Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sicherheit ist für jede Architektur von entscheidender Bedeutung. Azure bietet eine umfassende Palette von Tools, mit denen Sie Ihre Oracle-Workload effektiv schützen können. In diesem Artikel werden Sicherheitsempfehlungen für die Azure-Steuerungsebene im Zusammenhang mit Oracle-Anwendungsworkloads beschrieben, die auf virtuellen Computern (VMs) in Azure bereitgestellt werden. Weitere Informationen zu den Sicherheitsfunktionen in Oracle Database finden Sie im Oracle Database-Sicherheitshandbuch.
Die meisten Datenbanken speichern vertrauliche Daten. Sicherheitsmaßnahmen nur auf Datenbankebene reichen nicht aus, um die gesamte Architektur zu schützen, in der diese Workloads landen. Defense in Depth ist ein umfassender Sicherheitsansatz, bei dem Sie mehrere Ebenen von Abwehrmechanismen implementieren, um Daten zu schützen. Sie verlassen sich nicht auf eine einzelne Sicherheitsmaßnahme auf einer bestimmten Ebene, wie z. B. Netzwerksicherheitsmechanismen. Verwenden Sie die Defense-in-Depth-Strategie, um eine Kombination aus verschiedenen Sicherheitsmaßnahmen auf verschiedenen Ebenen einzusetzen, um eine robuste Sicherheitslage zu schaffen.
Sie können einen Tiefenverteidigungsansatz für Oracle-Workloads entwickeln, indem Sie ein starkes Authentifizierungs- und Autorisierungsframework, eine verstärkte Netzwerksicherheit und die Verschlüsselung von ruhenden und übertragenen Daten verwenden. Sie können Oracle-Workloads als IaaS-Cloudmodell (Infrastructure-as-a-Service) in Azure bereitstellen. Sehen Sie sich die Matrix der geteilten Verantwortung erneut an, um die spezifischen Aufgaben und Verantwortlichkeiten besser zu verstehen, die dem Cloud-Anbieter und dem Kunden zugewiesen sind.
Sie sollten die von Ihnen eingesetzten Dienste und Technologien regelmäßig überprüfen, um sicherzustellen, dass Ihre Sicherheitsmaßnahmen weiterhin zu der sich ändernden Bedrohungslandschaft passen.
Nutzen Sie zentrale Identitätsverwaltung
Identitätsverwaltung ist ein grundlegendes Framework, das den Zugriff auf wichtige Ressourcen steuert. Identitätsmanagement wird kritisch, wenn Sie mit verschiedenen Mitarbeitern arbeiten, z. B. mit Zeitpraktikanten, Teilzeitmitarbeitern oder Vollzeitmitarbeitern. Diese Personen benötigen unterschiedliche Zugriffsebenen, die Sie überwachen, verwalten und bei Bedarf umgehend widerrufen müssen.
Ihre Organisation kann die Sicherheit von Windows- und Linux-VMs in Azure verbessern, indem sie Microsoft Entra ID integriert, einen vollständig verwalteten Identitäts- und Zugriffsverwaltungsdienst.
Bereitstellen von Workloads auf Windows- oder Linux-Betriebssystemen
Sie können Microsoft Entra ID mit Single Sign-On (SSO) verwenden, um auf Oracle-Anwendungen zuzugreifen und Oracle-Datenbanken auf Linux-Betriebssystemen und Windows-Betriebssystemen bereitzustellen. Integrieren Sie Ihr Betriebssystem in Microsoft Entra ID, um die Sicherheitslage zu verbessern.
Verbessern Sie die Sicherheit Ihrer Oracle-Workloads in Azure IaaS, indem Sie sicherstellen, dass Sie Ihr Betriebssystem härten, um Sicherheitsrisiken zu beseitigen, die Angreifer ausnutzen könnten, um Ihre Oracle-Datenbank zu schädigen.
Weitere Informationen zum Verbessern der Sicherheit von Oracle-Datenbank finden Sie unter Sicherheitsrichtlinien für Oracle-Workloads in der Zielzonenbeschleunigung für Azure Virtual Machines.
Empfehlungen
Verwenden Sie für den Zugriff auf Linux-Konten Secure Shell (SSH)-Schlüsselpaare anstelle von Kennwörtern.
