Optymalizowanie zabezpieczeń dla obciążenia Oracle
Bezpieczeństwo ma kluczowe znaczenie dla każdej architektury. Platforma Azure oferuje szeroką gamę narzędzi do efektywnego zabezpieczania obciążenia Oracle. W tym artykule opisano zalecenia dotyczące zabezpieczeń płaszczyzny sterowania platformy Azure związane z obciążeniami aplikacji Oracle wdrożonych na maszynach wirtualnych na platformie Azure. Aby uzyskać więcej informacji na temat funkcji zabezpieczeń w usłudze Oracle Database, zobacz Przewodnik po zabezpieczeniach bazy danych Oracle.
Większość baz danych przechowuje poufne dane. Środki zabezpieczeń tylko na poziomie bazy danych nie są wystarczające, aby zabezpieczyć całą architekturę, w której można wylądować te obciążenia. Ochrona w głębi systemu to kompleksowe podejście do zabezpieczeń, w którym zaimplementowano kilka warstw mechanizmów ochrony w celu ochrony danych. Nie korzystasz z pojedynczej miary zabezpieczeń na określonym poziomie, takich jak mechanizmy zabezpieczeń sieci. Użyj strategii ochrony w głębi systemu, aby zastosować kombinację różnych środków zabezpieczeń warstwy w celu utworzenia niezawodnego stanu zabezpieczeń.
Możesz zaprojektować szczegółowe podejście do ochrony obciążeń Oracle przy użyciu silnej struktury uwierzytelniania i autoryzacji, zabezpieczeń sieci ze wzmocnionymi zabezpieczeniami sieci oraz szyfrowania danych magazynowanych i przesyłanych danych. Obciążenia Oracle można wdrażać jako model chmury IaaS (Infrastruktura jako usługa) na platformie Azure. Ponownie zapoznaj się z macierzą wspólnej odpowiedzialności , aby lepiej zrozumieć konkretne zadania i obowiązki przypisane do dostawcy usług w chmurze i klienta.
Należy okresowo oceniać stosowane usługi i technologie, aby upewnić się, że środki zabezpieczeń są zgodne ze zmieniającym się krajobrazem zagrożeń.
Korzystanie ze scentralizowanego zarządzania tożsamościami
Zarządzanie tożsamościami to podstawowa struktura, która zarządza dostępem do ważnych zasobów. Zarządzanie tożsamościami staje się krytyczne w przypadku pracy z różnymi pracownikami, takimi jak tymczasowi stażyści, pracownicy w niepełnym wymiarze godzin lub pracownicy pełnoetatowi. Osoby te wymagają różnych poziomów dostępu, które należy monitorować, obsługiwać i natychmiast odwoływać w razie potrzeby.
Twoja organizacja może zwiększyć bezpieczeństwo maszyn wirtualnych z systemem Windows i Linux na platformie Azure dzięki integracji z Tożsamość Microsoft Entra, która jest w pełni zarządzaną tożsamością i usługą zarządzania dostępem.
Wdrażanie obciążeń w systemach operacyjnych Windows lub Linux
Możesz użyć Tożsamość Microsoft Entra z logowaniem jednokrotnym (SSO), aby uzyskać dostęp do aplikacji Oracle i wdrożyć bazy danych Oracle w systemach operacyjnych Linux i systemach operacyjnych Windows. Zintegruj system operacyjny z Tożsamość Microsoft Entra, aby zwiększyć poziom zabezpieczeń.
Zwiększ bezpieczeństwo obciążeń Oracle w usłudze Azure IaaS, zapewniając ochronę systemu operacyjnego w celu wyeliminowania luk w zabezpieczeniach, które osoby atakujące mogą wykorzystać, aby zaszkodzić bazie danych Oracle.
Aby uzyskać więcej informacji na temat zwiększania bezpieczeństwa bazy danych Oracle Database, zobacz Wytyczne dotyczące zabezpieczeń obciążeń Oracle w akceleratorze strefy docelowej usługi Azure Virtual Machines.
