Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel baut auf Überlegungen und Empfehlungen im Azure Security Design Areaauf. Es bietet wichtige Designüberlegungen und Empfehlungen für Oracle Exadata Database@Azure.
Überblick
Die meisten Datenbanken enthalten vertrauliche Daten, die eine hochsichere Architektur über den Schutz auf Datenbankebene hinaus erfordern. Eine detaillierte Verteidigungsstrategie besteht aus mehreren Verteidigungsmechanismen, um eine umfassende Sicherheit zu gewährleisten. Dieser Ansatz verhindert die Abhängigkeit von einer einzelnen Art von Sicherheit, z. B. Netzwerkschutz. Zu den Verteidigungsmechanismen gehören starke Authentifizierungs- und Autorisierungsframeworks, Netzwerksicherheit, Verschlüsselung ruhender Daten und Verschlüsselung von Daten während der Übertragung. Sie können diese mehrschichtige Strategie verwenden, um Oracle-Workloads effektiv zu sichern.
Weitere Informationen finden Sie im Sicherheitshandbuch für Oracle Exadata Database@Azure zu dedizierten Infrastruktur- und Exadata-Sicherheitskontrollen.
Entwurfsüberlegungen
Beachten Sie beim Entwerfen von Sicherheitsmaßnahmen für Oracle Exadata Database@Azure die folgenden Anleitungen:
Oracle Database@Azure ist ein Oracle-Datenbankdienst, der auf Oracle Cloud Infrastructure (OCI) ausgeführt wird, der in Microsoft-Rechenzentren kolociert wird.
Um Oracle Exadata Database@Azure Ressourcen zu verwalten, müssen Sie die Azure- und OCI-Cloudplattformen integrieren. Steuern Sie jede Plattform mit ihren jeweiligen bewährten Sicherheitsmethoden. Die Azure-Kontrollebene verwaltet die Bereitstellung der Infrastruktur, einschließlich des VM-Clusters (Virtual Machine) und der Netzwerkkonnektivität. Die OCI-Konsole verarbeitet die Datenbankverwaltung und die individuelle Knotenverwaltung.
Oracle Database@Azure ist über Subnetzdelegierung in virtuelle Azure-Netzwerke integriert.
Hinweis
Oracle Exadata Database@Azure hat standardmäßig keinen eingehenden oder ausgehenden Internetzugriff.
Ein Oracle Database@Azure-Client-Subnetz unterstützt keine Netzwerk-Sicherheitsgruppen (NSGs).
Die Oracle Exadata Database@Azure Lösung verwendet eine vordefinierte Liste der TCP-Ports (Transmission Control Protocol). Standardmäßig kann auf diese Ports von anderen Subnetzen nicht zugegriffen werden, da die NSGs in OCI sie verwalten.
Oracle Exadata Database@Azure ermöglicht standardmäßig die Verschlüsselung ruhender Daten. Sie wendet Verschlüsselung auf Datenbankebene über das transparente Datenverschlüsselungsfeature an. Diese Verschlüsselung trägt dazu bei, den Container (CDB$ROOT) und austauschbare Datenbanken zu sichern.
Standardmäßig wird die Datenbank über oracleverwaltete Verschlüsselungsschlüssel verschlüsselt. Die Schlüssel verwenden die AES-128-Verschlüsselung und werden lokal in einer Brieftasche im Dateisystem des VM-Clusters gespeichert. Weitere Informationen finden Sie unter Manage tablespace encryption.
Speichern Sie vom Kunden verwaltete Verschlüsselungsschlüssel in OCI Vault- oder Oracle Key Vault-. Oracle Exadata Database@Azure unterstützt Azure Key Vault nicht.
Standardmäßig werden Datenbanksicherungen mit denselben primären Verschlüsselungsschlüsseln verschlüsselt. Verwenden Sie diese Schlüssel während Wiederherstellungsvorgängen.
Installieren Sie Nicht-Microsoft- und Oracle-Agents auf Oracle Exadata Database@Azure. Stellen Sie sicher, dass sie den Datenbankbetriebssystem-Kernel nicht ändern oder kompromittieren.
