Az Oracle számítási feladatainak biztonsági irányelvei az Azure-beli virtuális gépek kezdőzónájánakgyorsítóján

Ez a cikk azt ismerteti, hogyan futtathat biztonságosan Oracle-számítási feladatokat az Azure Virtual Machines kezdőzónagyorsítóján az életciklusuk minden szakaszában. A cikk konkrét tervezési összetevőket tárgyal, és célzott javaslatokat tartalmaz az Azure-infrastruktúra szolgáltatáskénti (IaaS)-biztonságával kapcsolatban az Oracle számítási feladataihoz.

Áttekintés

A biztonság minden architektúrához elengedhetetlen. Az Azure számos eszközt kínál az Oracle-számítási feladatok hatékony biztonságossá tételéhez. A cikk célja, hogy biztonsági javaslatokat nyújtson a virtuális gépeken üzembe helyezett Oracle-alkalmazások számítási feladataihoz kapcsolódó Azure-vezérlősíkhoz. Az Oracle Database biztonsági intézkedéseivel kapcsolatos részletes információkért és megvalósítási irányelvekért tekintse meg az Oracle Database biztonsági útmutatójában.

A legtöbb adatbázis bizalmas adatokat tárol. A biztonság csak az adatbázis szintjén történő implementálása nem elegendő ahhoz, hogy biztonságossá tegye az architektúrát, ahol ezeket a számítási feladatokat üzembe helyezi. A mélységi védelem a biztonság átfogó megközelítése, amely több védelmi mechanizmust implementál az adatok védelme érdekében. Ahelyett, hogy egyetlen biztonsági intézkedésre támaszkodik egy adott szinten, például csak a hálózati biztonsági mechanizmusokra összpontosítanak, a mélységi védelmi stratégia különböző rétegbeli biztonsági intézkedések kombinációját használja a robusztus biztonsági helyzet létrehozásához. Az Oracle számítási feladatainak részletes védelmi megközelítését egy erős hitelesítési és engedélyezési keretrendszer, a megkeményített hálózati biztonság, valamint a inaktív és az átvitel alatt álló adatok titkosítása segítségével hozhatja létre.

Az Oracle számítási feladatokat IaaS-felhőmodellként helyezheti üzembe az Azure-ban. A megosztott felelősségi mátrix újbóli megtekintése a felhőszolgáltatóhoz és az ügyfélhez rendelt konkrét feladatok és felelősségek egyértelműbb megértéséhez. További információ: Megosztott felelősség a felhőben.

Rendszeresen értékelnie kell azokat a szolgáltatásokat és technológiákat, amelyeket azért használ, hogy a biztonsági intézkedések igazodjanak a változó fenyegetési környezethez.

Központosított identitáskezelés használata

Az identitáskezelés alapvető keretrendszer, amely a fontos erőforrásokhoz való hozzáférést szabályozza. Az identitáskezelés kritikus fontosságúvá válik, ha különböző típusú személyzettel dolgozik, például ideiglenes gyakornokokkal, részmunkaidős alkalmazottakkal vagy teljes munkaidős alkalmazottakkal. Ezek a személyzet különböző hozzáférési szinteket igényel, amelyeket szükség szerint monitorozni, karbantartani és azonnal vissza kell vonni. Az Oracle-számítási feladatokhoz négy különböző identitáskezelési használati esetet kell figyelembe venni, és mindegyik használati esethez más identitáskezelési megoldásra van szükség.

• Oracle-alkalmazások: A felhasználók anélkül férhetnek hozzá az Oracle-alkalmazásokhoz, hogy újra meg kellene adniuk a hitelesítő adataikat, miután egyszeri bejelentkezéssel (SSO) engedélyezték őket. Az Oracle-alkalmazások eléréséhez használja a Microsoft Entra ID-integrációt. Az alábbi táblázat az egyes Oracle-megoldások támogatott SSO-stratégiáját sorolja fel.

