Freigeben über

Sicherheitsrichtlinien für Oracle-Workloads in Azure-VM-Zielzonenbeschleuniger

  • Artikel

In diesem Artikel wird beschrieben, wie Oracle-Workloads auf Azure Virtual Machines Beschleuniger für Zielzonen in jeder Phase ihres Lebenszyklus sicher ausgeführt werden. Der Artikel erörtert spezifische Designkomponenten und bietet gezielte Vorschläge zur Sicherheit von Azure Infrastructure as a Service (IaaS) für Oracle-Workloads.

Übersicht

Sicherheit ist für jede Architektur unerlässlich. Azure bietet eine umfassende Palette von Tools, mit denen Sie Ihre Oracle-Workload effektiv sichern können. Zweck dieses Artikels ist es, Sicherheitsempfehlungen für die Azure-Kontrollebene im Zusammenhang mit Oracle-Anwendungsworkloads zu geben, die auf virtuellen Maschinen bereitgestellt werden. Ausführliche Informationen und Implementierungsrichtlinien zu Sicherheitsmaßnahmen in Oracle Database finden Sie in der Oracle Database Sicherheitsanleitung.

Die meisten Datenbanken speichern vertrauliche Daten. Die Implementierung von Sicherheit nur auf Datenbankebene reicht nicht aus, um die Architektur zu sichern, in der Sie diese Workloads einsetzen. Tiefgehende Verteidigung ist ein umfassender Sicherheitsansatz, der die Implementierung von Verteidigungsmechanismen auf mehreren Ebenen zum Schutz von Daten verlangt. Anstatt sich auf eine einzelne Sicherheitsmaßnahme auf einer bestimmten Ebene zu verlassen, wie z. B. die Konzentration auf Netzwerksicherheitsmechanismen, verwendet die Defense In-Depth-Strategie eine Kombination von Sicherheitsmaßnahmen auf verschiedenen Ebenen, um einen robusten Sicherheitsstatus zu schaffen. Sie können einen tiefgreifenden Verteidigungsansatz für Oracle-Workloads entwickeln, indem Sie ein starkes Authentifizierungs- und Autorisierungs-Framework, gehärtete Netzwerksicherheit und Verschlüsselung von Daten im Ruhezustand und bei der Übertragung verwenden.

Sie können Oracle-Workloads als IaaS-Cloud-Modell auf Azure bereitstellen. Überprüfen Sie die Matrix der gemeinsamen Verantwortung, um ein besseres Verständnis der spezifischen Aufgaben und Verantwortlichkeiten zu erhalten, die sowohl dem Cloud-Anbieter als auch dem Kunden zugewiesen sind. Weitere Informationen dazu finden Sie unter Gemeinsame Verantwortung in der Cloud.

Sie sollten die von Ihnen genutzten Dienste und Technologien regelmäßig überprüfen, um sicherzustellen, dass Ihre Sicherheitsmaßnahmen an die sich verändernde Bedrohungslandschaft angepasst sind.

Privileged Identity Management

Identitätsverwaltung ist ein grundlegendes Framework, das den Zugriff auf wichtige Ressourcen steuert. Die Identitätsverwaltung ist von entscheidender Bedeutung, wenn Sie mit verschiedenen Arten von Mitarbeitern arbeiten, z. B. mit Praktikanten, Teilzeit- oder Vollzeitbeschäftigten. Dieses Personal benötigt unterschiedliche Zugriffsebenen, die nach Bedarf überwacht, verwaltet und umgehend widerrufen werden müssen. Es gibt vier verschiedene Anwendungsfälle für das Identitätsmanagement, die Sie für Ihre Oracle-Workloads in Betracht ziehen sollten, und jeder Anwendungsfall erfordert eine andere Identitätsmanagementlösung.

  • Oracle-Anwendungen: Benutzer können auf Oracle-Anwendungen zugreifen, ohne ihre Anmeldeinformationen erneut eingeben zu müssen, nachdem sie über einmaliges Anmelden (Single Sign-On, SSO) autorisiert wurden. Verwenden Sie die Microsoft Entra ID-Integration, um auf Oracle-Anwendungen zuzugreifen. In der folgenden Tabelle finden Sie die unterstützte SSO-Strategie für jede Oracle-Lösung.

