Вы находитесь на странице: 1из 440

Oracle University and Impacta Tecnologia use onlyฺ

Oracle Database 10g: Workshop de Administração II

Guia do Aluno • Volume 2

D17092BP30

Produção 3.0 Março de 2006

D45126

• Volume 2 D17092BP30 Produção 3.0 Março de 2006 D45126 Development Program (WDP) eKit materials are

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Autores

Tom Best

M.J. Billings

Revisores e Colaboradores Técnicos

Herbert Bradbury Howard Bradley Harald van Breederode M.J. Bryksa Donna Cooksey Joe Fong Andy Fortunak Gerlinde Frenzen Joel Goodman Sushma Jagannath Christine Jeal Pierre Labrousse Jerry Lee Stefan Lindblad Wendy Lo Yi Lu Andreas Reinhardt Ira Singer James Spiller Janet Stern Jean-Francois Verrier

Redatores

Aju Kumar

Nita Pavitran

Designers Gráficos

Steve Elwood

Sanjeev Sharma

Editor

Sujatha Nagendra

Copyright © 2006, Oracle. Todos os direitos reservados.

Isenção de Responsabilidade

Esta documentação contém informações proprietárias e é protegida pela legislação de direitos autorais e por outras leis de propriedade intelectual. A cópia e a impressão deste documento são permitidas exclusivamente para uso durante os cursos de treinamento da Oracle. O documento não poderá ser modificado de nenhuma forma. Salvo quando o uso estiver em conformidade com a lei de direitos autorais, é vedado usar, compartilhar, fazer download ou upload, copiar, imprimir, exibir, reproduzir, publicar, licenciar, divulgar, transmitir ou distribuir o presente documento, no todo ou em parte, sem a expressa autorização da Oracle.

As informações contidas neste documento estão sujeitas a alterações sem aviso prévio. Eventuais problemas encontrados no documento deverão ser reportados por

escrito e enviados para: Oracle University, 500 Oracle Parkway, Redwood Shores, California 94065 EUA. Distribuidor no Brasil: Oracle do Brasil Sistemas Ltda. Av.

- CNPJ:

Alfredo Egydio de Souza Aranha, 100, São Paulo, SP - 04726-170 - Brasil 59.456.277/0001-76 Este documento pode conter erros.

Aviso de Direitos Restritos

Caso o destinatário do presente documento seja o Governo dos Estados Unidos ou qualquer pessoa que esteja usando o documento em seu nome, será aplicado o seguinte aviso:

DIREITOS DO GOVERNO DOS EUA Os direitos do Governo dos EUA de usar, modificar, reproduzir, divulgar, exibir ou publicar estes materiais de treinamento são restritos pelas condições estabelecidas no contrato de licença da Oracle e/ou no contrato do Governo dos EUA aplicável.

Aviso de Registro de Marca

Oracle, JD Edwards e PeopleSoft são marcas comerciais da Oracle Corporation e/ou de suas coligadas. Outros nomes poderão constituir marcas comerciais de seus respectivos titulares.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Conteúdo

Prefácio

1 Introdução Objetivos da Lição Objetivos do Curso

1-2

1-3

Programação Sugerida Conteúdo do Curso DBAI

Exemplos do Curso: O Esquema HR

Oracle Database 10 g: O Banco de Dados para a Grade

Arquitetura do Banco de Dados: Revisão

Estruturas de Memória Oracle

Processos Oracle

Revisando o Gerenciamento de Instâncias Oracle

Estrutura Física do Banco de Dados

OMF (Oracle Managed Files)

Estruturas Lógicas e Físicas do Banco de Dados

Arquitetura do Banco de Dados: Resumo dos Componentes Estruturais Sumário 1-20

1-4

1-5

1-6

1-7

1-8

1-9

1-11

1-12

1-17

1-14

1-16

1-19

2 Configurando o Recovery Manager Objetivos 2-2

Backup e Recuperação: Revisão Recursos do Recovery Manager

Backup e Recuperação: Revisão Recursos do Recovery Manager

2-3

2-4

Componentes do Recovery Manager

Etapas de Configuração do RMAN

Armazenamento de Dados do Repositório do RMAN: Comparação de Opções

Destinos de Backup

Gerenciamento de Mídia

Usando uma Área de Recuperação Flash com o RMAN

Monitorando a Área de Recuperação Flash com o EM

Uso do Espaço da Área de Recuperação Flash V$FLASH_RECOVERY_AREA_USAGE 2-18 Fazendo Backup da Área de Recuperação Flash

Vantagens do Uso de uma Área de Recuperação Flash

Definindo Parâmetros que Afetam o RMAN

Considerações sobre a Utilização do RMAN

Tipos de Conexões com o RMAN

2-6

2-8

2-11

2-12

2-14

2-16

2-17

2-20

2-21

2-22

2-24

2-25

Iniciando o RMAN

2-26

Argumentos de Linha de Comandos Adicionais do RMAN

Configurando Definições Persistentes para o RMAN Configurando as Definições do RMAN com o EM

Backups Automáticos do Arquivo de Controle

Políticas de Retenção

Gerenciando Definições Persistentes

Alocação de Canais

Alocação Automática e Manual de Canais

2-28

2-29

2-30

2-32

2-35

2-34

2-36

2-27

iii

2-9

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Opções de Controle de Canal

Sumário 2-39 Visão Geral do Exercício: Configurando o RMAN

2-37

2-40

3 Usando o Recovery Manager Objetivos 3-2

Executando Comandos do Recovery Manager

Tipos de Comandos do RMAN

Comandos de Job: Exemplo

Comandos do RMAN: Visão Geral

Comando BACKUP

Restrições de Backup

Paralelização de Conjuntos de Backup

Backups Compactados Cópia-Imagem 3-14

Tags para Backups e Cópias-Imagem

Opções do Comando BACKUP

3-5

3-6

3-7

3-9

3-10

3-13

3-11

3-16

3-17

3-3

Fazendo Backup de Redo Logs Arquivados

3-19

Backup Completo do Banco de Dados

3-21

Tipos de Backup com o RMAN

3-22

Comparação entre Diferencial e Cumulativo

3-24

Rastreamento de Alterações em Blocos

Ativando o Rastreamento de Alterações em Blocos

Atualização Incremental de Backups

Comando LIST

Comando REPORT

Comando REPORT NEED BACKUP 3-30 REPORT NEED BACKUP: Exemplos 3-31 REPORT OBSOLETE e DELETE OBSOLETE 3-32

Gerenciando Backups com o EM

Views Dinâmicas do RMAN

Monitorando Backups com o RMAN

Sumário 3-38 Visão Geral do Exercício: Fazendo o Backup do Banco de Dados

3-25

3-26

3-27

3-28

3-29

3-33

3-36

3-34

3-39

4 Recuperando Perdas Não Críticas Objetivos 4-2

Causas da Perda de Dados

Comparação entre Crítico e Não Crítico

Perdendo um TEMPFILE

Recuperando a Perda de um TEMPFILE

Status do Grupo de Logs: Revisão

Perdendo um Membro do Grupo de Redo Logs

Recriando Arquivos de Redo Log

Recriando Índices

Métodos de Autenticação para Administradores de Bancos de Dados 4-15

4-3

4-4

4-6

4-5

4-7

4-9

4-8

4-13

iv

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Recriando um Arquivo de Autenticação de Senha

Sumário 4-18 Visão Geral do Exercício: Recuperação a Perda de um TEMPFILE e de um Arquivo Redo Log

4-16

5 Recuperação de Banco de Dados Objetivos 5-2

Métodos de Recuperação

5-3

4-19

Recuperação Gerenciada por Usuário: Comando RECOVER

5-4

Recuperação do RMAN: Comandos RESTORE e RECOVER

5-5

Recuperação com o Enterprise Manager

Recuperação Completa e Incompleta

Recuperação Completa Recuperação Incompleta

Situações Que Exigem Recuperação Incompleta

Tipos de Recuperação Incompleta

Executando a Recuperação Incompleta Gerenciada pelo Usuário

Recuperação Baseada em Horário Gerenciada por Usuário: Exemplo

Recuperação Baseada em Cancelamento Gerenciada por Usuário: Exemplo

Executando a Recuperação Incompleta com o RMAN

Recuperação Baseada em Horário com o RMAN: Exemplo Recuperação de Seqüência de Log com o RMAN: Exemplo

Recuperação Incompleta com o Enterprise Manager

Recuperação Incompleta e o Log de Alerta

Pontos de Restauração

Recuperação Incompleta: Melhores Práticas

Recuperando um Arquivo de Controle por Backup Automático

Criando um Novo Arquivo de Controle

Recuperando Tablespaces Somente para Leitura 5-33 Questões Relativas à Recuperação de Tablespaces Somente para Leitura Sumário 5-37

Visão Geral do Exercício: Executando uma Recuperação Incompleta

5-6

5-7

5-8

5-9

5-11

5-12

5-14

5-16

5-18

5-20

5-24

5-21

5-23

5-25

5-27

5-26

5-29

5-31

5-35

5-38

6 Flashback Objetivos 6-2 Tecnologia de Flashback: Revisão Flashback de Eliminação e Lixeira

6 Flashback Objetivos 6-2 Tecnologia de Flashback: Revisão Flashback de Eliminação e Lixeira

6-3

6-4

Lixeira 6-5 Restaurando Tabelas a Partir da Lixeira

Lixeira: Reutilização Automática de Espaço

Lixeira: Reutilização Manual de Espaço

Ignorando a Lixeira

Consultando a Lixeira

Consultando Dados de Tabelas Eliminadas

Flashback de Banco de Dados: Revisão

Arquitetura do Flashback de Banco de Dados Configurando o Flashback de Banco de Dados

6-7

6-10

6-8

6-11

6-12

6-13

6-14

6-15

6-16

v

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Configurando o Flashback de Banco de Dados com o EM

Flashback de Banco de Dados: Exemplos

Executando o Flashback de Banco de Dados com o EM Excluindo Tablespaces do Flashback de Banco de Dados

Considerações sobre o Flashback de Banco de Dados

Monitorando o Flashback de Banco de Dados

Monitorando o Flashback de Banco de Dados com o EM

Pontos de Restauração Garantidos

Sumário 6-30 Visão Geral do Exercício: Executando o Flashback de Banco de Dados

6-17

6-20

6-23

6-24

6-28

6-19

6-26

6-29

6-31

7 Lidando com Bancos de Dados Danificados Objetivos 7-2

O Que É um Bloco Danificado?

