5. Интеграция аппаратного модуля безопасности (HSM) (Впервые в 11g).

Рис 2. Архитектура управления распределения ключами TDE

Краткое описание управления ключами шифрования

TDE автоматически создает ключ шифрования, когда проводится зашифровывание данных столбца в таблице базы данных. Ключ шифрования – уникальный для каждой таблицы. Если в таблице зашифровывается более одного столбца, то для каждого из столбцов используется один и тот же ключ шифрования. Ключи шифрования для таблиц сохраняются в справочнике Oracle и зашифровываются при помощи первичного ключа (мастер-ключа) шифрования TDE. Первичный ключ шифрования сохраняется вне базы данных в «тубусе для ключей» Oracle Wallet (файл формата PKCS#12), который зашиф-рован с помощью пароля, определяемого администратором безопасности или DBA в процессе создания.