Поддерживаемые методы шифрования
В этом разделе описано, какие методы шифрования поддерживает Qlik Replicate при работе с исходной базой данных Oracle, а также перечислены требования для поддержки шифрования средствами HSM (Hardware Security Module, аппаратный модуль безопасности).
Шифрование TDE
Поддерживается шифрование как табличного пространства, так и столбцов.
Ограничения и замечания
- Шифрование NNE (Native Network Encryption, собственное сетевое шифрование) поддерживается, если оно правильно настроено и в Oracle, и в файле sqlnet.ora клиента Oracle.
- Репликация Перемещение столбцов, зашифрованных с помощью алгоритма 3DES168, не поддерживается.
Шифрование HSM
Поддерживается шифрование как табличного пространства, так и столбцов.
Предварительные требования
- Администратор базы данных Oracle может установить клиент PKCS #11 на компьютер Qlik Talend Data Integration и настроить его работу с HSM (аппаратный модуль шифрования).
-
Определите переменную среды AREP_HSM_LIB, указав путь к pkcs11 dll/so.
Пример:
-
set AREP_HSM_LIB=C:\Program Files\Vormetric\DataSecurityExpert\Agent\pkcs11\bin\vorpkcs11.dll
-
export AREP_HSM_LIB=/opt/cloudhsm/lib/libcloudhsm_pkcs11.so
-
Настройка
- Введите HSM в поле Имена.
- В поле Значения задайте crypto_username:password или просто password в зависимости от используемого HSM. Для хранилища ключей Oracle Key Vault должен использоваться тот же пароль, что и для установки okvclient.jar. Комбинация password или crypto_username:password — это те же учетные данные, которые использовались для создания основного ключа TDE (прозрачное шифрование данных).
Ограничения и замечания
-
При работе с Oracle Key Vault for Oracle 19 должен быть установлен полный клиент Oracle 19.17 или более поздней версии.
Примечание к информацииOracle Key Vault можно использовать с любым HSM с использованием API PKCS#11. Использование Oracle Vault в OCI (облачная инфраструктура Oracle Cloud Infrastructure) не поддерживается, так как в этой среде отсутствует общедоступный API PKCS#11. - Репликация Перемещение столбцов, зашифрованных с помощью алгоритма 3DES168, не поддерживается.