7-3

Sintomas de Blocos Danificados: ORA-1578 7-4 Como Lidar com Danos 7-5 Recursos Relacionados a Danos 7-7 Utilitário DBVERIFY 7-8 Interpretando a Saída DBVERIFY 7-9 Comando ANALYZE 7-11 Verificando a Integridade de Blocos em Tempo Real: DB_BLOCK_CHECKING Verificando a Integridade de Blocos em Tempo Real: DB_BLOCK_CHECKSUM Usando EXP para Detectar Danos 7-14

Verificando a Integridade de Blocos em Tempo Real: DB_BLOCK_CHECKSUM Usando EXP para Detectar Danos 7-14

7-12

7-13

Usando o Flashback para Danos Lógicos 7-15 Package DBMS_REPAIR 7-16 Usando o DBMS_REPAIR 7-17

BMR (Block Media Recovery)

Comando BLOCKRECOVER 7-22 Exemplos do Uso do Comando BLOCKRECOVER 7-23

A Interface do RMAN BMR

Ações Alternativas 7-26 Sumário 7-27 Visão Geral do Exercício: Executar uma Recuperação de Mídia de Bloco 7-28

7-21

7-25

8 Monitorando e Gerenciando a Memória Objetivos 8-2

Gerenciamento de Memória: Visão Geral

Estruturas de Memória Oracle

Cache de Buffer

Usando Vários Pools de Buffers

8-4

8-8

8-6

Shared Pool

8-10

Large Pool

8-11

Java Pool

8-12

8-3

Buffer de Redo Log 8-13 Gerenciamento Automático da Memória Compartilhada: Visão Geral

Vantagens do Gerenciamento Automático da Memória Compartilhada 8-15

8-14

vi

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Como Funciona o ASMM

8-16

Oracle University and Impacta Tecnologia use onlyฺ

Configurando o ASMM com o Database Control

Configurando o ASMM Manualmente

Comportamento de Parâmetros Auto-ajustáveis da SGA

Comportamento de Parâmetros da SGA Ajustados Manualmente

Usando a View V$PARAMETER

Modificando o Parâmetro SGA_TARGET

Desativando o ASMM

Redimensionando Manualmente os Parâmetros da SGA Dinâmica

PGA (Program Global Area)

Gerenciamento Automático da Memória PGA

Recursos de Gerenciamento da PGA

8-17

8-18

8-21

8-23

8-24

8-25

8-27

8-29

8-30

8-22

8-26

Usando o Memory Advisor para Dimensionar a SGA

8-31

Usando o Memory Advisor para Dimensionar a PGA

8-32

Uso de Memória Eficiente: Diretrizes

Diretrizes de Ajuste da Memória para o Cache de Biblioteca

Sumário 8-37 Visão Geral do Exercício: Usando o ASMM para Corrigir um Problema de Alocação de Memória

8-33

8-35

9 Gerenciamento Automático do Desempenho Objetivos 9-2

Atividades de Ajuste

Planejamento do Desempenho

Ajuste de Instância

Metodologia de Ajuste de Desempenho

Coleta de Estatísticas

Eventos de Espera Oracle

Estatísticas do Sistema

9-3

9-6

9-8

9-4

9-10

9-11

9-7

Exibindo Estatísticas Relativas a Sessões

9-13

Exibindo Estatísticas Relativas a Serviços

9-14

Views para Diagnóstico/Solução de Problemas e Ajuste

Views de Dicionário

Diagnósticos de Bancos de Dados Bloqueados ou Extremamente Lentos

Usando o Modo de Acesso à Memória

Usando a Página de Análise de Bloqueio

Automatic Workload Repository

Linhas de Base de Snapshots do AWR

Advisory Framework: Visão Geral

Database Control e Advisors

Sessão de Ajuste Convencional de Advisor

Chamando o ADDM Manualmente

Usando o SQL Tuning Advisor: Revisão

SQL Access Advisor: Visão Geral

Sessão Típica do SQL Access Advisor

Origem da Carga de Trabalho

Opções de Recomendação

9-15

9-16

9-18

9-19

9-21

9-23

9-24

9-28

9-30

9-26

9-27

9-29

9-31

9-32

9-33

9-17

vii

8-38

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Verificando Recomendações 9-35 COMMIT Assíncrono 9-36 Usando o COMMIT Assíncrono 9-37 Sumário 9-38 Visão Geral do Exercício: Usando o ADDM para Diagnosticar Problemas de Desempenho 9-39

10 Gerenciando Objetos de Esquema Objetivos 10-2

Tipos de Tabelas

O Que É uma Partição e Por Que Usá-la? Partições 10-5

Criando uma Partição

Métodos de Particionamento

Manutenção da Partição

Tabelas Organizadas por Índice

Tabelas Organizadas por Índice e Tabelas de Heap

10-3

10-4

10-6

10-7

10-8

10-9

10-10

Criando Tabelas Organizadas por Índice Clusters 10-13

10-12

Tipos de Cluster

10-14

Situações em que os Clusters São Úteis

10-16

Cluster de Hash Classificado: Visão Geral

10-17

Cluster de Hash Classificado: Exemplo

Cluster de Hash Classificado: Arquitetura Básica

Tarefas de Gerenciamento de Esquemas

Estimando a Utilização de Recursos

10-20

10-18

10-21

10-19

Analisando Tendências de Crescimento

10-22

Gerenciando Estatísticas do Otimizador

10-23

Reorganizando Objetos de Esquema On-line

Reorganizando Objetos: Relatório de Impacto

Reorganizando Objetos: Revisão

Etapas Básicas da Reorganização Manual On-line

Sumário 10-29 Visão Geral do Exercício: Gerenciando Objetos de Esquema

10-24

10-26

10-27

10-28

11 Gerenciando o Armazenamento Objetivos 11-2

Gerenciamento do Espaço: Visão Geral

Gerenciamento do Espaço Livre Tipos de Segmentos 11-5

Alocando Extensões

Gerenciamento do Espaço em Bloco

Encadeamento e Migração de Linhas 11-8

11-7

11-3

11-4

11-6

Monitoramento Pró-ativo de Tablespaces

11-10

Monitorando a Utilização do Espaço para Tablespace

Comprimindo Segmentos

Limites e Resolução de Problemas de Espaço

11-9

11-12

viii

11-11

10-30

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Resultados da Operação de Compressão

Reutilização de Espaço com o ASSM

Segment Advisor: Visão Geral

Segment Advisor

Implementando Recomendações

11-13

11-14

11-15

11-16

11-18

Database Control e Compressão de Segmentos

11-19

Comprimindo Segmentos com SQL

11-20

Gerenciando a Alocação de Espaço Retomável

11-21

Usando a Alocação de Espaço Retomável

11-22

Retomando Instruções Suspensas

11-24

Transportando Tablespaces

11-26

Conceito: Nível Mínimo de Compatibilidade

11-27

Procedimento para Tablespace Transportável

Determinando o Formato Endian de uma Plataforma

Transportando Bancos de Dados

11-28

11-30

11-29

Procedimento de Transporte de Banco de Dados: Conversão do Sistema de Origem

11-31

Procedimento de Transporte de Banco de Dados: Conversão do Sistema de Destino

11-32

Transporte do Banco de Dados: Considerações

Sumário 11-34 Visão Geral do Exercício: Gerenciando o Armazenamento

11-33

11-35

12 ASM (Automatic Storage Management)

Objetivos 12-2 ASM (Automatic Storage Management): Revisão

12-3

Arquitetura Geral do ASM

12-5

Tarefas da Instância ASM

12-7

Criando uma Instância ASM

12-8

Parâmetros de Inicialização da Instância ASM

Alterações nos Parâmetros de Instância do Banco de Dados

Inicializando uma Instância ASM Acessando uma Instância ASM

Home Page do ASM

12-9

12-11

12-12

12-14

12-10

Página de Desempenho do ASM

12-15

Página de Configuração do ASM

12-16

Fazendo Shutdown de uma Instância ASM

DBCA e Opções de Armazenamento

Armazenamento do ASM: Conceitos 12-19

Grupos de Discos ASM

Grupo com Proteção para Falhas

Espelhamento de Grupos de Discos

Rebalanceamento Dinâmico de Grupos de Discos

Gerenciando Grupos de Discos

Página de Administração do ASM

Página Create Disk Group

12-17

12-18

12-20

12-21

12-22

12-24

12-25

12-26

12-23

Criando e Eliminando Grupos de Discos

12-27

Adicionando Discos a Grupos de Discos

12-28

ix

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Comandos ALTER 12-30 Arquivos ASM 12-32 Utilitário ASMCMD 12-33 Migrando o Banco de Dados para o Armazenamento do ASM 12-34 Sumário 12-36 Visão Geral do Exercício: Usando o ASM (Automatic Storage Management) 12-37

