DBCS(Oracle Database Cloud Service)는 TDE를 사용하여 Data를 암호화한다.
TDE는 아래처럼 two-tier key architecture로 구성되어 있다.
사용자는 DBCS에서 MEK(Master Encryption Key)를 Oracle-manged file이나 OCI Vault Service로 안전하게 관리할 수 있다.
> MEK 관리 방법
- Oracle-managed key: Oracle Wallet file
- Customer-manged key: OCI Vault Service
> DBCS생성 시 MEK관리방법 설정
1. Dynamic Group 생성: DBCS OCID로 Matching Rule설정
Any { resource.id = 'ocid1.dbsystem.oc1.ap-seoul~ }
2. Policy설정: Vault를 사용할 수 있도록 권한부여
Allow dynamic-group dbcs_dg to read vaults in tenancy
Allow dynamic-group dbcs_dg to manage keys in tenancy
3. Oracle-managed key를 Customer-managed key로 변경
4. Rotate customer managed key
5. Customer-managed key사용 시 고려사항
- DBCS에서 OCi Vault를 사용은 VM DBCS(Oracle database versions 19.13 and later)에서만 가능하다
- DBCS의 OCI Vault Service는 TDE unifed mode만 지원한다.
- Customer-managed key를 사용한 DBCS는 On-Prem에서 복구될 수 없다.
- Customer-managed key로 변경 후 다시 Oracle-managed key로 돌아갈 수 없다.
6. 참고
https://blogs.oracle.com/database/post/oci-vault-integration-with-oracle-database-cloud-service
https://database-heartbeat.com/2022/05/17/cmk-dbcs/
작성자: 손창호(primelyson@gmail.com) / Cloud Engineer, 정보시스템감리사, DAP, PIA
개인의 시간을 할애하여 작성된 글로서 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.
'6. 보안 Security' 카테고리의 다른 글
| Vault Key를 사용하여 Data암호화 하기 - Java SDK (0) | 2022.10.03 |
|---|---|
| Vault Secret 정보 Java SDK로 가져오기 (0) | 2022.09.26 |
| Block Volume with Vault (0) | 2022.09.22 |
| Object Storage with Vault (0) | 2022.09.22 |
| Compute(linux)에 접속 시 MFA (0) | 2022.08.29 |
댓글