Segurança de Dados Oracle: Por Que Implementar o TDE? Um Estudo de Caso Prático

O TDE (Transparent Data Encryption) criptografa de forma transparente os dados em repouso em um Oracle Database. Ele interrompe tentativas não autorizadas do sistema operacional de acessar dados do banco de dados armazenados em arquivos, sem afetar a forma como os aplicativos acessam os dados usando SQL.

O TDE está totalmente integrado ao Oracle Database e pode criptografar backups inteiros do banco de dados (RMAN), exportações do Data Pump, tablespaces inteiros da aplicação ou colunas confidenciais específicas. Os dados criptografados permanecem criptografados no banco de dados, seja em arquivos de armazenamento de tablespaces, tablespaces temporários, tablespaces de undo ou outros arquivos, como redo logs.

Com exceção de ambientes OCI onde todos os bancos de dados são criptografados com o TDE. Para ambientes on premisse, o TDE é um recurso do Oracle Enterprise Edition, sendo parte da opção Oracle Advanced Security. Ou seja é uma option que necessita de um licenciamento a parte (extra cost).

No exemplo abaixo, estarei criando uma tabela chamada usuário na tablespace lamim e inserindo alguns dados para demonstração. Posteriormente com o comando strings do linux, irei mostrar como é possível verificar algumas informações contidas no arquivo de dados, uma vez que o mesmo não esta com a criptografia TDE ativa.

Estarei copiando o datafile do ASM para uma unidade local para consultar os dados no arquivo com o comando strings.

Veja que através do comando strings do sistema operacional, foi possível trazer informações inseridas anteriormente na tabela usuário e que estavam contidas no arquivo de dados (datafile).

Agora irei mostrar o mesmo processo em um ambiente com o TDE ativo, afim de demonstrar a diferença.

Observe que no exemplo executado em um ambiente com o TDE ativo, não foi possível através do comando strings ver informações existentes no datafile.

O TDE desempenha um papel crítico na proteção de dados em ambientes corporativos, onde a segurança da informação é uma prioridade, sem comprometer a usabilidade das aplicações ou a conformidade com normas legais.