Freigeben über


Optimieren der Sicherheit für Ihre Oracle-Workload

Sicherheit ist für jede Architektur von entscheidender Bedeutung. Azure bietet eine umfassende Palette von Tools zum effektiven Schutz Ihrer Oracle-Workload. In diesem Artikel werden Sicherheitsempfehlungen für die Azure-Steuerungsebene im Zusammenhang mit Oracle-Anwendungsworkloads beschrieben, die auf virtuellen Computern (VMs) in Azure bereitgestellt werden. Weitere Informationen zu Sicherheitsfeatures in Oracle-Datenbank finden Sie unter Sicherheitshandbuch für Oracle Database.

Die meisten Datenbanken speichern vertrauliche Daten. Sicherheitsmaßnahmen nur auf Datenbankebene reichen nicht aus, um die gesamte Architektur zu schützen, in der diese Workloads landen können. Defense in Depth ist ein umfassender Sicherheitsansatz, bei dem Sie mehrere Ebenen von Verteidigungsmechanismen zum Schutz von Daten implementieren. Sie verlassen sich nicht auf eine einzelne Sicherheitsmaßnahme auf einer bestimmten Ebene, z. B. Netzwerksicherheitsmechanismen. Verwenden Sie die Defense-in-Depth-Strategie, um eine Kombination aus verschiedenen Sicherheitsebenen zu verwenden, um einen robusten Sicherheitsstatus zu schaffen.

Sie können einen Defense-in-Depth-Ansatz für Oracle-Workloads entwerfen, indem Sie ein starkes Authentifizierungs- und Autorisierungsframework, eine feste Netzwerksicherheit und verschlüsselung ruhender Daten und Daten während der Übertragung verwenden. Sie können Oracle-Workloads als IaaS-Cloudmodell (Infrastructure-as-a-Service) in Azure bereitstellen. Überprüfen Sie die Matrix der gemeinsamen Verantwortung , um die spezifischen Aufgaben und Zuständigkeiten, die dem Cloudanbieter und dem Kunden zugewiesen sind, besser zu verstehen.

Sie sollten in regelmäßigen Abständen die von Ihnen eingesetzten Dienste und Technologien bewerten, um sicherzustellen, dass Ihre Sicherheitsmaßnahmen mit der sich verändernden Bedrohungslandschaft übereinstimmen.

Verwenden der zentralisierten Identitätsverwaltung

Identitätsverwaltung ist ein grundlegendes Framework, das den Zugriff auf wichtige Ressourcen steuert. Identitätsverwaltung wird kritisch, wenn Sie mit verschiedenen Mitarbeitern arbeiten, z. B. mit Praktikanten auf Zeit, Teilzeitmitarbeitern oder Vollzeitmitarbeitern. Diese Personen benötigen unterschiedliche Zugriffsebenen, die Sie überwachen, verwalten und bei Bedarf umgehend widerrufen müssen.

Ihr organization kann die Sicherheit von Windows- und Linux-VMs in Azure verbessern, indem sie in Microsoft Entra ID integriert wird, bei dem es sich um einen vollständig verwalteten Identitäts- und Zugriffsverwaltungsdienst handelt.

Bereitstellen von Workloads unter Windows- oder Linux-Betriebssystemen

Sie können Microsoft Entra ID mit einmaligem Anmelden (Single Sign-On, SSO) verwenden, um auf Oracle-Anwendungen zuzugreifen und Oracle-Datenbanken unter Linux- und Windows-Betriebssystemen bereitzustellen. Integrieren Sie Ihr Betriebssystem in Microsoft Entra ID, um den Sicherheitsstatus zu verbessern.

Verbessern Sie die Sicherheit Ihrer Oracle-Workloads in Azure IaaS, indem Sie sicherstellen, dass Sie Ihr Betriebssystem härten, um Sicherheitsrisiken zu beseitigen, die Angreifer ausnutzen können, um Ihre Oracle-Datenbank zu schädigen.

Weitere Informationen zum Verbessern der Oracle Database-Sicherheit finden Sie unter Sicherheitsrichtlinien für Oracle-Workloads in Azure Virtual Machines Zielzonenbeschleuniger.

Empfehlungen

  • Verwenden Sie Secure Shell (SSH)-Schlüsselpaare für den Linux-Kontozugriff anstelle von Kennwörtern.

  • Deaktivieren Sie kennwortgeschützte Linux-Konten, und aktivieren Sie sie nur auf Anfrage für einen kurzen Zeitraum.

  • Deaktivieren Sie den Anmeldezugriff für privilegierte Linux-Konten, z. B. Stamm- und Oracle-Konten, wodurch der Anmeldezugriff nur auf personalisierte Konten möglich ist.

  • Verwenden Sie den sudo Befehl, um zugriff auf privilegierte Linux-Konten, z. B. Stamm- und Oracle-Konten, aus personalisierten Konten anstelle einer direkten Anmeldung zu gewähren.

  • Stellen Sie sicher, dass Sie Linux-Überwachungspfadprotokolle und sudo Zugriffsprotokolle mithilfe des Linux-Syslog-Hilfsprogramms in Azure Monitor-Protokolle erfassen.

  • Wenden Sie Sicherheitspatches und Betriebssystempatches und Updates regelmäßig nur aus vertrauenswürdigen Quellen an.

  • Implementieren Sie Einschränkungen, um den Zugriff auf das Betriebssystem zu beschränken.

  • Einschränken des nicht autorisierten Zugriffs auf Server.

  • Steuern Sie den Serverzugriff auf Netzwerkebene, um die allgemeine Sicherheit zu erhöhen.

  • Erwägen Sie die Verwendung des Linux-Firewall-Daemons als zusätzliche Schutzebene neben Azure-Netzwerksicherheitsgruppen (NSGs).

