Az Oracle számítási feladat biztonságának optimalizálása

A biztonság minden architektúra számára kulcsfontosságú. Az Azure számos eszközt kínál az Oracle számítási feladatok hatékony védelméhez. Ez a cikk az Azure-beli virtuális gépeken (VM-en) üzembe helyezett Oracle-alkalmazások számítási feladataihoz kapcsolódó Azure-vezérlősíkra vonatkozó biztonsági javaslatokat ismerteti. Az Oracle Database biztonsági funkcióiról további információt az Oracle Database biztonsági útmutatójában talál.

A legtöbb adatbázis bizalmas adatokat tárol. A csak az adatbázis szintjén végzett biztonsági intézkedések nem elegendőek ahhoz, hogy biztonságossá tegye a teljes architektúrát, amelyben ezeket a számítási feladatokat le lehet helyezni. A mélységi védelem a biztonság átfogó megközelítése, amelyben több védelmi mechanizmust valósít meg az adatok védelme érdekében. Nem támaszkodhat egyetlen biztonsági intézkedésre egy adott szinten, például a hálózati biztonsági mechanizmusokra. A mélységi védelmi stratégia segítségével különböző rétegbiztonsági intézkedések kombinációját alkalmazhatja egy robusztus biztonsági helyzet kialakításához.

Az Oracle számítási feladatokhoz egy erős hitelesítési és engedélyezési keretrendszer, a rögzített hálózati biztonság, valamint az inaktív és az átvitel alatt álló adatok titkosítása révén hozhat létre mélységi védelmet. Az Oracle számítási feladatokat szolgáltatott infrastruktúra (IaaS) felhőmodellként helyezheti üzembe az Azure-ban. A megosztott felelősségi mátrix újbóli megtekintése a felhőszolgáltatóhoz és az ügyfélhez rendelt konkrét feladatok és felelősségek jobb megértése érdekében.

Rendszeresen fel kell mérnie az alkalmazott szolgáltatásokat és technológiákat, hogy a biztonsági intézkedések igazodjanak a változó fenyegetési környezethez.

Központosított identitáskezelés használata

Az identitáskezelés egy alapvető keretrendszer, amely a fontos erőforrásokhoz való hozzáférést szabályozza. Az identitáskezelés kritikus fontosságúvá válik, ha különböző személyzettel dolgozik, például ideiglenes gyakornokokkal, részmunkaidős alkalmazottakkal vagy teljes munkaidős alkalmazottakkal. Ezek az egyének különböző hozzáférési szinteket igényelnek, amelyeket szükség szerint monitorozni, karbantartani és azonnal vissza kell vonni.

Szervezete javíthatja a Windows és Linux rendszerű virtuális gépek biztonságát az Azure-ban a Microsoft Entra ID integrálásával, amely egy teljes körűen felügyelt identitás- és hozzáférés-kezelési szolgáltatás.

Számítási feladatok üzembe helyezése Windows vagy Linux operációs rendszereken

A Microsoft Entra ID egyszeri bejelentkezéssel (SSO) elérheti az Oracle-alkalmazásokat, és Oracle-adatbázisokat helyezhet üzembe Linux operációs rendszereken és Windows operációs rendszereken. A biztonsági helyzet javítása érdekében integrálja az operációs rendszert a Microsoft Entra ID.

Az Oracle számítási feladatok biztonságának javítása az Azure IaaS-ben azáltal, hogy biztosítja, hogy megerősítse az operációs rendszert, hogy megszüntesse azokat a biztonsági réseket, amelyeket a támadók kihasználhatnak az Oracle-adatbázis sérülése érdekében.

További információ az Oracle Database biztonságának javításáról: Biztonsági irányelvek oracle számítási feladatokhoz az Azure Virtual Machines célzónagyorsítón.

Javaslatok

• Jelszavak helyett használjon Secure Shell- (SSH-) kulcspárokat a Linux-fiókhoz való hozzáféréshez.

