ORACLE_OCP之RMAN对备份进行加密
- 文章目标:
- 描述并创建RMAN加密备份
- 区分并使用以下加密模式:
- 透明模式加密
- 密码模式加密
- 双模式加密
一、RMAN-Encrypted Backups-RMAN加密的备份
二、Comparing OSB and RMAN Encryption对比OSB和RMAN加密
三、创建RMAN加密的备份
- RMAN支持三种加密模式:
- 透明模式:
- 使用透明数据加密(TDE)密钥
- 要求您首先配置密钥库
- 密码模式:需要在RMAN脚本中使用SET ENCRYPTION ON IDENTIFIED BY password ONLY命令
- 双模式:需要在RMAN脚本中使用SET ENCRYPTION ON IDENTIFIED BY password命令
- 透明模式:
四、什么是透明模式
-
加密的数据:
- 数据文件(表空间,列,索引)
- 重做日志和归档日志文件
- 内存(仅用于列加密)
- 文件备份
-
自动管理密钥
-
不需要更改应用程序
-
Oracle Advanced Security提供了透明数据加密(TDE),可为您的数据提供易于使用的保护,而无需更改应用程序。 TDE允许您加密单个列或整个表空间中的敏感数据,而无需管理加密密钥。 TDE不会影响使用数据库角色,安全应用程序角色,系统和对象特权,视图,虚拟专用数据库(VPD),Oracle Database Vault和Oracle Label Security配置的访问控制。以前有权访问表的任何应用程序或用户仍将有权访问相同的加密表。
-
TDE旨在保护存储中的数据,但不能代替适当的访问控制。
-
TDE对现有应用程序是透明的。根据是表空间级或是列级,加密和解密发生在不同的级别,但是在任何一种情况下,加密的值都不会显示,也不会由应用程序处理。
-
TDE通过规避数据库访问控制机制,消除了直接访问数据文件的任何人获得对数据的访问的能力。即使是在操作系统级别具有访问数据文件权限的用户,也看不到未加密的数据。 TDE将主密钥存储在数据库外部的外部安全模块中,从而最大程度地降低了个人可识别信息(PII)和加密密钥被破坏的可能性。 TDE仅在满足数据库访问机制后才对数据解密。
五、使用透明模式加密
- 1.为密钥库创建目录。
- 2.在sqlnet.ora中指定密钥库位置。
ENCRYPTION_WALLET_LOCATION =
(SOURCE =
(METHOD = FILE)
(METHOD_DATA =
(DIRECTORY =
/u01/app/oracle/admin/orcl/wallet)))
- 3.以SYSKM(或SYSDBA)特权登录。
- 4.创建软件密钥库文件。
- 5.打开软件密钥库文件。
- 6.创建主加密密钥。
SQL> CONNECT / AS SYSKM
SQL> ADMINISTER KEY MANAGEMENT CREATE KEYSTORE
‘/u01/app/oracle/admin/orcl/wallet’
IDENTIFIED BY keystore_password;
SQL> ADMINISTER KEY MANAGEMENT SET KEYSTORE OPEN
IDENTIFIED BY keystore_password;
SQL> ADMINISTER KEY MANAGEMENT SET KEY
IDENTIFIED BY keystore_password
WITH BACKUP USING ‘for_12c’ ;
六、备份密钥库
- 备份当前密钥库:
SQL> ADMINISTER KEY MANAGEMENT BACKUP KEYSTORE
IDENTIFIED BY keystore_password;
七、配置RMAN加密
-
1.配置RMAN加密级别:
RMAN> CONFIGURE ENCRYPTION FOR DATABASE ON
RMAN> CONFIGURE ENCRYPTION FOR TABLESPACE <tablespace_name> ON
-
2.如果需要,设置加密算法 :
RMAN> SET ENCRYPTION ALGORITHM ‘algorithm name’
八、使用密码模式加密
- 用例:将备份安全地传输到远程位置
- 启用密码模式加密:
-
仅在RMAN会话期间
SET ENCRYPTION ON IDENTIFIED BY password ONLY
-
必须提供密码才能创建备份
-
必须提供密码才能进行备份还原
-
九、使用双模式加密
- 可以使用透明或通过指定密码来还原双模式加密备份。
- 在RMAN会话中启用密码模式加密:
SET ENCRYPTION ON IDENTIFIED BY password
十、RMAN加密的备份:注意事项
-
镜像副本备份无法加密。
-
V$RMAN_ENCRYPTION_ALGORITHMS包含可能的加密算法的列表。
RMAN> CONFIGURE ENCRYPTION ALGORITHM ‘algorithmname’
RMAN> SET ENCRYPTION ALGORITHM ‘algorithmname’
-
每个新的加密备份都使用一个新的加密密钥。
-
您可以使用多个通道来提高磁盘性能。
-
您可以随时更改主密钥,而不会影响透明的加密备份。
十一、恢复加密的备份
- 还原之前,将RMAN会话设置为解密备份。
从使用不同密码创建的一组备份中还原时,请使用SET DECRYPTION命令指定所有必需的密码。SET DECRYPTION IDENTIFIED BY ‘<password_1>’
{, ‘<password_2>’,…,’<password_n>’ }
Note:
如果您丢失了密码加密备份的密码,则无法还原该备份。
如果丢失了包含透明加密备份密钥的密钥库,则无法还原该备份。