  Oracle-alkalmazás	Hivatkozás a dokumentumra
  E-Business Suite (EBS)	Egyszeri bejelentkezés engedélyezése az EBS R12.2-hez
  JD Edwards (JDE)	JDE SSO beállítása
  Kapcsolatok Soft	Egyszeri bejelentkezés engedélyezése Kapcsolatok Softhoz
  Hyperion	Oracle támogatási dokumentum #2144637.1
  Siebel	Oracle támogatási dokumentum #2664515.1

• Operációs rendszerszintű biztonság: Az Oracle számítási feladatai a Linux operációs rendszer vagy a Windows operációs rendszer különböző változatain futtathatók. A szervezetek a Microsoft Entra ID-val való integrálásával javíthatják a Windows és Linux rendszerű virtuális gépeik (VM-ek) biztonságát az Azure-ban. További információk:

  • Jelentkezzen be linuxos virtuális gépre az Azure-ban a Microsoft Entra ID és az OpenSSH használatával.
    • 2023 júliusától az Oracle Linux (OL) és a Red Hat Enterprise Linux (RHEL) 100%-ban binárisan kompatibilis, ami azt jelenti, hogy az RHEL-hez kapcsolódó utasítások az OL-re vonatkoznak.
    • 2023 júliusától az IBM már nem oszt meg nyíltan RHEL-forráskódot. Lehetséges, hogy az OL és az RHEL a jövőben eltérő lehet, ami érvényteleníti az előző állítást.
  • Jelentkezzen be egy Windows rendszerű virtuális gépre az Azure-ban a Microsoft Entra ID használatával.

• Azure Key Vault hitelesítő adatok tárolására: A Key Vault hatékony eszköz felhőalapú alkalmazások és szolgáltatások számára, amelyekkel biztonságossá teheti a titkos kulcsok, például a jelszavak és az adatbázis-kapcsolati sztring tárolását. A Key Vault használatával a Windows és Linux rendszerű virtuális gépek hitelesítő adatait központosított és biztonságos módon tárolhatja, az operációs rendszertől függetlenül.

  • A Key Vault használatával elkerülheti, hogy a hitelesítő adatokat egyszerű szövegben tárolja a kódban vagy a konfigurációs fájlokban. Futtatókörnyezetben lekérheti a hitelesítő adatokat a Key Vaultból, amely egy további biztonsági réteget ad hozzá az alkalmazáshoz, és segít megelőzni a virtuális gépekhez való jogosulatlan hozzáférést. A Key Vault zökkenőmentesen integrálható más Azure-szolgáltatásokkal, például a virtuális gépekkel, és az Azure Active Directory (Azure AD) használatával szabályozhatja a Key Vaulthoz való hozzáférést. Ez a folyamat biztosítja, hogy csak a jogosult felhasználók és alkalmazások férhessenek hozzá a tárolt hitelesítő adatokhoz.

• Megkeményített operációsrendszer-rendszerképek: Az Internet Security (CIS) által edzett rendszerkép Windows vagy Linux rendszeren az Azure-ban több előnnyel is rendelkezik. A CIS-teljesítménytesztek globálisan elismertek az informatikai rendszerek és adatok biztonságossá tételének ajánlott eljárásaiként. Ezek a rendszerképek előre konfigurálva vannak, hogy megfeleljenek a CIS biztonsági ajánlásainak, ami időt és energiát takaríthat meg az operációs rendszer megkeményedésében. A megkeményített operációsrendszer-rendszerképek segíthetnek a szervezeteknek a biztonsági helyzet javításában és az olyan biztonsági keretrendszerek betartásában, mint a National Institute of Standards and Technology (NIST) és a Periféria-összetevők összekapcsolása (PCI).

Az operációs rendszer megkeményítése

Győződjön meg arról, hogy az operációs rendszer meg van edzve az Oracle-adatbázis megtámadására használható biztonsági rések kiküszöbölése érdekében.

