Linee guida per la sicurezza per Oracle Database@Azure

Questo articolo si basa su considerazioni e raccomandazioni nell'area di progettazione della sicurezza di Azure . Fornisce considerazioni chiave sulla progettazione e consigli per l'Database@Azure Oracle Exadata.

Panoramica

La maggior parte dei database contiene dati sensibili che richiedono un'architettura altamente sicura oltre le protezioni a livello di database. Una strategia di difesa avanzata è costituita da più meccanismi di difesa per garantire una sicurezza completa. Questo approccio impedisce la dipendenza da un singolo tipo di sicurezza, ad esempio le difese di rete. I meccanismi di difesa includono framework di autenticazione e autorizzazione avanzati, sicurezza di rete, crittografia dei dati inattivi e crittografia dei dati in transito. È possibile usare questa strategia multilivello per proteggere efficacemente i carichi di lavoro Oracle.

Per ulteriori informazioni, vedere Guida alla sicurezza per Oracle Exadata Database@Azure su infrastruttura dedicata e controlli di sicurezza Exadata.

Considerazioni relative alla progettazione

Quando si progettano misure di sicurezza per l'Database@Azure Oracle Exadata, prendere in considerazione le indicazioni seguenti:

• Oracle Database@Azure è un servizio di database Oracle in esecuzione in Oracle Cloud Infrastructure (OCI), che si trova nei data center Microsoft.

  Per gestire le risorse di Oracle Exadata Database@Azure, è necessario integrare le piattaforme cloud Di Azure e OCI. Gestire ogni piattaforma con le rispettive procedure consigliate per la sicurezza. Il piano di controllo di Azure gestisce il provisioning dell'infrastruttura, incluso il cluster di macchine virtuali (VM) e la connettività di rete. La console OCI gestisce la gestione dei database e la gestione dei singoli nodi.

• Oracle Database@Azure è integrato nelle reti virtuali di Azure tramite la delega della subnet.

  Nota

  Oracle Exadata Database@Azure non ha accesso a Internet in ingresso o in uscita per impostazione predefinita.

• Una subnet client Oracle Database@Azure non supporta i gruppi di sicurezza di rete.

• La soluzione Oracle Exadata Database@Azure usa un elenco predefinito di porte TCP (Transmission Control Protocol). Per impostazione predefinita, queste porte non sono accessibili da altre subnet perché i gruppi di sicurezza di rete all'interno di OCI li gestiscono.

• Per impostazione predefinita, Oracle Exadata Database@Azure abilita la crittografia dei dati inattivi. Applica la crittografia a livello di database tramite la funzionalità Transparent Data Encryption. Questa crittografia consente di proteggere il contenitore (CDB$ROOT) e i database collegabili.

• Per impostazione predefinita, il database viene crittografato tramite chiavi di crittografia gestite da Oracle. Le chiavi usano la crittografia AES-128 e vengono archiviate localmente in un portafoglio all'interno del file system del cluster di macchine virtuali. Per ulteriori informazioni, consultare Gestire la crittografia del tablespace.

• Archiviare le chiavi di crittografia gestite dal cliente in OCI Vault o Oracle Key Vault. Oracle Exadata Database@Azure non supporta Azure Key Vault.

• Per impostazione predefinita, i backup del database vengono crittografati con le stesse chiavi di crittografia primaria. Usare queste chiavi durante le operazioni di ripristino.

• Installare agenti non Microsoft e Oracle in Oracle Exadata Database@Azure. Assicurarsi di non modificare o compromettere il kernel del sistema operativo del database.

Suggerimenti per la progettazione

Quando si progetta la distribuzione dell'Database@Azure Oracle Exadata, prendere in considerazione le raccomandazioni di sicurezza seguenti:

• Accesso separato all'infrastruttura e ai servizi dati, soprattutto quando diversi team accedono a più database nella stessa infrastruttura per diversi motivi. Per ottenere l'isolamento della rete e della gestione a livello di carico di lavoro, distribuire cluster vm in una rete virtuale diversa.

• Usare le regole NSG per limitare l'intervallo di indirizzi IP di origine, contribuendo in tal modo a proteggere il piano dati e l'accesso alla rete virtuale. Per impedire l'accesso non autorizzato, aprire solo le porte necessarie per la comunicazione sicura e applicare il principio dei privilegi minimi. È possibile configurare le regole NSG in OCI.

• Configurare nat (Network Address Translation) o usare un proxy come Firewall di Azure o un'appliance virtuale di rete non Microsoft se è necessario l'accesso a Internet in uscita.

• Considera le seguenti raccomandazioni sulla gestione delle chiavi:

  • Oracle Exadata Database@Azure ha un'integrazione predefinita con OCI Vault. Se si archiviano le chiavi di crittografia primaria in OCI Vault, le chiavi vengono archiviate anche in OCI, all'esterno di Azure.

  • Se è necessario mantenere tutti i dati e i servizi in Azure, usare Oracle Key Vault.

    Oracle Key Vault non dispone dell'integrazione predefinita con oracle exadata Database@Azure. Oracle Key Vault in Azure non è disponibile come servizio gestito. È necessario installare la soluzione, integrare i database nel Database@Azure Oracle Exadata e assicurarsi che la soluzione rimanga a disponibilità elevata. Per altre informazioni, vedere Creare un'immagine di Oracle Key Vault in Microsoft Azure.

    Per garantire la disponibilità della chiave di crittografia, creare una distribuzione di Oracle Key Vault con più unità primarie. Per una disponibilità elevata affidabile, distribuire un cluster Oracle Key Vault multi-primario con quattro nodi che si estendono su almeno due zone o aree di disponibilità. Per altre informazioni, vedere concetti relativi a cluster multi-primario di Oracle Key Vault.

  • Usare Oracle Key Vault se è necessaria un'architettura ibrida che si estende su ambienti locali o altre piattaforme cloud. Questi ambienti supportano questa soluzione.

    Nota

    Oracle Key Vault richiede licenze separate.

  • Iniziare con un portafoglio archiviato localmente nell'archivio chiavi software se è necessario finalizzare la piattaforma di gestione delle chiavi o condurre un modello di verifica o un progetto pilota.

    Il processo di transizione a un archivio chiavi dipende dalla piattaforma di gestione delle chiavi. Se si sceglie OCI Vault, la transizione è un'operazione dinamica. Se si sceglie Oracle Key Vault, è necessario eseguire manualmente la migrazione delle chiavi di crittografia alla piattaforma Oracle Key Vault.

• Stabilire un rigoroso processo di rotazione delle chiavi per rispettare gli standard di sicurezza e conformità se si usano chiavi di crittografia personalizzate.

• Archiviare le chiavi di crittografia e i backup del database in ambienti separati per migliorare la sicurezza e ridurre al minimo il rischio di compromissione dei dati.

• Conservare le chiavi di crittografia precedenti per le operazioni di ripristino quando si eseguono backup a lungo termine.

• Installa agenti di terze parti sul database Oracle Exadata@Azure nelle posizioni in cui le patch dell'infrastruttura del database o della griglia non interferiscono con gli agenti.

Passaggi successivi

• Gestione delle identità e degli accessi per Oracle Database@Azure
• Topologia di rete e connettività per Oracle Database@Azure
• Continuità aziendale e ripristino di emergenza per Oracle Database@Azure