Beveiligingsrichtlijnen voor Oracle-workloads in de landingszoneversneller van Azure Virtual Machines

In dit artikel wordt beschreven hoe u Oracle-workloads veilig kunt uitvoeren op de landingszoneversneller van Azure Virtual Machines in elke fase van de levenscyclus. In het artikel worden specifieke ontwerponderdelen besproken en vindt u gerichte suggesties over De Beveiliging van Azure Infrastructure as a Service (IaaS) voor Oracle-workloads.

Overzicht

Beveiliging is essentieel voor elke architectuur. Azure biedt een uitgebreid scala aan hulpprogramma's waarmee u uw Oracle-workload effectief kunt beveiligen. Het doel van dit artikel is om beveiligingsaanaanveling te bieden voor het Azure-besturingsvlak met betrekking tot Oracle-toepassingsworkloads die zijn geïmplementeerd op virtuele machines. Zie de Oracle Database-beveiligingshandleiding voor gedetailleerde informatie en implementatierichtlijnen met betrekking tot beveiligingsmaatregelen in Oracle Database.

In de meeste databases worden gevoelige gegevens opgeslagen. Het implementeren van beveiliging alleen op databaseniveau is niet voldoende om de architectuur te beveiligen waar u deze workloads implementeert. Diepgaande verdediging is een uitgebreide benadering van beveiliging die meerdere beveiligingsmechanismen implementeert om gegevens te beveiligen. In plaats van te vertrouwen op één beveiligingsmaatregel op een specifiek niveau, zoals alleen gericht op netwerkbeveiligingsmechanismen, maakt de diepgaande verdedigingsstrategie gebruik van een combinatie van verschillende laagbeveiligingsmaatregelen om een robuust beveiligingspostuur te creëren. U kunt de diepgaande verdedigingsbenadering voor Oracle-workloads ontwerpen met behulp van een sterk verificatie- en autorisatieframework, beperkte netwerkbeveiliging en versleuteling van data-at-rest en data in transit.

U kunt Oracle-workloads implementeren als een IaaS-cloudmodel in Azure. Ga opnieuw naar de matrix voor gedeelde verantwoordelijkheid voor een duidelijker inzicht in de specifieke taken en verantwoordelijkheden die zijn toegewezen aan zowel de cloudprovider als de klant. Zie Gedeelde verantwoordelijkheid in de cloud voor meer informatie.

U moet regelmatig de services en technologieën evalueren die u gebruikt om ervoor te zorgen dat uw beveiligingsmaatregelen overeenkomen met het veranderende bedreigingslandschap.

Gecentraliseerd identiteitsbeheer gebruiken

Identiteitsbeheer is een fundamenteel framework dat de toegang tot belangrijke resources regelt. Identiteitsbeheer wordt essentieel wanneer u met verschillende soorten personeel werkt, zoals tijdelijke stagiairs, parttime werknemers of fulltime werknemers. Deze medewerkers vereisen verschillende toegangsniveaus die indien nodig moeten worden bewaakt, onderhouden en onmiddellijk moeten worden ingetrokken. Er zijn vier afzonderlijke use cases voor identiteitsbeheer om rekening mee te houden voor uw Oracle-workloads. Voor elke use-case is een andere oplossing voor identiteitsbeheer vereist.

• Oracle-toepassingen: gebruikers hebben toegang tot Oracle-toepassingen zonder dat ze hun referenties opnieuw hoeven in te voeren nadat ze zijn geautoriseerd via eenmalige aanmelding (SSO). Microsoft Entra ID-integratie gebruiken voor toegang tot Oracle-toepassingen. De volgende tabel bevat de ondersteunde strategie voor eenmalige aanmelding voor elke Oracle-oplossing.

