Sdílet prostřednictvím

Pokyny pro zabezpečení pro Oracle Database@Azure

  • Článek

Tento článek vychází z několika aspektů a doporučení definovaných v oblasti návrhu zabezpečení Azure. Poskytuje klíčové aspekty návrhu a doporučení pro bezpečnostní opatření Oracle Database@Azure.

Přehled

Většina databází obsahuje citlivá data, která vyžadují zabezpečenou architekturu nad rámec ochrany na úrovni databáze. Strategie hloubkové ochrany poskytuje komplexní zabezpečení vrstvením více mechanismů ochrany. Tento přístup kombinuje různé míry, abyste se vyhnuli výhradně jednomu typu zabezpečení, jako je ochrana sítě. Mezi tyto míry patří architektury silného ověřování a autorizace, zabezpečení sítě, šifrování neaktivních uložených dat a šifrování přenášených dat. Tato vícevrstevná strategie je nezbytná pro efektivní zabezpečení úloh Oracle.

Další informace najdete v průvodci zabezpečením pro službu Oracle Exadata Database Service na vyhrazené infrastruktuře a ovládacích prvcích zabezpečení Exadata.

Aspekty návrhu

Při návrhu pokynů zabezpečení pro oracle Database@Azure zvažte následující pokyny:

  • Úlohy Oracle Database@Azure obsahují prostředky nasazené ve virtuálních sítích a datacentrech Azure. Řídicí rovina Azure a řídicí rovina Oracle Cloud Infrastructure (OCI) tyto prostředky spravují. Řídicí rovina Azure spravuje inicializace infrastruktury a síťového připojení. Řídicí rovina Oracle zpracovává správu databáze a správu jednotlivých uzlů. Další informace naleznete v tématu Skupiny a role pro Oracle Database@Azure.

  • Služba Oracle Database@Azure je nasazená pouze v privátních podsítích v Azure. Služba není okamžitě přístupná z internetu.

  • Delegovaná podsítě Oracle Database@Azure nepodporují skupiny zabezpečení sítě (NSG).

  • Řešení Oracle Database@Azure používá mnoho výchozích portů TCP (Transmission Control Protocol) pro různé operace. Úplný seznam portů najdete v tématu Výchozí přiřazení portů.

  • K ukládání a správě klíčů pomocí transparentní šifrování dat (TDE), které je ve výchozím nastavení povolené, může řešení Oracle Database@Azure používat trezory OCI nebo Oracle Key Vault. Řešení Oracle Database@Azure nepodporuje Azure Key Vault.

  • Ve výchozím nastavení je databáze nakonfigurovaná pomocí šifrovacích klíčů spravovaných Oraclem. Databáze také podporuje klíče spravované zákazníkem.

  • K vylepšení ochrany dat použijte Oracle Data Safe s Oracle Database@Azure.

  • Agenti jiných společností než Microsoft a Oracle mají přístup k operačnímu systému Oracle Database@Azure, pokud jádro operačního systému nezmění nebo nenarušují.

Doporučení k návrhu

Při návrhu zabezpečení pro oracle Database@Azure zvažte následující doporučení:

  • Segmentujte přístup k infrastruktuře z přístupu k datovým službám, zejména pokud různé týmy z různých důvodů přistupují k více databázím na stejné infrastruktuře.

  • Pomocí pravidel NSG omezte rozsah zdrojových IP adres, který zabezpečuje rovinu dat a přístup k virtuální síti. Pokud chcete zabránit neoprávněnému přístupu k internetu a z internetu, otevřete pouze potřebné porty, které potřebujete pro zabezpečenou komunikaci. V OCI můžete nakonfigurovat pravidla NSG.

  • Pokud potřebujete přístup k internetu, nakonfigurujte překlad síťových adres (NAT). Vždy vyžadovat šifrování přenášených dat.

  • Pokud používáte vlastní šifrovací klíče, vytvořte důkladný proces obměně klíčů, který zachovává standardy zabezpečení a dodržování předpisů.

  • Pokud ve službě Oracle Database@Azure používáte agenty jiného typu než Microsoft nebo Oracle, nainstalujte tyto agenty do umístění, na která se opravy infrastruktury databáze nebo mřížky nedotknou.

Další kroky