Share via

Wytyczne dotyczące zabezpieczeń obciążeń Oracle w akceleratorze strefy docelowej usługi Azure Virtual Machines

  • Artykuł

W tym artykule opisano sposób bezpiecznego uruchamiania obciążeń Oracle w akceleratorze strefy docelowej usługi Azure Virtual Machines na każdym etapie ich cyklu życia. W tym artykule omówiono konkretne składniki projektu i przedstawiono ukierunkowane sugestie dotyczące zabezpieczeń infrastruktury jako usługi (IaaS) platformy Azure dla obciążeń Oracle.

Omówienie

Zabezpieczenia są niezbędne dla każdej architektury. Platforma Azure oferuje szeroką gamę narzędzi, które ułatwiają efektywne zabezpieczanie obciążenia Oracle. Celem tego artykułu jest przedstawienie zaleceń dotyczących zabezpieczeń płaszczyzny sterowania platformy Azure związanych z obciążeniami aplikacji Oracle wdrożonych na maszynach wirtualnych. Aby uzyskać szczegółowe informacje i wytyczne dotyczące implementacji dotyczące środków zabezpieczeń w usłudze Oracle Database, zobacz Oracle Database security guide (Przewodnik po zabezpieczeniach bazy danych Oracle Database).

Większość baz danych przechowuje poufne dane. Zaimplementowanie zabezpieczeń tylko na poziomie bazy danych nie wystarczy, aby zabezpieczyć architekturę, w której są wdrażane te obciążenia. Ochrona w głębi systemu to kompleksowe podejście do zabezpieczeń, które implementuje wiele warstw mechanizmów obrony w celu ochrony danych. Zamiast polegać na jednej mierze zabezpieczeń na określonym poziomie, takich jak skupienie się tylko na mechanizmach zabezpieczeń sieci, strategia ochrony w głębi systemu korzysta z kombinacji różnych środków zabezpieczeń warstwy w celu utworzenia niezawodnego stanu zabezpieczeń. Możesz utworzyć architekturę podejścia do ochrony dla obciążeń Oracle przy użyciu silnego uwierzytelniania i struktury autoryzacji, zabezpieczeń sieci ze wzmocnionymi zabezpieczeniami i szyfrowania danych magazynowanych i przesyłanych danych.

Obciążenia Oracle można wdrażać jako model chmury IaaS na platformie Azure. Ponownie przejdź do macierzy wspólnej odpowiedzialności, aby lepiej zrozumieć konkretne zadania i obowiązki przypisane zarówno do dostawcy chmury, jak i klienta. Aby uzyskać więcej informacji, zobacz Wspólna odpowiedzialność w chmurze.

Należy okresowo oceniać usługi i technologie używane w celu zapewnienia, że środki bezpieczeństwa są zgodne ze zmieniającym się krajobrazem zagrożeń.

Korzystanie ze scentralizowanego zarządzania tożsamościami

Zarządzanie tożsamościami to podstawowa struktura, która zarządza dostępem do ważnych zasobów. Zarządzanie tożsamościami staje się krytyczne w przypadku pracy z różnymi typami personelu, takimi jak stażyści tymczasowi, pracownicy w niepełnym wymiarze godzin lub pracownicy pełnoetatowi. Pracownicy ci wymagają różnych poziomów dostępu, które muszą być monitorowane, utrzymywane i natychmiast odwołane w razie potrzeby. Istnieją cztery różne przypadki użycia zarządzania tożsamościami, które należy wziąć pod uwagę w przypadku obciążeń Oracle, a każdy przypadek użycia wymaga innego rozwiązania do zarządzania tożsamościami.

  • Aplikacje Oracle: użytkownicy mogą uzyskiwać dostęp do aplikacji Oracle bez konieczności ponownego wprowadzania poświadczeń po autoryzacji za pośrednictwem logowania jednokrotnego . Użyj integracji identyfikatora Entra firmy Microsoft, aby uzyskać dostęp do aplikacji Oracle. W poniższej tabeli wymieniono obsługiwaną strategię logowania jednokrotnego dla każdego rozwiązania Oracle.

