Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Lapisan Soket Aman Oracle
Untuk mengaktifkan enkripsi SSL untuk RDS untuk instans Oracle DB, tambahkan opsi Oracle SSL ke grup opsi yang terkait dengan instans DB. Amazon RDS menggunakan port kedua, seperti yang diharuskan oleh Oracle, untuk koneksi SSL. Pendekatan ini memungkinkan komunikasi teks yang jelas dan terenkripsi SSL terjadi pada waktu yang sama antara instans DB dan SQL*Plus. Misalnya, Anda dapat menggunakan port dengan komunikasi teks jelas untuk berkomunikasi dengan sumber daya lain di dalam VPC sambil menggunakan port komunikasi terenkripsi SSL untuk berkomunikasi dengan sumber daya di luar VPC.
catatan
Anda dapat menggunakan SSL atau Enkripsi Jaringan Asli (NNE) pada RDS yang sama untuk instans DB Oracle, tetapi tidak keduanya sekaligus. Jika Anda menggunakan enkripsi SSL, pastikan untuk menonaktifkan enkripsi koneksi lainnya. Untuk informasi selengkapnya, lihat Enkripsi jaringan asli Oracle.
SSL/TLS dan NNE tidak lagi menjadi bagian dari Keamanan Lanjutan Oracle. Dalam RDS untuk Oracle, Anda dapat menggunakan enkripsi SSL dengan semua edisi berlisensi dari versi basis data berikut:
-
Oracle Database 21c (21.0.0)
-
Oracle Database 19c (19.0.0)
Versi TLS untuk opsi SSL Oracle
Amazon RDS for Oracle mendukung Keamanan Lapisan Pengangkutan (TLS) versi 1.0 dan 1.2. Saat Anda menambahkan opsi SSL Oracle baru, tetapkan SQLNET.SSL_VERSION secara eksplisit ke nilai yang valid. Nilai-nilai berikut diizinkan untuk pengaturan opsi ini:
-
"1.0"— Klien dapat terhubung ke instans DB menggunakan TLS versi 1.0 saja. Untuk opsi Oracle SSL yang ada,SQLNET.SSL_VERSIONditetapkan ke"1.0"secara otomatis. Anda dapat mengubah pengaturan bila diperlukan. -
"1.2"– Klien dapat terhubung ke instans DB menggunakan TLS 1.2 saja. -
"1.2 or 1.0"- Klien dapat terhubung ke instans DB menggunakan TLS 1.2 atau 1.0.
Paket sandi untuk opsi SSL Oracle
Amazon RDS for Oracle mendukung beberapa paket sandi SSL. Secara default, opsi SSL Oracle dikonfigurasi untuk menggunakan paket sandi SSL_RSA_WITH_AES_256_CBC_SHA. Untuk menentukan paket sandi yang berbeda untuk digunakan melalui koneksi SSL, gunakan pengaturan opsi SQLNET.CIPHER_SUITE.
Anda dapat menentukan beberapa nilai untukSQLNET.CIPHER_SUITE. Teknik ini berguna jika Anda memiliki link database antara instans DB Anda dan memutuskan untuk memperbarui cipher suite Anda.
Tabel berikut merangkum dukungan SSL untuk RDS untuk Oracle di semua edisi Oracle Database 19c dan 21c.
| Paket sandi (SQLNET.CIPHER_SUITE) | Dukungan versi TLS (SQLNET.SSL_VERSION) | Dukungan FIPS | Sesuai dengan FedRAMP |
|---|---|---|---|
| SSL_RSA_WITH_AES_256_CBC_SHA (default) | 1.0 dan 1.2 | Ya | Tidak |
| SSL_RSA_DENGAN_AES_256_CBC_ SHA256 | 1.2 | Ya | Tidak |
| SSL_RSA_DENGAN_AES_256_GCM_ SHA384 | 1.2 | Ya | Tidak |
| TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 | 1.2 | Ya | Ya |
| TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 | 1.2 | Ya | Ya |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 | 1.2 | Ya | Ya |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 | 1.2 | Ya | Ya |
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA | 1.2 | Ya | Ya |
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA | 1.2 | Ya | Ya |
| TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 | 1.2 | Ya | Ya |
| TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_ SHA384 | 1.2 | Ya | Ya |
Dukungan FIPS
RDS for Oracle memungkinkan Anda untuk menggunakan standar Federal Information Processing Standard (FIPS) untuk 140-2. FIPS 140-2 adalah standar pemerintah Amerika Serikat yang menetapkan persyaratan keamanan modul kriptografi. Anda mengaktifkan standar FIPS dengan menetapkan FIPS.SSLFIPS_140 ke TRUE untuk opsi SSL Oracle. Ketika FIPS 140-2 dikonfigurasi untuk SSL, pustaka kriptografi mengenkripsi data antara klien dan instans DB RDS for Oracle.
Klien harus menggunakan paket sandi yang mematuhi FIPS. Saat membuat koneksi, klien dan instans DB RDS for Oracle menegosiasikan paket sandi mana yang akan digunakan saat mengirimkan pesan bolak-balik. Tabel di Paket sandi untuk opsi SSL Oracle menunjukkan paket sandi SSL yang mematuhi FIPS untuk setiap versi TLS. Untuk informasi selengkapnya, lihat Oracle database FIPS 140-2 settings
Kompatibilitas sertifikat dengan cipher suite
RDS untuk Oracle mendukung sertifikat RSA dan Elliptic Curve Digital Signature Algorithm (ECDSA). Ketika Anda mengkonfigurasi SSL untuk instans DB Anda, Anda harus memastikan bahwa cipher suite yang Anda tentukan dalam pengaturan SQLNET.CIPHER_SUITE opsi kompatibel dengan jenis sertifikat yang digunakan oleh instans DB Anda.
Tabel berikut menunjukkan kompatibilitas antara jenis sertifikat dan cipher suite:
| Jenis sertifikat | Suite cipher yang kompatibel | Suite sandi yang tidak kompatibel |
|---|---|---|
| Sertifikat RSA (rds-ca-2019, 2048-g1, 4096-g1) rds-ca-rsa rds-ca-rsa |
SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_DENGAN_AES_256_CBC_ SHA256 SSL_RSA_DENGAN_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_ SHA384 |
| Sertifikat ECDSA (384-g1) rds-ca-ecc |
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_ECDSA_DENGAN_AES_256_CBC_ SHA384 |
SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_DENGAN_AES_256_CBC_ SHA256 SSL_RSA_DENGAN_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_ SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_ SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA |
Saat Anda menentukan beberapa cipher suite dalam pengaturan SQLNET.CIPHER_SUITE opsi, pastikan untuk menyertakan setidaknya satu cipher suite yang kompatibel dengan jenis sertifikat yang digunakan oleh instans DB Anda. Jika Anda menggunakan grup opsi dengan beberapa instans DB yang memiliki jenis sertifikat berbeda, sertakan setidaknya satu rangkaian sandi untuk setiap jenis sertifikat.
Jika Anda mencoba mengaitkan grup opsi dengan opsi SSL yang hanya berisi rangkaian sandi yang tidak kompatibel dengan jenis sertifikat instans DB, operasi akan gagal dengan pesan kesalahan yang menunjukkan ketidakcocokan.
