Dela via

Säkerhetsriktlinjer för Oracle Database@Azure

  • Artikel

Den här artikeln bygger på flera överväganden och rekommendationer som definieras i azure-säkerhetsdesignområdet. Den innehåller viktiga designöverväganden och rekommendationer för Oracle Database@Azure säkerhetsåtgärder.

Översikt

De flesta databaser innehåller känsliga data som kräver en säker arkitektur utöver skydd på databasnivå. Strategin för skydd på djupet ger omfattande säkerhet genom att flera försvarsmekanismer skiktas. Den här metoden kombinerar olika åtgärder för att undvika att enbart förlita sig på en typ av säkerhet, till exempel nätverksskydd. Dessa åtgärder omfattar starka autentiserings- och auktoriseringsramverk, nätverkssäkerhet, kryptering av vilande data och kryptering av data under överföring. Den här strategin med flera lager är viktig för att säkra Oracle-arbetsbelastningar på ett effektivt sätt.

Mer information finns i Säkerhetsguide för Oracle Exadata Database Service om dedikerad infrastruktur och Exadata-säkerhetskontroller.

Utformningsbeaktanden

Tänk på följande när du utformar dina säkerhetsriktlinjer för Oracle Database@Azure:

  • Oracle Database@Azure arbetsbelastningar innehåller resurser som distribueras i virtuella Azure-nätverk och datacenter. Både Azure-kontrollplanet och Oracle Cloud Infrastructure-kontrollplanet (OCI) hanterar dessa resurser. Azure-kontrollplanet hanterar initieringen av infrastrukturen och nätverksanslutningen. Oracle-kontrollplanet hanterar databashantering och enskild nodhantering. Mer information finns i Grupper och roller för Oracle Database@Azure.

  • Oracle Database@Azure-tjänsten distribueras endast på privata undernät i Azure. Tjänsten är inte omedelbart tillgänglig från Internet.

  • Oracle Database@Azure delegerade undernät stöder inte nätverkssäkerhetsgrupper (NSG:er).

  • Oracle Database@Azure-lösningen använder många TCP-portar (Transmission Control Protocol) för olika åtgärder. Den fullständiga listan över portar finns i Standardporttilldelningar.

  • Om du vill lagra och hantera nycklar med hjälp av transparent datakryptering (TDE), som är aktiverat som standard, kan Oracle Database@Azure-lösningen använda OCI-valv eller Oracle Key Vault. Oracle Database@Azure-lösningen stöder inte Azure Key Vault.

  • Som standard konfigureras databasen med hjälp av Oracle-hanterade krypteringsnycklar. Databasen stöder även kundhanterade nycklar.

  • För att förbättra dataskyddet använder du Oracle Data Safe med Oracle Database@Azure.

  • Icke-Microsoft- och Oracle-agenter kan komma åt Oracle Database@Azure-operativsystemet om de inte ändrar eller komprometterar OS-kerneln.

Designrekommendationer

Tänk på följande rekommendationer när du utformar din säkerhet för Oracle Database@Azure:

  • Segmentera infrastrukturåtkomst från åtkomst till datatjänster, särskilt när olika team har åtkomst till flera databaser i samma infrastruktur av olika skäl.

  • Använd NSG-regler för att begränsa källans IP-adressintervall, vilket skyddar dataplanet och åtkomsten till det virtuella nätverket. Om du vill förhindra obehörig åtkomst till och från Internet öppnar du bara de portar som krävs för säker kommunikation. Du kan konfigurera NSG-regler för OCI.

  • Konfigurera NAT (Network Address Translation) om du behöver internetåtkomst. Kräv alltid kryptering för data under överföring.

  • Om du använder dina egna krypteringsnycklar ska du upprätta en rigorös nyckelrotationsprocess för att upprätthålla säkerhets- och efterlevnadsstandarder.

  • Om du använder icke-Microsoft- eller Oracle-agenter på Oracle Database@Azure installerar du dessa agenter på platser där korrigeringar av databas- eller rutnätsinfrastruktur inte påverkar.

Nästa steg