    Oracle-Anwendung Link zum Dokument
    E-Business Suite (EBS) Aktivieren von SSO für EBS R12.2
    JD Edwards (JDE) Einrichten von JDE SSO
    PeopleSoft Aktivieren von SSO für PeopleSoft
    Hyperion Oracle Support-Dokumentation Nr. 2144637.1
    Siebel Oracle Support-Dokumentation Nr. 2664515.1

  • Sicherheit auf Ebene des Betriebssystems (Operating System, OS): Oracle-Workloads können auf verschiedenen Varianten des Linux- oder Windows-Betriebssystems laufen. Organisationen können die Sicherheit ihrer virtuellen Windows- und Linux-Computer (VMs) in Azure verbessern, indem sie diese mit Microsoft Entra ID integrieren. Weitere Informationen finden Sie unter:

  • Azure Key Vault zum Speichern von Anmeldeinformationen: Key Vault ist ein leistungsstarkes Tool für Cloud-Anwendungen und -Dienste, das Sie zur sicheren Speicherung von Geheimnissen wie Passwörtern und Datenbankverbindungsstrings verwenden können. Sie können Key Vault verwenden, um Anmeldeinformationen für Windows- und Linux-VMs unabhängig vom Betriebssystem zentral und sicher zu speichern.

    • Mit Key Vault vermeiden Sie die Notwendigkeit, Anmeldedaten Nur-Text in Ihrem Code oder Ihren Konfigurationsdateien zu speichern. Sie können die Anmeldeinformationen zur Laufzeit aus dem Key Vault abrufen, was Ihrer Anwendung eine zusätzliche Sicherheitsebene verleiht und dazu beiträgt, unbefugten Zugriff auf Ihre VMs zu verhindern. Key Vault integriert sich nahtlos in andere Azure-Dienste, z. B. virtuelle Computer, und Sie können den Zugriff auf den Key Vault mithilfe der Microsoft Entra-ID steuern. Dieses Verfahren stellt sicher, dass nur autorisierte Benutzer und Anwendungen auf die gespeicherten Anmeldedaten zugreifen können.

  • Gehärtete Betriebssystem-Images: Ein gehärtetes Image des Center for Internet Security (CIS) für Windows oder Linux in Azure hat mehrere Vorteile. CIS-Benchmarks werden weltweit als bewährte Methoden für die Sicherung von IT-Systemen und -Daten anerkannt. Diese Bilder sind so vorkonfiguriert, dass sie den Sicherheitsempfehlungen der CIS entsprechen, was Zeit und Mühe bei der Absicherung des Betriebssystems sparen kann. Gehärtete Betriebssystem-Images können Organisationen dabei helfen, ihre Sicherheitslage zu verbessern und Sicherheitsrahmenwerke wie das National Institute of Standards and Technology (NIST) und Peripheral Component Interconnect (PCI) einzuhalten.

Härtung des Betriebssystems

Stellen Sie sicher, dass das OS abgesichert ist, um Sicherheitsrisiken zu beseitigen, die für einen Angriff auf die Oracle-Datenbank ausgenutzt werden könnten.