• Jelszavak helyett használjon Secure Shell -kulcspárokat a Linux-fiókhozzáféréshez.
• Tiltsa le a jelszóval védett Linux-fiókokat, és csak kérésre engedélyezze őket egy rövid ideig.
• Tiltsa le a jogosultsággal rendelkező Linux-fiókok (gyökér vagy Oracle) bejelentkezési hozzáférését, amely csak a személyre szabott fiókokhoz engedélyezi a bejelentkezést.
• A közvetlen bejelentkezési hozzáférés helyett a sudo használatával biztosítson hozzáférést a kiemelt Linux-fiókokhoz személyre szabott fiókokból.
• Rögzítse a Linux naplózási naplóit és a sudo hozzáférési naplókat az Azure Monitor-naplókban a Linux SYSLOG segédprogrammal.
• Biztonsági javításokat és operációsrendszer-javításokat vagy frissítéseket csak megbízható forrásokból rendszeresen alkalmazhat.
• Korlátozások implementálása az operációs rendszerhez való hozzáférés korlátozására.
• Korlátozza a kiszolgálóhoz való jogosulatlan hozzáférést.
• A kiszolgálóhozzáférés szabályozása hálózati szinten az általános biztonság növelése érdekében.
• Fontolja meg a Linux tűzfal démon használatát a helyi védelemhez az Azure-beli hálózati biztonsági csoportok (NSG-k) mellett.
• Konfigurálja úgy a Linux tűzfal démont, hogy automatikusan fusson indításkor.
• Vizsgálja meg a figyelt hálózati portokat a lehetséges hozzáférési pontok megértéséhez, és győződjön meg arról, hogy az Azure NSG-k vagy a Linux tűzfal démonja szabályozza a portokhoz való hozzáférést. A linuxos paranccsal netstat –l keresse meg a portokat.
• Alias potenciálisan romboló Linux-parancsok, például rm és mv, hogy kényszerítse őket interaktív módban, hogy a rendszer legalább egyszer kérje, mielőtt egy visszafordíthatatlan parancsot hajtanak végre. A speciális felhasználók szükség esetén futtathatnak unalias parancsokat.
• Konfigurálja az Oracle-adatbázis egyesített rendszernaplóit úgy, hogy a Linux SYSLOG segédprogrammal másolatot küldjenek az Oracle-naplókról az Azure Monitor-naplókba.

Hálózati biztonság használata

A hálózati biztonság az Azure-beli Oracle számítási feladatok rétegzett biztonsági megközelítésének alapvető összetevője.

• NSG-k használata: Azure NSG-vel szűrheti az Azure-beli erőforrások közötti hálózati forgalmat egy Azure-beli virtuális hálózaton. Az NSG olyan biztonsági szabályokat tartalmaz, amelyek engedélyezik vagy letiltják az Azure-erőforrások bejövő hálózati forgalmát vagy az Azure-erőforrások kimenő hálózati forgalmát. Az NSG-k IP-címtartományok és adott portok használatával szűrhetik a helyszíni hálózatok közötti forgalmat az Azure-ba és onnan. További információ: Hálózati biztonsági csoport.

  Az alábbi táblázat az Oracle-adatbázis virtuális gépeinek bejövő porthozzárendeléseit sorolja fel:

  Protokoll	Portszám	Szolgáltatás neve	Megjegyzés
  TCP	22	SSH	Felügyeleti port Linux rendszerű virtuális gépekhez
  TCP	1521	Oracle TNS-figyelő	Biztonsági vagy kapcsolati terheléselosztási célokra gyakran használt egyéb portszámok
  TCP	3389	RDP	Felügyeleti port Windows rendszerű virtuális gépekhez

• Döntse el, hogyan csatlakozhat a virtuális géphez: Azt a virtuális gépet, amelyen az Oracle-adatbázis számítási feladatai találhatók, védeni kell a jogosulatlan hozzáférés ellen. A felügyeleti hozzáférés a felügyeleti felhasználók számára szükséges magasabb engedélyek miatt érzékeny. Az Azure-ban a jogosult felhasználók több mechanizmust is igénybe vehetnek a virtuális gép biztonságos kezeléséhez.

  • Felhőhöz készült Microsoft Defender igény szerinti (JIT) hozzáférése intelligensen használja az Azure hálózati biztonsági mechanizmusait, hogy időkorlátos lehetőségeket biztosítson a virtuális gépen lévő felügyeleti portokhoz való hozzáféréshez.
  • Az Azure Bastion egy szolgáltatásként nyújtott platform (PaaS) megoldás, amelyet az Azure-ban helyez üzembe. Az Azure Bastion egy jump boxot üzemeltet.

