Oracle 워크로드에 대한 보안 최적화

보안은 모든 아키텍처에 매우 중요합니다. Azure는 Oracle 워크로드를 효과적으로 보호하기 위한 포괄적인 도구 범위를 제공합니다. 이 문서에서는 Azure의 VM(가상 머신)에 배포된 Oracle 애플리케이션 워크로드와 관련된 Azure 컨트롤 플레인에 대한 보안 권장 사항을 설명합니다. Oracle Database의 보안 기능에 대한 자세한 내용은 Oracle Database 보안 가이드를 참조하세요.

대부분의 데이터베이스는 중요한 데이터를 저장합니다. 데이터베이스 수준에서만 보안 조치는 이러한 워크로드를 배치할 전체 아키텍처를 보호하는 데 충분하지 않습니다. 심층 방어는 데이터를 보호하기 위해 여러 계층의 방어 메커니즘을 구현하는 포괄적인 보안 접근 방식입니다. 네트워크 보안 메커니즘과 같은 특정 수준에서 단일 보안 조치를 사용하지 않습니다. 심층 방어 전략을 사용하여 다양한 계층 보안 조치의 조합을 사용하여 강력한 보안 태세를 만듭니다.

강력한 인증 및 권한 부여 프레임워크, 강화된 네트워크 보안 및 미사용 데이터 및 전송 중인 데이터의 암호화를 사용하여 Oracle 워크로드에 대한 심층 방어 접근 방식을 설계할 수 있습니다. Azure에서 Oracle 워크로드를 IaaS(Infrastructure as a Service) 클라우드 모델로 배포할 수 있습니다. 공유 책임 매트릭스를 다시 검토하여 클라우드 공급자와 고객에게 할당된 특정 작업 및 책임을 더 잘 이해합니다.

보안 조치가 변화하는 위협 환경에 부합하는지 확인하기 위해 사용하는 서비스 및 기술을 주기적으로 평가해야 합니다.

중앙 집중식 ID 관리 사용

ID 관리는 중요한 리소스에 대한 액세스를 제어하는 기본 프레임워크입니다. 임시 인턴, 파트타임 직원 또는 정규직 직원과 같은 다양한 직원과 함께 작업할 때 ID 관리가 중요합니다. 이러한 개인은 필요에 따라 모니터링, 유지 관리 및 즉시 해지해야 하는 다양한 수준의 액세스 권한이 필요합니다.

organization 완전히 관리되는 ID 및 액세스 관리 서비스인 Microsoft Entra ID 통합하여 Azure에서 Windows 및 Linux VM의 보안을 향상시킬 수 있습니다.

Windows 또는 Linux 운영 체제에 워크로드 배포

SSO(Single Sign-On)와 함께 Microsoft Entra ID 사용하여 Oracle 애플리케이션에 액세스하고 Linux 운영 체제 및 Windows 운영 체제에 Oracle 데이터베이스를 배포할 수 있습니다. 운영 체제를 Microsoft Entra ID 통합하여 보안 태세를 강화합니다.

공격자가 Oracle 데이터베이스에 해를 끼치기 위해 악용할 수 있는 취약성을 제거하기 위해 운영 체제를 강화하여 Azure IaaS에서 Oracle 워크로드의 보안을 개선합니다.

Oracle Database 보안을 개선하는 방법에 대한 자세한 내용은 Azure Virtual Machines 랜딩 존 가속기에서 Oracle 워크로드에 대한 보안 지침을 참조하세요.

권장 사항

• 암호 대신 Linux 계정 액세스에 SSH(Secure Shell) 키 쌍을 사용합니다.

• 암호로 보호되는 Linux 계정을 사용하지 않도록 설정하고 짧은 기간 동안 요청에 대해서만 사용하도록 설정합니다.

• 루트 및 oracle 계정과 같은 권한 있는 Linux 계정에 대한 로그인 액세스를 사용하지 않도록 설정하면 개인 설정된 계정에만 로그인할 수 있습니다.

• sudo 명령을 사용하여 직접 로그인 대신 개인 설정된 계정에서 루트 및 oracle 계정과 같은 권한 있는 Linux 계정에 대한 액세스 권한을 부여합니다.

• Linux syslog 유틸리티를 사용하여 Linux 감사 추적 로그 및 sudo 액세스 로그를 Azure Monitor 로그에 캡처해야 합니다.

• 신뢰할 수 있는 원본에서만 보안 패치 및 운영 체제 패치 및 업데이트를 정기적으로 적용합니다.

• 운영 체제에 대한 액세스를 제한하는 제한을 구현합니다.

• 서버에 대한 무단 액세스를 제한합니다.

• 네트워크 수준에서 서버 액세스를 제어하여 전반적인 보안을 강화합니다.

• Linux 방화벽 디먼을 Azure NSG(네트워크 보안 그룹) 외에도 추가 보호 계층으로 사용하는 것이 좋습니다.

• 시작 시 자동으로 실행되도록 Linux 방화벽 디먼을 구성해야 합니다.

• 네트워크 수신 대기 포트를 검사하여 잠재적인 액세스 지점을 확인합니다. Linux netstat –l 명령을 사용하여 해당 포트를 나열합니다. Azure NSG 또는 Linux 방화벽 디먼이 해당 포트에 대한 액세스를 제어하는지 확인합니다.

• 및 와 mv같이 rm 잠재적으로 파괴적인 Linux 명령에 대한 별칭을 설정하여 되돌릴 수 없는 명령을 실행하기 전에 적어도 한 번 이상 메시지가 표시되도록 대화형 모드에서 실행하도록 합니다. 고급 사용자는 필요한 경우 별칭을 제거하는 방법을 알고 있습니다.

