OS & network/cloud

오라클 데이터베스 23ai 에서 TLS 1.3 지원

김재벌 2024. 11. 24. 20:45

테크넷 마스터 김재벌 입니다.

 

오라클 데이터베이스 23ai에서 TLS 1.3을 지원하기로 했다는 소식이네요.

기존 버전의 호환을 위해 1.2는 여전히 지원하되 1.1 이나 1.0과 같이 취약점이 있는 버전은 중단되기로 결정 되었군요.

 

상세한 내용은 아래 링크를 확인하시구요.

 

https://docs.oracle.com/en/database/oracle/oracle-database/23/dbseg/configuring-transport-layer-security-encryption.html

 
TLS 1.3의 장점
  • 향상된 보안: Diffie-Hellman Ephemeral(DHE) 알고리즘을 사용하여 완벽한 순방향 비밀성 제공
  • 성능 개선: TLS 핸드셰이크 중 왕복 횟수 감소
  • 강력한 암호화: 취약점이 없는 강력한 암호 제품군만 포함

Oracle Database 23ai의 TLS 지원

  • TLS 1.3이 기본값으로 설정됨
  • 이전 버전과의 호환성을 위해 TLS 1.2 지원 유지
  • TLS 1.0 및 1.1은 보안 취약점으로 인해 지원 중단

구성 및 사용

  • 기본적으로 추가 구성 불필요
  • SQL*Plus, JDBC, ODP.NET 등 Oracle Database 23ai 클라이언트에서 TLS 1.3 지원
  • 필요시 sqlnet.ora 파일의 SSL_CIPHER_SUITES 매개변수로 암호 그룹 제어 가능
  • TLS 1.2만 사용해야 하는 경우 SSL_VERSION 매개변수로 구성 가능

업그레이드 시 주의사항

  • 기존에 SSL_VERSION 또는 SSL_CIPHER_SUITES가 구성된 경우, 제거하거나 TLS 1.3 버전 및 새로운 암호 제품군 추가 필요

이러한 개선사항들로 인해 Oracle Database 23ai는 더욱 안전하고 효율적인 네트워크 통신을 제공합니다.

 

SSL_VERSION = (TLSv1.3, TLSv1.2)

 

SSL_CIPHER_SUITES = (TLS_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)

 

새로운 Oracle 23ai 클라이언트는 Oracle Database 19c와 이전 버전과 호환되며 TLS 1.2를 사용하여 연결합니다.

Oracle Database 클라이언트와 서버는 양측에서 활성화한 TLS의 가장 높은 버전을 협상하는데, 이는 SSL_VERSION에서 지정할 수 있습니다. 클라이언트나 서버에서 SSL_VERSION이 지정되지 않은 경우, 23ai 클라이언트나 서버는 기본적으로 TLS 1.2와 TLS 1.3을 활성화하는 반면, 19c 클라이언트나 서버는 기본적으로 TLS 1.2를 활성화합니다. 

SSL_VERSION이 지정되지 않은 경우 프로토콜 협상 매트릭스는 아래 표를 참조하세요.



데이터베이스 23ai 데이터베이스 21c 또는 19c
23ai 클라이언트 1.3 버전 1.2 버전
19c, 21c 클라이언트 1.2 버전 1.2 버전
12.2 또는 이전 클라이언트 클라이언트가 지원하는 경우 TLS 1.2 클라이언트가 지원하는 경우 TLS 1.2

 

TLS 1.3에 대한 공개 키 인증서

TLS 1.3은 인증을 위해 RSA 및 ECDSA 인증서를 모두 지원합니다.

최소 2048비트 키 길이의 RSA 인증서 또는 최소 256비트 키 길이의 ECDSA 인증서를 강력히 권장합니다.

여전히 512비트 RSA 인증서를 사용하는 경우 TLS 1.3에서는 지원되지 않습니다.

다른 데이터베이스 기능 사용

TLS 1.3을 활성화하면 데이터베이스 연결에 대한 네트워크 암호화 프로토콜만 업데이트되고 SQL에는 영향을 미치지 않습니다. TLS 1.3은 Real Application Cluster 및 Active Data Guard와도 작동합니다. LDAP, Active Directory 등과 같은 타사 서버에 대한 아웃바운드 연결은 타사 서버가 TLS 1.3을 활성화할 때 TLS 1.3을 사용합니다.

요약

TLS 1.3은 이전 버전의 TLS에서 보안 문제와 취약성을 해결하는 현대적이고 안전한 암호화 알고리즘을 갖춘 중요한 업데이트입니다. NIST SP 800-52r2 의 "전송 계층 보안(TLS) 구현의 선택, 구성 및 사용에 대한 지침"은 미국 연방 기관이 2024년 1월 1일까지 TLS 1.3을 지원해야 한다고 명시합니다.

대부분의 Oracle 데이터베이스 고객에게는 TLS 1.3으로의 마이그레이션이 자동화되고 투명하게 이루어질 것으로 예상합니다.