13 Gerenciando Recursos Objetivos 13-2 Database Resource Manager: Visão Geral

13-3

Conceitos do Database Resource Manager

Por Que Usar o Resource Manager

Acessando Planos de Recursos

Exemplo: SYSTEM_PLAN

Criando um Novo Plano de Recursos

Criando Grupos de Consumidores

Designando Usuários a Grupos de Consumidores Especificando Diretivas de Planos de Recursos

Métodos de Alocação de Recursos para Planos de Recursos

13-4

13-5

13-9

13-7

13-8

13-10

13-11

13-12

13-13

Comparação entre EMPHASIS e RATIO

13-14

Mecanismo do Pool de Sessões Ativas

13-16

Definindo o Pool de Sessões Ativas

13-17

Tempo Máximo de Execução Estimado Alternância de Grupos de Consumidores

Tempo Máximo de Execução Estimado Alternância de Grupos de Consumidores

13-18

13-19

Retornando ao Grupo Inicial de Consumidores ao Final da Chamada

Definindo Timeouts de Inatividade

Mapeamento de Grupos de Consumidores de Recursos

Ativando um Plano de Recursos para uma Instância

Informações sobre o Database Resource Manager

Monitorando o Resource Manager

Sumário 13-30 Visão Geral do Exercício: Usando o Resource Manager

13-22

13-23

13-25

13-26

13-27

13-31

13-20

14 Automatizando Tarefas com o Scheduler Objetivos 14-2

Simplificando Tarefas de Gerenciamento

Um Job Simples

14-4

Principais Componentes e Etapas

1. Criando um Programa

2. Criando e Usando Programações

3. Criando e Executando um Job

4. Monitorando um Job

Usando uma Programação Baseada em Horário ou Evento

Criando um Job Baseado em Horário

Criando uma Programação Baseada em Evento

Criando Programações Baseadas em Evento com o Enterprise Manager

14-3

14-5

14-7

14-8

14-6

14-9

14-10

14-11

14-13

x

14-14

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Criando um Job Baseada em Evento

14-15

Oracle University and Impacta Tecnologia use onlyฺ

Programação Baseada em Evento

14-16

Criando Programações Complexas

14-18

Criando Cadeias de Job

14-19

Exemplo de uma Cadeia

14-21

1. Criando um Objeto de Cadeia

14-22

2. Definindo Etapas da Cadeia

14-23

3. Definindo Regras da Cadeia

14-24

4. Iniciando a Cadeia

14-26

Conceitos Avançados do Scheduler

Criando uma Classe de Job

Criando uma Janela de Tempo

Priorizando Jobs em uma Janela de Tempo

Sumário 14-31 Visão Geral do Exercício: Automatizando Tarefas com o Scheduler

Monitorando Cadeias de Job

14-25

14-27

14-28

14-29

14-30

15 Segurança do Banco de Dados Objetivos 15-2

14-32

Oracle TDE (Transparent Data Encryption): Visão Geral

15-3

Processo da TDE

15-5

Implementando a TDE

15-6

Tabelas Existentes e TDE

15-9

TDE: Considerações

15-10

Suporte dos Wallets para Nomes de Usuários e Senhas

15-11

Data Pump e TDE (Transparent Data Encryption)

15-12

Backups Criptografados pelo RMAN: Visão Geral

15-13

Configuração do Modo Transparente

Configuração do Modo de Senha

Configuração do Modo Duplo

Backups Criptografados pelo RMAN: Considerações

Necessidade de Privacidade dos Dados

Definição e Uso de Termos

15-14

15-15

15-16

15-19

15-18

15-17

Virtual Private Database: Visão Geral

15-20

Virtual Private Database: Recursos

15-21

VPD em Nível de Coluna: Exemplo

15-22

Criando uma Política em Nível de Coluna

Sumário 15-24 Visão Geral do Exercício: Usando a Segurança do Banco de Dados Oracle

15-23

16 Usando o Suporte à Globalização Objetivos 16-2

O Que Todo DBA Precisa Saber

16-3

O Que É um Conjunto de Caracteres?

Noções Básicas de Unicode

Como os Conjuntos de Caracteres São Usados?

16-4

16-6

16-8

xi

15-25

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Problemas a Serem Evitados Outro Exemplo de Problema

Como Escolher Seu Conjunto de Caracteres

Conjuntos de Caracteres de Banco de Dados e Conjuntos de Caracteres Nacionais

Como Obter Informações sobre Conjuntos de Caracteres 16-13 Como Especificar um Comportamento Dependente do Idioma 16-14

Como Especificar um Comportamento Dependente do Idioma para a Sessão

Parâmetros Dependentes de Idioma e Território

Como Especificar um Comportamento Dependente do Idioma 16-18

16-19

Como Usar a Pesquisa e a Classificação Lingüística

Pesquisa e Classificação sem Distinção de Acentos e entre Maiúsculas e Minúsculas

Suporte em Cláusulas SQL e Functions

Suporte a Índices Lingüísticos

Como Personalizar a Pesquisa e a Classificação Lingüísticas

Conversão Implícita entre CLOB e NCLOB

Conversão de Dados NLS com Utilitários Oracle

Conversão de Dados NLS com o Data Pump Características do Suporte à Globalização

Sumário 16-32 Visão Geral do Exercício: Usando Recursos do Suporte à Globalização

16-9

16-10

16-11

16-15

16-16

Pesquisa e Classificação Lingüísticas

16-21

16-24

16-27

16-25

16-26

16-28

16-30

16-31

16-33

17 Workshop Objetivos 17-2 Metodologia do Workshop Necessidades de Negócios

17-3

17-5

Configuração do Banco de Dados

Método de Resolução de Problemas do Banco de Dados

Sumário 17-9 Visão Geral do Exercício: Configuração do Workshop

17-6

17-7

17-10

Apêndice A: Exercícios

Apêndice B: Soluções

Apêndice C: Comandos Básicos do Linux e do vi

Apêndice D: Acrônimos e Termos

Apêndice E: Servidores Compartilhados Oracle Objetivos E-2

Estabelecendo uma Conexão

Processo do Servidor Dedicado

Sessões do Usuário

Sessões do Usuário: Servidor Dedicado

Sessões do Usuário: Servidor Compartilhado

Processando uma Solicitação

SGA e PGA

E-3

E-4

E-5

E-6

E-8

E-9

xii

E-7

16-12

16-23

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

UGA e Servidor Compartilhado Oracle

Configurando o Servidor Compartilhado Oracle DISPATCHERS E-12

SHARED_SERVERS E-14 MAX_SHARED_SERVERS E-15 CIRCUITS E-16 SHARED_SERVER_SESSIONS E-17

Parâmetros Relacionados

Verificando a Configuração do Servidor Compartilhado

Views de Dicionário de Dados

Escolhendo um Tipo de Conexão

Quando Não Usar o Servidor Compartilhado

Sumário E-24

E-10

E-11

E-18

E-21

E-22

E-23

E-19

Apêndice F: Oracle Secure Backup Objetivos F-2

Proteção de Dados em Fita para a Pilha de Produtos Oracle

A Vantagem para o Cliente: Solução Completa Oracle

Oracle Secure Backup para Gerenciamento Centralizado de Backups em Fita

Domínio Administrativo do Oracle Secure Backup

Oracle Secure Backup: Visão Geral do Gerenciamento de Backup

F-3

F-4

F-6

F-7

Catálogo do Oracle Secure Backup

F-8

Usuários do Oracle Secure Backup

F-9

Classes Predefinidas

Opções de Interface do Oracle Secure Backup

F-11

F-12

F-5

Gerenciando os Dados a Serem Protegidos

F-13

Conceitos de Mídia do Oracle Secure Backup

F-14

Reciclagem de Conjuntos de Volumes

F-15

Gerenciamento Automatizado de Dispositivos

F-17

Operações de Gerenciamento de Biblioteca

F-18

Oracle Secure Backup: Instalação

Instalando o Software Oracle Secure Backup

Instalação do Servidor Administrativo: Exemplo

F-19

F-20

F-21

Definindo o Servidor Administrativo no EM

A Página Oracle Secure Backup Device and Media

Adicionando Dispositivos

Gerenciando Dispositivos com o EM

RMAN e Oracle Secure Backup

Acessando o Oracle Secure Backup no RMAN

Pré-autorização do Usuário

F-22

F-24

F-25

F-26

F-27

F-28

F-23

Seletor de Armazenamento de Backup de Banco de Dados

F-29

RMAN e Oracle Secure Backup: Modelo de Uso

F-30

Definindo o Seletor de Armazenamento de Banco de Dados

F-31

Testando as Unidades de Fita

Programando os Backups com o EM Database Control

F-32

xiii

F-33

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Estratégia de Backup Sugerida pela Oracle

