 |
Transparent Data Encryption透過的データ暗号化 |
Oracle Advanced Securityの透過的データベース暗号化(Transparent Data Encryption(TDE))は、保存されているデータをデータベース・レイヤーで暗号化することで、潜在的な攻撃者がデータベースをバイパスしてストレージから機密情報を読み取ることを阻止します。
データベース認証が済んだアプリケーションおよびユーザーは、(アプリケーション・コードまたは構成変更なしで)透過的にアプリケーション・データへのアクセスを維持することができますが、表領域ファイルから機密データを読み取ろうとするOSユーザーによる攻撃や、盗み取ったディスクまたはバックアップから情報を読み取ろうとする窃盗犯の攻撃によるクリアテキスト・データへのアクセスは拒否されます。
TDEは、業界標準の強力なデータベース向け暗号化、ライフ・サイクル全体を通じた鍵の管理、Oracle Databaseの各種ツールとテクノロジーの統合サポートを標準で提供します。TDEでは、データベースの列またはアプリケーションの表領域全体を暗号化できます。暗号化操作は高速であるため、アプリケーションで発生するパフォーマンス・オーバーヘッドはほとんどの場合無視できます。
暗号化鍵アーキテクチャは2層に分かれているため、鍵の管理が容易で、鍵と暗号化データの明確な分離が可能です。また、アシスト付き鍵ローテーション機能があり、データを再暗号化する必要はありません。キーストアの管理には、Oracle Enterprise Managerの便利なWebコンソールまたはコマンドラインを使用できます。
また、TDEは、Oracle Advanced Compression、Oracle Automatic Storage Management(Oracle ASM)、Oracle Recovery Manager(Oracle RMAN)、Oracle Data Pump、Oracle GoldenGateなど、頻繁に使用されるOracle Databaseの各種ツールやテクノロジーに直接統合されています。
OracleのEngineered Systemでは、Intel® AES-NIおよびOracle SPARC Tシリーズ・プロセッサのハードウェア暗号化アクセラレーションを利用して、TDEのパフォーマンスを向上させています。他にも、Exadata Smart Scanによりデータが複数のストレージ・セルで同時に高速で復号化されることや、Exadata Hybrid Columnar Compression(EHCC)により暗号化/復号化操作の実行総数が削減されることも、TDEのパフォーマンス向上に寄与しています。
透過的データ暗号化はOracle Multitenantに完全に対応しています。暗号化データを含むプラガブル・データベース(PDB)を移動する場合は、セキュリティを適切に分離したまま移動が実行されるように、PDBのTDEマスター・キーは暗号化データとは別に転送されます。PDBのプラグインと構成が完了すると、TDEの通常の暗号化操作が再開されます。
Printer View