Designempfehlungen
Berücksichtigen Sie die folgenden Sicherheitsempfehlungen, wenn Sie Ihre Oracle Exadata-Database@Azure-Bereitstellung entwerfen:
Separater Infrastrukturzugriff und Datendienstezugriff, insbesondere wenn verschiedene Teams aus verschiedenen Gründen auf mehrere Datenbanken in derselben Infrastruktur zugreifen. Um die Netzwerk- und Verwaltungsisolation auf Workloadebene zu erreichen, stellen Sie VM-Cluster in einem anderen virtuellen Netzwerk bereit.
Verwenden Sie NSG-Regeln, um den Quell-IP-Adressbereich einzuschränken, wodurch der Zugriff auf die Datenebene und den virtuellen Netzwerkzugriff gesichert wird. Um unbefugten Zugriff zu verhindern, öffnen Sie nur die erforderlichen Ports, die Sie für die sichere Kommunikation benötigen, und wenden Sie das Prinzip der geringsten Rechtean. Sie können NSG-Regeln auf OCI konfigurieren.
Konfigurieren Sie die Netzwerkadressübersetzung (NAT) oder verwenden Sie einen Proxy wie Azure Firewall oder eine nicht von Microsoft stammende virtuelle Netzwerk-Appliance, wenn Sie ausgehenden Internetzugriff benötigen.
Berücksichtigen Sie die folgenden Wichtigsten Verwaltungsempfehlungen:
Oracle Exadata Database@Azure verfügt über eine integrierte Integration in OCI Vault. Wenn Sie primäre Verschlüsselungsschlüssel im OCI Vault speichern, werden die Schlüssel auch außerhalb von Azure in OCI gespeichert.
Wenn Sie alle Daten und Dienste in Azure beibehalten müssen, verwenden Sie Oracle Key Vault.
Oracle Key Vault verfügt nicht über integrierte Integration in Oracle Exadata Database@Azure. Oracle Key Vault auf Azure wird nicht als verwalteter Dienst angeboten. Sie müssen die Lösung installieren, Datenbanken auf Oracle Exadata Database@Azure integrieren und sicherstellen, dass die Lösung weiterhin hoch verfügbar ist. Weitere Informationen finden Sie unter Erstellen eines Oracle Key Vault-Images in Microsoft Azure.
Um die Verfügbarkeit von Verschlüsselungsschlüsseln sicherzustellen, erstellen Sie eine mehrstufige Oracle Key Vault-Bereitstellung. Stellen Sie für eine robuste hohe Verfügbarkeit einen mehrstufigen Oracle Key Vault-Cluster mit vier Knoten bereit, die mindestens zwei Verfügbarkeitszonen oder Regionen umfassen. Weitere Informationen finden Sie unter Oracle Key Vault Multi-Primary-Cluster-Konzepte.
Verwenden Sie Oracle Key Vault, wenn Sie eine Hybridarchitektur benötigen, die sich über lokale Umgebungen oder andere Cloudplattformen erstreckt. Diese Umgebungen unterstützen diese Lösung.
Hinweis
Oracle Key Vault erfordert eine separate Lizenzierung.
Beginnen Sie mit einer Brieftasche, die lokal im Software Keystore gespeichert ist, wenn Sie Ihre Schlüsselverwaltungsplattform abschließen müssen oder einen Machbarkeitsnachweis oder ein Pilotprojekt durchführen müssen.
Der Übergang zu einem Keystore hängt von Ihrer Schlüsselverwaltungsplattform ab. Wenn Sie OCI Vault auswählen, handelt es sich bei dem Übergang um einen dynamischen Vorgang. Wenn Sie Oracle Key Vault auswählen, müssen Sie Ihre Verschlüsselungsschlüssel manuell zur Oracle Key Vault-Plattform migrieren.
Richten Sie einen strengen Schlüsseldrehungsprozess ein, um Sicherheits- und Compliancestandards aufrechtzuerhalten, wenn Sie Ihre eigenen Verschlüsselungsschlüssel verwenden.
Speichern Sie Verschlüsselungsschlüssel und Datenbanksicherungen in separaten Umgebungen, um die Sicherheit zu verbessern und das Risiko einer Datenkompromittierung zu minimieren.
Bewahren Sie alte Verschlüsselungsschlüssel für Wiederherstellungsvorgänge auf, wenn Sie langfristige Sicherungen ausführen.
Installieren Sie Nicht-Microsoft- oder Oracle-Agents auf Oracle Exadata Database@Azure an Orten, an denen Datenbank- oder Rasterinfrastrukturpatches diese nicht beeinträchtigen.