Gerenciando Backups em Fita

Executando a Recuperação do Banco de Dados com Backups em Fita

Executando o Backup de Arquivos do Sistema de Arquivos com o Oracle Secure Backup

Ferramenta Web do Oracle Secure Backup

Scripts de Conjuntos de Dados do Oracle Secure Backup

Script de Conjunto de Dados: Exemplos

Organização do Conjunto de Dados

Criando Conjuntos de Dados com a Interface Web

Arquivos do Sistema de Arquivos: Conceitos de Backup

Jobs do Oracle Secure Backup

Criando Solicitações de Backup Sob Demanda

Enviando Solicitações de Backup para o Scheduler

Criando Programações de Backup

Criando Triggers de Backup

Verificando Históricos e Propriedades de Jobs

Restaurando Arquivos do Sistema de Arquivos com o Oracle Secure Backup

Criando uma Solicitação de Restauração Baseada em Catálogo

Enviando Solicitações de Restauração Baseada em Catálogo para o Scheduler

Listando Todos os Backups de um Cliente Sumário F-57

F-40

F-34

F-35

F-36

F-38

F-39

F-41

F-42

F-43

F-44

F-46

F-47

F-48

F-49

F-50

F-51

F-52

F-55

F-56

Apêndice G: Tópicos Diversos

Visão Geral do Apêndice

Tablespaces para Arquivos Grandes: Visão Geral

G-2

Vantagens dos BFTs

G-4

BFT: Modelo de Uso

G-5

G-3

Criando Tablespaces para Arquivos Grandes

Cláusulas de Instruções SQL

BFTs e Instruções SQL: Exemplos

Adições do Dicionário de Dados para Suporte a VLDB

Formato ROWID Estendido e BFTs

Suporte a VLDB: Pacote DBMS_ROWID

TTG (Temporary Tablespace Group): Visão Geral Grupo de Tablespaces Temporários: Vantagens

Criando e Mantendo TTGs

Grupo de Tablespaces Temporários: Exemplos de Instruções SQL Sumário G-20

G-7

G-8

G-9

G-11

G-10

G-13

G-14

G-15

G-16

G-17

F-37

Apêndice H: Próximas Etapas: Continuando o Treinamento

O Que Aprender Agora?

Recursos para Dar Continuidade ao Programa de Estudos

Oracle University

Continuando o Treinamento

Oracle University Knowledge Center

Oracle Technology Network

H-2

H-4

H-5

H-7

H-6

xiv

H-3

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Treinamento na Tecnologia Oracle

H-8

Oracle by Example Oracle Magazine

Oracle by Example Oracle Magazine

H-9

H-10

Oracle Applications Community

Suporte Técnico: Oracle MetaLink Obrigado! H-13

H-11

H-12

Índice

xv

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Segurança do Banco de Dados Copyright © 2006, Oracle. Todos os direitos reservados.

Segurança do Banco de Dados

Segurança do Banco de Dados Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Objetivos

TDE

DP

RMAN

VPD

Ao concluir esta lição, você será capaz de:

Implementar a TDE (Transparent Data Encryption)

Usar a TDE com colunas criptografadas

Descrever a criptografia DP (Data Pump)

Identificar os componentes dos backups criptografados pelo RMAN (Recovery Manager)

Definir os conceitos básicos de um VPD (Virtual Private Database)

Aplicar uma política de VPD em nível de coluna

Database) • Aplicar uma política de VPD em nível de coluna Copyright © 2006, Oracle. Todos
Database) • Aplicar uma política de VPD em nível de coluna Copyright © 2006, Oracle. Todos

Copyright © 2006, Oracle. Todos os direitos reservados.

Recursos Adicionais

OBE (Oracle by Example) para o Oracle Database 10g:

http://www.oracle.com/technology/obe/admin/db10gr2_manage.html

• “Usando a TDE (Transparent Data Encryption)”

• “Restringindo o Acesso aos Dados com o VPD (Virtual Private Database)”

Documentação:

Oracle Database Security Guide

Oracle Database Advanced Security Administrator's Guide

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-2

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Oracle TDE (Transparent Data Encryption): Visão Geral

Necessidade de informações seguras

Criptografia automática de informações confidenciais:

Incorporada no banco de dados Oracle

Não é necessário alterar a lógica da aplicação

Criptografa dados e valores de índice

Usando uma chave de criptografia:

Chave mestra para todo o banco de dados

Armazenada no Oracle Wallet

Criptografia/Decriptografia Dados de colunas e de índices Wallet
Criptografia/Decriptografia
Dados de colunas
e de índices
Wallet
Dados de colunas e de índices Wallet Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Oracle TDE (Transparent Data Encryption): Visão Geral Necessidade de Informações Seguras

O recurso TDE (Transparent Database Encryption) do Oracle Database 10g Release 2 simplifica

a criptografia de informações pessoais confidenciais, como números de cartões de crédito e de

seguridade social. A TDE elimina a necessidade de incorporar rotinas de criptografia nas aplicações existentes, bem como reduz significativamente o custo e a complexidade da criptografia. Com alguns comandos simples, é possível criptografar os dados confidenciais das aplicações.

Criptografia Automática de Informações Confidenciais

A maioria das soluções de criptografia exige chamadas específicas às funções de criptografia no

código da aplicação. Isso envolve um alto custo, pois geralmente requer um grande conhecimento da aplicação, além da capacidade de desenvolver e manter os softwares. Em geral, a maioria das organizações não tem tempo nem experiência suficientes para modificar as aplicações existentes de modo que façam chamadas às rotinas de criptografia. O recurso Oracle TDE trata desse problema incorporando profundamente a criptografia no banco de dados Oracle.

A lógica da aplicação executada por meio de SQL continuará a funcionar sem modificação. Ou

seja, as aplicações podem usar a mesma sintaxe para inserir dados em uma tabela de aplicação, e

o banco de dados Oracle criptografará automaticamente os dados antes de gravar as informações em disco. Nas operações subseqüentes de seleção, os dados serão decriptografados de forma transparente de modo que a aplicação continuará a funcionar normalmente.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-3

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Oracle TDE (Transparent Data Encryption): Visão Geral (continuação)

Isso é importante porque as aplicações existentes geralmente esperam que os dados não estejam criptografados. A exibição de dados criptografados poderá, no mínimo, confundir o usuário da aplicação e, até mesmo, interromper o funcionamento de uma aplicação existente.

Normalmente a criptografia cria problemas para os índices das aplicações porque os dados dos índices não são criptografados. O recurso Oracle TDE criptografa o valor de índice associado a determinada tabela de aplicação. Isso significa que haverá pouca ou nenhuma queda de desempenho nas pesquisas de igualdade realizadas nas aplicações.

Usando uma Chave de Criptografia

O recurso Oracle TDE oferece a infra-estrutura de gerenciamento de chaves necessária para a implementação da criptografia. A criptografia consiste em passar dados em texto não criptografado junto com um segredo, conhecido como chave, para um programa de criptografia. Esse programa criptografa os dados usando a chave fornecida e retorna-os criptografados. Historicamente, a carga envolvida na criação e na manutenção do segredo ou da chave se concentra na aplicação. O recurso Oracle TDE soluciona esse problema gerando automaticamente uma chave mestra para todo o banco de dados. Após a inicialização do banco de dados Oracle, o administrador pode abrir um objeto, conhecido como Oracle Wallet, usando uma senha diferente da utilizada pelo sistema ou pelo DBA. O wallet usa certificados de uma Autoridade de Certificação. Em seguida, o administrador inicializa a chave mestra do banco de dados, a qual é gerada automaticamente.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-4

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Processo da TDE

Wallet Name Sal Card Address Name Sal Card Address JFV 10000 A0023 Rognes JFV É&à{
Wallet
Name
Sal
Card
Address
Name
Sal
Card
Address
JFV
10000
A0023
Rognes
JFV
É&à{
+”~é[
Rognes
20000
B1524
])°=#
§!?&}
Chave mestra
10000
C2568
Chaves de coluna
&(è`$
}{|\ç{
30000
D1483
@”#|}
#{[|è`
20000
E0732
µ£*°{
}|_@}
40000
F3456
~{([ç^
“&²#è
Módulo de
Dados não
Segurança
Dados
criptografados
Externa
criptografados
Segurança Dados criptografados Externa criptografados SELECT|INSERT|UPDATE| CREATE TABLE ALTER TABLE Copyright ©
Segurança Dados criptografados Externa criptografados SELECT|INSERT|UPDATE| CREATE TABLE ALTER TABLE Copyright ©

SELECT|INSERT|UPDATE| CREATE TABLE

Externa criptografados SELECT|INSERT|UPDATE| CREATE TABLE ALTER TABLE Copyright © 2006, Oracle. Todos os direitos
Externa criptografados SELECT|INSERT|UPDATE| CREATE TABLE ALTER TABLE Copyright © 2006, Oracle. Todos os direitos
Externa criptografados SELECT|INSERT|UPDATE| CREATE TABLE ALTER TABLE Copyright © 2006, Oracle. Todos os direitos

ALTER TABLE

criptografados SELECT|INSERT|UPDATE| CREATE TABLE ALTER TABLE Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Processo da TDE Embora os mecanismos de segurança de autenticação e autorização protejam com eficiência os dados do banco de dados, eles não impedem o acesso aos arquivos do sistema operacional onde os dados são armazenados. A TDE permite a criptografia de dados confidenciais nas colunas do banco de dados à medida eles são colocados e mantidos nos arquivos do sistema operacional, bem como recuperados desses arquivos.