  • Verwenden Sie für den Zugriff auf Linux-Konten Secure Shell (SSH)-Schlüsselpaare anstelle von Kennwörtern.
  • Deaktivieren Sie kennwortgeschützte Linux-Konten und aktivieren Sie sie nur für kurze Zeit und auf Anforderung.
  • Deaktivieren Sie den Anmeldezugriff für privilegierte Linux-Konten (Stamm- oder Oracle),wodurch der Anmeldezugriff nur auf personalisierte Konten ermöglicht wird.
  • Verwenden Sie sudo anstelle des direkten Anmeldezugriffs, um zugriff auf privilegierte Linux-Konten von personalisierten Konten zu gewähren.
  • Erfassen Sie Linux-Überwachungspfad- und sudo-Zugriffsprotokolle in Azure Monitor-Protokollen mithilfe des Linux SYSLOG-Dienstprogramms.
  • Wenden Sie regelmäßig Sicherheits-Patches und Betriebssystem-Patches oder Updates an, die ausschließlich von vertrauenswürdigen Quellen stammen.
  • Implementieren Sie Einschränkungen, um den Zugriff auf das Betriebssystem einzuschränken.
  • Verhindern Sie nicht autorisierte Zugriffe auf den Server.
  • Steuern sie den Serverzugriff auf Netzwerkebene, um die Gesamtsicherheit zu verbessern.
  • Ziehen Sie in Erwägung, zusätzlich zu den Azure Netzwerksicherheitsgruppen (Network Security Groups, NSGs) den Linux Firewall-Dämon für den lokalen Schutz zu verwenden.
  • Konfigurieren Sie den Linux-Firewall-Daemon so, dass er beim Start automatisch ausgeführt wird.
  • Scannen Sie Netzwerk-Ports, die abgefragt werden, um die potenziellen Zugriffspunkte zu verstehen, und stellen Sie sicher, dass entweder Azure NSGs oder der Linux-Firewall-Dämon den Zugriff auf diese Ports kontrolliert. Verwenden Sie den Linux-Befehl netstat –l, um die Ports zu finden.
  • Versehen Sie potenziell destruktive Linux-Befehle rm und mv mit einem Alias, um sie in den interaktiven Modus zu erzwingen, sodass Sie mindestens einmal eine Aufforderung erhalten, bevor ein unumkehrbarer Befehl ausgeführt wird. Fortgeschrittene Benutzer können bei Bedarf einen Unalias-Befehl ausführen.
  • Konfigurieren Sie die einheitlichen Systemprotokolle der Oracle-Datenbank so, dass Kopien der Oracle-Prüfungsprotokolle mit dem Linux-Dienstprogramm SYSLOG an Azure Monitor Logs gesendet werden.

Verwenden von Netzwerksicherheit

Die Netzwerksicherheit ist die grundlegende Komponente eines mehrschichtigen Sicherheitsansatzes für Oracle-Workloads in Azure.

  • NSGs verwenden: Sie können einen Azure NSG verwenden, um den Netzwerkverkehr zwischen Azure-Ressourcen in einem virtuellen Azure-Netzwerk zu filtern. Eine NSG enthält Sicherheitsregeln, die eingehenden Netzwerkverkehr zu Azure-Ressourcen oder ausgehenden Netzwerkverkehr von Azure-Ressourcen zulassen oder verweigern. NSGs können den Datenverkehr zwischen lokalen Netzwerken zu und von Azure filtern, indem sie IP-Adressbereiche und bestimmte Ports verwenden. Weitere Informationen finden Sie unter Netzwerksicherheitsgruppe.

    In der folgenden Tabelle finden Sie die Zuweisung eingehender Ports für Oracle-Datenbank-VMs:

    Protokoll Portnummer Dienstname Kommentar
    TCP 22 SSH Verwaltungsport für Linux-VMs
    TCP 1521 Oracle TNS-Listener Weitere Portnummern, die häufig für Sicherheits- oder für Verbindungslastenausgleichszwecke verwendet werden
    TCP 3389 RDP Verwaltungsport für Windows-VMs

  • Entscheiden Sie, wie Sie sich mit Ihrer VM verbinden: Die VM, auf der sich die Oracle-Datenbank-Workloads befinden, muss gegen unbefugten Zugriff gesichert werden. Der Verwaltungszugriff ist aufgrund der höheren Berechtigungen,die für Verwaltungsbenutzer erforderlich sind, vertraulich. In Azure stehen autorisierten Benutzern mehrere Mechanismen zur Verfügung, um die VM sicher zu verwalten.

Sie können beide Lösungen für die sichere Verwaltung Ihrer Oracle-Datenbank-VM verwenden. Falls gewünscht, können Sie beide Lösungen zu einem fortschrittlichen, mehrschichtigen Ansatz kombinieren.

Im Allgemeinen minimiert der JIT-Zugriff die Risiken, beseitigt sie aber nicht, indem er die Zeiten einschränkt, in denen die Verwaltungsports für SSH oder RDP verfügbar sind. JIT lässt die Möglichkeit offen, dass andere Sitzungen, die während eines erhaltenen JIT-Fensters stattfinden, darauf zugreifen. Solche Tailgater müssen immer noch die exponierten SSH- oder RDP-Ports überwinden, so dass das Risiko der Exposition gering ist. Allerdings können solche Risiken den JIT-Zugang weniger attraktiv machen, wenn es darum geht, den Zugriff aus dem öffentlichen Internet zu blockieren.

