Bilişim teknolojilerinde günümüzün yükselen trendlerinden biri de “güvenlik”. İnsanlar “güvenliği” bir süreç olarak görmek yerine, basite indirgeyip olayı şifreli dosyalar, antivirus yazılımları ve düzenli alınan güncellemer ile çözebileceklerini sanıyorlar. Bununla ilgili talepler DBAlere de geliyor. En son karşılaştığım durum, yedek olarak müşteriye verilen export dosyalarının şifrelenmiş olarak kaydedilmesi talebi oldu.
Oracle, Transparent Data Encryption olarak adlandıran bir teknolojiye sahip. Bu özellik sayesinde bütün veriler arkaplanda şifrelenip veritabanı data dosyalarına şifreli olarak kaydedilebiliyor. Yazılım açısından hiç bir ayar gerektirmeyen bu teknoloji, güvenlik açısından gerçekten güzel bir çözüm. Buna karşın eğer sadece DataPump ile aldığınız yedekleri şifrelemek istiyorsanız, 11g Enterprise Edition ile beraber gelen DataPump size kolay bir çözüm sunuyor.
DataPump ile şifrelenmiş export almak için kullanmanız gereken parametreler şunlar:
ENCRYPTION: Bu parametre nelerin şifrelenip, şifrelenmeyeceğini belirliyor. ALL, DATA_ONLY, ENCRYPTED_COLUMNS_ONLY ve METADATA_ONLY seçeneklerinden birini belirleyip, aldığınız export dosyasını şifreleyebilirsiniz. Eğer ALL derseniz hem veriler, hem METADATA (kolon adları gibi veritabanın yapısal bilgileri) şifreli olarak kaydediyor. Normal olarak bunu kullanmanızı tavsiye ederim. DATA_ONLY seçeneğinde sadece veri şifreleniyor. Eğer Transparent Data Encryption kullanarak şifreli kaydettiğiniz kolonların export dosyasında da şifreli olmasını isterseniz o zaman ENCRYPTED_COLUMNS_ONLY kullanabilirsiniz. Bu durumda diğer bütün bilgiler şifrelenmeden export edilecektir. METADATA_ONLY seçeneği ile veritabanındaki METADATA şifrelenecek, veriler ise şifresiz olarak export edilecektir.
ENCRYPTION_ALGORITHM: DataPump şifreleme işlemi için DES’in gelişmiş versiyonu olan AES’i kullanıyor. Bu parametre ile kaç bit kullanılarak şifreleme yapılacağını seçebiliyorsunuz. Şeçenekler AES128, AES192, AES256. Yüksek sayıda bit kullanmak şifreleme hızını düşürüp süreyi arttırırken daha güvenli bir export elde etmenizi sağlayacaktır.
ENCRYPTION_MODE: Bu parametre ile şifrelemede kullanılacak olan anahtarın nasıl verileceğini belirtiyorsunuz. Eğer PASSWORD seçeneğini kullanırsanız, export alırken sizden şifre isteyecektir. Eğer TRANSPARENT seçeneğini kullanırsanız, Oracle Encryption Wallet ile oluşturulmuş şifre kullanılacaktır. DUAL seçeneğinde ise hem sizin girdiğiniz şifre, hem de Oracle Encryption Wallet kullanılarak şifrelenecektir. Bu durumda ister şifre ile isterseniz oluşturduğunuz wallet ile export dosyasını açabilirsiniz.
ENCRYPTION_PASSWORD: Eğer ENCRYPTION_MODE olarak PASSWORD veya DUAL seçtiyseniz bu parametre ile export dosyasını şifrelemek için kullanılacak olan anahtarı belirtmeniz gerekiyor.
Şimdi de bu işin ne kadar kolay olduğunu görelim:
$ expdp DIRECTORY=dumpdir DUMPFILE=export.dmp ENCRYPTION=all ENCRYPTION_PASSWORD=sectiginiz sifre ENCRYPTION_ALGORITHM=AES256 ENCRYPTION_MODE=password
Bu şekilde şifrelenmiş bir datapump export dosyasını, import etmek istediğinizde size girdiğiniz şifreyi soracaktır.