Versiones de TLS Conjuntos de cifrado para SSL Compatibilidad con FIPS para SSL Compatibilidad de certificados

Capa de conexión segura de Oracle

A fin de habilitar el cifrado SSL para una instancia de base de datos de RDS para Oracle, añada la opción Oracle SSL al grupo de opciones asociado a la instancia de base de datos. Amazon RDS utiliza un segundo puerto, según lo requiera Oracle, para las conexiones SSL. Este enfoque permite que se produzca la comunicación cifrada de SSL y de texto sin cifrar al mismo tiempo entre una instancia de base de datos y SQL*Plus. Por ejemplo, es posible utilizar el puerto con la comunicación de texto sin cifrar para ponerse en contacto con otros recursos dentro de una VPC mientras se utiliza el puerto con comunicación cifrada SSL para ponerse en contacto con recursos situados fuera de la VPC.

nota

Se puede utilizar SSL o Native Network Encryption (NNE) en la misma instancia de base de datos de RDS para Oracle, pero no ambos. Si se utiliza el cifrado SSL, se debe desactivar cualquier otro cifrado de conexión. Para obtener más información, consulte Oracle Native Network Encryption.

SSL/TLS y NNE ya no forman parte de Oracle Advanced Security. En RDS para Oracle, el cifrado SSL puede utilizarse con las ediciones con licencia de las siguientes versiones:

Oracle Database 21c (21.0.0)
Oracle Database 19c (19.0.0)

Temas

Versiones de TLS para la opción Oracle SSL

Amazon RDS para Oracle supports Transport Layer Security (TLS) versiones 1.0 y 1.2. Cuando añada una nueva opción Oracle SSL, establezca SQLNET.SSL_VERSION explícitamente en un valor válido. Los siguientes valores están permitidos para esta continuación de opciones:

"1.0": los clientes pueden conectarse a la instancia de base de datos utilizando TLS versión 1.0 solo. Para las opciones de Oracle SSL existentes, SQLNET.SSL_VERSION se establece en "1.0" automáticamente. Puede cambiar la configuración si es necesario.
"1.2": los clientes pueden conectarse a la instancia de base de datos utilizando TLS 1.2 solo.
"1.2 or 1.0": los clientes pueden conectarse a la instancia de base de datos utilizando TLS 1.2 o 1.0.

Conjuntos de cifrado para la opción Oracle SSL

Amazon RDS para Oracle es compatible con múltiples conjuntos de cifrado SSL. De manera predeterminada, la opción Oracle SSL está configurada para utilizar el conjunto de cifrado SSL_RSA_WITH_AES_256_CBC_SHA. Para especificar un conjunto de cifrado diferente para utilizarlo en las conexiones SSL, utilice la configuración de opciones SQLNET.CIPHER_SUITE.

Puede especificar varios valores para SQLNET.CIPHER_SUITE. Esta técnica resulta útil si tiene enlaces de bases de datos entre sus instancias de base de datos y decide actualizar los conjuntos de cifrado.

En la siguiente tabla se resume la compatibilidad de SSL para RDS para Oracle en todas las ediciones de Oracle Database 19c y 21c.

Conjunto de cifrado (SQLNET.CIPHER_SUITE)	Compatibilidad de la versión de TLS (SQLNET.SSL_VERSION)	Compatibilidad FIPS	Conforme con FedRAMP
SSL_RSA_WITH_AES_256_CBC_SHA (predeterminado)	1.0 y 1.2	Sí	No
SSL_RSA_WITH_AES_256_CBC_SHA256	1.2	Sí	No
SSL_RSA_WITH_AES_256_GCM_SHA384	1.2	Sí	No
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	1.2	Sí	Sí
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	1.2	Sí	Sí
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	1.2	Sí	Sí
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	1.2	Sí	Sí
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	1.2	Sí	Sí
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	1.2	Sí	Sí
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	1.2	Sí	Sí
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	1.2	Sí	Sí

Compatibilidad FIPS

RDS para Oracle le permite usar el estándar federal de procesamiento de la información (FIPS) para 140-2. FIPS 140-2 es un estándar del gobierno estadounidense que define los requisitos de seguridad de los módulos criptográficos. Para activar el estándar FIPS, establezca el valor FIPS.SSLFIPS_140 en TRUE para la opción SSL de Oracle. Cuando FIPS 140-2 se configura para SSL, las bibliotecas criptográficas cifran los datos entre el cliente y la instancia de base de datos de RDS para Oracle.

Los clientes deben usar el conjunto de cifrado compatible con FIPS. Al establecer una conexión, el cliente y la instancia de base de datos de RDS para Oracle negocian qué conjunto de cifrado utilizar al transmitir mensajes entre ellos. La tabla en Conjuntos de cifrado para la opción Oracle SSL muestra los conjuntos de cifrado SSL compatibles con FIPS para cada versión de TLS. Para obtener más información, consulte Oracle Database FIPS 140-2 Settings en la documentación de Oracle.

Compatibilidad de certificados con conjuntos de cifrado

RDS para Oracle admite certificados RSA y de algoritmo de firma digital de curva elíptica (ECDSA). Al configurar SSL para la instancia de base de datos, debe asegurarse de que los conjuntos de cifrado que especifique en la configuración de la opción SQLNET.CIPHER_SUITE sean compatibles con el tipo de certificado utilizado por la instancia de base de datos.

En la siguiente tabla, se muestra la compatibilidad entre los tipos de certificados y los conjuntos de cifrado:

Tipo de certificado	Conjuntos de cifrado compatibles	Conjuntos de cifrado incompatibles
Certificados RSA (rds-ca-2019, rds-ca-rsa2048-g1, rds-ca-rsa4096-g1)	SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_SHA256 SSL_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
Certificados de ECDSA (rds-ca-ecc384-g1)	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_SHA256 SSL_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Tipo de certificado

Conjuntos de cifrado compatibles

Conjuntos de cifrado incompatibles

Certificados RSA (rds-ca-2019, rds-ca-rsa2048-g1, rds-ca-rsa4096-g1)

SSL_RSA_WITH_AES_256_CBC_SHA

SSL_RSA_WITH_AES_256_CBC_SHA256

SSL_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

Certificados de ECDSA (rds-ca-ecc384-g1)

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

SSL_RSA_WITH_AES_256_CBC_SHA

SSL_RSA_WITH_AES_256_CBC_SHA256

SSL_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Al especificar varios conjuntos de cifrado en la configuración de la opción SQLNET.CIPHER_SUITE, asegúrese de incluir al menos un conjunto de cifrado que sea compatible con el tipo de certificado utilizado por la instancia de base de datos. Si utiliza un grupo de opciones con varias instancias de base de datos que tienen distintos tipos de certificados, incluya al menos un conjunto de cifrado para cada tipo de certificado.

Si intenta asociar un grupo de opciones a una opción de SSL que contenga solo conjuntos de cifrado incompatibles con el tipo de certificado de una instancia de base de datos, la operación producirá un error y aparecerá un mensaje de error que indica la incompatibilidad.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

OLAP

Adición de la opción SSL