Azure Bastion ist im Wesentlichen eine gehärtete Jump Box, die den Zugriff aus dem offenen Internet verhindert. Es gibt jedoch zahlreiche Einschränkungen für Azure Bastion, die Sie berücksichtigen sollten.

  • Verwenden Sie X-Windows und Virtual Networking Computing (VNC): Oracle-Datenbanksoftware erfordert in der Regel, dass Sie X-Windows verwenden, da die Konnektivität zwischen der Linux-VM in Azure und Ihrem Desktop oder Laptop möglicherweise über Firewalls und Azure NSGs hinweg passiert. Aus diesem Grund sollten Sie die SSH-Portweiterleitung verwenden, um die X-Windows- oder VNC-Verbindungen über SSH zu tunneln. Ein Beispiel für die Verwendung des -L 5901:localhost:5901-Parameters finden Sie unter Öffnen eines VNC-Clients und Testen Ihrer Bereitstellung.

  • Cloudübergreifende Verbindungsoptionen: Ermöglichen Sie die Konnektivität zwischen Oracle-Datenbank-Workloads, die in Azure ausgeführt werden, und Workloads in Oracle Cloudinfrastruktur (Oracle Cloud Infrastructure, OCI). Sie können private Verbindungen oder Pipelines zwischen Anwendungen erstellen, indem Sie die Azure- oder OCI-Verbindung zwischen bestimmten Regionen in Azure und OCI nutzen. Weitere Informationen finden Sie unter Einrichten einer direkten Verbindung zwischen Azure und Oracle Cloud-Infrastructure. Dieser Artikel befasst sich nicht mit der Einrichtung von Firewalls auf beiden Seiten der Azure- oder OCI-Verbindung, was in der Regel eine Voraussetzung für den Ingress und Egress zwischen den Clouds ist. Bei diesem Ansatz werden die Microsoft Zero Trust-Netzwerkempfehlungen verwendet.

Richtlinienbasierte Sicherheit in Azure

Es gibt keine spezifischen integrierten Azure-Richtliniendefinitionen für Oracle Workloads in Azure-VM-Zielzonenbeschleuniger. Azure Policy bietet jedoch eine umfassende Abdeckung für die grundlegenden Ressourcen, die von jeder Oracle-Lösung in Azure verwendet werden, einschließlich VMs, Speicher und Netzwerk. Weitere Informationen finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.

Sie können auch benutzerdefinierte Richtlinien erstellen, um die Anforderungen Ihrer Organisation zu erfüllen, um die Lücke zu überbrücken. Verwenden Sie beispielsweise benutzerdefinierte Oracle-Richtlinien, um die Speicherverschlüsselung durchzusetzen, NSG-Regeln zu verwalten oder die Zuweisung einer öffentlichen IP-Adresse an eine Oracle-VM zu verbieten.

Daten verschlüsselt speichern

  • Daten während der Übertragung verschlüsseln: Bezieht sich auf den Zustand von Daten, die von einem Ort zu einem anderen und normalerweise über eine Netzwerkverbindung übertragen werden. Daten in der Übertragung können je nach Art der Verbindung auf verschiedene Arten verschlüsselt werden. Standardmäßig müssen Sie die Datenverschlüsselung für Daten bei der Übertragung innerhalb von Azure-Rechenzentren manuell aktivieren. Weitere Informationen finden Sie in der Azure-Dokumentation unter Verschlüsselung von Daten während der Übertragung.

  • Ruhende verschlüsselte Daten: Sie müssen auch Daten schützen, wenn sie in den Speicher geschrieben werden, während sie ruhen. Vertrauliche Daten können offengelegt oder verändert werden, wenn Speichermedien während der Nutzung entfernt oder darauf zugegriffen wird. Daher sollten die Daten verschlüsselt werden, um sicherzustellen, dass nur autorisierte und authentifizierte Benutzer sie einsehen oder ändern können. Azure bietet drei Verschlüsselungsebenen für Daten im Ruhezustand.