Zalecenia
Użyj par kluczy protokołu Secure Shell (SSH) na potrzeby dostępu do konta systemu Linux zamiast haseł.
Wyłącz konta systemu Linux chronione hasłem i włącz je tylko na żądanie przez krótki czas.
Wyłącz dostęp do logowania dla uprzywilejowanych kont systemu Linux, takich jak konta główne i oracle, co umożliwia dostęp tylko do spersonalizowanych kont.
sudoUżyj polecenia , aby udzielić dostępu uprzywilejowanym kontom systemu Linux, takim jak konta główne i oracle, z spersonalizowanych kont zamiast bezpośredniego logowania.Upewnij się, że przechwytujesz dzienniki dzienników inspekcji systemu Linux i
sudouzyskujesz dostęp do dzienników usługi Azure Monitor przy użyciu narzędzia syslog systemu Linux.Stosowanie poprawek zabezpieczeń i poprawek systemu operacyjnego oraz aktualizacji regularnie tylko z zaufanych źródeł.
Zaimplementuj ograniczenia, aby ograniczyć dostęp do systemu operacyjnego.
Ogranicz nieautoryzowany dostęp do serwerów.
Kontrolowanie dostępu do serwera na poziomie sieci w celu zwiększenia ogólnego poziomu zabezpieczeń.
Rozważ użycie demona zapory systemu Linux jako dodatkowej warstwy ochrony oprócz sieciowych grup zabezpieczeń platformy Azure.
Upewnij się, że skonfigurowaliśmy demona zapory systemu Linux do automatycznego uruchamiania podczas uruchamiania.
Skanuj porty nasłuchiwania sieci, aby określić potencjalne punkty dostępu. Użyj polecenia systemu Linux
netstat –l, aby wyświetlić listę tych portów. Upewnij się, że sieciowe grupy zabezpieczeń platformy Azure lub demon zapory systemu Linux kontrolują dostęp do tych portów.Skonfiguruj aliasy dla potencjalnie destrukcyjnych poleceń systemu Linux, takich jak
rmimv, aby wymusić ich uruchamianie w trybie interaktywnym, aby monit był wyświetlany co najmniej raz przed uruchomieniem nieodwracalnego polecenia. Zaawansowani użytkownicy wiedzą, jak w razie potrzeby usunąć aliasy.Skonfiguruj ujednolicone dzienniki systemowe bazy danych Oracle, aby używać narzędzia syslog systemu Linux do wysyłania kopii dzienników inspekcji Oracle do dzienników usługi Azure Monitor.
Projektowanie topologii sieci
Topologia sieci jest podstawowym składnikiem warstwowego podejścia zabezpieczeń dla obciążeń Oracle na platformie Azure.
Umieść wszystkie usługi w chmurze w jednej sieci wirtualnej i użyj sieciowych grup zabezpieczeń platformy Azure do monitorowania i filtrowania ruchu. Dodaj zaporę, aby zabezpieczyć ruch przychodzący. Upewnij się, że dedykujesz i bezpiecznie oddzielisz podsieć, w której wdrażasz bazę danych z Internetu i sieci lokalnej. Oceń użytkowników, którzy wewnętrznie i zewnętrznie uzyskują dostęp do bazy danych, aby zapewnić niezawodność i bezpieczeństwo topologii sieci.
Aby uzyskać więcej informacji na temat topologii sieci, zobacz Topologia sieci i łączność dla oracle na platformie Azure Virtual Machines akcelerator strefy docelowej.
Zalecenia
Sieciowe grupy zabezpieczeń platformy Azure umożliwiają filtrowanie ruchu sieciowego między zasobami platformy Azure w sieci wirtualnej platformy Azure i filtrowanie ruchu między sieciami lokalnymi a platformą Azure.
Użyj Azure Firewall lub wirtualnego urządzenia sieciowego (WUS), aby zabezpieczyć środowisko.
Zabezpiecz maszynę wirtualną, na której znajduje się obciążenie bazy danych Oracle, przed nieautoryzowanym dostępem, korzystając z funkcji udostępnianych przez platformę Azure, takich jak Microsoft Defender dla dostępu just in time (JIT) w chmurze i funkcji usługi Azure Bastion.
