Beveiligingsrichtlijnen voor Oracle Database@Azure
Dit artikel is gebaseerd op verschillende overwegingen en aanbevelingen die zijn gedefinieerd in het ontwerpgebied voor Azure-beveiliging. Het biedt belangrijke ontwerpoverwegingen en aanbevelingen voor Oracle Database@Azure beveiligingsmaatregelen.
Overzicht
De meeste databases bevatten gevoelige gegevens die een veilige architectuur vereisen buiten beveiliging op databaseniveau. De diepgaande verdedigingsstrategie biedt uitgebreide beveiliging door meerdere verdedigingsmechanismen te gelaagd. Deze benadering combineert verschillende metingen om te voorkomen dat er slechts één type beveiliging wordt gebruikt, zoals netwerkbeveiliging. Deze maatregelen omvatten sterke verificatie- en autorisatieframeworks, netwerkbeveiliging, versleuteling van data-at-rest en versleuteling van gegevens in transit. Deze meerlaagse strategie is essentieel voor het effectief beveiligen van Oracle-workloads.
Zie de beveiligingshandleiding voor Oracle Exadata Database Service voor toegewezen infrastructuur en Exadata-beveiligingscontroles voor meer informatie.
Ontwerpoverwegingen
Houd rekening met de volgende richtlijnen bij het ontwerpen van uw beveiligingsrichtlijnen voor Oracle Database@Azure:
Oracle Database@Azure-workloads bevatten resources die zijn geïmplementeerd in virtuele Azure-netwerken en -datacenters. Het Azure-besturingsvlak en het OCI-besturingsvlak (Oracle Cloud Infrastructure) beheren beide deze resources. Het Azure-besturingsvlak beheert de start van de infrastructuur en netwerkverbinding. Het Oracle-besturingsvlak verwerkt databasebeheer en afzonderlijk knooppuntbeheer. Zie Groepen en rollen voor Oracle Database@Azure voor meer informatie.
De Oracle Database@Azure-service wordt alleen geïmplementeerd op privésubnetten in Azure. De service is niet direct toegankelijk vanaf internet.
Oracle Database@Azure gedelegeerde subnetten bieden geen ondersteuning voor netwerkbeveiligingsgroepen (NSG's).
De Oracle Database@Azure-oplossing maakt gebruik van veel TCP-poorten (Transmission Control Protocol) voor verschillende bewerkingen. Zie Standaardpoorttoewijzingen voor de volledige lijst met poorten.
Als u sleutels wilt opslaan en beheren met TDE (Transparent Data Encryption), die standaard is ingeschakeld, kan de Oracle Database@Azure-oplossing OCI-kluizen of Oracle Key Vault gebruiken. De Oracle Database@Azure-oplossing biedt geen ondersteuning voor Azure Key Vault.
De database wordt standaard geconfigureerd met behulp van door Oracle beheerde versleutelingssleutels. De database ondersteunt ook door de klant beheerde sleutels.
Gebruik Oracle Data Safe met Oracle Database@Azure om gegevensbeveiliging te verbeteren.
Niet-Microsoft- en Oracle-agents hebben toegang tot het Oracle Database@Azure-besturingssysteem als ze de besturingssysteemkernel niet wijzigen of in gevaar komen.
Ontwerpaanaanvelingen
Houd rekening met de volgende aanbevelingen bij het ontwerpen van uw beveiliging voor Oracle Database@Azure:
Segmenteer infrastructuurtoegang vanuit toegang tot gegevensservices, met name wanneer verschillende teams om verschillende redenen toegang hebben tot meerdere databases in dezelfde infrastructuur.
Gebruik NSG-regels om het IP-adresbereik van de bron te beperken, waardoor de toegang tot het gegevensvlak en het virtuele netwerk wordt beveiligd. Als u onbevoegde toegang tot en van internet wilt voorkomen, opent u alleen de benodigde poorten die u nodig hebt voor beveiligde communicatie. U kunt NSG-regels configureren voor OCI.
Configureer NAT (Network Address Translation) als u internettoegang nodig hebt. Versleuteling altijd vereisen voor gegevens die onderweg zijn.
Als u uw eigen versleutelingssleutels gebruikt, stelt u een strikt sleutelrotatieproces in om de beveiligings- en nalevingsstandaarden te handhaven.
Als u niet-Microsoft- of Oracle-agents op Oracle Database@Azure gebruikt, installeert u deze agents op locaties waarop patches voor database- of rasterinfrastructuur niet van invloed zijn.