  • Stellen Sie sicher, dass Sie den Linux-Firewall-Daemon so konfigurieren, dass er beim Start automatisch ausgeführt wird.

  • Überprüfen Sie die Netzwerk-Lauschports, um potenzielle Zugriffspunkte zu ermitteln. Verwenden Sie den Linux-Befehl netstat –l , um diese Ports aufzulisten. Stellen Sie sicher, dass entweder Azure-NSGs oder der Linux-Firewall-Daemon den Zugriff auf diese Ports steuert.

  • Richten Sie Aliase für potenziell destruktive Linux-Befehle wie rm und mvein, um die Ausführung im interaktiven Modus zu erzwingen, sodass Sie mindestens einmal aufgefordert werden, bevor ein irreversibler Befehl ausgeführt wird. Fortgeschrittene Benutzer wissen, wie sie die Aliase bei Bedarf entfernen können.

  • Konfigurieren Sie die einheitlichen Systemprotokolle der Oracle-Datenbank so, dass sie das Linux-Syslog-Hilfsprogramm verwenden, um Kopien der Oracle-Überwachungsprotokolle an Azure Monitor-Protokolle zu senden.

Entwerfen Ihrer Netzwerktopologie

Die Netzwerktopologie ist die grundlegende Komponente eines mehrschichtigen Sicherheitsansatzes für Oracle-Workloads in Azure.

Platzieren Sie alle Clouddienste in einem einzelnen virtuellen Netzwerk, und verwenden Sie Azure NSGs, um den Datenverkehr zu überwachen und zu filtern. Fügen Sie eine Firewall hinzu, um den eingehenden Datenverkehr zu schützen. Stellen Sie sicher, dass Sie das Subnetz, in dem Sie die Datenbank aus dem Internet und dem lokalen Netzwerk bereitstellen, bereitstellen und sicher trennen. Bewerten Sie Benutzer, die intern und extern auf die Datenbank zugreifen, um sicherzustellen, dass Ihre Netzwerktopologie robust und sicher ist.

Weitere Informationen zur Netzwerktopologie finden Sie unter Netzwerktopologie und Konnektivität für Oracle in Azure Virtual Machines Zielzonenbeschleuniger.

Empfehlungen

  • Verwenden Sie Azure NSGs zum Filtern des Netzwerkdatenverkehrs zwischen Azure-Ressourcen in einem virtuellen Azure-Netzwerk und zum Filtern des Datenverkehrs zwischen lokalen Netzwerken und Azure.

  • Verwenden Sie Azure Firewall oder einen virtuellen Anwendung (NVA) im Netzwerk, um Ihre Umgebung zu schützen.

  • Schützen Sie die VM, auf der sich die Oracle Database-Workload befindet, vor nicht autorisiertem Zugriff, indem Sie azure-bereitgestellte Features verwenden, z. B. jiT-Zugriff (Just-in-Time-Zugriff für Cloud Microsoft Defender für Cloud) und Azure Bastion-Features.

  • Verwenden Sie die SSH-Portweiterleitung für X-Windows-System- und Virtual Network Computing -Dienstprogramme (VNC), um Verbindungen über SSH zu tunneln. Weitere Informationen finden Sie in einem Beispiel, das einen VNC-Client öffnet und eine Bereitstellung testet.

  • Leiten Sie den gesamten Datenverkehr über ein virtuelles Hubnetzwerk weiter, indem Sie VMs in einem dedizierten Subnetz platzieren, das vom Internet und dem lokalen Netzwerk isoliert ist.

Verwenden der Verschlüsselung zum Schützen von Daten

Verschlüsseln Sie ruhende Daten, wenn sie in den Speicher geschrieben werden, um die Daten zu schützen. Wenn Sie Daten verschlüsseln, können nicht autorisierte Benutzer sie nicht verfügbar machen oder ändern. Nur autorisierte und authentifizierte Benutzer können die Daten anzeigen oder ändern. Microsoft Azure bietet verschiedene Datenspeicherlösungen, einschließlich Datei-, Datenträger- und Blobspeicher, um verschiedene Anforderungen zu erfüllen. Diese Speicherlösungen verfügen über Verschlüsselungsfunktionen, um ruhende Daten zu schützen.

Verschlüsseln Sie Daten während der Übertragung, um Daten zu schützen, die von einem Standort an einen anderen verschoben werden, in der Regel über eine Netzwerkverbindung. Sie können verschiedene Methoden verwenden, um Daten während der Übertragung abhängig von der Art der Verbindung zu verschlüsseln. Azure bietet viele Mechanismen, um Daten während der Übertragung privat zu halten, wenn sie von einem Standort an einen anderen verschoben werden.

Empfehlungen

Integrieren von Oracle Database-Überwachungspfaden

Die Überwachung von Anwendungsprotokollen ist für die Erkennung von Sicherheitsbedrohungen auf Anwendungsebene unerlässlich. Azure Sentinel ist eine cloudnative Siem-Lösung (Security Information and Event Management), die zum Überwachen der Sicherheitsereignisse Ihrer Oracle-Workload verwendet werden kann.

Weitere Informationen finden Sie unter Oracle Database-Überwachungsconnector für Microsoft Sentinel.

Empfehlungen

  • Verwenden Sie die Microsoft Sentinel-Lösung für Oracle Database-Workloads. Der Oracle Database-Überwachungsconnector verwendet eine syslog-Schnittstelle nach Branchenstandard, um Oracle Database-Überwachungsdatensätze abzurufen und in Azure Monitor-Protokolle zu erfassen.

  • Verwenden Sie Azure Sentinel, um Überwachungsdatensätze von Anwendungen, der Azure-Infrastruktur und Gastbetriebssystemen zu überprüfen.

Nächster Schritt