Optimalizace zabezpečení pro úlohy Oracle
Zabezpečení je zásadní pro každou architekturu. Azure nabízí komplexní řadu nástrojů pro efektivní zabezpečení úloh Oracle. Tento článek popisuje doporučení zabezpečení pro řídicí rovinu Azure související s úlohami aplikací Oracle nasazenými na virtuálních počítačích v Azure. Další informace o funkcích zabezpečení ve službě Oracle Database najdete v průvodci zabezpečením oracle database.
Většina databází ukládá citlivá data. Bezpečnostní opatření pouze na úrovni databáze nestačí k zabezpečení celé architektury, ve které se mají tyto úlohy dostat. Hloubková ochrana je komplexní přístup k zabezpečení, ve kterém implementujete několik vrstev mechanismů ochrany pro ochranu dat. Nespoléháte se na jedno bezpečnostní opatření na konkrétní úrovni, jako jsou mechanismy zabezpečení sítě. Využijte strategii hloubkové ochrany a využijte kombinaci různých opatření zabezpečení vrstev, abyste vytvořili robustní stav zabezpečení.
Pro úlohy Oracle můžete navrhovat podrobný přístup k ochraně pomocí architektury silného ověřování a autorizace, posíleného zabezpečení sítě a šifrování neaktivních uložených dat a přenášených dat. Úlohy Oracle můžete nasadit jako cloudový model infrastruktury jako služby (IaaS) v Azure. Znovu si projít matici sdílené odpovědnosti , abyste lépe porozuměli konkrétním úkolům a zodpovědnostem přiřazeným poskytovateli cloudu a zákazníkovi.
Služby a technologie, které používáte, byste měli pravidelně vyhodnocovat, abyste zajistili, že vaše bezpečnostní opatření budou v souladu s měnícím se prostředím hrozeb.
Použití centralizované správy identit
Správa identit je základní architektura, která řídí přístup k důležitým prostředkům. Správa identit se stává kritickou, když pracujete s různými pracovníky, jako jsou dočasní stážisté, zaměstnanci na částečný úvazek nebo zaměstnanci na plný úvazek. Tyto osoby vyžadují různé úrovně přístupu, které potřebujete monitorovat, udržovat a podle potřeby rychle odvolat.
Vaše organizace může zlepšit zabezpečení virtuálních počítačů s Windows a Linuxem v Azure integrací s Microsoft Entra ID, což je plně spravovaná služba pro správu identit a přístupu.
Nasazení úloh v operačních systémech Windows nebo Linux
Můžete použít Microsoft Entra ID s jednotným přihlašováním (SSO) pro přístup k aplikacím Oracle a nasazení databází Oracle v operačních systémech Linux a Windows. Integrujte operační systém s Microsoft Entra ID, abyste zlepšili jeho stav zabezpečení.
Zlepšete zabezpečení úloh Oracle v Azure IaaS tím, že zpevníte svůj operační systém, abyste eliminovali ohrožení zabezpečení, která by útočníci mohli zneužít k poškození vaší databáze Oracle.
Další informace o tom, jak zlepšit zabezpečení služby Oracle Database, najdete v tématu Pokyny k zabezpečení pro úlohy Oracle v akcelerátoru cílových zón Azure Virtual Machines.
Doporučení
Pro přístup k linuxovým účtům místo hesel používejte páry klíčů SSH (Secure Shell).
Zakažte účty Linuxu chráněné heslem a povolte je jenom na krátkou dobu na vyžádání.
Zakažte přihlašovací přístup pro privilegované účty Linuxu, jako jsou účty root a Oracle, což umožňuje přístup k přihlašování jenom k přizpůsobeným účtům.
Pomocí příkazu
sudo
udělte přístup privilegovaným účtům Linuxu, jako jsou účty root a Oracle, z přizpůsobených účtů místo přímého přihlášení.Pomocí linuxového nástroje syslog se ujistěte, že zaznamenáváte protokoly protokolu auditu Linuxu a
sudo
přistupujete k protokolům služby Azure Monitor.Pravidelně používejte opravy zabezpečení a opravy operačního systému jenom z důvěryhodných zdrojů.
Implementujte omezení, která omezí přístup k operačnímu systému.
Omezte neoprávněný přístup k serverům.
Řízení přístupu k serveru na úrovni sítě za účelem zvýšení celkového zabezpečení
Kromě skupin zabezpečení sítě (NSG) Azure zvažte použití linuxového démona brány firewall jako další vrstvu ochrany.
Ujistěte se, že jste nakonfigurovali proces démon brány firewall pro Linux tak, aby se automaticky spouštěl při spuštění.