A TDE usa o ESM (External Security Module) para gerar chaves de criptografia, fornecer

funções de criptografia e decriptografia e armazenar as chaves de criptografia com segurança,

tanto dentro como fora do banco de dados.

Quando uma tabela contém colunas criptografadas, uma única chave de coluna é usada, independentemente do número de colunas criptografadas nessa tabela. As chaves de todas as tabelas que contêm colunas criptografadas são armazenadas em uma única coluna, em uma tabela de dicionário localizada no banco de dados. Essa coluna é criptografada com a chave mestra do servidor de banco de dados, impedindo o uso dessas chaves por meio de acesso não autorizado. A chave mestra é armazenada em um wallet fora do banco de dados. O wallet é criado com o Oracle Wallet Manager, e a chave mestra é gerada pelo ESM.

A ilustração do slide mostra a tabela EMPLOYEES com duas colunas marcadas para criptografia.

A chave de coluna da tabela EMPLOYEES é recuperada do ESM e usada para criptografar as

colunas marcadas. Utilizando esse mecanismo, é possível criptografar ou decriptografar colunas do banco de dados por meio de um comando ALTER TABLE simples. Uma vez criptografadas

as colunas, você poderá recuperar o texto não criptografado executando comandos SELECT normais. O ESM decriptografa os dados de forma transparente para você.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-5

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Implementando a TDE

1. Crie um wallet: automaticamente ou com o Oracle Wallet Manager.

um wallet: automaticamente ou com o Oracle Wallet Manager. Exemplo de entrada do arquivo sqlnet.ora :

Exemplo de entrada do arquivo sqlnet.ora:

ENCRYPTION_WALLET_LOCATION= (SOURCE=(METHOD=FILE)(METHOD_DATA=

(DIRECTORY=/opt/oracle/product/10.2.0/db_1/)))

(DIRECTORY=/opt/oracle/product/10.2.0/db_1/))) Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Implementando a TDE

São necessárias apenas algumas etapas para implementar e configurar esse recurso:

1. Você precisa criar um wallet. Para fazer isso, você pode usar o Oracle Wallet Manager ou permitir que o software TDE a crie automaticamente quando o diretório do wallet for especificado no arquivo SQLNET.ORA. Por default, um wallet não criptografada (cwallet.sso) é criada quando o banco de dados é instalado. No entanto, recomenda-se o uso de um wallet criptografado (ewallet.p12) com a TDE. Este é um exemplo de entrada do arquivo SQLNET.ORA:

ENCRYPTION_WALLET_LOCATION= (SOURCE=(METHOD=FILE)(METHOD_DATA=

(DIRECTORY=/opt/oracle/product/10.2.0/db_1/)))

Observação: No arquivo sqlnet.ora, você poderá encontrar duas entradas semelhantes: A autenticação SSL (Secure Sockets Layer) usa o parâmetro WALLET_LOCATION, enquanto a TDE usa o parâmetro ENCRYPTION_WALLET_LOCATION.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-6

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Implementando a TDE

2. Defina a chave mestra em sua instância:

ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY <password>;

3. Abra o wallet em sua instância (futura):

ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY <password>;

4. Crie tabelas que contêm colunas criptografadas:

CREATE TABLE emp ( first_name VARCHAR2(128), last_name VARCHAR2(128), empID NUMBER ENCRYPT NO SALT, salary NUMBER(6) ENCRYPT USING '3DES168', comm NUMBER(6) ENCRYPT

);

ENCRYPT USING '3DES168', comm NUMBER(6) ENCRYPT ); Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Implementando a TDE (continuação)

2. Você precisa definir a chave mestra no wallet. Só será necessário gerar novamente essa chave se ela tiver sido comprometida. Novas gerações freqüentes da chave mestra poderão esgotar todo o armazenamento disponível no wallet. Para definir ou redefinir a chave mestra, use o comando ALTER SYSTEM conforme mostrado no slide. Se não houver um wallet criptografado no diretório, o comando criará esse wallet (ewallet.p12), a abrirá e criará a chave mestra para a TDE.

Se houver um wallet criptografado, o comando a abrirá e criará ou recriará a chave mestra para a TDE.

3. Nas sessões posteriores, você não desejará usar o comando fornecido na etapa 2; você precisará abrir o wallet (se ela tiver sido fechada durante o shutdown do banco de dados), mas não desejará criar uma nova chave mestra. Portanto, basta abrir o wallet com o comando mostrado na etapa 3.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-7

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Implementando a TDE (continuação)

4. Agora você pode criar tabelas com colunas criptografadas. O exemplo do slide cria uma tabela chamada EMP que contém três colunas criptografadas. Por default, as colunas são criptografadas com salt. O uso de salt permite aumentar a segurança dos dados criptografados. Salt é uma string aleatória adicionada aos dados antes que eles sejam criptografados. Isso dificulta o roubo dos dados por invasores por meio da correspondência entre padrões de texto cifrado e amostras de texto cifrado conhecidas. Entretanto, se planejar criar índices em uma coluna criptografada, você deverá criá-lo com NO SALT. Além disso, a TDE usa o AES Advanced Encryption Standard com uma chave de cifra de 192 bits (AES192) como seu algoritmo de criptografia default. Conforme mostrado no exemplo, você pode alterá-lo para outro algoritmo suportado, como o Triple Data Encryption Standard.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-8

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Tabelas Existentes e TDE

Adicionar colunas criptografadas:

ALTER TABLE emp ADD (ssn VARCHAR2(11) ENCRYPT);

Criptografar colunas não criptografadas:

ALTER TABLE emp MODIFY (first_name ENCRYPT);

Desativar criptografia de colunas:

ALTER TABLE emp MODIFY (first_name DECRYPT);

Adicionar ou remover salt:

ALTER TABLE emp MODIFY (first_name ENCRYPT [NO] SALT);

Alterar chaves e o algoritmo de criptografia:

ALTER TABLE emp REKEY USING '3DES168';

de criptografia: ALTER TABLE emp REKEY USING '3DES168'; Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Tabelas Existentes e TDE

• Você pode adicionar uma coluna criptografada a uma tabela existente com o comando ALTER TABLE ADD, especificando a nova coluna com a cláusula ENCRYPT.

• Também pode criptografar colunas não criptografadas existentes em tabelas. Para fazer isso, use o comando ALTER TABLE MODIFY, especificando a coluna não criptografada com a cláusula ENCRYPT.

• Talvez seja necessário desativar a criptografia por motivos de compatibilidade ou desempenho. Use o comando ALTER TABLE MODIFY com a cláusula DECRYPT para desativar a criptografia de colunas.

• Por default, o banco de dados acrescenta uma string aleatória, chamada “salt”, ao texto não criptografado da coluna antes de criptografá-lo. Para usar a coluna como um índice ou uma chave estrangeira, especifique a opção NO SALT. Para adicionar ou remover salt das colunas criptografadas, use novamente o comando ALTER TABLE MODIFY com o parâmetro SALT (default) ou NO SALT especificado com a cláusula ENCRYPT.

• Cada tabela pode ter, no máximo, uma chave de criptografia para suas colunas. Essa chave pode ser alterada com o algoritmo de criptografia original ou com um algoritmo diferente especificado pela opção REKEY.

Observação: Para obter mais informações sobre o comando ALTER TABLE e suas opções, consulte o manual Oracle Database SQL Reference.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-9

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

TDE: Considerações

Não é possível criptografar tabelas pertencentes a SYS.

Não há suporte para os tipos de dados LONG e LOB.

Os algoritmos de criptografia suportados são:

3DES168

AES128

AES192

AES256

são: – 3DES168 – AES128 – AES192 – AES256 • NO SALT deve ser usado para

NO SALT deve ser usado para criptografar colunas de índice.

A TDE funciona com índices para realizar pesquisas de igualdade.

Os dados criptografados devem ser decriptografados antes da avaliação de expressões.

Dica sobre melhores práticas: Faça backup do wallet.

• Dica sobre melhores práticas: Faça backup do wallet. Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

TDE: Considerações

• Não é possível criptografar colunas de tabelas pertencentes a SYS.

• Não há suporte para os tipos de dados LONG e LOB na criptografia de dados.

• Qualquer usuário autorizado a criar uma tabela poderá criá-la com colunas criptografadas. As colunas criptografadas devem compartilhar o mesmo algoritmo e a mesma chave de criptografia. AES192 é o default.

• A opção NO SALT deve ser usada para colunas indexadas, como uma chave primária ou uma chave exclusiva. Além disso, essa opção também deve ser usada para colunas de chave estrangeira.

• Os índices conterão dados criptografados se as colunas correspondentes estiverem criptografadas. Como os dados criptografados perdem sua estrutura lógica, as varreduras por faixa tornam-se impossíveis.

• Os dados criptografados devem ser decriptografados antes da avaliação das expressões utilizadas em uma consulta ou instrução DML (ou seja, lista de seleção, expressão de constraint de verificação e condições where ou when).

Observação: Uma das práticas de segurança recomendadas é fazer backup do wallet antes e depois de redefinir a chave mestra.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-10

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Suporte dos Wallets para Nomes de Usuário e Senhas

Agora os wallets podem conter mais do que um simples certificado:

Você pode armazenar nomes de usuário e senhas em um wallet, em vez de especificá-los na linha de comandos.

