Wytyczne dotyczące zabezpieczeń dla Database@Azure Oracle
Ten artykuł opiera się na kilku zagadnieniach i zaleceniach zdefiniowanych w obszarze projektowania zabezpieczeń platformy Azure. Zawiera ona kluczowe zagadnienia dotyczące projektowania i zalecenia dotyczące środków zabezpieczeń Database@Azure Oracle.
Omówienie
Większość baz danych zawiera poufne dane, które wymagają bezpiecznej architektury poza zabezpieczeniami na poziomie bazy danych. Strategia ochrony w głębi systemu zapewnia kompleksowe zabezpieczenia dzięki warstwom wielu mechanizmów obrony. Takie podejście łączy różne środki, aby uniknąć polegania wyłącznie na jednym typie zabezpieczeń, takich jak zabezpieczenia sieci. Te środki obejmują silne struktury uwierzytelniania i autoryzacji, zabezpieczenia sieci, szyfrowanie danych magazynowanych i szyfrowanie przesyłanych danych. Ta wielowarstwowa strategia jest niezbędna do efektywnego zabezpieczania obciążeń Oracle.
Aby uzyskać więcej informacji, zobacz Security guide for Oracle Exadata Database Service on dedicated infrastructure and Exadata security controls (Przewodnik zabezpieczeń dla usługi Oracle Exadata Database Service w dedykowanej infrastrukturze i mechanizmach kontroli zabezpieczeń usługi Exadata).
Uwagi dotyczące projektowania
Podczas projektowania wytycznych dotyczących zabezpieczeń dla programu Oracle Database@Azure należy wziąć pod uwagę następujące wskazówki:
Obciążenia oracle Database@Azure zawierają zasoby wdrożone w sieciach wirtualnych i centrach danych platformy Azure. Płaszczyzna sterowania platformy Azure i płaszczyzna sterowania Oracle Cloud Infrastructure (OCI) zarządzają tymi zasobami. Płaszczyzna sterowania platformy Azure zarządza inicjowaniem infrastruktury i łączności sieciowej. Płaszczyzna sterowania Oracle obsługuje zarządzanie bazami danych i zarządzanie poszczególnymi węzłami. Aby uzyskać więcej informacji, zobacz Grupy i role dla Database@Azure Oracle.
Usługa Oracle Database@Azure jest wdrażana tylko w podsieciach prywatnych na platformie Azure. Usługa nie jest natychmiast dostępna z Internetu.
Podsieci delegowane Database@Azure Oracle nie obsługują sieciowych grup zabezpieczeń.
Rozwiązanie Oracle Database@Azure używa wielu domyślnych portów protokołu Transmission Control Protocol (TCP) na potrzeby różnych operacji. Aby uzyskać pełną listę portów, zobacz Domyślne przypisania portów.
Aby przechowywać klucze i zarządzać nimi przy użyciu technologii Transparent Data Encryption (TDE), która jest domyślnie włączona, rozwiązanie Oracle Database@Azure może używać magazynów OCI lub usługi Oracle Key Vault. Rozwiązanie Oracle Database@Azure nie obsługuje usługi Azure Key Vault.
Domyślnie baza danych jest konfigurowana przy użyciu kluczy szyfrowania zarządzanych przez oracle. Baza danych obsługuje również klucze zarządzane przez klienta.
Aby zwiększyć ochronę danych, użyj rozwiązania Oracle Data Safe z Database@Azure Oracle.
Agenci firmy innej niż Microsoft i Oracle mogą uzyskać dostęp do systemu operacyjnego Oracle Database@Azure, jeśli nie modyfikują lub nie naruszyją poziomu jądra systemu operacyjnego.
Zalecenia dotyczące projektowania
Podczas projektowania zabezpieczeń dla Database@Azure Oracle należy wziąć pod uwagę następujące zalecenia:
Segmentuj dostęp do infrastruktury z dostępu do usług danych, zwłaszcza gdy różne zespoły uzyskują dostęp do wielu baz danych w tej samej infrastrukturze z różnych powodów.
Użyj reguł sieciowej grupy zabezpieczeń, aby ograniczyć zakres źródłowych adresów IP, który zabezpiecza płaszczyznę danych i dostęp do sieci wirtualnej. Aby zapobiec nieautoryzowanemu dostępowi do Internetu i z Internetu, otwórz tylko niezbędne porty wymagane do bezpiecznej komunikacji. Reguły sieciowej grupy zabezpieczeń można skonfigurować w usłudze OCI.
Skonfiguruj translator adresów sieciowych (NAT), jeśli potrzebujesz dostępu do Internetu. Zawsze wymagaj szyfrowania danych przesyłanych.
Jeśli używasz własnych kluczy szyfrowania, ustanów rygorystyczny proces rotacji kluczy w celu zachowania standardów zabezpieczeń i zgodności.
Jeśli używasz agentów innych niż Microsoft lub Oracle na platformie Oracle Database@Azure, zainstaluj tych agentów w lokalizacjach, na które nie mają wpływu poprawki infrastruktury bazy danych lub siatki.