    Aplikacja Oracle Łącze do dokumentu
    E-Business Suite (EBS) Włączanie logowania jednokrotnego dla ebs R12.2
    JD Edwards (JDE) Konfigurowanie logowania jednokrotnego JDE
    Osoby Soft Włączanie logowania jednokrotnego dla Osoby Soft
    Hyperion Dokumentacja pomocy technicznej oracle #2144637.1
    Siebel Dokumentacja pomocy technicznej oracle #2664515.1

  • Zabezpieczenia na poziomie systemu operacyjnego: obciążenia Oracle mogą działać w różnych wariantach systemu operacyjnego Linux lub systemu operacyjnego Windows. Organizacje mogą zwiększyć bezpieczeństwo maszyn wirtualnych z systemem Windows i Linux na platformie Azure, integrując je z identyfikatorem Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz:

  • Usługa Azure Key Vault do przechowywania poświadczeń: usługa Key Vault to zaawansowane narzędzie do obsługi aplikacji i usług w chmurze, których można użyć do zabezpieczania magazynu wpisów tajnych, takich jak hasła i parametry połączenia bazy danych. Za pomocą usługi Key Vault można przechowywać poświadczenia zarówno dla maszyn wirtualnych z systemem Windows , jak i Linux w sposób scentralizowany i bezpieczny, niezależnie od systemu operacyjnego.

    • Możesz uniknąć konieczności przechowywania poświadczeń w postaci zwykłego tekstu w kodzie lub plikach konfiguracji przy użyciu usługi Key Vault. Poświadczenia można pobrać ze środowiska uruchomieniowego usługi Key Vault, co dodaje dodatkową warstwę zabezpieczeń do aplikacji i pomaga zapobiec nieautoryzowanemu dostępowi do maszyn wirtualnych. Usługa Key Vault bezproblemowo integruje się z innymi usługami platformy Azure, takimi jak Virtual Machines, i możesz kontrolować dostęp do usługi Key Vault przy użyciu usługi Azure Active Directory (Azure AD). Ten proces gwarantuje, że tylko autoryzowani użytkownicy i aplikacje mogą uzyskiwać dostęp do przechowywanych poświadczeń.

  • Obrazy systemu operacyjnego ze wzmocnionymi zabezpieczeniami: obraz ze wzmocnionymi zabezpieczeniami usługi Center for Internet Security (CIS) dla systemu Windows lub Linux na platformie Azure ma wiele korzyści. Testy porównawcze CIS są powszechnie uznawane za najlepsze rozwiązania w zakresie zabezpieczania systemów i danych IT. Te obrazy są wstępnie skonfigurowane w celu spełnienia zaleceń dotyczących zabezpieczeń ciągłej integracji, co pozwala zaoszczędzić czas i nakład pracy w wzmacnianiu zabezpieczeń systemu operacyjnego. Obrazy systemu operacyjnego ze wzmocnionymi zabezpieczeniami mogą pomóc organizacjom poprawić poziom bezpieczeństwa i zapewnić zgodność ze strukturami zabezpieczeń, takimi jak National Institute of Standards and Technology (NIST) i Interconnect (PCI).

Wzmacnianie zabezpieczeń systemu operacyjnego

Upewnij się, że system operacyjny został wzmocniony, aby wyeliminować luki w zabezpieczeniach, które mogą zostać wykorzystane do ataku na bazę danych Oracle.