Bármelyik megoldást használhatja az Oracle-adatbázis virtuális gépének biztonságos felügyeletéhez. Ha szükséges, mindkét megoldást kombinálhatja egy speciális , többrétegű megközelítéshez.

A JIT-hozzáférés általában minimálisra csökken, de nem szünteti meg a kockázatoknak való kitettséget azáltal, hogy korlátozza az SSH- vagy RDP-felügyeleti portok rendelkezésre állásának idejét. A JIT nyitva hagyja a hozzáférést más munkamenetek számára, amelyeket egy kapott JIT-ablakban követnek. Az ilyen tailgatereknek továbbra is át kell törniük a közzétett SSH- vagy RDP-portokon, így az expozíciós kockázat kicsi. Az ilyen kitettségek azonban kevésbé teszik lehetővé a JIT-hozzáférést a nyílt internetről való hozzáférés blokkolásához.

Az Azure Bastion lényegében egy megerősített jump box, amely segít megakadályozni a hozzáférést a nyílt internetről. Az Azure Bastionra azonban számos korlátozást kell figyelembe vennie.

• X-Windows és Virtual Networking Computing (VNC) használata: Az Oracle adatbázisszoftver általában X-Windowst igényel, mivel az Azure-ban a Linux rendszerű virtuális gép és az asztali vagy laptop közötti kapcsolat tűzfalak és Azure NSG-k között is áthaladhat. Emiatt SSH-porttovábbítást kell használnia az X-Windows- vagy VNC-kapcsolatok SSH-kapcsolaton keresztüli bújtatásához. A paramétert használó -L 5901:localhost:5901 példa: VNC-ügyfél megnyitása és az üzembe helyezés tesztelése.

• Felhőközi összekapcsolási lehetőségek: Az Azure-ban futó Oracle-adatbázis számítási feladatai és az Oracle Cloud Infrastructure (OCI) számítási feladatai közötti kapcsolat engedélyezése. Az Azure vagy az OCI használatával privát kapcsolatokat vagy folyamatokat hozhat létre az alkalmazások között az Azure és az OCI adott régiói között. További információ: Közvetlen összekapcsolás beállítása az Azure és az Oracle felhőinfrastruktúra között. Ez a cikk nem tartalmazza a tűzfalak létrehozását az Azure vagy az OCI-kapcsolat mindkét oldalán, ami általában követelmény a felhők közötti bejövő vagy kimenő forgalomhoz. Ez a megközelítés a Microsoft Teljes felügyelet hálózatkezelési javaslatait alkalmazza.

Azure-szabályzatalapú biztonság

Nincsenek konkrét beépített Azure-szabályzatdefiníciók az Oracle számítási feladataihoz a virtuális gépek kezdőzónájánakgyorsítóján. Az Azure Policy azonban átfogó lefedettséget biztosít az Azure-beli Oracle-megoldások által használt alapvető erőforrásokhoz, beleértve a virtuális gépeket, a tárolást és a hálózatkezelést. További információ: Azure Policy beépített szabályzatdefiníciók.

Egyéni szabályzatokat is létrehozhat, amelyek megfelelnek a szervezet követelményeinek, hogy áthidalják a szakadékot. Például egyéni Oracle-szabályzatok használatával kényszerítheti a tárolótitkosítást, kezelheti az NSG-szabályokat, vagy megtilthatja a nyilvános IP-cím hozzárendelését egy Oracle virtuális géphez.

Adatok tárolása titkosítással

• Átvitt adatok titkosítása: Az adatok egyik helyről a másikra való áthelyezésének állapotára vonatkozik, általában hálózati kapcsolaton keresztül. Az átvitel alatt álló adatok a kapcsolat jellegétől függően többféleképpen titkosíthatók. Alapértelmezés szerint manuálisan engedélyeznie kell az adattitkosítást az Azure-adatközpontokon belüli adatátvitelhez. Az Azure dokumentációjában további információt az átvitel alatt álló adatok titkosítása című témakörben talál.

  • Javasoljuk, hogy használja az Oracle natív hálózati titkosítási és adatintegritási funkcióit. További információ: Az Oracle-adatbázis natív hálózati titkosításának és adatintegritásának konfigurálása.

