تحسين الأمان لحمل عمل Oracle
يعد الأمان أمرا بالغ الأهمية لأي بنية. يقدم Azure مجموعة شاملة من الأدوات لتأمين حمل عمل Oracle بشكل فعال. توضح هذه المقالة توصيات الأمان لوحدة تحكم Azure المتعلقة بأحمال عمل تطبيق Oracle التي يتم نشرها على الأجهزة الظاهرية (VMs) على Azure. لمزيد من المعلومات حول ميزات الأمان في قاعدة بيانات Oracle، راجع دليل أمان قاعدة بيانات Oracle.
تخزن معظم قواعد البيانات البيانات الحساسة. لا تكفي تدابير الأمان على مستوى قاعدة البيانات فقط لتأمين البنية بأكملها التي يتم فيها الوصول إلى أحمال العمل هذه. الدفاع في العمق هو نهج شامل للأمان حيث تقوم بتنفيذ عدة طبقات من آليات الدفاع لحماية البيانات. لا تعتمد على إجراء أمان واحد على مستوى معين، مثل آليات أمان الشبكة. استخدم استراتيجية الدفاع المتعمقة لاستخدام مزيج من تدابير أمان الطبقة المختلفة لإنشاء وضع أمني قوي.
يمكنك تصميم نهج دفاعي متعمق لأحمال عمل Oracle باستخدام إطار عمل مصادقة وتخويل قوي، وأمان شبكة محصن، وتشفير البيانات الثابتة والبيانات المتنقلة. يمكنك نشر أحمال عمل Oracle كنموذج سحابي للبنية الأساسية كخدمة (IaaS) على Azure. أعد النظر في مصفوفة المسؤولية المشتركة لفهم المهام والمسؤوليات المحددة المعينة لموفر السحابة والعميل بشكل أفضل.
يجب عليك تقييم الخدمات والتقنيات التي تستخدمها بشكل دوري للتأكد من أن إجراءات الأمان الخاصة بك تتوافق مع مشهد التهديد المتغير.
استخدام إدارة الهوية المركزية
إدارة الهوية هي إطار أساسي يحكم الوصول إلى الموارد الهامة. تصبح إدارة الهوية أمرا بالغ الأهمية عند العمل مع العديد من الموظفين، مثل المتدربين المؤقتين أو الموظفين بدوام جزئي أو الموظفين بدوام كامل. يحتاج هؤلاء الأفراد إلى مستويات مختلفة من الوصول تحتاج إلى مراقبتها وصيانتها وإبطالها على الفور حسب الضرورة.
يمكن لمؤسستك تحسين أمان أجهزة Windows وLinux الظاهرية في Azure من خلال التكامل مع Microsoft Entra ID، وهي خدمة إدارة الوصول والهوية المدارة بالكامل.
توزيع أحمال العمل على أنظمة تشغيل Windows أو Linux
يمكنك استخدام Microsoft Entra ID مع تسجيل الدخول الأحادي (SSO) للوصول إلى تطبيقات Oracle ونشر قواعد بيانات Oracle على أنظمة تشغيل Linuxوأنظمة تشغيل Windows. دمج نظام التشغيل الخاص بك مع Microsoft Entra ID لتعزيز وضعها الأمني.
قم بتحسين أمان أحمال عمل Oracle على Azure IaaS من خلال التأكد من تقوية نظام التشغيل الخاص بك للقضاء على الثغرات الأمنية التي قد يستغلها المهاجمون للإضرار بقاعدة بيانات Oracle.
لمزيد من المعلومات حول كيفية تحسين أمان قاعدة بيانات Oracle، راجع إرشادات الأمان لأحمال عمل Oracle على مسرع منطقة هبوط أجهزة Azure الظاهرية.
التوصيات
استخدم أزواج مفاتيح Secure Shell (SSH) للوصول إلى حساب Linux بدلا من كلمات المرور.
