Oracle Backups und Tablespaces – aber sicher mit dem Oracle Wallet
Werbung
Oracle Backups und Tablespaces –
aber sicher mit dem Oracle Wallet
Martin Berger
Martin Berger – Senior Consultant
4703 Kestenholz
Hauptreferent O-AI / Referent NF-12C-DBA
Oracle Consulting, RAC, Dataguard, Oracle Cloud
2 Junior-DBAs, Ausbildungsoffizier Feuerwehr
www.martinberger.com
martinberger_ch
2
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Agenda
1.
2.
3.
4.
5.
6.
7.
8.
3
Übersicht
TDE einrichten
Spaltenverschlüsselung
Tablespaceverschlüsselung
RMAN Backup
Oracle Cloud
EM13c Integration
Summary
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Übersicht
4
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Verschlüsselung
Die Liste sensitiver Daten kann beliebig verlängert werden…
– Kreditkartennummern
– Gehälter
– Krankenakten
Unverschlüsselte Backups und Exporte von Oracle Datenbanken können auf
beliebigen Maschinen wiederhergestellt werden
Es gilt die sensitiven Daten vor falschem Zugriff zu schützen
5
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Wikipedia
Verschlüsselung (auch: Chiffrierung) ist die von einem Schlüssel abhängige
Umwandlung von «Klartext» genannten Daten in einen «Geheimtext» (auch:
«Chiffrat»), so dass der Klartext aus dem Geheimtext nur unter Verwendung eines
geheimen Schlüssels wiedergewonnen werden kann. Sie dient zur Geheimhaltung von
Nachrichten, beispielsweise um Daten gegenüber unbefugtem Zugriff zu schützen oder
um Nachrichten vertraulich übermitteln zu können.
6
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Transparent Data Encryption (TDE)
Verschlüsselt Spalten oder Tablespaces
Schützt die Datenfiles, Backups und Exporte
Vollständig Transparent gegenüber der Applikation, keine Änderungen nötig
Benötigt die Advanced Security Lizenz (ausser beim Oracle Database Backup
Service)
Multitenant-fähig
Quelle: oracle.com
7
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Methodik
Verschlüsseln von Daten beinhaltet
– Einen Verschlüsselungsalgorythmus zum Ver- und Entschlüsseln von Daten wie
Advanced Encryption Standard (AES)
Einen Schlüssel
Verschlüsselete Spalten oder Tablespaces können in Views geprüft werden wie
werden
– V$ENCRYPTED_TABLESPACES
– DBA_ENCRYPTED_COLUMNS
8
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Speicherung vom Schlüssel für Column Encryption
Oracle speichert den TDE Master Encryption Key ausserhalb der Datenbank in
einem «Security Module»
– Oracle Software Keystore (auch
Wallet genannt)
– Es wird ein TDE Table Key verwendet
– Hardware Security Module (HSM)
9
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Speicherung vom Schlüssel für Tablespace Encryption
Oracle speichert den TDE Master Encryption Key ausserhalb der Datenbank in
einem «Security Module»
– Oracle Software Keystore (auch
Wallet genannt)
– Hardware Security Module (HSM)
– Sämtliche Daten innerhalb eines
Tablespaces sind verschlüsselt
– Redo Daten sind verschlüsselt
10
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Performance Overhead
Oracle spricht von einem zusätzlichen Aufwand von 5-8%
Jedoch definiert Oracle nicht, ob das CPU, I/O, Transaktionsverhalten etc. ist
Empfehlung: Impact für eine Applikation muss im Rahmen eines POC getestet
werden
In addition, TDE tablespace encryption takes advantage of bulk
encryption and caching to provide enhanced performance.
While the actual performance impact on applications can vary,
the performance overhead is roughly estimated to be in between
5% and 8%.
11
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Hardware-unterstützte Verschlüsselung
Seit 11.2.0.3 Hardware-unterstützte Verschlüsselung wie beispielsweise SPARC T4
möglich
MOS Note How To Benefit From Hardware Acceleration for Tablespace Encryption?