  • Użyj par kluczy protokołu Secure Shell (SSH) na potrzeby dostępu do konta systemu Linux zamiast haseł.
  • Wyłącz konta systemu Linux chronione hasłem i włącz je tylko na żądanie przez krótki okres.
  • Wyłącz dostęp logowania dla uprzywilejowanych kont systemu Linux (root lub Oracle), co umożliwia dostęp logowania tylko do spersonalizowanych kont.
  • Zamiast bezpośredniego dostępu do logowania, użyj programu sudo , aby udzielić dostępu uprzywilejowanym kontom systemu Linux z spersonalizowanych kont.
  • Przechwyć dzienniki dzienników inspekcji systemu Linux i dzienniki dostępu sudo w dziennikach usługi Azure Monitor przy użyciu narzędzia SYSLOG systemu Linux.
  • Stosowanie poprawek zabezpieczeń i poprawek systemu operacyjnego lub aktualizacji regularnie tylko z zaufanych źródeł.
  • Zaimplementuj ograniczenia, aby ograniczyć dostęp do systemu operacyjnego.
  • Ogranicz nieautoryzowany dostęp do serwera.
  • Kontrolowanie dostępu do serwera na poziomie sieci w celu zwiększenia ogólnego poziomu zabezpieczeń.
  • Rozważ użycie demona zapory systemu Linux na potrzeby ochrony lokalnej oprócz sieciowych grup zabezpieczeń platformy Azure.
  • Skonfiguruj demona zapory systemu Linux, aby był uruchamiany automatycznie podczas uruchamiania.
  • Skanuj porty sieciowe nasłuchiwane, aby zrozumieć potencjalne punkty dostępu i upewnij się, że sieciowe grupy zabezpieczeń platformy Azure lub demon zapory systemu Linux kontrolują dostęp do tych portów. Użyj polecenia netstat –l systemu Linux, aby znaleźć porty.
  • Alias potencjalnie destrukcyjne polecenia systemu Linux, takie jak rm i mv, w celu wymuszenia ich w trybie interaktywnym, aby monit był wyświetlany co najmniej raz przed wykonaniem nieodwracalnego polecenia. W razie potrzeby użytkownicy zaawansowani mogą uruchamiać polecenie unalias.
  • Skonfiguruj ujednolicone dzienniki systemowe bazy danych Oracle w celu wysyłania kopii dzienników inspekcji Oracle do dzienników usługi Azure Monitor przy użyciu narzędzia SYSLOG systemu Linux.

Korzystanie z zabezpieczeń sieci

Zabezpieczenia sieciowe to podstawowy składnik warstwowego podejścia zabezpieczeń dla obciążeń Oracle na platformie Azure.

  • Użyj sieciowych grup zabezpieczeń: możesz użyć sieciowej grupy zabezpieczeń platformy Azure do filtrowania ruchu sieciowego między zasobami platformy Azure w sieci wirtualnej platformy Azure. Sieciowa grupa zabezpieczeń zawiera reguły zabezpieczeń, które zezwalają na ruch sieciowy przychodzący do zasobów platformy Azure lub wychodzący ruch sieciowy z zasobów platformy Azure lub go odrzucają. Sieciowe grupy zabezpieczeń mogą filtrować ruch między sieciami lokalnymi do i z platformy Azure przy użyciu zakresów adresów IP i określonych portów. Aby uzyskać więcej informacji, zobacz Sieciowa grupa zabezpieczeń.

    W poniższej tabeli wymieniono przypisania portów przychodzących dla maszyn wirtualnych bazy danych Oracle:

    Protokół Numer portu Service name Komentarz
    TCP 22 SSH Port zarządzania dla maszyn wirtualnych z systemem Linux
    TCP 1521 Odbiornik usługi Oracle TNS Inne numery portów często używane do celów zabezpieczeń lub równoważenia obciążenia połączenia
    TCP 3389 RDP Port zarządzania dla maszyn wirtualnych z systemem Windows

  • Zdecyduj, jak nawiązać połączenie z maszyną wirtualną: maszyna wirtualna, na której znajduje się obciążenie bazy danych Oracle, musi być zabezpieczona przed nieautoryzowanym dostępem. Dostęp do zarządzania jest poufny ze względu na wyższe uprawnienia wymagane dla użytkowników zarządzania. Na platformie Azure autoryzowani użytkownicy mają kilka mechanizmów dostępnych do bezpiecznego zarządzania maszyną wirtualną.

    • Microsoft Defender dla Chmury dostęp just in time (JIT) sprawia, że inteligentne korzystanie z mechanizmów zabezpieczeń sieci platformy Azure zapewnia ograniczone czasowo możliwości dostępu do portów zarządzania na maszynie wirtualnej.
    • Azure Bastion to rozwiązanie platformy jako usługi (PaaS), które wdrażasz na platformie Azure. Usługa Azure Bastion hostuje pole przesiadkowe.

Możesz użyć dowolnego rozwiązania do zabezpieczenia zarządzania maszyną wirtualną bazy danych Oracle. W razie potrzeby można połączyć oba rozwiązania dla zaawansowanego podejścia wielowarstwowego.