  Oracle-toepassing	Koppeling naar document
  E-Business Suite (EBS)	Eenmalige aanmelding voor EBS R12.2 inschakelen
  JD Edwards (JDE)	Eenmalige aanmelding voor JDE instellen
  PeopleSoft	Eenmalige aanmelding voor PeopleSoft inschakelen
  Hyperion	Oracle-ondersteuningsdocumenten #2144637.1
  Siebel	Oracle-ondersteuningsdocumenten #2664515.1

• Beveiliging op besturingssysteemniveau: Oracle-workloads kunnen worden uitgevoerd op verschillende varianten van het Linux-besturingssysteem of het Windows-besturingssysteem. Organisaties kunnen de beveiliging van hun virtuele Windows- en Linux-machines (VM's) in Azure verbeteren door ze te integreren met Microsoft Entra ID. Zie voor meer informatie:

  • Meld u aan bij een Virtuele Linux-machine in Azure met behulp van Microsoft Entra ID en OpenSSH.
    • Vanaf juli 2023 zijn Oracle Linux (OL) en Red Hat Enterprise Linux (RHEL) 100% binair compatibel, wat betekent dat alle instructies met betrekking tot RHEL van toepassing zijn op OL.
    • Vanaf juli 2023 heeft IBM de RHEL-broncode niet meer geopend gedeeld. Het is mogelijk dat OL en RHEL in de toekomst afwijken, waardoor de vorige instructie ongeldig wordt.
  • Meld u aan bij een Virtuele Windows-machine in Azure met behulp van Microsoft Entra-id.

• Azure Key Vault voor het opslaan van referenties: Key Vault is een krachtig hulpprogramma voor cloudtoepassingen en -services die u kunt gebruiken voor het beveiligen van de opslag van geheimen, zoals wachtwoorden en database-verbindingsreeks s. U kunt Key Vault gebruiken om referenties op te slaan voor zowel Windows - als Linux-VM's op een gecentraliseerde en veilige manier, ongeacht het besturingssysteem.

  • U kunt voorkomen dat referenties in tekst zonder opmaak moeten worden opgeslagen in uw code- of configuratiebestanden met behulp van Key Vault. U kunt de referenties tijdens runtime ophalen uit Key Vault, waardoor er een extra beveiligingslaag aan uw toepassing wordt toegevoegd en om onbevoegde toegang tot uw VM's te voorkomen. Key Vault kan naadloos worden geïntegreerd met andere Azure-services, zoals virtuele machines, en u kunt de toegang tot de Key Vault beheren met behulp van Microsoft Entra-id. Dit proces zorgt ervoor dat alleen geautoriseerde gebruikers en toepassingen toegang hebben tot de opgeslagen referenties.

• Beperkte installatiekopieën van het besturingssysteem: een met CIS (Center for Internet Security) beharde installatiekopieën voor Windows of Linux in Azure heeft meerdere voordelen. CIS-benchmarks worden wereldwijd erkend als de best practices voor het beveiligen van IT-systemen en -gegevens. Deze installatiekopieën zijn vooraf geconfigureerd om te voldoen aan de beveiligingsaanbeveling van CIS, waardoor tijd en moeite kunnen worden bespaard bij het beveiligen van het besturingssysteem. Geharde installatiekopieën van het besturingssysteem kunnen organisaties helpen hun beveiligingspostuur te verbeteren en te voldoen aan beveiligingsframeworks zoals het National Institute of Standards and Technology (NIST) en Peripheral Component Interconnect (PCI).

Het besturingssysteem beveiligen

Zorg ervoor dat het besturingssysteem is beveiligd om beveiligingsproblemen te voorkomen die kunnen worden misbruikt om de Oracle-database aan te vallen.