Doc ID 1365021.1
Die Hardwarebeschleunigung kann auch deaktiviert werden
SQL>> ALTER SYSTEM SET "_use_platform_encryption_lib" = false
SCOPE=spfile;
12
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Priviliegien
Für die Erstellung eines Keys werden die Privilegien ADMINISTER KEY
MANAGEMENT oder die administrative Rolle SYSKM (12c) benötigt
SQL> GRANT administer key management TO berger;
SQL> GRANT syskm TO berger;
13
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Software Keystore Typen
Password-based Software Keystore
– Geschützt durch ein Passwort
– Muss manuell vor der Verwendung geöffnet werden
Auto-login Software Keystore
– Geschützt durch ein systemgeneriertes Passwort
– Wird bei Verwendung automatisch geöffnet
– Kann auf verschiedenen Systemen verwendet werden
Local Auto-login Software Keystore
– Gleiche Funktionen wie der Auto-login Software Keystore
– Kann nur lokal verwendet werden
14
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Algorithmen
15
Algorythmus
Keygrösse
Parameter
Triple Encryption Standard (DES)
168 Bits
3DES168
Advanced Encryption Standard (AES)
128 Bits
AES128
AES für Spaltenverschlüsselung (Default)
192 Bits
AES192
AES für Tablespaceverschlüsselung (Default)
128 Bits
AES128
AES
256 Bits
AES256
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Einfluss auf die Datenmenge
16
TDE Spaltenverschlüsselung pro verschlüsselter Wert:
1-52 Bytes
TDE Tablespaceverschlüsselung:
kein Einfluss
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Advanced Security Option ASO - Lizenz
Die ASO Option enthält mehrere Sicherheitsfunktionen – Auszug aus dem 12c
Licensing Guide:
Transparent Data Encryption (TDE) for tablespaces and columns (including Oracle
SecureFiles)
DataPump Export File encryption
RMAN backup encryption to disk
TDE master key storage in an Oracle Wallet or external Hardware Security Module
Data Redaction of sensitive data returned to applications
17
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Preis shop.oracle.com – 19.09.2016
18
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
TDE einrichten
19
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
TDE - Vorgehen
1.
2.
3.
4.
5.
Für TDE wird ein Software Keystore benötigt
sqlnet.ora Konfiguration
Software Keystore erstellen
Software Keystore öffnen
TDE Master Enryption Key setzen
Daten verschlüsseln
Oracle sucht einen Software Keystore in folgender Reihenfolge
– Parameter ENCRYPTION_WALLET_LOCATION
– Parameter WALLET_LOCATION primär für EUS, SSL und SEPS Zertifikate
– ORACLE_BASE/admin/DB_UNIQUE_NAME/wallet oder
ORACLE_HOME/admin/DB_UNIQUE_NAME/wallet
20
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
sqlnet.ora - ENCRYPTION_WALLET_LOCATION
Parameter ENCRYPTION_WALLET_LOCATION für eine lokale Ablage:
– Ab 12.2 kann das Wallet auch in ASM abgelegt werden
ENCRYPTION_WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /u00/app/oracle/network/wallet)
)
)
SQL> SELECT wrl_type,wrl_parameter
2 FROM v$encryption_wallet;
WRL_TYPE
WRL_PARAMETER
-------------------- ---------------------------------------FILE
/u00/app/oracle/network/wallet/
21
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Software Keystore erstellen (1)
Der Keystore ist passwortgeschützt
SQL> ADMINISTER KEY MANAGEMENT CREATE KEYSTORE
'/u00/app/oracle/network/wallet' IDENTIFIED BY "my#wallet00";
keystore altered.
Das File ewallet.p12 wurde erstellt
oracle@bern:/u00/app/oracle/network/wallet/ [TVDCRM01] ll
total 4
drwxr-xr-x. 2 oracle oinstall
24 Sep 13 22:31 .
drwxr-xr-x. 7 oracle oinstall
69 Sep 13 22:29 ..
-rw-r--r--. 1 oracle oinstall 2408 Sep 13 22:31 ewallet.p12
22
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Software Keystore erstellen (2)
Einen Autologin Keystore erstellen
SQL> ADMINISTER KEY MANAGEMENT CREATE AUTO_LOGIN KEYSTORE FROM
KEYSTORE '/u00/app/oracle/network/wallet' IDENTIFIED BY
"my#wallet00";
Das File cwallet.sso wurde erstellt
oracle@bern:/u00/app/oracle/network/wallet/ [TVDCRM01] ll
total 8
drwxr-xr-x. 2 oracle oinstall
42 Sep 13 22:33 .
drwxr-xr-x. 7 oracle oinstall
69 Sep 13 22:29 ..
-rw-r--r--. 1 oracle oinstall 2453 Sep 13 22:33 cwallet.sso
-rw-r--r--. 1 oracle oinstall 2408 Sep 13 22:31 ewallet.p12
23
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Software Keystore öffnen
Bevor der Master Key gesetzt werden kann, muss der Keystore geöffnet werden
Der Verlust eines Wallets ist krititisch !!!
SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY
"my#wallet00";
keystore altered.
24
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
TDE Master Encryption Key setzen
Master Key definieren
SQL> ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY "my#wallet00"
2 WITH BACKUP USING 'master_key_1';
Die Fehlermeldung ORA-28374: typed master key not found in wallet erscheint,
wenn schon mal mit TDE gearbeitet wurde
Damit der Master Key trotzdem gesetzt werden kann, ist dieser Parameter nötig
– Master Note For Transparent Data Encryption ( TDE ) (Doc ID 1228046.1)
SQL> ALTER SYSTEM SET "_db_discard_lost_masterkey"=true;
25
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
TDE Best Practises
Für TDE ein dediziertes Wallet verwenden
Wenn das Wallet weg ist, sind auch die Daten weg
Beim Verlust können die Zertifikate unabhängiger wiederhergestellt werden
26
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Spaltenverschlüsselung
27
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Spaltenverschlüsselung - Datentypen
Folgende Datentypen unterstützen die Spaltenverschlüsselung (Column Encryptiion)
– BINARY_DOUBLE / BINARY_FLOAT
– CHAR / VARCHAR2 (auch Extended)
– DATE
– INTERVAL DAY TO SECOND / INTERVAL YEAR TO MONT
– NCHAR
– NUMBER
– NVARCHAR2
– RAW (auch Extended)
– TIMESTAMP (inkl. TIMESTAMP WITH TIME ZONE und TIMESTAMP WITH
LOCAL TIME ZONE)
28
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Spaltenverschlüsselung – Maximale Grössen
29
Data Type
Maximum Size
CHAR
1932 Bytes
VARCHAR2 (Legacy)
3932 Bytes
VARCHAR2 (Extended)
32,699 Bytes
NVARCHAR2 (Legacy)
1966 Bytes
NVARCHAR2 (Extended)
16,315 Bytes
NCHAR
966 Bytes
RAW (Extended)
32,699 Bytes
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Spaltenverschlüsselung – Neue Tabelle
Anlegen einer Tabelle mit verschlüsselten Spalten
SQL>
2
3
4
5
CREATE TABLE employee (
first_name VARCHAR2(128),
last_name VARCHAR2(128),
empID NUMBER ENCRYPT NO SALT,
salary NUMBER(6) ENCRYPT USING '3DES168');
Table created.
30
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Spaltenverschlüsselung – Bestehende Spalten
Bestehende Spalte verschlüsseln
SQL> ALTER TABLE employee MODIFY (first_name ENCRYPT);
Bestehende Spalte entschlüsseln
SQL> ALTER TABLE employee MODIFY (first_name DECRYPT);
31
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Spaltenverschlüsselung - Indizes
Indizes auf können nur auf verschlüsselten Spalten angelegt werden welche mit dem
Zusatz NO SALT angelegt wurden
SQL> CREATE INDEX employee_idx on employee (salary);
CREATE INDEX employee_idx on employee (salary)
*
ERROR at line 1:
ORA-28338: Column(s) cannot be both indexed and encrypted with
salt
SQL> CREATE INDEX employee_idx on employee (empID);
Index created.
32
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Spaltenverschlüsselung – weitere Funktionen
Nebst den drei Beispielen sind noch weitere Funktionen möglich wie:
– Hinzufügen einer verschlüsselten Spalte
– Ändern der Verschlüsselungsalgorithmus
– Hinzufügen und Entfernen vom Salt
33
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Spaltenverschlüsselung – Einschränkung FK
Die zu verschlüsselnde Spalte kann nicht teil eines Fremdschlüssels sein
Mit Transparent Data Encryption hat jede Tabelle einen eigenen Encryption Key,
welcher im Data Dictionary gespeichert ist und zusammen mit dem externen Master
Key arbeitet
34
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Fehlermeldung ORA-28365
Ist das Wallet nicht geöffnet oder nicht verfügbar, so kann nur auf die
unverschlüsselten Daten zugegriffen werden
SQL> select * from employee;
select * from employee
*
ERROR at line 1:
ORA-28365: wallet is not open
SQL> select FIRST_NAME,LAST_NAME
2 from employee;
FIRST_NAME
-----------------------------Berger
Meier
35
21.09.2016
LAST_NAME
-----------------------------Martin
Thomas
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Datapump Export
Hinweis beim Datapump Export von verschlüsselten Spalten
oracle@bern:~/ [TVDCRM01] expdp scott/tiger directory=expdp tables=employee
Processing object type TABLE_EXPORT/TABLE/STATISTICS/MARKER
. . exported "SCOTT"."EMPLOYEE"
6.421 KB
2 rows
ORA-39173: Encrypted data has been stored unencrypted in dump file set.