• Tiltsa le a jelszóval védett Linux-fiókokat, és csak kérésre engedélyezze őket egy rövid időre.

• Tiltsa le a bejelentkezési hozzáférést a kiemelt Linux-fiókokhoz, például a gyökér- és oracle-fiókokhoz, amelyek csak a személyre szabott fiókokhoz engedélyezik a bejelentkezést.

• sudo Az paranccsal közvetlen bejelentkezés helyett személyre szabott fiókokból biztosíthat hozzáférést a kiemelt Linux-fiókokhoz, például a gyökér- és oracle-fiókokhoz.

• Győződjön meg arról, hogy a Linux-naplónaplókat és sudo a naplókat a Linux syslog segédprogrammal rögzíti az Azure Monitor-naplókban.

• Csak megbízható forrásokból rendszeresen alkalmazza a biztonsági javításokat és az operációsrendszer-javításokat és -frissítéseket.

• Alkalmazzon korlátozásokat az operációs rendszerhez való hozzáférés korlátozásához.

• A kiszolgálókhoz való jogosulatlan hozzáférés korlátozása.

• A kiszolgáló hozzáférésének vezérlése a hálózati szinten az általános biztonság növelése érdekében.

• Fontolja meg a Linux tűzfaldémon további védelmi rétegként való használatát az Azure hálózati biztonsági csoportok (NSG-k) mellett.

• Győződjön meg arról, hogy a Linux tűzfal démonját úgy konfigurálta, hogy automatikusan fusson indításkor.

• Tekintse át a hálózati figyelési portokat a lehetséges hozzáférési pontok meghatározásához. A linuxos netstat –l paranccsal listázhatja ezeket a portokat. Győződjön meg arról, hogy az Azure NSG-k vagy a Linux tűzfaldémonja szabályozza a portokhoz való hozzáférést.

• Állítson be aliasokat a potenciálisan romboló Linux-parancsokhoz, például rm a és mva parancsokhoz, hogy kényszerítse őket az interaktív módban való futtatásra, hogy a rendszer legalább egyszer rákérdezjen egy visszafordíthatatlan parancs futtatása előtt. A tapasztalt felhasználók tudják, hogyan távolíthatják el az aliasokat, ha szükséges.

• Konfigurálja az Oracle-adatbázis egyesített rendszernaplóit úgy, hogy a Linux syslog segédprogrammal küldje el az Oracle-naplók másolatait az Azure Monitor-naplókba.

A hálózati topológia megtervezése

A hálózati topológia az Azure-beli Oracle számítási feladatok rétegzett biztonsági megközelítésének alapvető összetevője.

Helyezze az összes felhőszolgáltatást egyetlen virtuális hálózatba, és az Azure NSG-k használatával monitorozza és szűrje a forgalmat. Adjon hozzá egy tűzfalat a bejövő forgalom védelméhez. Győződjön meg arról, hogy az adatbázist az internetről és a helyszíni hálózatról üzembe helyező alhálózatot dedikálja és biztonságosan elkülöníti egymástól. Mérje fel az adatbázishoz belsőleg és külsőleg hozzáférő felhasználókat, hogy a hálózati topológia robusztus és biztonságos legyen.

A hálózati topológiával kapcsolatos további információkért lásd: Az Oracle hálózati topológiája és kapcsolata az Azure Virtual Machines célzónagyorsítóban.

Javaslatok

• Az Azure NSG-k használatával szűrje az Azure-beli virtuális hálózatokban található Azure-erőforrások közötti hálózati forgalmat, és szűrje a helyszíni hálózatok és az Azure közötti forgalmat.

• A környezet védelméhez használja a Azure Firewall vagy egy hálózati virtuális berendezést (NVA).