Użyj przekazywania portów SSH dla narzędzi X Systemu Windows i Virtual Network Computing (VNC) do tunelowania połączeń za pośrednictwem protokołu SSH. Aby uzyskać więcej informacji, zobacz przykład, który otwiera klienta VNC i testuje wdrożenie.
Kierowanie całego ruchu przez sieć wirtualną koncentratora przez umieszczenie maszyn wirtualnych w dedykowanej podsieci odizolowanej od Internetu i sieci lokalnej.
Zabezpieczanie danych przy użyciu szyfrowania
Szyfruj dane magazynowane, gdy są zapisywane w magazynie w celu ochrony danych. Podczas szyfrowania danych nieautoryzowani użytkownicy nie mogą ich ujawniać ani modyfikować. Tylko autoryzowani i uwierzytelnieni użytkownicy mogą wyświetlać lub modyfikować dane. Platforma Microsoft Azure oferuje różne rozwiązania magazynu danych, w tym pliki, dysk i magazyn obiektów blob, aby spełnić różne potrzeby. Te rozwiązania magazynu mają funkcje szyfrowania w celu zabezpieczenia danych magazynowanych.
Szyfruj dane przesyłane w celu ochrony danych przesyłanych z jednej lokalizacji do innej, zwykle przez połączenie sieciowe. W zależności od charakteru połączenia można użyć różnych metod szyfrowania danych przesyłanych. Platforma Azure oferuje wiele mechanizmów przechowywania danych przesyłanych prywatnie w miarę przechodzenia z jednej lokalizacji do innej.
Zalecenia
Dowiedz się, jak firma Microsoft szyfruje dane magazynowane.
Rozważ funkcje programu Oracle Advanced Security, które obejmują funkcję Transparent Data Encryption (TDE) i redaction danych.
Zarządzanie kluczami za pomocą Key Vault Oracle. Jeśli zaimplementujesz funkcję Oracle TDE jako dodatkową warstwę szyfrowania, pamiętaj, że oracle nie obsługuje rozwiązań do zarządzania kluczami platformy Azure, takich jak usługa Azure Key Vault lub rozwiązania do zarządzania kluczami innych dostawców usług w chmurze. Domyślna lokalizacja aplikacji Oracle Wallet znajduje się w systemie plików maszyny wirtualnej bazy danych Oracle. Można jednak użyć programu Oracle Key Vault jako rozwiązania do zarządzania kluczami na platformie Azure. Aby uzyskać więcej informacji, zobacz Provisioning Oracle Key Vault in Azure (Aprowizowanie Key Vault Oracle na platformie Azure).
Informacje o sposobie szyfrowania danych przesyłanych przez firmę Microsoft.
Rozważ użycie funkcji Oracle Native Network Encryption i integralności danych. Aby uzyskać więcej informacji, zobacz Configuring Oracle Database Native Network Encryption and Data Integrity (Konfigurowanie natywnego szyfrowania sieci i integralności danych w bazie danych Oracle Database).
Integrowanie dzienników inspekcji bazy danych Oracle Database
Monitorowanie dzienników aplikacji jest niezbędne do wykrywania zagrożeń bezpieczeństwa na poziomie aplikacji. Azure Sentinel to natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), które może służyć do monitorowania zdarzeń zabezpieczeń obciążenia Oracle.
Aby uzyskać więcej informacji, zobacz Łącznik inspekcji bazy danych Oracle dla usługi Microsoft Sentinel.
Zalecenia
Użyj rozwiązania Microsoft Sentinel dla obciążeń bazy danych Oracle Database. Łącznik inspekcji bazy danych Oracle używa standardowego interfejsu dziennika systemowego do pobierania rekordów inspekcji bazy danych Oracle Database i pozyskiwania ich do dzienników usługi Azure Monitor.
Użyj usługi Azure Sentinel, aby przejrzeć rekordy inspekcji aplikacji, infrastruktury platformy Azure i systemów operacyjnych gościa.