Master table "SCOTT"."SYS_EXPORT_TABLE_01" successfully loaded/unloaded
******************************************************************************
Dump file set for SCOTT.SYS_EXPORT_TABLE_01 is:
/u00/app/oracle/admin/TVDCRM01/expdp/expdat.dmp
Mögliche Lösung
oracle@bern:~/ [TVDCRM01] expdp scott/tiger directory=expdp tables=employee
encryption=encrypted_columns_only encryption_password=dppassword
36
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Tablespaceverschlüsselung
37
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Voraussetzungen
Der Parameter COMPATIBLE muss 11.2.0.0 oder höher sein
SQL> SHOW PARAMETER COMPATIBLE
NAME
-----------------------------------compatible
noncdb_compatible
Der Keystore muss offen sein
– Tip: Autologin-Keystore verwenden
38
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
TYPE
----------string
boolean
VALUE
-------------12.1.0.2.0
FALSE
Hinweis
Bestehende Tablespaces können nicht nachträglich verschlüsselt werden
Mögliche Varianten:
– Data Pump
– ALTER TABLE MOVE
– CREATE TABLE AS SELECT
NO SALT ist für Tablespaces nicht möglich
Spalte ENCRYPTED in DBA_TABLESPACES / USER_TABLESPACES
39
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Tablespace anlegen
Anlegen eines TS mit Angabe vom Algorithmus
SQL>
2
3
4
CREATE TABLESPACE encrypt_ts
DATAFILE '/u01/oradata/TVDCRM01/encrypt_df01TVDCRM01.dbf' SIZE 100M
ENCRYPTION USING 'AES256'
DEFAULT STORAGE (ENCRYPT);
Anlegen eines TS mit Default Algorithmus
SQL>
2
3
4
40
21.09.2016
CREATE TABLESPACE encrypt_def_ts
DATAFILE '/u01/oradata/TVDCRM01/encrypt_def_df01TVDCRM01.dbf' SIZE 100M
ENCRYPTION
DEFAULT STORAGE (ENCRYPT);
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
V$ENCRYPTED_TABLESPACES
Anzeige verschlüsselter Tablespaces
SQL> SELECT NAME, ENCRYPTIONALG ENCRYPTEDTS
2 FROM V$ENCRYPTED_TABLESPACES, V$TABLESPACE
3 WHERE V$ENCRYPTED_TABLESPACES.TS# = V$TABLESPACE.TS#;
NAME
-----------------------------ENCRYPT_TS
ENCRYPT_DEF_TS
41
21.09.2016
ENCRYPT
------AES256
AES128
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
RMAN Backup
42
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
RMAN - Verschlüsselungsmethoden
Transparent Encryption mit einem Wallet
– Ein Wallet ist ein passwortgeschützter Container welcher Keys and Trusted
Certificates für SSL Verbindungen enthält
Password Encryption
– Das Passwort muss bei jeder Backup und Restore Aktion angeben werden
Dual Mode Encryption
– Beide Varianten werden eingesetzt
43
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Password Encryption
Setzen vom Passwort
RMAN> SET ENCRYPTION ON IDENTIFIED BY "myPassword" ONLY;
Das Passwort muss vor dem Start des Backups gesetzt werden
oracle@bern:/u00/app/oracle/ [TVDCRM01] rman target=/
44
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
RMAN für verschlüsselte Backups konfigurieren – mit
einem Wallet #1
SQLNET.ORA - Vorbereiten
ENCRYPTION_WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY = /u00/app/oracle/network/wallet)
)
)
RMAN – Backup aktivieren
RMAN> CONFIGURE ENCRYPTION FOR DATABASE ON;
45
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
RMAN für verschlüsselte Backups konfigurieren – mit
einem Wallet #2
Keystore anlegen
SQL> ADMINISTER KEY MANAGEMENT CREATE KEYSTORE '/u00/app/oracle/network/wallet'
2
IDENTIFIED BY "my#wallet00";
Keystore öffnen
SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY "my#wallet00";
Master Key setzen
SQL> ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY "my#wallet00"
2
46
WITH BACKUP USING 'master_key_1';
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
RMAN für verschlüsselte Backups konfigurieren – mit
einem Wallet #3
Autologin aktivieren
SQL> ADMINISTER KEY MANAGEMENT CREATE AUTO_LOGIN KEYSTORE
2 FROM KEYSTORE '/u00/app/oracle/network/wallet' IDENTIFIED BY "my#wallet00";
Datenbank neu starten
SQL> SHUTDOWN IMMEDIATE
SQL> STARTUP
Wallet prüfen
