如何将Amazon EC2 Oracle透明数据加密数据库加密密钥库迁移到AWS CloudHSM

概述

数据库加密对于保护敏感数据至关重要，有助于符合安全法规并防止数据丢失。Oracle透明数据加密（TDE）是一项功能，可用于加密Oracle数据库中的静态数据。TDE使用信封加密，即用于加密数据库表的加密密钥由一个主密钥加密，该主密钥驻留在软件密钥库或硬件密钥库（如硬件安全模块HSM）中。

解决方案优势

使用外部密钥管理器（如CloudHSM）相比在主机上的Oracle钱包中保存密钥具有多个优势：

• 增强的安全性：CloudHSM提供FIPS 140验证的硬件安全性，将加密密钥保存在防篡改模块中
• 集中式密钥管理：CloudHSM支持集中管理加密密钥，简化密钥轮换、备份和审计
• 合规性：使用CloudHSM可帮助满足监管要求

迁移步骤

先决条件

• AWS CloudHSM集群：需要设置CloudHSM集群并配置管理EC2实例
• Oracle数据库：确保Oracle 19c数据库在EC2 Linux实例上运行

安装CloudHSM客户端

1

sudo /opt/cloudhsm/bin/configure-cli -a <HSM的ENI IPv4/IPv6地址>

安装PKCS#11库

1

cp /opt/cloudhsm/libcloudhsm_pkcs11.so /opt/oracle/extapi/[32,64]/hsm/aws/{VERSION}/libcloudhsm_pkcs11.so

配置Oracle钱包位置

编辑sqlnet.ora文件：

1
2
3

ENCRYPTION_WALLET_LOCATION=
  (SOURCE=(METHOD=HSM)
  )

密钥迁移

使用以下命令迁移加密密钥：

1

ADMINISTER KEY MANAGEMENT SET ENCRYPTION KEY IDENTIFIED BY "hsm-crypto-user:password" MIGRATE USING "wallet-password" WITH BACKUP USING 'backup_tag';

设置自动登录

1

ADMINISTER KEY MANAGEMENT CREATE AUTO_LOGIN KEYSTORE FROM KEYSTORE '/etc/oracle/wallets/<path>/tde' IDENTIFIED BY "<hsm-crypto-user:password>";

密钥轮换最佳实践

轮换频率建议

• 年度轮换：许多组织每年轮换一次TDE密钥以满足合规要求
• 季度轮换：对于高安全环境或更敏感的数据，每季度轮换可提供额外安全层
• 紧急轮换：如果密钥被泄露或怀疑泄露，应立即轮换

HSM密钥轮换步骤

1. 生成32位十六进制值作为前缀
2. 在CloudHSM中生成使用该标签的密钥
3. 与Oracle hsm-crypto-user共享密钥
4. 更新Oracle数据库使用新的主TDE密钥

结论

通过本指南，您可以：

• 实现从软件钱包到HSM的安全密钥迁移
• 获得增强的安全性和合规性
• 建立健壮的密钥管理实践
• 实施定期密钥轮换策略

迁移到AWS CloudHSM可以为您的Oracle TDE部署提供企业级的安全保护和密钥管理能力。