El Cifrado Transparente de Datos (TDE) permite cifrar los datos confidenciales almacenados en tablas y tablespaces.<\/p>\n\n\n\n
Una vez cifrados los datos, estos se descifran de forma transparente para los usuarios o aplicaciones autorizados cuando acceden a ellos. TDE ayuda a proteger los datos almacenados en soportes (tambi\u00e9n llamados datos en reposo) en caso de robo del soporte de almacenamiento o del archivo de datos.<\/p>\n\n\n\n
En esta gu\u00eda te mostrar\u00e9 c\u00f3mo implementar Oracle TDE en RAC, pero deber\u00edas ser capaz de modificar el procedimiento para una base de datos independiente.<\/p>\n\n\n\n\n\n\n\n
Compruebe que el wallet_root no est\u00e1 configurado.<\/p>\n\n\n
\nSQL> show parameter wallet_root\n\nNAME TYPE VALUE\n------------------------------------ ----------- ------------------------------\nwallet_root string\n<\/pre><\/div>\n\n\nAhora aseg\u00farese de que ha definido db_create_file_dest<\/p>\n\n\n
\nSQL> show parameter db_create_file\n\nNAME TYPE VALUE\n------------------------------------ ----------- ------------------------------\ndb_create_file_dest string +DATAC3\n<\/pre><\/div>\n\n\nEstablecer la ra\u00edz del monedero<\/p>\n\n\n
\nalter system set wallet_root='+DATAC3\/LSG01' scope=spfile sid='*';\n<\/pre><\/div>\n\n\nReinicie la BD para que los cambios surtan efecto<\/p>\n\n\n
\n[oracle@xcm1iddb001 ~]$ srvctl stop database -d LSG01\n[oracle@xcm1iddb001 ~]$ srvctl start database -d LSG01\n<\/pre><\/div>\n\n\nCompruebe que se han ajustado los par\u00e1metros.<\/p>\n\n\n
\nshow parameter wallet_root\n\nshow parameter tde_configuration\n<\/pre><\/div>\n\n\nEstablezca la tde_configuration<\/p>\n\n\n
\nalter system set tde_configuration="keystore_configuration=file" scope=both sid='*';\n\nSQL> show parameter tde_configuration\n\nNAME TYPE VALUE\n------------------------------------ ----------- ------------------------------\ntde_configuration string keystore_configuration=file\n<\/pre><\/div>\n\n\nCrear el almac\u00e9n de claves<\/p>\n\n\n
\nSQL> ADMINISTER KEY MANAGEMENT CREATE KEYSTORE IDENTIFIED BY BSLSG01;\n\nkeystore altered.\n<\/pre><\/div>\n\n\nAbrir el almac\u00e9n de claves<\/p>\n\n\n
\n-- with PDBs\nSQL> ADMINISTER KEY MANAGEMENT set keystore open identified by BSLSG01 container=ALL;\n\nkeystore altered.\n\n-- without PDBs\nADMINISTER KEY MANAGEMENT set keystore open identified by BSLSG01;\n<\/pre><\/div>\n\n\nAjuste la tecla<\/p>\n\n\n
\n-- with PDBs\nSQL> ADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY BSLSG01 with backup container=ALL;\n\nkeystore altered.\n\n--without PDBs\nADMINISTER KEY MANAGEMENT SET KEY IDENTIFIED BY BSLSG01 with backup;\n<\/pre><\/div>\n\n\nActivar inicio de sesi\u00f3n autom\u00e1tico<\/p>\n\n\n
\n-- auto login\nSQL> ADMINISTER KEY MANAGEMENT CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE IDENTIFIED BY BSLSG01;\n\nkeystore altered.\n\nset linesize 120\ncolumn STATUS format a20\ncolumn WRL_PARAMETER format a60\ncolumn MASTERKEY_ACTIVATED format a20\ncolumn WALLET_TYPE format a20\n\nSQL> SELECT CON_ID, STATUS, WRL_PARAMETER,WALLET_TYPE FROM V$ENCRYPTION_WALLET;\n\n CON_ID STATUS WRL_PARAMETER WALLET_TYPE\n---------- -------------------- ------------------------------------------------------------ --------------------\n 1 OPEN +DATAC3\/LSG01\/tde\/ PASSWORD\n 2 OPEN PASSWORD\n 4 OPEN PASSWORD\n<\/pre><\/div>\n\n\nDe la consulta anterior se puede comprobar que todav\u00eda no es autologin.<\/p>\n\n\n\n