Processamento de jobs batch:

Protege os nomes de usuário e as senhas contra exposição durante a listagem de processos no sistema operacional

Configuradas com:

WALLET_LOCATION em sqlnet.ora

utilitário mkstore

connect /@db_connect_string

sqlnet.ora – utilitário mkstore connect /@db_connect_string Copyright © 2006, Oracle. Todos os direitos reservados.
sqlnet.ora – utilitário mkstore connect /@db_connect_string Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Suporte dos Wallets para Nomes de Usuário e Senhas Agora as credenciais de senha para conexão com bancos de dados podem ser armazenadas em um Oracle Wallet no cliente, um container de software seguro usado para armazenar credenciais de autenticação e assinatura. Esse uso dos wallets simplifica as disponibilizações em grande escala que utilizam credenciais de senha para estabelecer uma conexão com bancos de dados. Quando esse recurso é configurado, o código da aplicação, os jobs batch e os scripts não precisam mais de nomes de usuário e senhas incorporados. O risco é reduzido, pois essas senhas não são mais expostas, e as políticas de gerenciamento de senhas são impostas mais facilmente sem alterar o código da aplicação sempre que os nomes de usuário e as senhas são alterados. Quando os clientes são configurados para usar o armazenamento de senha externo seguro, as aplicações podem se conectar a um banco de dados com a seguinte sintaxe da instrução CONNECT, sem especificar credenciais de login no banco de dados: connect /@db_connect_string. Nesse caso, as credenciais do banco de dados são armazenadas com segurança em um Oracle Wallet criado com essa finalidade. Como o recurso de login automático desse wallet está ativado, o sistema não necessita de uma senha para abri-la. Para configurar esse recurso, você precisa criar o Oracle Wallet no cliente usando o comando mkstore. Em seguida, adicione o nome de usuário e a senha da conexão de banco de dados a uma string de conexão especificada. O utilitário mkstore também é usado para fazer isso. Depois, certifique-se de que o arquivo sqlnet.ora aponta para o local certo do wallet usando o parâmetro WALLET_LOCATION.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-11

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Data Pump e TDE

Use sua própria chave de coluna fornecida durante a exportação e a importação:

ENCRYPTION_PASSWORD = <password>

Também se aplica a tabelas externas:

>

TDE

DP

RMAN

VPD

se aplica a tabelas externas: > TDE DP RMAN VPD CREATE TABLE emp_ext ( first_name, last_name,

CREATE TABLE emp_ext ( first_name, last_name, empID, salary ENCRYPT IDENTIFIED BY "xIcf3T9u" ) ORGANIZATION EXTERNAL ( TYPE ORACLE_DATAPUMP DEFAULT DIRECTORY "D_DIR" LOCATION('emp_ext.dat') ) REJECT LIMIT UNLIMITED as select * from employees;

) REJECT LIMIT UNLIMITED as select * from employees; Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

Data Pump e TDE Há dois fatores importantes durante a exportação de tabelas que contêm colunas criptografadas:

primeiro, os dados confidenciais permanecem ininteligíveis durante o transporte e, segundo, os usuários autorizados podem decriptografar esses dados depois que eles são importados no destino. Como a chave de decriptografia é local ao servidor onde as tabelas residem originalmente, a decriptografia no destino é possível por meio da chave do destino. Conseqüentemente, antes da exportação, o administrador redefine a(s) tabela(s) com uma chave de senha, a qual ele fornece de forma segura ao administrador do destino. Após a importação, esse administrador especifica a mesma senha. As colunas afetadas que estão sendo importadas são decriptografadas, permitindo que o servidor de recepção criptografe imediatamente de novo essas colunas com uma chave do servidor local. Assim, as colunas estarão prontas para uso autorizado padrão em seu novo local. Essa técnica também se aplica a tabelas externas que usam o driver de acesso ORACLE_DATAPUMP. Se desejar que determinadas colunas sejam criptografadas em uma tabela externa, você poderá especificar a cláusula ENCRYPT ao definir essas colunas. Essa especificação faz com que uma chave gerada de forma aleatória seja usada para criptografar as colunas. Entretanto, se você pretender mover a tabela externa, essa chave não estará disponível no novo local. Nesse caso, você deverá especificar sua própria senha para criptografar as colunas. Depois, após mover os dados, você poderá usar a mesma senha para gerar novamente a chave a fim de acessar os dados das colunas criptografadas no novo local.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-12

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Backups Criptografados pelo RMAN: Visão Geral

TDE

DP

> RMAN

VPD

Há três modos de criptografia possíveis para seus backups:

Modo transparente:

Requer um Oracle Wallet

É mais adequado para operações diárias de backup e restauração no mesmo local

É o modo de criptografia default

Modo de senha:

É necessário fornecer uma senha

É mais adequado para backups restaurados em locais remotos

Modo duplo:

Pode usar Oracle Wallets ou senhas

É mais adequado para backups restaurados local e remotamente

É mais adequado para backups restaurados local e remotamente Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

Backups Criptografados pelo RMAN: Visão Geral

Para maior segurança, os backups do RMAN (Recovery Manager) podem ser criptografados. Esses backups não poderão ser lidos se forem obtidos por pessoal não autorizado.

O RMAN oferece três modos de criptografia:

Modo transparente: Neste modo, é possível criar e restaurar backups criptografados sem qualquer outra intervenção, desde que a infra-estrutura necessária de gerenciamento de chaves Oracle esteja disponível. A criptografia transparente é mais adequada para operações diárias, em que os backups são restaurados no mesmo banco de dados no qual o backup foi feito. Esse é o modo de criptografia default do RMAN.

Modo de senha: Neste modo, é necessário fornecer uma senha durante a criação e a restauração dos backups criptografados. A restauração de backups criptografados com senha exige que você forneça a mesma senha usada para criar o backup. A criptografia de senha é útil para backups que são restaurados em locais remotos, mas que precisam permanecer seguros enquanto em trânsito. A criptografia de senha não pode ser configurada de forma persistente. Não será necessário configurar o Oracle Wallet se a criptografia de senha destinar-se a uso exclusivo.

Modo duplo: Neste modo, os backups podem ser restaurados de forma transparente ou com a especificação de uma senha. Os backups criptografados no modo duplo são úteis quando você cria backups que são normalmente restaurados no local com o uso do wallet, mas que ocasionalmente precisam ser restaurados em locais remotos, onde o wallet não está disponível. Ao restaurar um backup criptografado no modo duplo, você poderá usar o Oracle Wallet ou uma senha para decriptografia.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-13

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Configuração do Modo Transparente

1. Crie um wallet: automaticamente ou com o Oracle Wallet Manager.

2. Abra o wallet em sua instância:

ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY <password>;

3. Defina a chave mestra em sua instância:

ALTER SYSTEM SET ENCRYPTION KEY IDENTIFIED BY <password>;

4. Configure o RMAN para usar a criptografia transparente:

CONFIGURE ENCRYPTION FOR DATABASE ON

5. Não há alterações nos comandos de backup ou recuperação.

6. A configuração permanente pode ser sobregravada temporariamente:

SET ENCRYPTION OFF

pode ser sobregravada temporariamente: SET ENCRYPTION OFF Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Configuração do Modo Transparente

Se desejar modificar o ambiente de backup existente de modo que todos os backups do RMAN sejam criptografados no modo transparente, faça o seguinte:

1. Configure o Oracle Wallet conforme descrito nesta lição.

2. Abra o wallet usando o comando ALTER SYSTEM mostrado no slide.

3. Execute o seguinte comando do RMAN: CONFIGURE ENCRYPTION FOR DATABASE ON

Após essas etapas, todos os conjuntos de backup do RMAN criados pelo banco de dados serão criptografados, a menos que você sobreponha temporariamente o comportamento permanente de sua sessão do RMAN com SET ENCRYPTION OFF ou altere a definição persistente de novo com o comando CONFIGURE ENCRYPTION FOR DATABASE OFF. Os argumentos do comando BACKUP não são alterados para a criação de backups criptografados. A criptografia é executada com base nas definições especificadas com CONFIGURE ENCRYPTION ou SET ENCRYPTION.

O RMAN decriptografa automaticamente os conjuntos de backup quando seu conteúdo é restaurado. A restauração de backups configurados no modo transparente não exige qualquer intervenção, desde que o Oracle Wallet esteja aberto e disponível.

Observação: Se perder seu Oracle Wallet, você não poderá restaurar os backups criptografados no modo transparente.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-14

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Configuração do Modo de Senha

1. Defina a sessão do RMAN para usar a criptografia de senha:

SET ENCRYPTION ON IDENTIFIED BY password ONLY

2. Não há alterações nos comandos de backup.

3. Defina a sessão do RMAN para decriptografar os backups criptografados com senha:

SET DECRYPTION IDENTIFIED BY password1 {, password2 ,…, passwordn}

4. Não há alterações nos comandos de recuperação.

} 4. Não há alterações nos comandos de recuperação. Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

Configuração do Modo de Senha

Por motivos de segurança, não é possível modificar de forma permanente o ambiente de backup existente para que todos os backups do RMAN sejam criptografados no modo de senha. A criação de backups criptografados com senha só pode ser configurada na sessão do RMAN por meio do comando SET ENCRYPTION ON IDENTIFIED BY password ONLY nos scripts do RMAN. Esse comando é válido somente durante a sessão do RMAN. Após definir a senha com o comando SET ENCRYPTION, você poderá usar os comandos BACKUP comuns. Todos os conjuntos de backup são criptografados com senha.

