Незашифрованный доступ Oracle Transparent Data Encryption

Question

Могу ли я настроить базу данных Oracle таким образом, чтобы все следующие утверждения были верными?

а) определенные столбцы, потенциально все столбцы зашифрованы, так что прямой доступ к файлу базы данных не позволит злоумышленнику получить какие-либо записи

б) зашифрованные столбцы прозрачно расшифровываются для авторизованного пользователя, когда происходит авторизация, например.обладая определенной ролью или привилегией

в) администратор, имеющий соответствующие привилегии для выполнения «обычных» задач администратора (настройка, создание/удаление объектов схемы, перезапуск базы данных, выбор из словаря данных), может выбирать таблицы, но будет видеть только зашифрованные данные в зашифрованных столбцах.

Если это возможно, как мне это сделать.Если это невозможно, какие у меня есть варианты, чтобы хотя бы «приблизиться» к этим требованиям?

а)+б) кажется возможным с помощью прозрачного шифрования данных Oracle, но я не уверен насчет в)

Answer 1

Прозрачное шифрование данных выполняет только (а).Речь идет о предотвращении утечки данных из-за того, что кто-то украл жесткий диск или резервные копии или запустил strings против файлов DBF.Это по-прежнему полезно, поскольку не позволяет вашим системным администраторам использовать свой привилегированный доступ к ОС для обхода всей безопасности вашей базы данных.

Если вы хотите реализовать что-то вроде (б), подходящей технологией является виртуальная частная база данных - либо СУБД_RLS с Enterprise Edition или Безопасность меток Oracle если у вас есть дополнительная лицензия.

Если вы хотите реализовать (c), вам понадобится Oracle Продукт хранилища баз данных, что опять-таки является платной доплатой к корпоративной лицензии.

Поскольку TDE требует опции расширенной безопасности, эти опции предусматривают дополнительную плату в размере 75%(*) от лицензии EE.В этом случае вы можете пойти ва-банк и купить Аудит хранилища также!

(*) Только 50 % при покупке Label Security.