تعطيل حسابات Linux المحمية بكلمة مرور وتمكينها فقط عند الطلب لفترة قصيرة.
قم بتعطيل الوصول إلى تسجيل الدخول لحسابات Linux المميزة، مثل حسابات الجذر وحسابات Oracle، والتي تسمح بالوصول إلى تسجيل الدخول فقط إلى الحسابات المخصصة.
sudoاستخدم الأمر لمنح حق الوصول إلى حسابات Linux المميزة، مثل حسابات الجذر وحسابات Oracle، من الحسابات المخصصة بدلا من تسجيل الدخول المباشر.تأكد من التقاط سجلات سجل تدقيق Linux وسجلات
sudoالوصول إلى سجلات Azure Monitor باستخدام الأداة المساعدة Linux syslog.تطبيق تصحيحات الأمان وتصحيحات نظام التشغيل والتحديثات بانتظام من مصادر موثوق بها فقط.
تنفيذ قيود للحد من الوصول إلى نظام التشغيل.
تقييد الوصول غير المصرح به إلى الخوادم.
التحكم في الوصول إلى الخادم على مستوى الشبكة لتحسين الأمان العام.
ضع في اعتبارك استخدام البرنامج الخفي لجدار حماية Linux كطبقة إضافية من الحماية بالإضافة إلى مجموعات أمان شبكة Azure (NSGs).
تأكد من تكوين البرنامج الخفي لجدار حماية Linux للتشغيل تلقائيا عند بدء التشغيل.
فحص منافذ الاستماع إلى الشبكة لتحديد نقاط الوصول المحتملة. استخدم أمر Linux
netstat –lلسرد هذه المنافذ. تأكد من أن Azure NSGs أو البرنامج الخفي لجدار حماية Linux يتحكم في الوصول إلى هذه المنافذ.قم بإعداد أسماء مستعارة لأوامر Linux التي يحتمل أن تكون مدمرة، مثل
rmوmv، لإجبارها على التشغيل في الوضع التفاعلي بحيث تتم مطالبتك مرة واحدة على الأقل قبل تشغيل أمر لا رجعة فيه. يعرف المستخدمون المتقدمون كيفية إزالة الأسماء المستعارة إذا لزم الأمر.تكوين سجلات النظام الموحدة لقاعدة بيانات Oracle لاستخدام الأداة المساعدة Linux syslog لإرسال نسخ من سجلات تدقيق Oracle إلى سجلات Azure Monitor.
تصميم تخطيط الشبكة
مخطط الشبكة هو المكون الأساسي لنهج أمان متعدد الطبقات لأحمال عمل Oracle على Azure.
ضع جميع الخدمات السحابية في شبكة ظاهرية واحدة، واستخدم Azure NSGs لمراقبة نسبة استخدام الشبكة وتصفيتها. أضف جدار حماية لتأمين نسبة استخدام الشبكة الواردة. تأكد من تخصيص الشبكة الفرعية وفصلها بأمان حيث تقوم بنشر قاعدة البيانات من الإنترنت والشبكة المحلية. تقييم المستخدمين الذين يصلون داخليا وخارجيا إلى قاعدة البيانات للمساعدة في ضمان أن طوبولوجيا الشبكة قوية وآمنة.
لمزيد من المعلومات حول طبولوجيا الشبكة، راجع تخطيط الشبكة والاتصال ل Oracle على مسرع منطقة هبوط أجهزة Azure الظاهرية.
التوصيات
استخدم Azure NSGs لتصفية نسبة استخدام الشبكة بين موارد Azure في شبكة Azure الظاهرية وتصفية نسبة استخدام الشبكة بين الشبكات المحلية وAzure.
استخدم Azure Firewall أو جهاز ظاهري للشبكة (NVA) لتأمين بيئتك.
تأمين الجهاز الظاهري الذي يوجد عليه حمل عمل قاعدة بيانات Oracle ضد الوصول غير المصرح به باستخدام الميزات المقدمة من Azure مثل Microsoft Defender للوصول إلى السحابة في الوقت المناسب (JIT) وميزات Azure Bastion.