Para restaurar backups criptografados com senha, informe a senha com o comando SET DECRYPTION IDENTIFIED BY password1 {, password2 ,…, passwordn }. Se estiver restaurando a partir de um conjunto de backups criados com senhas diferentes, especifique todas as senhas necessárias no comando SET DECRYPTION. O RMAN usará automaticamente a senha correta com cada conjunto de backup.

Observação: Se você esquecer ou perder a senha usada para criptografar o backup, não será possível restaurar esse backup.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-15

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Configuração do Modo Duplo

1. Crie um wallet: automaticamente ou com o Oracle Wallet Manager.

2. Abra o wallet em sua instância:

ALTER SYSTEM SET ENCRYPTION WALLET OPEN IDENTIFIED BY <password>;

3. Defina a sessão do RMAN para usar a criptografia dupla:

SET ENCRYPTION ON IDENTIFIED BY password

4. Não há alterações nos comandos de backup.

5. Se necessário, defina a sessão do RMAN para decriptografar os backups usando a senha:

SET DECRYPTION IDENTIFIED BY password1 {, password2 ,…, passwordn}

6. Não há alterações nos comandos de recuperação.

} 6. Não há alterações nos comandos de recuperação. Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

Configuração do Modo Duplo Para configurar o modo duplo, você deve criar o wallet, abri-la e usar o comando SET ENCRYPTION mostrado no slide. Depois disso, comece a criar os backups na mesma sessão usada para definir sua senha.

Posteriormente, quando precisar decriptografar esses tipos de backups, você poderá usar o wallet sem um comando adicional ou poderá usar a senha correta após executar o comando SET DECRYPTION na sessão do RMAN.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-16

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Backups Criptografados pelo RMAN:

Considerações

Não é possível criptografar backups de cópia-imagem.

COMPATIBLE deve ser definido como, no mínimo,

10.2.0.

V$RMAN_ENCRYPTION_ALGORITHMS contém a lista de

algoritmos de criptografia possíveis.

CONFIGURE ENCRYPTION ALGORITHM 'algorithmname' SET ENCRYPTION ALGORITHM 'algorithmname'

A criptografia de backups está disponível somente no Oracle Database Enterprise Edition.

Uma nova chave de criptografia é usada para cada novo backup criptografado.

Você pode aumentar o desempenho do disco usando vários canais.

É possível alterar a chave mestra a qualquer momento sem afetar os backups criptografados no modo transparente.

sem afetar os backups cr iptografados no modo transparente. Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

Backups Criptografados pelo RMAN: Considerações

• Quaisquer backups do RMAN, como conjuntos de backup, podem ser criptografados. No entanto, não é possível criptografar backups de cópia-imagem.

• Para usar a criptografia do RMAN, o parâmetro de inicialização COMPATIBLE deve ser definido como, no mínimo, 10.2.0 no banco de dados de destino

• A view V$RMAN_ENCRYPTION_ALGORITHMS contém uma lista dos algoritmos de criptografia suportados pelo RMAN. Se nenhum algoritmo for especificado, o default será o AES de 128 bits. Você pode alterar o algoritmo com os comandos mostrados no slide.

• A criptografia de backups está disponível somente no Oracle Database Enterprise Edition.

• O banco de dados Oracle usa uma nova chave de criptografia para cada backup criptografado. Em seguida, essa chave é criptografada com a senha ou a chave mestra do banco de dados, ou com ambas, dependendo do modo de criptografia escolhido. O lugar onde as senhas ou as chaves de criptografia de backup individuais são armazenadas não é claramente divulgado.

• A criptografia pode ter um impacto negativo no desempenho dos backups em disco. Como os backups criptografados usam mais recursos da CPU do que os não criptografados, você poderá aumentar o desempenho dos backups criptografados em discos usando mais canais do RMAN.

• Como a infra-estrutura de gerenciamento de chaves Oracle arquiva todas as chaves mestras anteriores no wallet, a alteração ou a redefinição da chave mestra atual do banco de dados não afeta sua capacidade de restaurar backups criptografados realizados com uma chave mestra mais antiga. Você poderá redefinir a chave mestra do banco de dados a qualquer momento, e o RMAN será sempre capaz de restaurar todos os backups criptografados criados por esse banco de dados.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-17

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Necessidade de Privacidade dos Dados

TDE

DP

RMAN

> VPD

Exemplos:

Funcionários: Proteger o salário e o percentual de comissão (usados no restante desta lição)

Banco on-line: Proteger o acesso às contas

Web store: Fornecer carrinhos de compras individuais

Host Web: Permitir que cada cliente veja apenas seus próprios dados

Usado no Oracle SalesOnline.com e no Oracle Portal

dados • Usado no Oracle SalesOnline.com e no Oracle Portal Copyright © 2006, Oracle. Todos os
dados • Usado no Oracle SalesOnline.com e no Oracle Portal Copyright © 2006, Oracle. Todos os

Copyright © 2006, Oracle. Todos os direitos reservados.

Necessidade de Privacidade dos Dados

O VPD (Virtual Private Database) permite o controle de acesso em nível de linha, oferecendo

mais recursos que as atribuições e as views. Para acesso à Internet, o VPD garante que os clientes de bancos on-line vejam somente suas próprias contas. As empresas de hospedagem na Web podem manter os dados de várias empresas no mesmo banco de dados Oracle e, ao mesmo tempo, permitir que cada uma delas veja somente seus próprios dados.

A segurança pode ser estabelecida uma vez, no servidor de dados, em vez de em cada aplicação

que acessa os dados. A segurança é maior, pois é imposta pelo banco de dados, independentemente de como os usuários acessam os dados. A segurança não é mais ignorada pelos usuários que acessam uma ferramenta de consulta ad hoc ou um novo gerador de relatórios. O VPD é uma tecnologia importante que permite às organizações criar aplicações hospedadas e baseadas na Web. De fato, vários Aplicativos Oracle usam o VPD para impor a separação dos dados para fins de hospedagem, incluindo o Oracle SalesOnline.com e o Oracle Portal.

Para ativar o VPD, é necessário associar uma ou mais políticas de segurança a tabelas ou views.

O acesso direto ou indireto a uma tabela com uma política de segurança associada faz com que o

banco de dados consulte uma function que implementa a política. A function de política retorna uma condição de acesso conhecida como predicado (uma cláusula WHERE), que o banco de

dados acrescenta à instrução SQL do usuário, modificando dinamicamente o acesso aos dados do usuário.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-18

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Definição e Uso de Termos

FGAC (Fine-grained access control): Uso de functions

Contexto de aplicação: Para preservar a identidade do usuário e servir como um cache de dados seguro para atributos e valores de aplicação

Atributos de aplicação: Usados pelas políticas de controle de acesso detalhado

Us ados pelas políticas de controle de acesso detalhado Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

Definição e Uso de Termos

O FGAC (Fine-grained access control) permite que você use functions para implementar políticas de segurança e associe essas políticas a tabelas, views ou sinônimos.

O contexto de aplicação é um recurso que permite aos desenvolvedores de aplicação definir e acessar atributos de aplicação e, depois, usar esses atributos para fornecer os valores de predicado das políticas de controle de acesso detalhado. Quando usado de forma isolada, ele permite que os desenvolvedores definam e acessem os atributos de aplicação, servindo como um cache de dados. Dessa forma, é possível eliminar o overhead envolvido nas consultas repetitivas ao banco de dados toda vez que é necessário acessar esses atributos.

Os atributos de aplicação, definidos em um contexto de aplicação, são usados pelas políticas de controle de acesso detalhado.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-19

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Virtual Private Database: Visão Geral

O VPD (Virtual Private Database) consiste em:

FGAC (Fine-grained access control)

Contexto de aplicação segura

O VPD usa políticas para adicionar condições a instruções SQL que protegem dados confidenciais.

O VPD permite controle de acesso em nível de linha.

Os atributos de aplicação definidos em um contexto de aplicação são usados pelas políticas de controle acesso detalhado.

são usados pelas políticas de controle acesso detalhado. Copyright © 2006, Oracle. Todos os direitos reservados.
são usados pelas políticas de controle acesso detalhado. Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Virtual Private Database: Visão Geral

O VPD (Virtual Private Database) é a agregação do controle de acesso detalhado imposto pelo servidor e do contexto de aplicação seguro no banco de dados Oracle. Ele permite a criação de aplicações que impõem suas políticas de segurança em nível de linha. Quando um usuário acessa direta ou indiretamente uma tabela, uma view ou um sinônimo associado a uma política de segurança do VPD, o servidor modifica dinamicamente a instrução SQL do usuário. A modificação baseia-se em uma cláusula WHERE retornada por uma function, que implementa a política de segurança. O banco de dados modifica a instrução dinamicamente (de modo transparente para o usuário) usando qualquer condição que possa ser expressa em uma function ou retornada por ela.

Um exemplo de controle de acesso em nível de linha é um carrinho de compras em uma Web store, onde você pode ver somente os seus próprios itens.

O contexto de aplicação é um recurso que permite aos desenvolvedores de aplicação definir e acessar atributos de aplicação e, depois, usar esses atributos para fornecer os valores de predicado das políticas de controle de acesso detalhado.