• Gebruik SSH-sleutelparen (Secure Shell) voor toegang tot Linux-accounts in plaats van wachtwoorden.
• Schakel Met een wachtwoord beveiligde Linux-accounts uit en schakel ze alleen in op aanvraag voor een korte periode.
• Schakel aanmeldingstoegang uit voor bevoegde Linux-accounts (hoofdaccounts of Oracle), waardoor aanmelding alleen toegang tot persoonlijke accounts mogelijk is.
• Gebruik sudo in plaats van directe aanmeldingstoegang om toegang te verlenen tot bevoegde Linux-accounts van persoonlijke accounts.
• Leg logboeken voor Linux-audittrails en sudo-toegangslogboeken vast in Azure Monitor-logboeken met behulp van het Linux SYSLOG-hulpprogramma.
• Pas alleen beveiligingspatches en besturingssysteempatches of updates van vertrouwde bronnen regelmatig toe.
• Implementeer beperkingen om de toegang tot het besturingssysteem te beperken.
• Onbevoegde toegang tot de server beperken.
• Beheer de servertoegang op netwerkniveau om de algehele beveiliging te verbeteren.
• Overweeg het gebruik van de Linux-firewall-daemon voor lokale beveiliging naast Netwerkbeveiligingsgroepen (NSG's) van Azure.
• Configureer de Linux-firewall-daemon zo dat deze automatisch wordt uitgevoerd bij het opstarten.
• Scan netwerkpoorten waarop wordt geluisterd om inzicht te krijgen in de mogelijke toegangspunten en zorg ervoor dat Azure NSG's of de Linux-firewall-daemon de toegang tot deze poorten beheert. Gebruik de Linux-opdracht netstat –l om de poorten te vinden.
• Alias mogelijk destructieve Linux-opdrachten, zoals rm en mv, om deze in de interactieve modus af te dwingen, zodat u ten minste eenmaal wordt gevraagd voordat een ongedaanbare opdracht wordt uitgevoerd. Geavanceerde gebruikers kunnen indien nodig een unalias-opdracht uitvoeren.
• Configureer de geïntegreerde systeemlogboeken van de Oracle-database om kopieën van de Oracle-auditlogboeken naar Azure Monitor-logboeken te verzenden met behulp van het Linux SYSLOG-hulpprogramma.

Netwerkbeveiliging gebruiken

Netwerkbeveiliging is het fundamentele onderdeel van een gelaagde beveiligingsbenadering voor Oracle-workloads in Azure.

• NSG's gebruiken: u kunt een Azure NSG gebruiken om netwerkverkeer tussen Azure-resources in een virtueel Azure-netwerk te filteren. Een NSG bevat beveiligingsregels waarmee binnenkomend netwerkverkeer naar Azure-resources of uitgaand netwerkverkeer van Azure-resources wordt toegestaan of geweigerd. NSG's kunnen het verkeer tussen on-premises netwerken naar en van Azure filteren met behulp van IP-adresbereiken en specifieke poorten. Zie Netwerkbeveiligingsgroep voor meer informatie.

  De volgende tabel bevat binnenkomende poorttoewijzingen voor Oracle-database-VM's:

  Protocol	Poortnummer	Servicenaam	Opmerking
  TCP	22	SSH	Beheerpoort voor Linux-VM's
  TCP	1521	Oracle TNS-listener	Andere poortnummers die vaak worden gebruikt voor beveiligingsdoeleinden of taakverdeling van verbindingen
  TCP	3389	RDP	Beheerpoort voor Windows-VM's

• Bepaal hoe u verbinding maakt met uw virtuele machine: de VM waarop de Oracle-databaseworkload zich bevindt, moet worden beveiligd tegen onbevoegde toegang. Beheertoegang is gevoelig vanwege de hogere machtigingen die vereist zijn voor beheergebruikers. In Azure hebben geautoriseerde gebruikers verschillende mechanismen beschikbaar om de VIRTUELE machine veilig te beheren.

  • Microsoft Defender voor Cloud Just-In-Time(JIT)-toegang maakt intelligent gebruik van de netwerkbeveiligingsmechanismen van Azure om tijdgebonden mogelijkheden te bieden voor toegang tot de beheerpoorten op uw VIRTUELE machine.
  • Azure Bastion is een PaaS-oplossing (Platform as a Service) die u in Azure implementeert. Azure Bastion fungeert als host voor een jumpbox.

U kunt beide oplossingen gebruiken om het beheer van uw Oracle-database-VM te beveiligen. Desgewenst kunt u beide oplossingen combineren voor een geavanceerde benadering met meerdere lagen.