    • Alle Daten werden auf der niedrigsten Ebene verschlüsselt, wenn sie auf einem beliebigen Azure-Speichergerät gespeichert werden. Dies wird auch als Azure Speicherservice-seitige Verschlüsselung bezeichnet. Die service-seitige Verschlüsselung stellt sicher, dass es nicht erforderlich ist, die Speichermedien zu löschen oder zu zerstören, wenn ein Azure-Mandant den Speicher nicht mehr verwendet. Daten, die im Ruhezustand immer verschlüsselt sind, können dauerhaft verloren gehen, wenn der von der Plattform verwaltete Schlüssel verworfen wird. Die service-seitige Verschlüsselung ist schneller und sicherer als der Versuch, alle Daten aus dem Speicher zu löschen.
    • Azure bietet auch die Möglichkeit, gespeicherte Daten innerhalb der Storage-Infrastruktur doppelt zu verschlüsseln, indem die Storage-Infrastruktur-Verschlüsselung verwendet wird, die zwei separate, von der Plattform verwaltete Schlüssel verwendet.
    • Darüber hinaus ist die Azure Disk Encryption eine Verschlüsselung der Daten im Ruhezustand, die innerhalb des Gastbetriebssystems verwaltet wird (BitLocker für Windows und DM-CRYPT für Linux).

Die Speicherinfrastruktur verfügt über bis zu drei mögliche Ebenen der Verschlüsselung ruhender Daten. Wenn Sie über die Option Oracle Advanced Security verfügen, kann die Oracle-Datenbank auch Datenbankdateien mit Transparent Data Encryption (TDE) verschlüsseln und eine weitere Stufe der Verschlüsselung im Ruhezustand bieten.

Die Oracle Advanced Security-Option bietet auch ein Feature namens Data Redaction. Dabei handelt es sich um eine Form der dynamischen Datenmaskierung (Dynamic Data Masking). Wenn die Datenbank Daten abruft, maskiert sie den Datenwert, ohne den gespeicherten Datenwert zu verändern.

Diese zahlreichen Verschlüsselungsebenen sind der Inbegriff der Verteidigung tiefgehender Verteidigung. Wenn aus irgendeinem Grund eine der Verschlüsselungsformen im Ruhezustand kompromittiert wird, gibt es noch weitere Verschlüsselungsebenen, die die Daten schützen.

  • Schlüsselverwaltung: Wenn Sie Oracle Transparent Data Encryption (TDE) als weitere Verschlüsselungsebene implementieren möchten, sollten Sie beachten, dass Oracle die von Azure oder anderen Cloud-Anbietern bereitgestellten nativen Schlüsselverwaltungslösungen, wie z. B. Key Vault, nicht unterstützt. Stattdessen befindet sich der Standardspeicherort für die Oracle-Wallet im Dateisystem der Oracle-Datenbank-VM.

Weitere Informationen finden Sie unter Bereitstellung von Oracle Key Vault in Azure, um zu erfahren, wie Sie Oracle Key Vault als Azure-Schlüsselverwaltungslösung verwenden können.

Integrieren von Überwachungspfaden

Das Überwachen von Anwendungsprotokollen ist zur Erkennung von Sicherheitsbedrohungen auf Anwendungsebene unerlässlich. Verwenden Sie für Oracle Database-Workloads die Microsoft Sentinel-Lösung. Der Oracle Database-Überwachungskonnektor ruft alle Oracle-Datenbanküberwachungsdatensätze mithilfe einer branchenüblichen SYSLOG-Schnittstelle in Azure Monitor Protokolle ab und erfasst sie. Dieser Prozess ermöglicht es, diese Datensätze zusammen mit den Azure-Infrastrukturüberwachungsdatensätze und Gastbetriebssystemen (Linux oder Windows) zu überprüfen. Die Microsoft Sentinel-Lösung ist eine cloudnative Security Information & Event Management (SIEM)-Lösung, die für Ihre Oracle-Workloads entwickelt wurde, die auf einer Linux- oder Windows-VM laufen. Weitere Informationen finden Sie unter Oracle Database-Überwachungskonnektor für Microsoft Sentinel.

Nächster Schritt

Informationen zum Planen der Kapazitätsanforderungen für Oracle-Workloads in Azure finden Sie unter Kapazitätsplanung für die Migration von Oracle-Workloads zu Azure-Zielzonen.