Observação: O controle de acesso detalhado e o contexto de aplicação podem ser implementados como opções stand-alone. Quando implementados em conjunto, eles constituem a base do VPD.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-20

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Virtual Private Database: Recursos

O VPD em nível de coluna impõe o controle de acesso em nível de linha baseado nas colunas de segurança acessadas.

Com a personalização, você pode definir políticas estáticas e não-estáticas.

Usando políticas compartilhadas, é possível associar uma política a vários objetos.

O tipo de política pode ser INDEX.

A string de texto de predicado da política pode ter até 32 KB.

string de texto de pred icado da política pode ter até 32 KB. Copyright © 2006,

Copyright © 2006, Oracle. Todos os direitos reservados.

Virtual Private Database: Recursos

• A privacidade em nível de coluna só impõe o controle de acesso no nível da linha quando um comando acessa ou faz referência a colunas de segurança relevantes. Se você não especificar colunas relevantes, o banco de dados aplicará as regravações de dados do VPD a todos os comandos que acessam ou fazem referência ao objeto.

• A personalização permite que todos os tipos de implementação de política adaptem o VPD aos requisitos individuais das disponibilizações dos clientes. Você pode personalizar o VPD para sempre impor o mesmo predicado com uma política estática ou pode fazer com que o VPD preveja essa alteração dinamicamente com uma política não-estática.

• As políticas compartilhadas permitem aplicar uma única política do VPD a vários objetos. Esse recurso reduz os custos da administração.

• Agora, você pode impor políticas de segurança em operações de manutenção de índice executadas com as instruções DDL CREATE INDEX e ALTER INDEX. Isso é importante porque os usuários precisam de acesso integral a tabelas para criar índices de tabela. Conseqüentemente, um usuário que tenha privilégios para manter um índice poderá ver todos os dados de linhas, embora não tenha acesso integral a tabelas em uma consulta normal.

DBMS_RLS.ADD_POLICY tem o argumento LONG_PREDICATE. Seu valor default é FALSE para que a function de política possa retornar até 4.000 bytes de predicados. A definição desse valor como TRUE permite que a function retorne até 32 KB de string de texto de predicado.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-21

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

VPD em Nível de Coluna: Exemplo

As instruções nem sempre são reescritas.

Considere uma política que protege as colunas SALARY e COMMISSION_PCT da tabela EMPLOYEES. O controle de acesso detalhado:

Não é necessário para esta consulta:

SQL> SELECT last_name FROM employees;

É imposto nestas consultas:

SQL> SELECT last_name, salary 2 FROM employees;

SQL> SELECT * FROM employees;

salary 2 FROM employees; SQL> SELECT * FROM employees; Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

VPD em Nível de Coluna: Exemplo

Neste exemplo, a política de negócios e, portanto, a política imposta pelo VPD, é que um gerente só poderá acessar informações confidenciais na tabela EMPLOYEES referente a seus próprios funcionários.

O banco de dados Oracle não impõe a política do VPD quando você seleciona apenas a coluna LAST_NAME da tabela EMPLOYEES. Portanto, todos os funcionários poderão acessar informações não confidenciais nessa tabela.

No entanto, quando você executa consultas que acessam colunas consideradas relevantes para a segurança, o VPD aplica o controle de acesso detalhado definido pela function de política.

Uma das vantagens de usar o VPD em nível de coluna é que as instruções só são reescritas quando acessarem colunas relevantes para a segurança. Portanto, a combinação do controle de acesso em nível de linha e de colunas relevantes para a segurança permite controlar o acesso até o elemento referenciado.

Observação: Dependendo do comando, a referência às colunas pode ser explícita ou implícita. Dependendo de como você definiu a function de política, ela poderá ser aplicada também às instruções DML.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-22

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Criando uma Política em Nível de Coluna

1. Conceda o privilégio.

2. Crie a function.

3. Aplique a política ao objeto.

BEGIN dbms_rls.add_policy(object_schema => 'hr', object_name => 'employees', policy_name => 'hr_policy', function_schema =>'hr', policy_function => 'hrsec',

statement_types =>'select,insert', sec_relevant_cols=>'salary,commission_pct'); END;

/

=>'salary,commission_pct'); END; / Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Criando uma Política em Nível de Coluna

Para aplicar uma política de VPD em nível de linha, faça o seguinte:

1. Conceda o privilégio apropriado ao usuário que aplica a política. GRANT EXECUTE ON dbms_rls to admin1;

2. Crie a function que implementa a política de VPD. Como alternativa, a política pode acessar o contexto de uma aplicação ou pode ser mais simples. Por exemplo, ela pode depender do horário do dia.

3. Aplique a política à tabela, à view ou ao sinônimo usando o package DBMS_RLS. No exemplo, a política implementada pela function HRSEC é aplicada à tabela EMPLOYEES. Você também define a política para aplicar apenas o predicado do VPD às instruções SELECT e INSERT. As duas colunas relevantes para a segurança da tabela EMPLOYEES são SALARY e COMMISSION_PCT.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-23

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Sumário

Nesta lição, você aprendeu a:

Implementar a TDE

Usar a TDE com colunas criptografadas

Descrever a criptografia do Data Pump

Identificar os componentes de backups criptografados pelo RMAN

Definir os conceitos básicos de um VPD (Virtual Private Database)

Aplicar uma política de VPD em nível de coluna

Database) • Aplicar uma política de VPD em nível de coluna Copyright © 2006, Oracle. Todos

Copyright © 2006, Oracle. Todos os direitos reservados.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-24

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Visão Geral do Exercício: Usando a Segurança do Banco de Dados Oracle

Este exercício aborda os seguintes tópicos:

Implementando a TDE com a criação de um wallet criptografado e de chaves de criptografia

Usando a TDE com colunas criptografadas

de criptografia • Usando a TDE com col unas criptografadas Copyright © 2006, Oracle. Todos os

Copyright © 2006, Oracle. Todos os direitos reservados.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10 g: Workshop de Administração II

15-25

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Usando o Suporte à Globalização Copyright © 2006, Oracle. Todos os direitos reservados.

Usando o Suporte à Globalização

Usando o Suporte à Globalização Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

Objetivos

Ao concluir esta lição, você será capaz de:

Determinar o conjunto de caracteres de banco de dados correto para atender às suas necessidades de negócios

Obter informações sobre a configuração do suporte à globalização

Personalizar o comportamento dependente de idioma para o banco de dados e sessões individuais

Especificar diferentes classificações lingüísticas para consultas

Recuperar dados que correspondam a uma string de pesquisa, ignorando maiúsculas/minúsculas ou diferenças de acentos

ignorando maiú sculas/minúsculas ou diferenças de acentos Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Objetivos Para obter mais informações, consulte o Oracle Database Globalization Support Guide.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10g: Workshop de Administração II

16-2

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

O Que Todo DBA Precisa Saber

O que é um conjunto de caracteres?

Como os conjuntos de caracteres são usados?

Problemas a serem evitados

Como escolher seu conjunto de caracteres

Como obter informações sobre conjuntos de caracteres

Como especificar um comportamento dependente do idioma

Como usando a pesquisa e a classificação lingüísticas

Como usar a conversão de dados

lingüísticas • Como usar a conversão de dados Copyright © 2006, Oracle. Todos os direitos reservados.

Copyright © 2006, Oracle. Todos os direitos reservados.

Development Program (WDP) eKit materials are provided for WDP in-class use only. Copying eKit materials is strictly prohibited and is in

violation of Oracle copyright. All WDP students must receive an eKit watermarked with their name and email. Contact

Oracle Database 10g: Workshop de Administração II

16-3

OracleWDP_ww@oracle.com if you have not received your personalized eKit.

Oracle University and Impacta Tecnologia use onlyฺ

O Que É um Conjunto de Caracteres?

O banco de dados Oracle suporta diversas classes de esquemas de codificação de caracteres:

Conjuntos de caracteres single-byte

7 bits

8 bits

Conjuntos de caracteres multi-byte, incluindo Unicode

8 bits • Conjuntos de caracteres multi-byte, incluindo Unicode Copyright © 2006, Oracle. Todos os direitos

Copyright © 2006, Oracle. Todos os direitos reservados.

O Que É um Conjunto de Caracteres?

Quando os sistemas de computador processam caracteres, eles usam códigos numéricos, em vez da representação gráfica dos caracteres. Um conjunto de caracteres codificados mapeia os códigos numéricos para os caracteres que o computador ou o terminal pode exibir e receber. Atualmente o banco de dados Oracle suporta cerca de 30 conjuntos de caracteres codificados, mas muito mais idiomas e territórios (cerca de 100). Isso é possível porque o Unicode é um conjunto de caracteres universal, que abrange a maioria dos scripts importantes modernos.

Conjuntos de caracteres diferentes suportam repertórios de caracteres distintos. Como os conjuntos de caracteres geralmente se baseiam em determinado script de gravação, eles podem suportar mais de um idioma. No entanto, os conjuntos de caracteres baseados em script são restritos porque limitam-se a grupos de idiomas baseados em scripts semelhantes. Os conjuntos de caracteres universais englobam a maioria dos principais scripts modernos e fornecem uma solução mais útil para o suporte multilíngüe. Para obter informações sobre os padrões Unicode, consulte o Web site em http:www.unicode.org.

O banco de dados Oracle dispõe de várias classes de esquemas de codificação:

• Single-byte

• Multi-byte com largura variável