Transparent Data Encryption (TDE) in Oracle for the NIS workspace—ArcMap

Oracle 12c
Oracle 11.2

El cifrado transparente de datos (TDE) permite cifrar datos confidenciales tales como números de tarjetas de crédito almacenados en tablas y espacios de tabla. Los datos cifrados se descifran de forma transparente para una aplicación o un usuario de base de datos que tenga acceso a los datos. TDE ayuda a proteger los datos almacenados en medios en caso de sustracción de los medios de almacenamiento o los archivos de datos. Oracle usa mecanismos de autenticación, autorización y auditoría para proteger los datos de la base de datos, pero no los archivos de datos del sistema operativo donde se almacenan datos. Para proteger estos archivos de datos, Oracle proporciona TDE. TDE cifra los datos confidenciales almacenados en los archivos de datos. Para evitar descifrados no autorizados, TDE almacena las claves de cifrado en un módulo de seguridad externo a la base de datos.

Estas son algunas de las ventajas del uso de TDE:

Como administrador de seguridad tendrá la tranquilidad de que los datos confidenciales estén protegidos en caso de sustracción de los medios de almacenamiento o de los archivos de datos.
La implementación de TDE ayuda a abordar los aspectos de cumplimiento reglamentario relacionados con la seguridad.
No es necesario crear desencadenadores ni vistas para descifrar los datos para una aplicación o usuario autorizados. Los datos de las tablas se descifran de forma transparente para la aplicación y el usuario de la base de datos.
No es necesario que las aplicaciones y usuarios de base de datos sepan que los datos a los que acceden están almacenados en modo cifrado. Los datos se descifran de forma transparente para las aplicaciones y usuarios de base de datos.
No hace falta modificar las aplicaciones para controlar los datos cifrados. La base de datos administra el cifrado y descifrado de datos.
Las operaciones de administración de claves están automatizadas. El usuario o la aplicación no necesitan administrar las claves de cifrado.

Para obtener más información sobre la configuración del cifrado de espacios de tablas de TDE, consulte la documentación de Oracle.

Para usar TDE, siga uno de estos métodos.

Oracle 12c

Para obtener más información sobre la configuración del cifrado de espacios de tablas de TDE, consulte la documentación de Oracle.

Configuring TDE manually

El siguiente procedimiento muestra cómo configurar manualmente TDE.

Cree el directorio keystore.

mkdir $ORACLE_HOME/admin/$ORACLE_SID/wallet

Modifique el archivo SQLNET.ORA si desea administrar la cartera de cifrado.
La ubicación predeterminada de la cartera de cifrado es $ORACLE_BASE/admin/<nombre_db_global>/wallet. Si desea permitir que Oracle administre una cartera en la ubicación predeterminada, no necesita establecer el parámetro ENCRYPTION_WALLET_LOCATION en el archivo sqlnet.ora.
Para Windows
```
ENCRYPTION_WALLET_LOCATION=
 (SOURCE=
  (METHOD=FILE)   (METHOD_DATA=
    (DIRECTORY=C:/oracle/admin/%ORACLE_SID%/wallet/)))
```
Para Linux
```
ENCRYPTION_WALLET_LOCATION=
 (SOURCE=
  (METHOD=FILE)   (METHOD_DATA=
    (DIRECTORY=/app/oracle/admin/$ORACLE_SID/wallet/)))
```

Check the COMPATIBLE initialization parameter for the correct version number. It should be 12.x.

ORA> sqlplus /nolog
SQL> connect /as sysdba
Connected.
SQL> select instance_name,status,database_status from v$instance;
INSTANCE_NAME    STATUS       DATABASE_STATUS
---------------- ------------ -----------------
nisdb              OPEN         ACTIVE

SQL> show parameter compatible
NAME                                 TYPE        VALUE
------------------------------------ ----------- ------------------------------
compatible                           string      12.1.0.0.0

Create the keystore.

ADMINISTER KEY MANAGEMENT CREATE KEYSTORE 'C:\oracle\admin\nisdb\wallet' IDENTIFIED BY "nisdb$admin";

--the ewallet.p12 file, which contains the keystore, appears in the keystore location.

Open the password-based keystore.

ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN IDENTIFIED BY "nisdb$admin" CONTAINER=ALL;


-- check the status
SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM V$ENCRYPTION_WALLET;

Backup up a password-based software keystore.

ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE USING 'keystore_bkp' IDENTIFIED BY "nisdb$admin";
SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM V$ENCRYPTION_WALLET;

Create the master encryption key.

Create master key to CDB and all PDBs.

ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY "nisdb$admin" WITH BACKUP USING 'masterkey_all_bkp' CONTAINER=ALL;
SELECT KEY_ID,KEYSTORE_TYPE,CREATOR,CREATOR_INSTANCE_NAME,CREATOR_PDBNAME FROM V$ENCRYPTION_KEYS;

Export the master key.

ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "nisdb.exp$admin" TO 'C:\oracle\admin\nisdb\wallet\masterkey_cdb_exp.bkp' IDENTIFIED BY "nisdb$admin";

Optionally create the master key for the current container. You can skip this step if you completed step 7.