Prohledejte síťové naslouchající porty a zjistěte potenciální přístupové body. K výpisu těchto portů použijte příkaz Linuxu
netstat –l
. Ujistěte se, že přístup k těmto portům řídí skupiny zabezpečení sítě Azure nebo démon brány firewall pro Linux.Nastavte aliasy pro potenciálně destruktivní linuxové příkazy, jako
rm
jsou amv
, aby se vynutily jejich spuštění v interaktivním režimu, abyste byli alespoň jednou vyzváni před spuštěním nevratného příkazu. Pokročilí uživatelé vědí, jak aliasy v případě potřeby odebrat.Nakonfigurujte jednotné systémové protokoly databáze Oracle tak, aby pomocí nástroje Syslog pro Linux odesílaly kopie protokolů auditu Oracle do protokolů služby Azure Monitor.
Návrh síťové topologie
Síťová topologie je základní součástí vícevrstého přístupu k zabezpečení úloh Oracle v Azure.
Umístěte všechny cloudové služby do jedné virtuální sítě a pomocí skupin zabezpečení sítě Azure monitorujte a filtrujte provoz. Přidejte bránu firewall pro zabezpečení příchozího provozu. Nezapomeňte vyhradit a bezpečně oddělit podsíť, ve které databázi nasazujete, od internetu a místní sítě. Vyhodnoťte uživatele, kteří interně a externě přistupují k databázi, a lépe tak zajistíte, aby vaše síťová topologie byla robustní a zabezpečená.
Další informace o topologii sítě najdete v tématu Síťová topologie a možnosti připojení pro Oracle v akcelerátoru cílových zón Azure Virtual Machines.
Doporučení
Pomocí skupin zabezpečení sítě Azure můžete filtrovat síťový provoz mezi prostředky Azure ve virtuální síti Azure a filtrovat provoz mezi místními sítěmi a Azure.
K zabezpečení prostředí použijte Azure Firewall nebo síťové virtuální zařízení.
Zabezpečte virtuální počítač, na kterém se nachází úloha Oracle Database, před neoprávněným přístupem pomocí funkcí poskytovaných Azure, jako je přístup podle potřeby (JIT) Microsoft Defender pro cloud a funkce služby Azure Bastion.
Přesměrování portů SSH použijte pro nástroje X Windows System and Virtual Network Computing (VNC) k tunelování připojení přes SSH. Další informace najdete v příkladu, který otevře klienta VNC a otestuje nasazení.
Veškerý provoz přes centrální virtuální síť můžete směrovat umístěním virtuálních počítačů do vyhrazené podsítě, která je izolovaná od internetu a místní sítě.
Zabezpečení dat pomocí šifrování
Zašifrujte neaktivní uložená data při zápisu do úložiště, abyste je ochránili. Když data zašifrujete, neoprávnění uživatelé je nemůžou zveřejnit ani změnit. Data můžou zobrazit nebo upravit jenom autorizovaní a ověření uživatelé. Microsoft Azure nabízí různá řešení úložiště dat, včetně úložiště souborů, disků a objektů blob, která splňují různé potřeby. Tato řešení úložiště obsahují funkce šifrování pro zabezpečení neaktivních uložených dat.
Šifrování přenášených dat za účelem ochrany dat, která se přesouvají z jednoho místa do druhého, obvykle přes síťové připojení. V závislosti na povaze připojení můžete k šifrování přenášených dat použít různé metody. Azure nabízí řadu mechanismů pro zachování privátních přenášených dat při přesunu z jednoho místa do druhého.
Doporučení
Seznamte se s tím, jak Microsoft šifruje neaktivní uložená data.
Zvažte funkce Oracle Advanced Security, mezi které patří transparentní šifrování dat (TDE) a redakce dat.
Správa klíčů pomocí Oracle Key Vault Pokud implementujete transparentní šifrování dat Oracle jako další šifrovací vrstvu, mějte na paměti, že Oracle nepodporuje řešení správy klíčů Azure, jako je Azure Key Vault, ani řešení správy klíčů jiných poskytovatelů cloudu. Výchozí umístění Oracle Peněženky je v systému souborů virtuálního počítače databáze Oracle. Oracle Key Vault však můžete použít jako řešení správy klíčů v Azure. Další informace najdete v tématu Zřizování Key Vault Oracle v Azure.
Seznamte se s tím, jak Microsoft šifruje přenášená data.
Zvažte použití funkce Oracle Native Network Encryption and Data Integrity. Další informace najdete v tématu Konfigurace nativního síťového šifrování a integrity dat oracle database.
Integrace protokolů auditu Oracle Database
Monitorování protokolu aplikací je nezbytné pro detekci bezpečnostních hrozeb na úrovni aplikace. Azure Sentinel je řešení pro správu událostí a informací o zabezpečení (SIEM) nativní pro cloud, které lze použít k monitorování událostí zabezpečení vaší úlohy Oracle.
Další informace najdete v tématu Konektor pro audit oracle database pro službu Microsoft Sentinel.
Doporučení
Použijte řešení Microsoft Sentinel pro úlohy Oracle Database. Konektor pro audit služby Oracle Database používá standardní rozhraní syslogu k načtení záznamů auditu služby Oracle Database a jejich ingestování do protokolů služby Azure Monitor.
Azure Sentinel slouží ke kontrole záznamů auditu aplikací, infrastruktury Azure a hostovaných operačních systémů.