• Az Olyan Azure által biztosított funkciókkal, mint a Microsoft Defender a felhőbeli igény szerinti (JIT) hozzáféréssel és az Azure Bastion szolgáltatásaival biztonságossá teheti azt a virtuális gépet, amelyen az Oracle Database számítási feladat található.

• SSH-porttovábbítás használata X Windows rendszerhez és Virtual Network Computing (VNC) segédprogramokhoz az SSH-n keresztüli alagútkapcsolatokhoz. További információért tekintse meg a VNC-ügyfél megnyitására és az üzembe helyezés tesztelésére szolgáló példát.

• Az összes forgalmat egy központi virtuális hálózaton keresztül irányítsa úgy, hogy a virtuális gépeket egy, az internettől és a helyszíni hálózattól elkülönített dedikált alhálózatba helyezi.

Titkosítás használata az adatok védelméhez

Titkosítja az inaktív adatokat, amikor a tárolóba vannak írva az adatok védelme érdekében. Az adatok titkosítása során a jogosulatlan felhasználók nem tehetik közzé és nem módosíthatják azokat. Az adatokat csak az arra jogosult és hitelesített felhasználók tekinthetik meg vagy módosíthatják. A Microsoft Azure különböző adattárolási megoldásokat kínál, például fájl-, lemez- és blobtárolót a különböző igények kielégítéséhez. Ezek a tárolási megoldások titkosítási funkciókkal rendelkeznek az inaktív adatok védelméhez.

Az átvitel alatt lévő adatok titkosítása az egyik helyről a másikra , általában egy hálózati kapcsolaton keresztüli adatvédelem érdekében. A kapcsolat jellegétől függően különböző módszerekkel titkosíthatja az átvitel alatt álló adatokat. Az Azure számos mechanizmust kínál az adatok átvitelének privát állapotban tartására, miközben az egyik helyről a másikra kerül.

Javaslatok

• Ismerje meg, hogyan titkosítja a Microsoft az inaktív adatokat.

• Vegye figyelembe az Oracle Advanced Security funkcióit, amelyek közé tartozik a transzparens adattitkosítás (TDE) és az adatátadás.

• Kulcsok kezelése az Oracle Key Vault használatával. Ha az Oracle TDE-t extra titkosítási rétegként valósítja meg, vegye figyelembe, hogy az Oracle nem támogatja az Azure kulcskezelési megoldásait, például az Azure Key Vault vagy más felhőszolgáltatók kulcskezelési megoldásait. Az Oracle Wallet alapértelmezett helye az Oracle-adatbázis virtuális gép fájlrendszerében található. Az Oracle Key Vault azonban kulcskezelési megoldásként is használható az Azure-ban. További információ: Oracle-Key Vault kiépítése az Azure-ban.

• Ismerje meg, hogyan titkosítja a Microsoft az átvitt adatokat.

• Fontolja meg az Oracle natív hálózati titkosítási és adatintegritási funkció használatát. További információ: Az Oracle Database natív hálózati titkosításának és adatintegritásának konfigurálása.

Oracle Database auditnaplók integrálása

Az alkalmazásnapló monitorozása alapvető fontosságú a biztonsági fenyegetések alkalmazásszintű észleléséhez. Az Azure Sentinel egy natív felhőbeli biztonsági információ- és eseménykezelési (SIEM) megoldás, amely az Oracle számítási feladat biztonsági eseményeinek monitorozására használható.

További információ: Oracle Database audit-összekötő a Microsoft Sentinelhez.

Javaslatok

• Használja a Microsoft Sentinel megoldást Oracle Database számítási feladatokhoz. Az Oracle Database naplózási összekötője iparági szabványnak megfelelő syslog-felületet használ az Oracle Database auditrekordjainak lekéréséhez és az Azure Monitor-naplókba való betöltéséhez.

• Az Azure Sentinel használatával áttekintheti az alkalmazások, az Azure-infrastruktúra és a vendég operációs rendszerek naplózási rekordjait.

Következő lépés

Számítási feladatok monitorozása