• Inaktív adatok titkosítása: Akkor is védenie kell az adatokat, amikor a tárolóba vannak írva, miközben az inaktív állapotban van. A bizalmas adatok közzétehetők vagy módosíthatók, ha a tároló adathordozót eltávolítják vagy a használat során hozzáférnek. Ezért az adatokat titkosítva kell biztosítani, hogy csak a hitelesített és hitelesített felhasználók tekinthetik meg vagy módosíthatják őket. Az Azure három réteg titkosítást biztosít inaktív állapotban.

  • Minden adat titkosítása a legalacsonyabb szinten történik, ha azok bármely Azure Storage-eszközön tárolószolgáltatásoldali titkosítással vannak tárolva. A szolgáltatásoldali titkosítás biztosítja, hogy nem szükséges törölni vagy megsemmisíteni a tároló adathordozóját, ha egy Azure-bérlő a tárolást használja. A mindig inaktív állapotban titkosított adatok véglegesen elveszhetnek, ha a platform által felügyelt kulcsot elvetik. A szolgáltatásoldali titkosítás gyorsabb és biztonságosabb, mint az összes adat törlése a tárolóból.
  • Az Azure lehetővé teszi a tárolóinfrastruktúrán belüli tárolt adatok kettős titkosítását is a Storage-infrastruktúra titkosításával, amely két külön platform által felügyelt kulcsot használ.
  • Emellett az Azure lemeztitkosítás a vendég operációs rendszeren (Windows BitLocker és Linuxhoz készült DM-CRYPT) felügyelt inaktív titkosítási adatok.

A Storage-infrastruktúra legfeljebb három lehetséges adatréteget biztosít inaktív titkosítás esetén. Ha az Oracle Advanced Security beállítással rendelkezik, az Oracle-adatbázis transzparens adattitkosítással (TDE) is titkosíthatja az adatbázisfájlokat, és további titkosítási szintet biztosíthat inaktív állapotban.

Az Oracle Advanced Security lehetőség egy adatátfedés nevű funkciót is kínál, amely a dinamikus adatmaszkolás egyik formája. Amikor az adatbázis adatokat kér le, a tárolt adatérték módosítása nélkül maszkolja az adatértéket.

Ezek a több rétegnyi inaktív titkosítás a mélységi védelem definícióját képviselik. Ha valamilyen oknál fogva a inaktív titkosítás egyik formája sérül, az adatok védelme érdekében még mindig vannak más titkosítási rétegek.

• Kulcsok kezelése: Ha az Oracle TDE-t egy másik titkosítási rétegként implementálja, fontos megjegyezni, hogy az Oracle nem támogatja az Azure vagy más felhőszolgáltatók által biztosított natív kulcskezelési megoldásokat, például a Key Vaultot. Ehelyett az Oracle-tárca alapértelmezett helye az Oracle-adatbázis virtuális gép fájlrendszerén belül található.

További információ: Oracle Key Vault üzembe helyezése az Azure-ban az Oracle Key Vault Azure-kulcskezelési megoldásként való használatáról.

Auditnaplók integrálása

Az alkalmazásnapló monitorozása elengedhetetlen a biztonsági fenyegetések alkalmazásszintű észleléséhez. Az Oracle Database számítási feladataihoz használja a Microsoft Sentinel megoldást. Az Oracle Database naplózási összekötője egy iparági szabványnak megfelelő SYSLOG-felülettel lekéri és betölti az Összes Oracle-adatbázis naplózási rekordjait az Azure Monitor-naplókba. Ez a folyamat lehetővé teszi a rekordok felülvizsgálatát az Azure-infrastruktúra naplózási rekordjaival és a vendég operációs rendszer (Linux vagy Windows) naplózási rekordjaival együtt. A Microsoft Sentinel megoldás egy natív felhőbeli biztonsági információ- és eseménykezelési (SIEM) megoldás, amely linuxos vagy Windows rendszerű virtuális gépen futó Oracle-számítási feladatokhoz készült. További információ: Oracle database audit connector for Microsoft Sentinel.

Következő lépés

Az Azure-beli Oracle számítási feladatok kapacitáskövetelményeinek megtervezéséhez tekintse meg az Oracle-számítási feladatok Azure-beli kezdőzónákba való migrálásának kapacitástervezését ismertető témakört.