通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Oracle Database@Azure 的安全准则

  • 项目

本文基于 Azure 安全设计区域中的注意事项和建议。 它为 Oracle Exadata Database@Azure提供关键设计注意事项和建议。

概述

大多数数据库都包含敏感数据,这些敏感数据需要高度安全的体系结构,而不需要数据库级保护。 深层防御策略由多种防御机制组成,可帮助确保全面安全。 此方法可防止依赖单种类型的安全性,例如网络防御。 防御机制包括强身份验证和授权框架、网络安全、静态数据加密和传输中的数据加密。 可以使用此多层策略来帮助有效保护 Oracle 工作负载。

有关详细信息,请参阅有关专用基础结构 Exadata 安全控制的 Oracle Exadata Database@Azure 安全指南。

设计注意事项

为 Oracle Exadata Database@Azure设计安全措施时,请考虑以下指南:

  • Oracle Database@Azure是在 Oracle 云基础结构(OCI)上运行的 Oracle 数据库服务,它位于Microsoft数据中心。

    若要管理 Oracle Exadata Database@Azure资源,需要集成 Azure 和 OCI 云平台。 使用各自的安全最佳做法管理每个平台。 Azure 控制平面管理基础结构的预配,包括虚拟机(VM)群集和网络连接。 OCI 控制台处理数据库管理和单个节点管理。

  • Oracle Database@Azure通过子网委派集成到 Azure 虚拟网络中。

    注意

    默认情况下,Oracle Exadata Database@Azure没有入站或出站 Internet 访问权限。

  • Oracle Database@Azure客户端子网不支持网络安全组(NSG)。

  • Oracle Exadata Database@Azure 解决方案使用 传输控制协议(TCP)端口的预定义列表。 默认情况下,由于 OCI 中的 NSG 管理这些端口,因此无法从其他子网访问这些端口。

  • 默认情况下,Oracle Exadata Database@Azure启用静态数据加密。 它通过透明数据加密功能在数据库层应用加密。 此加密有助于保护容器(CDB$ROOT)和可插入数据库。

  • 默认情况下,数据库通过 Oracle 管理的加密密钥进行加密。 密钥使用 AES-128 加密,并存储在 VM 群集文件系统中的本地钱包中。 更多信息,请参阅 管理表空间加密

  • 将客户管理的加密密钥存储在 OCI VaultOracle Key Vault。 Oracle Exadata Database@Azure不支持 Azure Key Vault。

  • 默认情况下,数据库备份使用相同的主加密密钥进行加密。 在还原操作期间使用这些键。

  • 在 Oracle Exadata Database@Azure 上安装非Microsoft和 Oracle 代理。 确保它们不会修改或破坏数据库作系统内核。

设计建议

设计 Oracle Exadata Database@Azure 部署时,请考虑以下安全建议:

  • 单独的基础结构访问和数据服务访问,尤其是在不同团队出于各种原因访问同一基础结构上的多个数据库时。 若要在工作负荷级别实现网络和管理隔离,请在不同的虚拟网络中部署 VM 群集。

  • 使用 NSG 规则限制源 IP 地址范围,这有助于保护数据平面和虚拟网络访问。 若要防止未经授权的访问,请仅打开安全通信所需的必要端口,并应用最低特权 原则。 可以在 OCI 上配置 NSG 规则。

  • 如果需要出站 Internet 访问,请配置网络地址转换(NAT),或使用 Azure 防火墙或非Microsoft网络虚拟设备等代理。

  • 请考虑以下关键管理建议:

    • Oracle Exadata 数据库在 Azure 上与 OCI Vault 有内置集成。 如果将主加密密钥存储在 OCI 保管库中,密钥也会存储在 Azure 外部的 OCI 中。

    • 如果需要在 Azure 中保留所有数据和服务,请使用 Oracle Key Vault。

      Oracle Key Vault 没有与 Oracle Exadata Database@Azure的内置集成。 Azure 上的 Oracle Key Vault 未作为托管服务提供。 必须安装解决方案,在 Oracle Exadata Database@Azure上集成数据库,并确保该解决方案保持高可用性。 有关详细信息,请参阅 在 Microsoft Azure中创建 Oracle Key Vault 映像。

      若要确保加密密钥可用性,请创建多主 Oracle Key Vault 部署。 若要实现可靠的高可用性,请部署一个多主 Oracle Key Vault 群集,该群集具有至少两个可用性区域或区域的四个节点。 有关详细信息,请参阅 Oracle Key Vault 多主群集概念

    • 如果需要跨越本地环境或其他云平台的混合体系结构,请使用 Oracle Key Vault。 这些环境支持此解决方案。

      注意

      Oracle Key Vault 需要单独的许可。

    • 如果您需要完善密钥管理平台或正在进行概念验证或试点,请从本地存于软件密钥库的钱包开始。

      转换到密钥存储的过程取决于密钥管理平台。 如果选择 OCI 保管库,转换过程是动态操作。 如果选择 Oracle Key Vault,则需要手动将加密密钥迁移到 Oracle Key Vault 平台。

  • 如果你使用自己的加密密钥,请建立严格的密钥轮换过程,以维护安全性和符合性标准。

  • 将加密密钥和数据库备份存储在单独的环境中,以提高安全性,并最大程度地降低数据泄露的风险。

  • 执行长期备份时,保留旧加密密钥以用于恢复操作。

  • 在 Oracle Exadata Database@Azure 中,在数据库或网格基础设施补丁不会干扰的地方安装非 Microsoft 或 Oracle 代理。

后续步骤