escrito por Daniel Leite
4 minutos de leitura
O desafio aparece quando o ambiente Oracle 19c on-premise ainda não usa TDE. No método tradicional de migração com Data Guard, seria necessário criptografar todos os dados locais antes da migração, um processo demorado, que exige alto consumo de CPU e ainda implica em custos adicionais de licenciamento da Oracle Advanced Security (ASO).
A boa notícia é que existe uma alternativa eficiente e econômica: o Data Guard híbrido. Essa abordagem permite migrar seu banco de dados para a OCI de forma segura, com baixo impacto e sem precisar criptografar previamente o ambiente local.
O segredo do TDE híbrido está no parâmetro de inicialização TABLESPACE_ENCRYPTION, que define a política de criptografia do banco de dados. Na estratégia híbrida, aplicam-se políticas diferentes para cada ambiente, o on-premise e o da nuvem, garantindo segurança na OCI sem comprometer o desempenho local.
No ambiente de produção local, que não está criptografado, define-se o parâmetro como “DECRYPT_ONLY”. Essa configuração permite que o banco continue operando normalmente, sem necessidade de criptografar grandes volumes de dados antes da migração.
Os benefícios são claros:
Nenhum impacto sobre o desempenho atual, já que o banco permanece sem criptografia até o momento da migração.
Economia significativa, pois evita a necessidade imediata de adquirir a licença Oracle Advanced Security Option (ASO).
Preparação para a nuvem, já que o Data Guard híbrido envia os dados “abertos” para a OCI, onde são automaticamente criptografados durante o processo de recuperação.
Na nuvem, o ambiente standby na OCI é configurado para “AUTO_ENABLE”, garantindo que todos os dados recebidos sejam criptografados automaticamente. Mesmo que o banco on-premise envie dados sem criptografia, a OCI os grava em formato seguro e em total conformidade com as exigências de segurança da Oracle Cloud.
Essa combinação assegura que o processo de migração aconteça de forma contínua, segura e sem sobrecarga de recursos no ambiente local.
O grande diferencial do TDE híbrido aparece quando ocorre um Switchover, e o banco de dados na OCI se torna o novo ambiente principal. Nesse momento, todos os novos dados e tablespaces criados na nuvem passam a ser criptografados automaticamente.
Enquanto isso, o ambiente local assume o papel de standby e, mesmo sem estar criptografado, consegue receber os dados vindos da nuvem e decriptografá-los durante a aplicação dos logs de recuperação.
O resultado é um ambiente de recuperação de desastres (DR) completo, seguro e eficiente, em que:
A segurança é garantida, com todos os dados na nuvem totalmente criptografados.
O desempenho local é mantido, sem perda de performance causada por processos de criptografia.
O custo total é reduzido, já que o investimento em criptografia se concentra na nuvem.
O TDE híbrido é uma solução estratégica que simplifica a migração para a Oracle Cloud Infrastructure. Ele reduz custos, evita interrupções e acelera a configuração do Data Guard, criando uma ponte segura entre o ambiente local e a nuvem.
Mais do que uma mudança tecnológica, essa abordagem representa uma evolução na forma de pensar migrações para a nuvem, com foco em segurança, eficiência operacional e otimização de recursos.
