Oracle Database@Azure에 대한 보안 지침
이 문서는 Azure 보안 디자인 영역에 정의된 몇 가지 고려 사항 및 권장 사항을 기반으로 합니다. Oracle Database@Azure 보안 조치에 대한 주요 디자인 고려 사항 및 권장 사항을 제공합니다.
개요
대부분의 데이터베이스에는 데이터베이스 수준 보호를 넘어서는 보안 아키텍처가 필요한 민감한 데이터가 포함되어 있습니다. 심층 방어 전략은 여러 방어 메커니즘을 계층화하여 포괄적인 보안을 제공합니다. 이 방법은 네트워크 방어와 같은 한 가지 유형의 보안에만 의존하지 않도록 다양한 조치를 결합합니다. 이러한 조치에는 강력한 인증 및 권한 부여 프레임워크, 네트워크 보안, 미사용 데이터 암호화 및 전송 중인 데이터 암호화가 포함됩니다. 이 다층 전략은 Oracle 워크로드를 효과적으로 보호하는 데 필수적입니다.
자세한 내용은 전용 인프라 및 Exadata 보안 제어에 대한 Oracle Exadata 데이터베이스 서비스에 대한 보안 가이드를 참조하세요.
디자인 고려 사항
Oracle Database@Azure에 대한 보안 지침을 디자인할 때 다음 지침을 고려합니다.
Oracle Database@Azure 워크로드에는 Azure 가상 네트워크 및 데이터 센터에 배포된 리소스가 포함됩니다. Azure 컨트롤 플레인과 OCI(Oracle 클라우드 인프라) 컨트롤 플레인은 모두 이러한 리소스를 관리합니다. Azure 컨트롤 플레인은 인프라 및 네트워크 연결의 시작을 관리합니다. Oracle 컨트롤 플레인은 데이터베이스 관리 및 개별 노드 관리를 처리합니다. 자세한 내용은 Oracle Database@Azure에 대한 그룹 및 역할을 참조하세요.
Oracle Database@Azure 서비스는 Azure의 프라이빗 서브넷에만 배포됩니다. 이 서비스는 인터넷에서 즉시 액세스할 수 없습니다.
Oracle Database@Azure 위임된 서브넷은 NSG(네트워크 보안 그룹)를 지원하지 않습니다.
Oracle Database@Azure 솔루션은 다양한 작업에 대해 많은 기본 TCP(Transmission Control Protocol) 포트를 사용합니다. 포트의 전체 목록은 기본 포트 할당을 참조하세요.
기본적으로 사용하도록 설정된 TDE(투명한 데이터 암호화)를 사용하여 키를 저장하고 관리하기 위해 Oracle Database@Azure 솔루션은 OCI 자격 증명 모음 또는 Oracle Key Vault를 사용할 수 있습니다. Oracle Database@Azure 솔루션은 Azure Key Vault를 지원하지 않습니다.
기본적으로 데이터베이스는 Oracle 관리형 암호화 키를 사용하여 구성됩니다. 데이터베이스는 고객 관리형 키도 지원합니다.
데이터 보호를 강화하려면 Oracle Database@Azure와 함께 Oracle Data Safe를 사용합니다.
타사 및 Oracle 에이전트는 OS 커널을 수정하거나 손상시키지 않는 경우, Oracle Database@Azure OS에 액세스할 수 있습니다.
디자인 권장 사항
Oracle Database@Azure에 대한 보안 지침을 디자인할 때 다음 권장 사항을 고려합니다.
특히 여러 팀이 여러 이유로 동일한 인프라의 여러 데이터베이스에 액세스하는 경우, 데이터 서비스 액세스에서 인프라 액세스를 분할합니다.
NSG 규칙을 사용하여 데이터 평면 및 가상 네트워크 액세스를 보호하는 원본 IP 주소 범위를 제한합니다. 인터넷에서 무단으로 액세스하지 못하도록 하려면 보안 통신에 필요한 포트만 엽니다. OCI에서 NSG 규칙을 구성할 수 있습니다.
인터넷에 액세스해야 하는 경우 NAT(네트워크 주소 변환)를 구성합니다. 전송 중인 데이터에 대해 항상 암호화를 요구합니다.
사용자 고유의 암호화 키를 사용하는 경우 보안 및 규정 준수 표준을 유지하기 위해 엄격한 키 회전 프로세스를 설정합니다.
Oracle Database@Azure에서 타사 또는 Oracle 에이전트를 사용하는 경우, 데이터베이스 또는 그리드 인프라 패치에 영향을 주지 않는 위치에 이러한 에이전트를 설치합니다.