Deaktivieren Sie kennwortgeschützte Linux-Konten und aktivieren Sie sie nur für kurze Zeit und auf Anforderung.
Deaktivieren Sie den Anmeldezugriff für privilegierte Linux-Konten, z. B. Root- und Oracle-Konten, wodurch der Anmeldezugriff nur für personalisierte Konten zulässig ist.
Verwenden Sie den
sudoBefehl, um Zugriff auf privilegierte Linux-Konten, z. B. Root- und Oracle-Konten, über personalisierte Konten anstelle einer direkten Anmeldung zu gewähren.Stellen Sie sicher, dass Sie Linux-Überwachungsprotokolle erfassen und
sudomit dem Linux-Syslog-Hilfsprogramm auf Azure Monitor-Protokolle zugreifen.Wenden Sie regelmäßig Sicherheitspatches und Betriebssystem-Patches und -Updates nur aus vertrauenswürdigen Quellen an.
Implementieren Sie Einschränkungen, um den Zugriff auf das Betriebssystem einzuschränken.
Beschränken Sie den unbefugten Zugriff auf Server.
Steuern sie den Serverzugriff auf Netzwerkebene, um die Gesamtsicherheit zu verbessern.
Erwägen Sie die Verwendung des Linux-Firewall-Daemons als zusätzliche Schutzebene zusätzlich zu den Azure-Netzwerksicherheitsgruppen (NSGs).
Stellen Sie sicher, dass Sie den Linux-Firewall-Daemon so konfigurieren, dass er beim Start automatisch ausgeführt wird.
Scannen Sie Netzwerk-Listening-Ports, um potenzielle Zugriffspunkte zu ermitteln. Verwenden Sie den Linux-Befehl
netstat –l, um diese Ports aufzulisten. Stellen Sie sicher, dass entweder Azure-NSGs oder der Linux-Firewall-Daemon den Zugriff auf diese Ports steuert.Richten Sie Aliase für potenziell destruktive Linux-Befehle ein, z. B
rm. undmv, um zu erzwingen, dass sie im interaktiven Modus ausgeführt werden, sodass Sie mindestens einmal aufgefordert werden, bevor ein nicht umkehrbarer Befehl ausgeführt wird. Fortgeschrittene Benutzer wissen, wie sie die Aliase bei Bedarf entfernen können.Konfigurieren Sie die einheitlichen Systemprotokolle der Oracle-Datenbank so, dass das Linux-Dienstprogramm syslog verwendet wird, um Kopien der Oracle-Überwachungsprotokolle an Azure Monitor-Protokolle zu senden.
Entwerfen Sie Ihre Netzwerktopologie
Die Netzwerktopologie ist die grundlegende Komponente eines mehrschichtigen Sicherheitsansatzes für Oracle-Workloads in Azure.
Platzieren Sie alle Clouddienste in einem einzigen virtuellen Netzwerk, und verwenden Sie Azure-NSGs, um den Datenverkehr zu überwachen und zu filtern. Fügen Sie eine Firewall hinzu, um den eingehenden Datenverkehr zu sichern. Stellen Sie sicher, dass Sie das Subnetz, in dem Sie die Datenbank bereitstellen, vom Internet und vom lokalen Netzwerk trennen und sicher trennen. Bewerten Sie Benutzer, die intern und extern auf die Datenbank zugreifen, um sicherzustellen, dass Ihre Netzwerktopologie robust und sicher ist.
Weitere Informationen zur Netzwerktopologie finden Sie unter Netzwerktopologie und Konnektivität für Oracle in Azure Virtual Machines Landing Zone Accelerator.
Empfehlungen
Verwenden Sie Azure-NSGs, um den Netzwerkdatenverkehr zwischen Azure-Ressourcen in einem virtuellen Azure-Netzwerk und den Datenverkehr zwischen lokalen Netzwerken und Azure zu filtern.
Verwenden Sie Azure Firewall oder ein virtuelles Netzwerkgerät (Network Virtual Appliance, NVA), um Ihre Umgebung zu schützen.
