Oracle Database@Azure 的安全性指導方針
本文以 Azure 安全性設計區域中定義的數個考量和建議為基礎。 以下提供 Oracle Database@Azure 安全性措施的重要設計考量和建議。
概觀
大部分的資料庫都包含敏感性資料,這些資料需要資料庫層級保護以外的安全架構。 深度防禦策略透過將多個防禦機制分層以提供全面的安全性。 此方法結合了各種措施,以避免只依賴一種安全性,例如網路防禦。 這些措施包括增強式驗證和授權架構、網路安全性、待用資料加密,以及傳輸中資料加密。 此多層式策略對於有效保護 Oracle 工作負載而言是不可或缺的。
如需詳細資訊,請參閱專用基礎結構上 Oracle Exadata 資料庫服務的安全性指南和 Exadata 安全性控制。
設計考量
設計 Oracle Database@Azure 的安全性指導方針時,請考慮下列指引:
Oracle Database@Azure 工作負載包含部署在 Azure 虛擬網路和資料中心內的資源。 Azure 控制平面和 Oracle Cloud Infrastructure (OCI) 控制平面都會管理這些資源。 Azure 控制平面會管理基礎結構和網路連線的起始。 Oracle 控制平面會處理資料庫管理和個別節點管理。 如需詳細資訊,請參閱 Oracle Database@Azure 的群組和角色。
Oracle Database@Azure 服務只會部署在 Azure 的私人子網路上。 此服務無法立即從網際網路存取。
Oracle Database@Azure 委派子網路不支援網路安全性群組 (NSG)。
Oracle Database@Azure 解決方案會針對各種作業使用許多預設傳輸控制通訊協定 (TCP) 連接埠。 如需連接埠的完整清單,請參閱預設連接埠指派。
若要使用預設啟用的透明資料加密 (TDE) 來儲存和管理金鑰,Oracle Database@Azure 解決方案可以使用 OCI 保存庫或 Oracle Key Vault。 Oracle Database@Azure 解決方案不支援 Azure Key Vault。
根據預設,此資料庫是使用 Oracle 管理的加密金鑰進行設定。 此資料庫也支援客戶自控金鑰。
若要強化資料保護,請使用 Oracle Data Safe 搭配 Oracle Database@Azure。
如果非 Microsoft 和 Oracle 代理程式不會修改或入侵 OS 核心,它們就可以存取 Oracle Database@Azure OS。
設計建議
設計 Oracle Database@Azure 的安全性時,請考慮下列建議:
將基礎結構存取與資料服務存取分隔,特別是不同小組基於各種原因而存取相同基礎結構上的多個資料庫時。
使用 NSG 規則限制來源 IP 位址範圍,以保護資料平面和虛擬網路存取。 若要防止未經授權進出網際網路的存取,請只開啟安全通訊所需的必要連接埠。 您可以在 OCI 上設定 NSG 規則。
如果您需要網際網路存取,請設定網路位址轉譯 (NAT)。 一律要求傳輸中資料加密。
如果您使用自己的加密金鑰,請建立嚴格的金鑰輪替程序,以維持安全性和合規性標準。
如果您在 Oracle Database@Azure 上使用非 Microsoft 或 Oracle 代理程式,請將這些代理程式安裝在資料庫或網格基礎結構修補程式不會影響的位置。