استخدم إعادة توجيه منفذ SSH لمرافق نظام Windows X وحوسبة الشبكة الظاهرية (VNC) للاتصالات النفقية من خلال SSH. لمزيد من المعلومات، راجع مثالا يفتح عميل VNC ويختبر التوزيع.
توجيه جميع نسبة استخدام الشبكة عبر شبكة ظاهرية مركزية عن طريق وضع الأجهزة الظاهرية في شبكة فرعية مخصصة معزولة عن الإنترنت والشبكة المحلية.
استخدام التشفير لتأمين البيانات
تشفير البيانات الثابتة عند كتابتها إلى التخزين لحماية البيانات. عند تشفير البيانات، لا يمكن للمستخدمين غير المصرح لهم كشفها أو تغييرها. يمكن فقط للمستخدمين المعتمدين والمصادق عليهم عرض البيانات أو تعديلها. يقدم Microsoft Azure حلول تخزين بيانات مختلفة، بما في ذلك تخزين الملفات والقرص والكائنات الثنائية كبيرة الحجم، لتلبية احتياجات مختلفة. تحتوي حلول التخزين هذه على ميزات تشفير لتأمين البيانات الثابتة.
تشفير البيانات أثناء النقل لحماية البيانات التي تنتقل من موقع إلى آخر، عادة عبر اتصال الشبكة. يمكنك استخدام أساليب مختلفة لتشفير البيانات أثناء النقل اعتمادا على طبيعة الاتصال. يوفر Azure العديد من الآليات للحفاظ على خصوصية البيانات أثناء نقلها من موقع إلى آخر.
التوصيات
فهم كيفية تشفير Microsoft للبيانات الثابتة.
ضع في اعتبارك ميزات Oracle Advanced Security، والتي تتضمن تشفير البيانات الشفاف (TDE) وتنقيح البيانات.
إدارة المفاتيح باستخدام Oracle Key Vault. إذا قمت بتنفيذ Oracle TDE كطبقة تشفير إضافية، فلاحظ أن Oracle لا تدعم حلول إدارة مفاتيح Azure، مثل Azure Key Vault، أو حلول إدارة المفاتيح لموفري السحابة الآخرين. موقع محفظة Oracle الافتراضي موجود في نظام الملفات الخاص بالجهاز الظاهري لقاعدة بيانات Oracle. ومع ذلك، يمكنك استخدام Oracle Key Vault كحل إدارة رئيسي على Azure. لمزيد من المعلومات، راجع توفير Key Vault Oracle في Azure.
فهم كيفية تشفير Microsoft للبيانات أثناء النقل.
ضع في اعتبارك استخدام ميزة Oracle Native Network Encryption وData Integrity. لمزيد من المعلومات، راجع تكوين تشفير الشبكة الأصلية لقاعدة بيانات Oracle وتكامل البيانات.
دمج مسارات تدقيق قاعدة بيانات Oracle
تعد مراقبة سجل التطبيق ضرورية للكشف عن تهديدات الأمان على مستوى التطبيق. Azure Sentinel هو حل إدارة معلومات الأمان والأحداث الأصلية على السحابة (SIEM) الذي يمكن استخدامه لمراقبة أحداث الأمان لحمل عمل Oracle الخاص بك.
لمزيد من المعلومات، راجع موصل تدقيق قاعدة بيانات Oracle ل Microsoft Sentinel.
التوصيات
استخدم حل Microsoft Sentinel لأحمال عمل Oracle Database. يستخدم موصل تدقيق قاعدة بيانات Oracle واجهة syslog قياسية في الصناعة لاسترداد سجلات تدقيق قاعدة بيانات Oracle واستيعابها في سجلات Azure Monitor.
استخدم Azure Sentinel لمراجعة سجلات تدقيق التطبيقات والبنية الأساسية ل Azure وأنظمة تشغيل الضيف.