Container Database (CDB):

ALTER SESSION SET CONTAINER = CDB$ROOT;
SHOW CON_NAME
SELECT SYS_CONTEXT('USERENV', 'CON_NAME') FROM dual;
ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY "nisdb$admin" WITH BACKUP USING 'masterkey_cdb_backup' CONTAINER=CURRENT;
SELECT KEY_ID,KEYSTORE_TYPE,CREATOR,CREATOR_INSTANCE_NAME,CREATOR_PDBNAME FROM V$ENCRYPTION_KEYS;
--export master key
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "nisdb.exp$admin" TO 'C:\oracle\admin\nisdb\wallet\masterkey_cdb_exp.bkp' IDENTIFIED BY "nisdb$admin";

Pluggable Database (PDB): plpdb

ALTER SESSION SET CONTAINER = plpdb;
SHOW CON_NAME
SELECT SYS_CONTEXT('USERENV', 'CON_NAME') FROM dual;
ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY "nisdb$admin" WITH BACKUP USING 'masterkey_plpdb_backup' CONTAINER=CURRENT;
SELECT KEY_ID,KEYSTORE_TYPE,CREATOR,CREATOR_INSTANCE_NAME,CREATOR_PDBNAME FROM V$ENCRYPTION_KEYS;
--export master key
ADMINISTER KEY MANAGEMENT EXPORT ENCRYPTION KEYS WITH SECRET "nisdb.exp$admin" TO 'C:\oracle\admin\nisdb\wallet\masterkey_plpdb_exp.bkp' IDENTIFIED BY "nisdb$admin";

Check status

SELECT * FROM V$ENCRYPTION_WALLET;
SELECT * FROM V$ENCRYPTION_KEYS;
SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM V$ENCRYPTION_WALLET;
SELECT KEY_ID,KEYSTORE_TYPE,CREATOR,CREATOR_INSTANCE_NAME,CREATOR_PDBNAME FROM V$ENCRYPTION_KEYS;

Set the Local Auto Login keystore.

ADMINISTER KEY MANAGEMENT CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE 'C:\oracle\admin\nisdb\wallet' IDENTIFIED BY "nisdb$admin";

SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM V$ENCRYPTION_WALLET;

--the cwallet.sso file appears in the keystore location. The ewallet.p12 file is the password-based wallet.
--Note:
--Do not remove the PKCS#12 wallet (ewallet.p12 file) after you create the auto login keystore (.sso file). 
--You must have the PKCS#12 wallet to regenerate or rekey the TDE master encryption key in the future. 
--By default, this file is located in the $ORACLE_HOME/admin/ORACLE_SID/wallet directory.

Open the auto-login keystore.

ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN CONTAINER=ALL;


-- check the status
SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM V$ENCRYPTION_WALLET;

Se recomienda que verifique el estado de la configuración TDE utilizando las instrucciones SQL siguientes.

SELECT * FROM V$ENCRYPTION_WALLET;
SELECT * FROM V$ENCRYPTION_KEYS;
SELECT WRL_PARAMETER,STATUS,WALLET_TYPE FROM V$ENCRYPTION_WALLET;
SELECT KEY_ID,KEYSTORE_TYPE FROM V$ENCRYPTION_KEYS;
SELECT KEY_ID FROM V$ENCRYPTION_KEYS;
SELECT KEYSTORE_TYPE FROM V$ENCRYPTION_KEYS;
SELECT WRL_PARAMETER FROM V$ENCRYPTION_WALLET;
SELECT STATUS FROM V$ENCRYPTION_WALLET;
SELECT * FROM V$ENCRYPTED_TABLESPACES;
SELECT TABLESPACE_NAME, ENCRYPTED FROM DBA_TABLESPACES;
SELECT * FROM DBA_ENCRYPTED_COLUMNS;

Oracle 11.2

Para obtener más información sobre la configuración del cifrado de espacios de tablas de TDE, consulte la documentación de Oracle.

Para usar TDE, siga uno de estos métodos.

Configurar TDE Oracle Enterprise Manager

Los pasos siguientes describen cómo configurar TDE utilizando Oracle Enterprise Manager (OEM).

Cree la carpeta de cartera.

mkdir C:\oracle\admin\wallets
OEM > login as sys / sysdba
OEM > Server > Transparent Data Encryption
Advanced Options > Change Location
	Host Credentials	Username: <DOMAIN>\dbs_ora	Password: xxxxxxx
	Configuration Method: File System		Encryption Wallet Directory: C:\oracle\admin\wallets
	OK
Create Wallet > Local Auto-Open Wallet > Create
	Host Credentials	Username: <DOMAIN>\dbs_ora	Password: xxxxxxx
	Wallet Password:  walletadmin
	Continue

Realice una copia de seguridad de la carpeta de cartera.
```
cd C:\oracle\admin
zip -r wallets wallets
```

Configuring TDE manually

El siguiente procedimiento muestra cómo configurar manualmente TDE.

En la ventana de comando, cree la carpeta de cartera.
```
mkdir C:\oracle\admin\wallets
```
Agregue la ubicación de cartera al archivo sqlnet.ora.
```
ENCRYPTION_WALLET_LOCATION =
  (SOURCE =
    (METHOD = FILE)    (METHOD_DATA =
      (DIRECTORY = C:\oracle\admin\wallets\$ORACLE_SID)
```
Nota:
La ubicación predeterminada de la cartera de cifrado es $ORACLE_BASE/admin/<nombre_db_global>/wallet. Si desea permitir que Oracle administre una cartera en la ubicación predeterminada, no hay necesidad de establecer el parámetro ENCRYPTION_WALLET_LOCATION en el archivo sqlnet.ora.
Utilice Oracle SQL*Plus u Oracle SQL Developer para generar una clave principal.
```
alter system set encryption key identified by "walletadmin";
```
Utilice Oracle SQL*Plus u Oracle SQL Developer para comprobar el estado de la cartera.
```
select * from "v$encryption_wallet";
```

From the command window, set the wallet to auto login.

set ORACLE_SID=nisdb

orapki wallet create -wallet C:\oracle\admin\wallets -auto_login -pwd walletadmin

En la ventana de comando, cree una copia de seguridad de la carpeta de cartera.
```
cd C:\oracle\admin
zip -r wallets wallets
```