Schützen Sie die VM, auf der sich die Oracle Database-Workload befindet, vor nicht autorisiertem Zugriff, indem Sie von Azure bereitgestellte Features wie Microsoft Defender für Cloud Just-In-Time-Zugriff (JIT) undAzure Bastion-Features verwenden.
Verwenden Sie die SSH-Portweiterleitung für X Windows System and Virtual Network Computing (VNC)-Dienstprogramme, um Verbindungen über SSH zu tunneln. Weitere Informationen finden Sie in einem Beispiel, in dem ein VNC-Client geöffnet und eine Bereitstellung getestet wird.
Leiten Sie den gesamten Datenverkehr über ein virtuelles Hubnetzwerk, indem Sie VMs in einem dedizierten Subnetz platzieren, das vom Internet und dem lokalen Netzwerk isoliert ist.
Verwenden Sie Verschlüsselung, um Daten zu sichern
Verschlüsseln Sie ruhende Daten, wenn sie in den Speicher geschrieben werden, um die Daten zu schützen. Wenn Sie Daten verschlüsseln, können sie von nicht autorisierten Benutzern nicht offengelegt oder geändert werden. Nur autorisierte und authentifizierte Benutzer können die Daten anzeigen oder ändern. Microsoft Azure bietet verschiedene Datenspeicherlösungen, einschließlich Datei-, Festplatten- und Blob-Speicher, um unterschiedliche Anforderungen zu erfüllen. Diese Speicherlösungen verfügen über Verschlüsselungsfunktionen zum Schutz ruhender Daten.
Verschlüsseln Sie Daten während der Übertragung, um Daten zu schützen, die von einem Speicherort zu einem anderen verschoben werden, in der Regel über eine Netzwerkverbindung. Je nach Art der Verbindung können Sie verschiedene Methoden verwenden, um Daten während der Übertragung zu verschlüsseln. Azure bietet viele Mechanismen, um Daten während der Übertragung privat zu halten, wenn sie von einem Speicherort zu einem anderen verschoben werden.
Empfehlungen
Erfahren Sie, wie Microsoft ruhende Daten verschlüsselt.
Betrachten Sie die Funktionen von Oracle Advanced Security, zu denen transparente Datenverschlüsselung (TDE) und Datenschwärzung gehören.
Verwalten von Schlüsseln mit Oracle Key Vault. Wenn Sie Oracle TDE als zusätzliche Verschlüsselungsebene implementieren, beachten Sie, dass Oracle keine Azure-Schlüsselverwaltungslösungen wie Azure Key Vault oder die Schlüsselverwaltungslösungen anderer Cloudanbieter unterstützt. Der standardmäßige Speicherort der Oracle Wallet befindet sich im Dateisystem der Oracle-Datenbank-VM. Sie können Oracle Key Vault jedoch als Schlüsselverwaltungslösung in Azure verwenden. Weitere Informationen finden Sie unter Bereitstellen von Oracle Key Vault in Azure.
Erfahren Sie, wie Microsoft Daten während der Übertragung verschlüsselt.
Erwägen Sie die Verwendung der Oracle Native Network Encryption and Data Integrity-Funktion. Weitere Informationen finden Sie unter Konfigurieren von Oracle Database Native Network Encryption and Data Integrity.
Integrieren Sie Oracle Database-Audit-Trails
Das Überwachen von Anwendungsprotokollen ist zur Erkennung von Sicherheitsbedrohungen auf Anwendungsebene unerlässlich. Azure Sentinel ist eine cloudnative SIEM-Lösung (Security Information and Event Management), die zum Überwachen der Sicherheitsereignisse Ihrer Oracle-Workload verwendet werden kann.
Weitere Informationen finden Sie unter Oracle Database Audit-Connector für Microsoft Sentinel.
Empfehlungen
Verwenden Sie für Oracle Database-Workloads die Microsoft Sentinel-Lösung. Der Oracle Database-Überwachungsconnector verwendet eine branchenübliche Syslog-Schnittstelle, um Oracle Database-Überwachungsdatensätze abzurufen und in Azure Monitor-Protokolle zu erfassen.
Verwenden Sie Azure Sentinel, um Überwachungsdatensätze von Anwendungen, der Azure-Infrastruktur und Gastbetriebssystemen zu überprüfen.