Over het algemeen minimaliseert JIT-toegang, maar elimineert de blootstelling aan risico's niet door de tijden te beperken waarop beheerpoorten voor SSH of RDP beschikbaar zijn. JIT laat de mogelijkheid open voor toegang door andere sessies tailgating tijdens een verkregen JIT-venster. Dergelijke tailgaters moeten nog steeds voorbij de blootgestelde SSH- of RDP-poorten breken, dus het blootstellingsrisico is klein. Dergelijke blootstellingen kunnen JIT-toegang echter minder geschikt maken voor het blokkeren van toegang vanaf het open internet.

Azure Bastion is in feite een beperkte jumpbox waarmee toegang vanaf het open internet wordt voorkomen. Er zijn echter talloze beperkingen voor Azure Bastion die u kunt overwegen.

• X-Windows en Virtual Networking Computing (VNC) gebruiken: Oracle-databasesoftware vereist meestal dat u X-Windows gebruikt, omdat de connectiviteit tussen de Virtuele Linux-machine in Azure en uw desktop of laptop mogelijk doorkruist tussen firewalls en Azure NSG's. Daarom moet u SSH-poort doorsturen gebruiken om de X-Windows- of VNC-verbindingen via SSH te tunnelen. Zie Een VNC-client openen en uw implementatie testen voor een voorbeeld dat gebruikmaakt van de -L 5901:localhost:5901 parameter.

• Onderling verbonden opties tussen clouds: connectiviteit inschakelen tussen Oracle-databaseworkloads die worden uitgevoerd in Azure en workloads in Oracle Cloud Infrastructure (OCI). U kunt privékoppelingen of pijplijnen tussen toepassingen maken met behulp van de Azure- of OCI-interconnect tussen specifieke regio's in Azure en OCI. Zie Een directe verbinding tussen Azure en Oracle Cloud Infrastructure instellen voor meer informatie. Dit artikel heeft geen betrekking op het maken van firewalls aan beide zijden van de Azure- of OCI-interconnect. Dit is doorgaans een vereiste voor inkomend of uitgaand verkeer in clouds. Deze benadering maakt gebruik van de aanbevelingen voor Microsoft Zero Trust-netwerken.

Beveiliging op basis van Azure-beleid

Er zijn geen specifieke ingebouwde Azure-beleidsdefinities voor Oracle-workloads op de landingszoneversneller voor virtuele machines. Azure Policy biedt echter uitgebreide dekking voor de fundamentele resources die worden gebruikt door een Oracle-oplossing in Azure, met inbegrip van VM's, opslag en netwerken. Zie ingebouwde Azure Policy-beleidsdefinities voor meer informatie.

U kunt ook aangepast beleid maken om te voldoen aan de vereisten van uw organisatie om de kloof te overbruggen. Gebruik bijvoorbeeld aangepast Oracle-beleid om opslagversleuteling af te dwingen, NSG-regels te beheren of de toewijzing van openbare IP-adressen aan een Oracle-VM te verbieden.

Versleuteling gebruiken om gegevens op te slaan

• Gegevens tijdens overdracht versleutelen: van toepassing op de status van gegevens die van de ene locatie naar de andere worden verplaatst en meestal via een netwerkverbinding. Gegevens die onderweg zijn, kunnen op verschillende manieren worden versleuteld, afhankelijk van de aard van de verbinding. Standaard moet u gegevensversleuteling handmatig inschakelen voor gegevens die worden verzonden binnen Azure-datacenters. Zie Versleuteling van gegevens die onderweg zijn voor meer informatie in de Azure-documentatie.

  • U wordt aangeraden de systeemeigen netwerkversleutelings- en gegevensintegriteitsfuncties van Oracle te gebruiken. Zie Het configureren van systeemeigen netwerkversleuteling en gegevensintegriteit van de Oracle-database voor meer informatie.

