Oracle TDE表空间加密-将单独的、不同的职责分配给数据库管理员和安全管理员

嗨，汤姆，

我们的情况是，我们将把一些敏感数据放在供应商 (外部方) 托管的Oracle DB中。为了最大程度地减少对应用程序的影响，我们喜欢选择TDE表空间加密。

由于数据受到高度限制，我们不允许供应商方面的任何人读取数据，甚至数据库管理员。

我们的问题是...在我们应用TDE表空间加密后，我们是否可以阻止除应用程序用户之外的任何DB用户 (甚至DBA) 读取加密数据？

我们希望答案是肯定的。在我们阅读下面的文章之前，它只提到基于TDE列的加密部分中的职责隔离，而没有提到表空间部分中的职责隔离。

<报价>
"Using an external security module separates ordinary program functions from encryption operations, making it possible to assign separate, distinct duties to database administrators and security administrators. Security is enhanced because the keystore password can be unknown to the database administrator, requiring the security administrator to provide the password."


https://docs.oracle.com/database/121/ASOAG/introduction-to-transparent-data-encryption.htm#GUID-547EA215-9576-4C61-A414-3DA3287692A4__CIHJECGF

据说，职责隔离是由HSM实施的，而不是Oracle本身，对吗？

或者，如果我们选择表空间加密，则无法避免DBA从中读取数据？

TDE表空间加密仅对静态数据进行加密。即存储在数据文件中的信息。当您查询它时，数据库会对其进行解密，以便您可以读取它。

因此，在您的表上具有select权限的任何人都可以看到数据。

您需要TDE列加密，以便普通查询返回加密值。这将停止dba读取未加密的值。只有那些可以访问外部安全模块的人才能看到明文。

最终，如果数据库和安全模块由第三方托管和管理 (即他们是DBA和安全管理员)，他们将拥有查看数据所需的一切。因此，您相信他们不会滥用此功能并查看未加密的数据。