Ogólnie rzecz biorąc, dostęp JIT minimalizuje, ale nie eliminuje narażenia na zagrożenia, ograniczając czas, w których porty zarządzania dla protokołu SSH lub RDP są dostępne. Dostęp JIT pozostawia otwartą możliwość dostępu przez inne sesje tailgating podczas uzyskanego okna JIT. Takie tailgaters nadal muszą przełamywać narażone porty SSH lub RDP, więc ryzyko narażenia jest niewielkie. Jednak takie ekspozycje mogą sprawić, że dostęp JIT będzie mniej smaczne do blokowania dostępu z otwartego Internetu.

Usługa Azure Bastion to zasadniczo wzmocniona skrzynka przesiadkowa, która ułatwia zapobieganie dostępowi z otwartego Internetu. Istnieje jednak wiele ograniczeń usługi Azure Bastion, które należy wziąć pod uwagę.

  • Korzystanie z systemów X-Windows i Virtual Networking Computing (VNC): oprogramowanie bazy danych Oracle zwykle wymaga użycia systemu X-Windows, ponieważ łączność między maszyną wirtualną z systemem Linux na platformie Azure a komputerem stacjonarnym lub laptopem może przechodzić przez zapory i sieciowe grupy zabezpieczeń platformy Azure. W związku z tym należy użyć przekierowania portów SSH do tunelowania połączeń X-Windows lub VNC za pośrednictwem protokołu SSH. Aby zapoznać się z przykładem używającym parametru -L 5901:localhost:5901 , zobacz Otwieranie klienta VNC i testowanie wdrożenia.

  • Opcje połączeń między chmurami: włącz łączność między obciążeniami bazy danych Oracle uruchamianymi na platformie Azure i obciążeniami w infrastrukturze Oracle Cloud Infrastructure (OCI). Możesz tworzyć łącza prywatne lub potoki między aplikacjami przy użyciu połączenia między platformą Azure lub OCI między określonymi regionami na platformie Azure i OCI. Aby uzyskać więcej informacji, zobacz Konfigurowanie bezpośredniego połączenia między platformą Azure i infrastrukturą Oracle Cloud Infrastructure. Ten artykuł nie obejmuje tworzenia zapór po obu stronach połączenia między platformą Azure lub OCI, co jest ogólnie wymagane w przypadku dowolnego ruchu przychodzącego lub wychodzącego w chmurach. To podejście stosuje zalecenia dotyczące sieci firmy Microsoft Zero Trust.

Zabezpieczenia oparte na zasadach platformy Azure

Nie ma określonych wbudowanych definicji zasad platformy Azure dla obciążeń Oracle w akceleratorze strefy docelowej usługi Virtual Machines. Jednak usługa Azure Policy oferuje kompleksowy zakres podstawowych zasobów, które są używane przez dowolne rozwiązanie Oracle na platformie Azure, w tym maszyny wirtualne, magazyn i sieć. Aby uzyskać więcej informacji, zobacz Wbudowane definicje zasad usługi Azure Policy.

Możesz również utworzyć zasady niestandardowe, aby spełnić wymagania organizacji, aby wypełnić lukę. Na przykład użyj niestandardowych zasad Oracle, aby wymusić szyfrowanie magazynu, zarządzać regułami sieciowej grupy zabezpieczeń lub uniemożliwiać przypisywanie publicznego adresu IP do maszyny wirtualnej Oracle.

Używanie szyfrowania do przechowywania danych

  • Szyfruj dane podczas przesyłania: dotyczy stanu danych przenoszonych z jednej lokalizacji do innej i zwykle przez połączenie sieciowe. Dane przesyłane mogą być szyfrowane na kilka sposobów, w zależności od charakteru połączenia. Domyślnie należy ręcznie włączyć szyfrowanie danych dla danych przesyłanych w centrach danych platformy Azure. Aby uzyskać więcej informacji w dokumentacji platformy Azure, zobacz Szyfrowanie danych przesyłanych.

  • Szyfruj dane magazynowane: musisz również chronić dane podczas zapisywania ich w magazynie, gdy są przechowywane. Poufne dane mogą być ujawniane lub zmieniane po usunięciu lub korzystaniu z nośnika magazynu. W związku z tym dane powinny być szyfrowane w celu zapewnienia, że tylko autoryzowani i uwierzytelnieni użytkownicy mogą je wyświetlać lub modyfikować. Platforma Azure udostępnia trzy warstwy szyfrowania magazynowanych.

