Pokyny pro zabezpečení pro Oracle Database@Azure
Tento článek vychází z aspektů a doporučení v oblasti návrhu zabezpečení Azure. Poskytuje klíčové aspekty návrhu a doporučení pro Database@Azure Oracle Exadata.
Přehled
Většina databází obsahuje citlivá data, která vyžadují vysoce zabezpečenou architekturu nad rámec ochrany na úrovni databáze. Strategie hloubkové ochrany se skládá z několika mechanismů obrany, které pomáhají zajistit komplexní zabezpečení. Tento přístup brání spoléhat se na jeden typ zabezpečení, jako je obrana sítě. Mezi mechanismy ochrany patří silné ověřování a autorizační architektury, zabezpečení sítě, šifrování neaktivních uložených dat a šifrování přenášených dat. Tuto multilayerovanou strategii můžete použít k efektivnímu zabezpečení úloh Oracle.
Další informace najdete v příručce zabezpečení pro Oracle Exadata Database@Azure na dedikované infrastruktuře a v zabezpečovacích prvcích Exadata.
Aspekty návrhu
Při návrhu bezpečnostních opatření pro Database@Azure Oracle Exadata zvažte následující pokyny:
Oracle Database@Azure je databázová služba, která běží na infrastruktuře Oracle Cloud (OCI) a je umístěná v datacentrech Microsoftu.
Pokud chcete spravovat prostředky Oracle Exadata Database@Azure, musíte integrovat cloudové platformy Azure a OCI. Řízení jednotlivých platforem pomocí příslušných osvědčených postupů zabezpečení Řídicí rovina Azure spravuje zřizování infrastruktury, včetně clusteru virtuálního počítače a síťového připojení. Konzola OCI zpracovává správu databází a správu jednotlivých uzlů.
Oracle Database@Azure je integrovaný do virtuálních sítí Azure prostřednictvím delegování podsítě.
Poznámka
Oracle Exadata Database@Azure ve výchozím nastavení nemá příchozí ani odchozí přístup k internetu.
Podsíť klienta Oracle Database@Azure nepodporuje skupiny zabezpečení sítě (NSG).
Řešení Oracle Exadata Database@Azure používá předdefinovaný seznam portů Transmission Control Protocol (TCP) . Ve výchozím nastavení jsou tyto porty nepřístupné z jiných podsítí, protože skupiny zabezpečení sítě v rámci OCI je spravují.
Ve výchozím nastavení oracle Exadata Database@Azure povolí šifrování neaktivních uložených dat. Používá šifrování na databázové vrstvě prostřednictvím funkce transparentního šifrování dat. Toto šifrování pomáhá zabezpečit kontejner (CDB$ROOT) a připojitelné databáze.
Ve výchozím nastavení se databáze šifruje prostřednictvím šifrovacích klíčů spravovaných oraclem. Klíče používají šifrování AES-128 a ukládají se místně do peněženky v systému souborů clusteru virtuálních počítačů. Další informace najdete v tématu Správa šifrování tabulkového prostoru.
Ukládejte zákaznicky spravované šifrovací klíče do služby OCI Vault nebo Oracle Key Vault . Database@Azure Oracle Exadata nepodporuje Azure Key Vault.
Ve výchozím nastavení se zálohy databáze šifrují pomocí stejných primárních šifrovacích klíčů. Tyto klíče použijte během operací obnovení.
Nainstalujte agenty jiných společností než Microsoft a Oracle do Database@Azure Oracle Exadata. Ujistěte se, že neupravují nebo neohrožují jádro operačního systému databáze.
Doporučení k návrhu
Při návrhu nasazení oracle Exadata Database@Azure zvažte následující doporučení zabezpečení:
Oddělený přístup k infrastruktuře a přístup k datovým službám, zejména pokud různé týmy z různých důvodů přistupují k více databázím na stejné infrastruktuře. Pokud chcete dosáhnout izolace sítě a správy na úrovni úloh, nasaďte clustery virtuálních počítačů v jiné virtuální síti.
Pomocí pravidel NSG omezte rozsah zdrojových IP adres, který pomáhá zabezpečit rovinu dat a přístup k virtuální síti. Chcete-li zabránit neoprávněnému přístupu, otevřete pouze nezbytné porty, které požadujete pro zabezpečenou komunikaci, a použijte princip nejnižších oprávnění. V OCI můžete nakonfigurovat pravidla NSG.
Nakonfigurujte překlad síťových adres (NAT) nebo použijte proxy server, jako je Azure Firewall nebo síťové virtuální zařízení jiné společnosti než Microsoft, pokud potřebujete odchozí přístup k internetu.
Zvažte následující doporučení pro správu klíčů:
Oracle Exadata Database@Azure má integrovanou integraci se službou OCI Vault. Pokud ukládáte primární šifrovací klíče ve službě OCI Vault, klíče se také ukládají v OCI mimo Azure.
Pokud potřebujete zachovat všechna data a služby v Azure, použijte Oracle Key Vault.
Oracle Key Vault nemá integrovanou integraci s Database@Azure Oracle Exadata. Oracle Key Vault v Azure se nenabízí jako spravovaná služba. Řešení musíte nainstalovat, integrovat databáze do Database@Azure Oracle Exadata a zajistit, aby řešení zůstalo vysoce dostupné. Další informace najdete v tématu Vytvoření image Oracle Key Vault v Microsoft Azure.
Pokud chcete zajistit dostupnost šifrovacího klíče, vytvořte nasazení služby Oracle Key Vault s více primárními klíči. Pro zajištění robustní vysoké dostupnosti nasaďte cluster s více primárními službami Oracle Key Vault, který má čtyři uzly, které zahrnují alespoň dvě zóny dostupnosti nebo oblasti. Další informace najdete v tématu koncepty více primárních clusterů Oracle Key Vault.
Pokud potřebujete hybridní architekturu, která zahrnuje místní prostředí nebo jiné cloudové platformy, použijte Oracle Key Vault. Tato prostředí podporují toto řešení.
Poznámka
Oracle Key Vault vyžaduje samostatné licencování.
Začněte peněženkou, která je uložená lokálně v softwarovém úložišti klíčů, pokud potřebujete dokončit platformu pro správu klíčů nebo provádíte ověření konceptu či pilotní nasazení.
Proces přechodu na úložiště klíčů závisí na vaší platformě pro správu klíčů. Pokud zvolíte OCI Vault, přechod je dynamická operace. Pokud zvolíte Oracle Key Vault, musíte šifrovací klíče ručně migrovat na platformu Oracle Key Vault.
Pokud používáte vlastní šifrovací klíče, vytvořte přísný proces obměně klíčů, abyste dodržovali standardy zabezpečení a dodržování předpisů.
Ukládejte šifrovací klíče a zálohy databáze v samostatných prostředích, abyste zvýšili zabezpečení a minimalizovali riziko ohrožení dat.
Pokud provádíte dlouhodobé zálohování, zachovejte staré šifrovací klíče pro operace obnovení.
Nainstalujte agenty jiného původu než Microsoft nebo Oracle na Oracle Exadata Database@Azure v místech, kde nejsou rušeny záplatami databázové nebo mřížkové infrastruktury.