暗号鍵は通常、パフォーマンスとスケーラビリティの理由からデータベースとともにローカルに保存されますが、これにより、データの暗号化に使用される暗号鍵の保護方法が課題となります。解決策としては、Luna クラウド HSMサービスの鍵ボルトに保存されたマスター鍵や鍵暗号鍵(KEK)を使用して、一般的にデータ暗号鍵(DEK)と呼ばれるローカル暗号鍵を暗号化することです。これにより、許可されたサービスのみがDEKの復号化を要求できるようになります。攻撃者がデータベースを盗んだ場合、攻撃者はKEKが保存されているOracle TDE向けLuna クラウド HSMにアクセスできないため、データベースのコンテンツは暗号化されアクセスできなくなります。
Thales Data Protection on Demand (DPoD) is a cloud-based platform that provides a wide range of Cloud HSM and key management services through a simple online marketplace. With DPoD's extensive platform of Luna Cloud HSM, CipherTrust Key Management, payment, and partner-led...
Luna クラウド HSMサービスを使用してアプリケーション暗号鍵を生成・保護できるよう、Oracle Standard/TDE/RACデータベースを構成しましょう。Luna クラウド HSMサービスは、FIPS認定ハードウェアによる完全な鍵のライフサイクル管理を提供し、ホストサーバーCPUへの暗号化の負荷を軽減します。
TDEを使用すると、データベーステーブルの列またはアプリケーションのテーブルスペース内の機密データを暗号化できます。次の理由により、HSMオンデマンドサービスを使用してTDEでOracleデータベースの列を保護することをお勧めします。
シークレットとは、Oracle GoldenGateといった外部クライアントをデータベースに統合する内部のOracleデータベース機能をサポートするデータのことです。