• Linux syslog 유틸리티를 사용하여 Oracle 감사 로그의 복사본을 Azure Monitor 로그로 보내도록 Oracle 데이터베이스 통합 시스템 로그를 구성합니다.

네트워크 토폴로지 디자인

네트워크 토폴로지는 Azure의 Oracle 워크로드에 대한 계층화된 보안 접근 방식의 기본 구성 요소입니다.

모든 클라우드 서비스를 단일 가상 네트워크에 배치하고 Azure NSG를 사용하여 트래픽을 모니터링하고 필터링합니다. 들어오는 트래픽을 보호하기 위해 방화벽을 추가합니다. 데이터베이스를 인터넷 및 온-프레미스 네트워크에서 배포하는 서브넷을 바치고 안전하게 분리해야 합니다. 내부 및 외부에서 데이터베이스에 액세스하는 사용자를 평가하여 네트워크 토폴로지의 견고하고 안전한지 확인합니다.

네트워크 토폴로지에 대한 자세한 내용은 Azure Virtual Machines 랜딩 존 가속기에서 Oracle에 대한 네트워크 토폴로지 및 연결을 참조하세요.

권장 사항

• Azure NSG를 사용하여 Azure 가상 네트워크의 Azure 리소스 간에 네트워크 트래픽을 필터링하고 온-프레미스 네트워크와 Azure 간의 트래픽을 필터링합니다.

• Azure Firewall 또는 NVA(네트워크 가상 어플라이언스)를 사용하여 환경을 보호합니다.

• AZURE 제공 기능(예: MICROSOFT DEFENDER for Cloud JIT(Just-In-Time) 액세스 및 Azure Bastion 기능을 사용하여 Oracle Database 워크로드가 무단 액세스에 대해 상주하는 VM을 보호합니다.

• X Windows 시스템 및 Virtual Network 컴퓨팅(VNC) 유틸리티에 대한 SSH 포트 전달을 사용하여 SSH를 통해 연결을 터널링합니다. 자세한 내용은 VNC 클라이언트를 열고 배포를 테스트하는 예제를 참조하세요.

• 인터넷 및 온-프레미스 네트워크에서 격리된 전용 서브넷에 VM을 배치하여 허브 가상 네트워크를 통해 모든 트래픽을 전달합니다.

암호화를 사용하여 데이터 보호

데이터를 보호하기 위해 스토리지에 기록된 미사용 데이터를 암호화합니다. 데이터를 암호화할 때 권한이 없는 사용자는 데이터를 노출하거나 변경할 수 없습니다. 권한 있는 사용자와 인증된 사용자만 데이터를 보거나 수정할 수 있습니다. Microsoft Azure는 다양한 요구 사항을 충족하기 위해 파일, 디스크 및 Blob Storage를 비롯한 다양한 데이터 스토리지 솔루션을 제공합니다. 이러한 스토리지 솔루션에는 미사용 데이터를 보호하는 암호화 기능이 있습니다.

전송 중인 데이터를 암호화하여 일반적으로 네트워크 연결을 통해 한 위치에서 다른 위치로 이동하는 데이터를 보호합니다. 다양한 방법을 사용하여 연결의 특성에 따라 전송 중인 데이터를 암호화할 수 있습니다. Azure는 데이터를 한 위치에서 다른 위치로 이동할 때 전송 중인 데이터를 비공개로 유지하기 위한 여러 메커니즘을 제공합니다.

권장 사항

• Microsoft 가 미사용 데이터를 암호화하는 방법을 이해합니다.

• TDE(투명한 데이터 암호화) 및 데이터 수정을 포함하는 Oracle Advanced Security의 기능을 고려합니다.

• Oracle Key Vault 사용하여 키를 관리합니다. Oracle TDE를 추가 암호화 계층으로 구현하는 경우 Oracle은 Azure Key Vault 또는 다른 클라우드 공급자의 키 관리 솔루션과 같은 Azure 키 관리 솔루션을 지원하지 않습니다. 기본 Oracle Wallet 위치는 Oracle 데이터베이스 VM의 파일 시스템에 있습니다. 그러나 Oracle Key Vault Azure의 키 관리 솔루션으로 사용할 수 있습니다. 자세한 내용은 Azure에서 Oracle Key Vault 프로비전을 참조하세요.

• Microsoft 가 전송 중인 데이터를 암호화하는 방법을 이해합니다.

• Oracle 네이티브 네트워크 암호화 및 데이터 무결성 기능을 사용하는 것이 좋습니다. 자세한 내용은 Oracle Database 네이티브 네트워크 암호화 및 데이터 무결성 구성을 참조하세요.

Oracle Database 감사 추적 통합

애플리케이션 로그 모니터링은 애플리케이션 수준에서 보안 위협을 검색하는 데 필수적입니다. Azure Sentinel은 Oracle 워크로드의 보안 이벤트를 모니터링하는 데 사용할 수 있는 클라우드 네이티브 SIEM(보안 정보 및 이벤트 관리) 솔루션입니다.

자세한 내용은 Microsoft Sentinel용 Oracle Database 감사 커넥터를 참조하세요.

권장 사항

• Oracle 데이터베이스 워크로드에 Microsoft Sentinel 솔루션을 사용합니다. Oracle Database 감사 커넥터는 업계 표준 syslog 인터페이스를 사용하여 Oracle Database 감사 레코드를 검색하고 Azure Monitor 로그에 수집합니다.

• Azure Sentinel을 사용하여 애플리케이션, Azure 인프라 및 게스트 운영 체제의 감사 레코드를 검토합니다.

다음 단계

워크로드 모니터링