Versões do TLS Suítes de cifras para SSL Suporte a FIPS para SSL Compatibilidade de certificados

Oracle Secure Sockets Layer

Para habilitar a criptografia SSL para uma instância de banco de dados do RDS para Oracle, adicione a opção Oracle SSL ao grupo de opções associado à instância de banco de dados. O Amazon RDS usa uma segunda porta, conforme exigido pela Oracle, para conexões SSL. Essa abordagem permite que comunicações de texto sem formatação e de texto com criptografia SSL ocorram ao mesmo tempo entre uma instância de banco de dados e o SQL*Plus. Por exemplo, você pode usar a porta com comunicação de texto simples para se comunicar com outros recursos dentro de uma VPC enquanto usa a porta com comunicação criptografada em SSL para se comunicar com recursos fora da VPC.

nota

É possível usar SSL ou a Native Network Encryption (NNE) na mesma instância de banco de dados do RDS para Oracle, mas não ambas. Se você usar a criptografia SSL, desative qualquer outra criptografia de conexão. Para obter mais informações, consulte Oracle Native Network Encryption.

SSL/TLS e NNE não fazem mais parte do Oracle Advanced Security. No RDS para Oracle, é possível usar a criptografia SSL com todas as edições licenciadas das seguintes versões do banco de dados:

Oracle Database 21c (21.0.0)
Oracle Database 19c (19.0.0)

Tópicos

Versões do TLS para a opção Oracle SSL

O Amazon RDS for Oracle oferece suporte ao Transport Layer Security (TLS) versões 1.0 e 1.2. Quando você adiciona uma nova opção Oracle SSL, defina SQLNET.SSL_VERSION explicitamente como um valor válido. Os seguintes valores são permitidos para essa configuração de opção:

"1.0": os clientes só podem se conectar à instância de banco de dados usando o TLS versão 1.0. Para opções Oracle SSL existentes, a SQLNET.SSL_VERSION é definida como "1.0" automaticamente. Você pode alterar a configuração se necessário.
"1.2" – os clientes podem se conectar à instância de banco de dados usando somente o TLS 1.2.
"1.2 or 1.0" – os clientes podem se conectar à instância de banco de dados usando o TLS 1.2 ou 1.0.

Pacotes de criptografia para a opção Oracle SSL

O Amazon RDS for Oracle oferece suporte para vários pacotes de criptografia SSL. Por padrão, a opção Oracle SSL está configurada para usar o pacote de criptografia SSL_RSA_WITH_AES_256_CBC_SHA. Para especificar um pacote de criptografia diferente para usar em conexões SSL, use a configuração da opção SQLNET.CIPHER_SUITE.

É possível especificar vários valores para SQLNET.CIPHER_SUITE. Essa técnica é útil caso você tenha links de banco de dados entre suas instâncias de banco de dados e decida atualizar seus pacotes de criptografia.

A tabela a seguir resume o suporte a SSL no RDS para Oracle em todas as edições do Oracle Database 19c e 21c.

Suíte de cifras (SQLNET.CIPHER_SUITE)	Versão do TLS compatível (SQLNET.SSL_VERSION)	Suporte ao FIPS	Conformidade com FedRAMP
SSL_RSA_WITH_AES_256_CBC_SHA (padrão)	1.0 e 1.2	Sim	Não
SSL_RSA_WITH_AES_256_CBC_SHA256	1.2	Sim	Não
SSL_RSA_WITH_AES_256_GCM_SHA384	1.2	Sim	Não
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA	1.2	Sim	Sim
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	1.2	Sim	Sim
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384	1.2	Sim	Sim
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	1.2	Sim	Sim

Suporte ao FIPS

O RDS para Oracle permite usar o padrão FIPS (Federal Information Processing Standard) para 140-2. O FIPS 140-2 é um padrão do governo dos Estados Unidos que define os requisitos de segurança de módulos criptográficos. Ative o padrão FIPS definindo FIPS.SSLFIPS_140 como TRUE para a opção do Oracle SSL. Quando o FIPS 140-2 é configurado para SSL, as bibliotecas criptográficas criptografam dados entre o cliente e a instância de banco de dados do RDS para Oracle.

Os clientes devem usar o pacote de criptografia compatível com o FIPS. Ao estabelecer uma conexão, o cliente e a instância de banco de dados do RDS para Oracle negociam qual pacote de criptografia deverá ser usado ao transmitir mensagens nas duas direções. A tabela em Pacotes de criptografia para a opção Oracle SSL mostra os pacotes de criptografia SSL compatíveis com o FIPS para cada versão do TLS. Para receber mais informações, consulte Oracle Database FIPS 140-2 Settings na documentação da Oracle.

Compatibilidade de certificados com pacotes de criptografia

O RDS para Oracle comporta os certificados RSA e Elliptic Curve Digital Signature Algorithm (ECDSA). Ao configurar o SSL para sua instância de banco de dados, você deve garantir que os pacotes de criptografia especificados na configuração da opção SQLNET.CIPHER_SUITE aceitem o tipo de certificado usado pela sua instância de banco de dados.

A tabela a seguir mostra a compatibilidade entre os tipos de certificado e pacotes de criptografia:

Tipo de certificado	Pacotes de criptografia compatíveis	Pacotes de criptografia incompatíveis
Pacotes de RSA (rds-ca-2019, rds-ca-rsa2048-g1, rds-ca-rsa4096-g1)	SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_SHA256 SSL_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
Certificados ECDSA (rds-ca-ecc384-g1)	TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384	SSL_RSA_WITH_AES_256_CBC_SHA SSL_RSA_WITH_AES_256_CBC_SHA256 SSL_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Tipo de certificado

Pacotes de criptografia compatíveis

Pacotes de criptografia incompatíveis

Pacotes de RSA (rds-ca-2019, rds-ca-rsa2048-g1, rds-ca-rsa4096-g1)

SSL_RSA_WITH_AES_256_CBC_SHA

SSL_RSA_WITH_AES_256_CBC_SHA256

SSL_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

Certificados ECDSA (rds-ca-ecc384-g1)

TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384

SSL_RSA_WITH_AES_256_CBC_SHA

SSL_RSA_WITH_AES_256_CBC_SHA256

SSL_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

Ao especificar vários pacotes de criptografia na configuração da opção SQLNET.CIPHER_SUITE, inclua pelo menos um pacote de criptografia compatível com o tipo de certificado usado pela sua instância de banco de dados. Se você estiver usando um grupo de opções com várias instâncias de banco de dados com tipos de certificados diferentes, inclua pelo menos um pacote de criptografia para cada tipo de certificado.

Se você tentar associar um grupo de opções a uma opção SSL que contenha somente pacotes de criptografia incompatíveis com o tipo de certificado de uma instância de banco de dados, a operação falhará com uma mensagem de erro indicando a incompatibilidade.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

OLAP

Adicionar a opção do SSL