ブロック・ボリュームの暗号化
すべてのブロック・ボリュームおよびブート・ボリュームは、ブロック・ボリュームによって保存中に暗号化されます。
保存中の暗号化されていないボリュームに対するオプションはありません。保存中暗号化は、ボリュームのパフォーマンスに影響せず、追加コストも発生しません。ブロック・ボリュームは転送中暗号化も提供します。VMにアタッチされたブロック・ボリュームの転送中暗号化は、オプションであり、これらのボリュームの必要に応じて有効化または無効化できます。ベア・メタル・インスタンスの転送中暗号化はサポートされ、有効化されており、次のシェイプでは無効化できません:
BM.Standard.E3.128
BM.Standard.E4.128
BM.DenseIO.E4.128
他のLinuxベース・カスタム・イメージのサポートを確認する場合、および詳細は、Oracleサポートに問い合せてください。
デフォルトでは、Oracle提供の暗号化キーが暗号化に使用されます。ボールト・サービスに格納されている独自のキーをオーバーライドまたは指定するオプションがあります。ブロック・ボリュームでは、保存中暗号化と転送中暗号化の両方で、ボリュームに対して構成された暗号化キーが使用されます。詳細は、ブロック・ボリューム暗号化キーを参照してください。
カスタム暗号化
devicemapper暗号化(dm-crypt)やBitLockerドライブ暗号化などのサードパーティ・ソフトウェアを使用して、オペレーティング・システム・レベルで独自のカスタム暗号化を実行することを選択できます。この暗号化は、ボリューム用にOracleが提供する標準の暗号化に加えて提供されます。つまり、ボリュームは、最初にオペレーティング・システム・レベルのソフトウェアによって、次にOracle管理キーを使用するOracleによって、二重暗号化されます。
カスタム暗号化モードを使用すると、追加コストは発生しませんが、ボリュームの全体的なパフォーマンスが低下する可能性があります。この暗号化ではホストのCPUサイクルが使用され、ボリュームのパフォーマンスはコンピュート・インスタンスの実際のシェイプによって異なります。