• Data-at-rest versleutelen: u moet ook gegevens beveiligen wanneer ze naar de opslag worden geschreven, terwijl ze in rust zijn. Vertrouwelijke gegevens kunnen worden weergegeven of gewijzigd wanneer opslagmedia tijdens het gebruik worden verwijderd of geopend. Daarom moeten gegevens worden versleuteld om ervoor te zorgen dat alleen geautoriseerde en geverifieerde gebruikers deze kunnen bekijken of wijzigen. Azure biedt drie lagen versleuteling-at-rest.

  • Alle gegevens worden versleuteld op het laagste niveau wanneer ze worden bewaard in een Azure Storage-apparaat met versleuteling aan de servicezijde. Versleuteling aan de servicezijde zorgt ervoor dat het niet nodig is om de opslagmedia te wissen of te vernietigen wanneer een Azure-tenant klaar is met opslag. Gegevens die altijd in rust zijn versleuteld, kunnen permanent verloren gaan als de door het platform beheerde sleutel wordt verwijderd. Versleuteling aan de servicezijde is sneller en veiliger dan het verwijderen van alle gegevens uit de opslag.
  • Azure biedt ook de mogelijkheid om opgeslagen gegevens in de opslaginfrastructuur dubbel te versleutelen met behulp van opslaginfrastructuurversleuteling, waarbij twee afzonderlijke door het platform beheerde sleutels worden gebruikt.
  • Daarnaast is Azure-schijfversleuteling data-at-rest-versleuteling die wordt beheerd in het gastbesturingssysteem (BitLocker voor Windows en DM-CRYPT voor Linux).

De opslaginfrastructuur heeft maximaal drie mogelijke lagen van data-at-rest-versleuteling. Als u de optie Oracle Advanced Security hebt, kan de Oracle-database ook databasebestanden versleutelen met TDE (Transparent Data Encryption) en een ander versleutelingsniveau in rust bieden.

De optie Oracle Advanced Security biedt ook een functie die gegevens redaction wordt genoemd. Dit is een vorm van dynamische gegevensmaskering. Wanneer de database gegevens ophaalt, wordt de gegevenswaarde gemaskeerd zonder de opgeslagen gegevenswaarde te wijzigen.

Deze meerdere lagen versleuteling-at-rest vertegenwoordigen de definitie van diepgaande verdediging. Als om een of andere reden een van de vormen van versleuteling in rust wordt aangetast, zijn er nog andere versleutelingslagen om de gegevens te beveiligen.

• Sleutels beheren: Als u Oracle TDE implementeert als een andere versleutelingslaag, is het belangrijk om te weten dat Oracle geen ondersteuning biedt voor de systeemeigen oplossingen voor sleutelbeheer, zoals Key Vault, geleverd door Azure of andere cloudproviders. In plaats daarvan bevindt de standaardlocatie voor de Oracle-portemonnee zich in het bestandssysteem van de Oracle-database-VM.

Zie Oracle Key Vault inrichten in Azure voor meer informatie over het gebruik van Oracle Key Vault als een Azure-oplossing voor sleutelbeheer.

Audittrails integreren

Bewaking van toepassingslogboeken is essentieel voor het detecteren van beveiligingsrisico's op toepassingsniveau. Gebruik de Microsoft Sentinel-oplossing voor Oracle Database-workloads. Met de Oracle Database-auditconnector worden alle Oracle-databasecontrolerecords opgehaald en opgenomen in Azure Monitor-logboeken met behulp van een standaard SYSLOG-interface. Met dit proces kunnen deze records worden gecontroleerd, samen met auditrecords voor azure-infrastructuur en controlerecords voor gastbesturingssystemen (Linux of Windows). De Microsoft Sentinel-oplossing is een SIEM-oplossing (Security Information and Event Management) in de cloud die is gebouwd voor uw Oracle-workload die wordt uitgevoerd op een Linux- of Windows-VM. Zie de Auditconnector van De Oracle-database voor Microsoft Sentinel voor meer informatie.

Volgende stap

Zie Capaciteitsplanning voor het migreren van Oracle-workloads naar Azure-landingszones voor meer informatie over het plannen van capaciteitsvereisten voor Oracle-workloads in Azure.