SQL> SELECT wrl_type,wallet_type,status
2 FROM v$encryption_wallet;
WRL_TYPE
WALLET_TYPE
STATUS
-------------------- -------------------- -----------------------------FILE
AUTOLOGIN
OPEN
47
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
RMAN Backup ausführen
Library und Konfigurationsfile müssen als Parameter angegeben werden
RMAN> run {
2> allocate channel ch1 type 'sbt_tape' parms='SBT_LIBRARY=libopc.so,
3> SBT_PARMS=(OPC_PFILE=/u00/app/oracle/admin/TVDCRM01/opc_config/opcTVDCRM01.ora)';
4> backup as compressed backupset database plus archivelog;
5> release channel ch1;
6> }
48
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
V$BACKUP_PIECE
Die Verschlüsselung ist lokal in der View V$BACKUP_PIECE ersichtlich jedoch nicht
im RMAN Katalog
SQL SELECT start_time,substr(media,1,30) as media,handle,compressed,encrypted
2 FROM v$backup_piece
3 ORDER BY start_time;
START_TIME
-----------------22-AUG-16
22-AUG-16
22-AUG-16
22-AUG-16
49
21.09.2016
MEDIA
---------------------------------------storage-a418767.storage.oracle
storage-a418767.storage.oracle
storage-a418767.storage.oracle
storage-a418767.storage.oracle
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
HANDLE
-----------------------------6irdsu8d_1_1
6jrdsu96_1_1
6krdsub7_1_1
c-1792016933-20160822-00
COM
--YES
YES
YES
NO
ENC
--YES
YES
YES
YES
Nur Backups verschlüsseln - Oracle Secure Backup
50
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Oracle Cloud
51
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
ENCRYPT_NEW_TABLESPACES
Automatische Verschlüsselung von Cloud Tablespaces
Das Oracle DBaaS Cloud Tooling erstellt einen Masterkey und legt diesen Key im
Wallet ab
Für Standard Edition oder Enterprise Edition
[oracle@BERGER1 ~]$ sqlplus / as sysdba
SQL*Plus: Release 12.1.0.2.0 Production on Tue Sep 13 21:38:42 2016
Copyright (c) 1982, 2014, Oracle. All rights reserved.
Connected to:
Oracle Database 12c Standard Edition Release 12.1.0.2.0 - 64bit Production
SQL> show parameter encrypt
NAME
TYPE
VALUE
------------------------------------ ----------- -----------------------------encrypt_new_tablespaces
string
CLOUD_ONLY
52
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Keystore
Es wird ein Local auto-login Software Keystore angelegt
Die Verwaltung wird mit dem Oracle Cloud Tool dbaascli gemacht
DBAAS>tde rotate masterkey
Executing command tde rotate masterkey
Enter keystore password:
Successfully rotated TDE masterkey
53
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Fehlermeldung Oracle Database Backup Service
Ohne Verschlüsselung können keine Backups in die Oracle Cloud ausgeführt werden
RMAN-00571: ===========================================================
RMAN-00569: =============== ERROR MESSAGE STACK FOLLOWS ===============
RMAN-00571: ===========================================================
RMAN-03009: failure of backup command on ch1 channel at 08/22/2016
12:48:21
ORA-19914: unable to encrypt backup
ORA-28365: wallet is not open
54
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
EM13c Integration
55
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Key Management
56
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Backup Execution
57
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Summary
58
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Datensicherheit auf allen Stufen
Sensible Daten müssen vor unbefugtem Zugriff geschützt werden
Die Advanced Security Option deckt einen grossen Bereich ab
Der Verlust eines Wallets ist als kritisch zu betrachten
59
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Trivadis Kurs O-SEC
Authentifizierung
Autorisierung
Auditing
Netzwerksicherheit
Serversicherheit
Sichere Programmierung
Sichere Umgebungen
60
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
Martin Berger
Senior Consultant
[email protected]
61
21.09.2016
Oracle Backups und Tablespaces – aber sicher mit dem
Oracle Wallet