    • Wszystkie dane są szyfrowane na najniższym poziomie, gdy są utrwalane na dowolnym urządzeniu usługi Azure Storage z szyfrowaniem po stronie usługi Storage. Szyfrowanie po stronie usługi gwarantuje, że nie jest konieczne wymazywanie ani niszczenie nośnika magazynu po zakończeniu korzystania z magazynu przez dzierżawę platformy Azure. Dane, które są zawsze szyfrowane w spoczynku, mogą zostać trwale utracone, jeśli klucz zarządzany przez platformę zostanie odrzucony. Szyfrowanie po stronie usługi jest szybsze i bezpieczniejsze niż próba usunięcia wszystkich danych z magazynu.
    • Platforma Azure umożliwia również podwójne szyfrowanie przechowywanych danych wewnątrz infrastruktury magazynu przy użyciu szyfrowania infrastruktury magazynu, które używa dwóch oddzielnych kluczy zarządzanych przez platformę.
    • Ponadto szyfrowanie dysków platformy Azure to szyfrowanie danych magazynowanych, które jest zarządzane w systemie operacyjnym gościa (Funkcja BitLocker dla systemów Windows i DM-CRYPT dla systemu Linux).

Infrastruktura magazynu ma maksymalnie trzy możliwe warstwy szyfrowania danych magazynowanych. Jeśli masz opcję Oracle Advanced Security, baza danych Oracle może również szyfrować pliki bazy danych za pomocą przezroczystego szyfrowania danych (TDE) i zapewnić inny poziom szyfrowania magazynowanych.

Opcja Oracle Advanced Security oferuje również funkcję o nazwie redaction danych, która jest formą dynamicznego maskowania danych. Gdy baza danych pobiera dane, maskuje wartość danych bez zmiany przechowywanej wartości danych.

Te wiele warstw szyfrowania magazynowanych reprezentuje bardzo definicję ochrony w głębi systemu. Jeśli z jakiegoś powodu naruszono jedną z form szyfrowania magazynowanego, nadal istnieją inne warstwy szyfrowania w celu ochrony danych.

  • Zarządzanie kluczami: jeśli implementujesz funkcję Oracle TDE jako inną warstwę szyfrowania, należy pamiętać, że firma Oracle nie obsługuje natywnych rozwiązań do zarządzania kluczami, takich jak usługa Key Vault, zapewniana przez platformę Azure lub innych dostawców usług w chmurze. Zamiast tego domyślna lokalizacja portfela Oracle znajduje się w systemie plików maszyny wirtualnej bazy danych Oracle.

Aby uzyskać więcej informacji, zobacz Aprowizowanie usługi Oracle Key Vault na platformie Azure , aby dowiedzieć się, jak używać usługi Oracle Key Vault jako rozwiązania do zarządzania kluczami platformy Azure.

Integrowanie dzienników inspekcji

Monitorowanie dzienników aplikacji jest niezbędne do wykrywania zagrożeń bezpieczeństwa na poziomie aplikacji. Użyj rozwiązania Microsoft Sentinel dla obciążeń bazy danych Oracle. Łącznik inspekcji bazy danych Oracle pobiera i pozyskiwa wszystkie rekordy inspekcji bazy danych Oracle do dzienników usługi Azure Monitor przy użyciu standardowego interfejsu SYSLOG w branży. Ten proces umożliwia przejrzenie tych rekordów wraz z rekordami inspekcji infrastruktury platformy Azure i rekordami inspekcji systemu operacyjnego gościa (Linux lub Windows). Rozwiązanie usługi Microsoft Sentinel to natywne dla chmury rozwiązanie do zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), które jest tworzone dla obciążenia Oracle działającego na maszynie wirtualnej z systemem Linux lub Windows. Aby uzyskać więcej informacji, zobacz Łącznik inspekcji bazy danych Oracle dla usługi Microsoft Sentinel.

Następny krok

Aby dowiedzieć się, jak planować wymagania dotyczące pojemności dla obciążeń Oracle na platformie Azure, zobacz Planowanie pojemności migracji obciążeń Oracle do stref docelowych platformy Azure.