Tienes que hacerlo autologin.<\/p>\n\n\n\n
Reinicie la base de datos e intente de nuevo la consulta<\/p>\n\n\n
\n[oracle@xcm1iddb001 ~]$ srvctl stop database -d LSG01\n[oracle@xcm1iddb001 ~]$ srvctl start database -d LSG01\n\nset linesize 120\ncolumn STATUS format a20\ncolumn WRL_PARAMETER format a60\ncolumn MASTERKEY_ACTIVATED format a20\ncolumn WALLET_TYPE format a20\n\nSELECT CON_ID, STATUS, WRL_PARAMETER,WALLET_TYPE FROM V$ENCRYPTION_WALLET;\n\n CON_ID STATUS WRL_PARAMETER WALLET_TYPE\n---------- -------------------- ------------------------------------------------------------ --------------------\n 1 OPEN +DATAC3\/LSG01\/tde\/ AUTOLOGIN\n 2 OPEN AUTOLOGIN\n 4 OPEN AUTOLOGIN\n<\/pre><\/div>\n\n\nActivar la encriptaci\u00f3n para nuevos tablespaces<\/p>\n\n\n
\nalter system set encrypt_new_tablespaces = always scope=both sid='*';\n\nALTER SYSTEM SET "_tablespace_encryption_default_algorithm"=AES256 scope=both sid='*';\n<\/pre><\/div>\n\n\nComprobar si hay tablespaces encriptados<\/p>\n\n\n
\nselect TABLESPACE_NAME, ENCRYPTED from dba_tablespaces where ENCRYPTED='YES';\n\nselect TABLESPACE_NAME, ENCRYPTED from dba_tablespaces order by 1;\n<\/pre><\/div>\n\n\nSupongamos que desea cifrar todos los tablespaces de un esquema.<\/p>\n\n\n\n
Comprobar en qu\u00e9 tablespaces tiene objetos ese esquema<\/p>\n\n\n
\nSQL> select distinct tablespace_name \nfrom dba_segments where owner='SCHEMA1';\n\nTABLESPACE_NAME\n------------------------------\nTS_SGRI_IDX\nTS_SGRI_DAT\n<\/pre><\/div>\n\n\nPara encriptar un tablespace basta con utilizar este comando<\/p>\n\n\n
\nalter tablespace TS_SGRI_DAT encryption online encrypt;\n<\/pre><\/div>\n\n\nHaga lo mismo con los dem\u00e1s tablespaces.<\/p>\n\n\n\n
Si s\u00f3lo desea cifrar una columna de la tabla, utilice este comando<\/p>\n\n\n
\nALTER TABLE schema.table MODIFY (column ENCRYPT);\n<\/pre><\/div>\n\n\nTen en cuenta que el cifrado de columnas de la tabla tiene un cifrado por defecto de AES192.<\/p>\n\n\n\n
Si desea cifrar sus tablas con AES256, debe especificar el tipo de cifrado en el comando de la siguiente manera<\/p>\n\n\n
\nALTER TABLE schema.table MODIFY (column ENCRYPT USING 'AES256');\n<\/pre><\/div>\n\n\nPara comprobar las columnas que han sido encriptadas ejecute esta consulta<\/p>\n\n\n
\ncolumn table_name format a15;\ncolumn column_name format a15;\ncolumn encryption_alg format a20;\n\nselect table_name , column_name, encryption_alg from dba_encrypted_columns;\n<\/pre><\/div>","protected":false},"excerpt":{"rendered":"El cifrado transparente de datos (TDE) permite cifrar los datos confidenciales almacenados en tablas y tablespaces. Una vez cifrados los datos, estos se descifran de forma transparente para los usuarios o aplicaciones autorizados cuando acceden a ellos. TDE ayuda a proteger los datos almacenados en soportes (tambi\u00e9n llamados datos en reposo) en caso de que el almacenamiento ... <\/p>\n