Поделиться через

Оптимизация безопасности для рабочей нагрузки Oracle

  • Статья

Безопасность имеет решающее значение для любой архитектуры. Azure предлагает широкий спектр средств для эффективной защиты рабочей нагрузки Oracle. В этой статье описываются рекомендации по безопасности для уровня управления Azure, связанные с рабочими нагрузками приложений Oracle, развернутыми на виртуальных машинах в Azure. Дополнительные сведения о функциях безопасности в Oracle Database см. в руководстве по безопасности Базы данных Oracle.

В большинстве баз данных хранятся конфиденциальные данные. Мер безопасности только на уровне базы данных недостаточно для защиты всей архитектуры, в которой будут использоваться эти рабочие нагрузки. Глубокая защита — это комплексный подход к обеспечению безопасности, при котором реализуется несколько уровней механизмов защиты для защиты данных. Вы не полагаетесь на одну меру безопасности на определенном уровне, например механизмы безопасности сети. Используйте стратегию глубокой защиты, чтобы использовать сочетание различных мер безопасности уровня для создания надежного состояния безопасности.

Вы можете разработать подход к глубокой защите рабочих нагрузок Oracle, используя надежную платформу проверки подлинности и авторизации, усиленную сетевую безопасность и шифрование неактивных и передаваемых данных. Вы можете развернуть рабочие нагрузки Oracle как облачную модель инфраструктуры как услуги (IaaS) в Azure. Вернитесь к матрице общей ответственности , чтобы лучше понять конкретные задачи и обязанности, назначенные поставщику облачных служб и клиенту.

Следует периодически оценивать используемые службы и технологии, чтобы убедиться, что меры безопасности соответствуют изменяющемуся ландшафту угроз.

Использование централизованного управления удостоверениями

Управление удостоверениями — это фундаментальная платформа, которая управляет доступом к важным ресурсам. Управление удостоверениями становится критически важным при работе с различными сотрудниками, такими как временные стажеров, неполный рабочий день или полный рабочий день. Этим пользователям требуются различные уровни доступа, которые необходимо отслеживать, поддерживать и быстро отзывать по мере необходимости.

Ваша организация может повысить безопасность виртуальных машин Windows и Linux в Azure путем интеграции с Microsoft Entra ID, которая представляет собой полностью управляемую службу управления удостоверениями и доступом.

Развертывание рабочих нагрузок в операционных системах Windows или Linux

Вы можете использовать Microsoft Entra ID с единым входом для доступа к приложениям Oracle и развертывания баз данных Oracle в операционных системах Linux и Windows. Интегрируйте операционную систему с Microsoft Entra ID, чтобы повысить ее уровень безопасности.

Повысьте безопасность рабочих нагрузок Oracle в Azure IaaS, обеспечив защиту операционной системы, чтобы устранить уязвимости, которые злоумышленники могут использовать для нанесения ущерба базе данных Oracle.

Дополнительные сведения о том, как повысить безопасность Oracle Database, см. в статье Рекомендации по безопасности для рабочих нагрузок Oracle в Azure Виртуальные машины акселераторе целевой зоны.

Рекомендации

  • Используйте пары ключей Secure Shell (SSH) для доступа к учетной записи Linux вместо паролей.

  • Отключите защищенные паролем учетные записи Linux и включите их только по запросу на короткий период времени.

  • Отключите доступ к входу для привилегированных учетных записей Linux, таких как корневые учетные записи и учетные записи Oracle, что позволяет выполнять вход только для персонализированных учетных записей.

  • Используйте команду , sudo чтобы предоставить доступ к привилегированным учетным записям Linux, таким как корневые учетные записи и учетные записи oracle, из персонализированных учетных записей вместо прямого входа.

  • Убедитесь, что вы записываете журналы журнала аудита Linux и sudo журналы доступа к журналам Azure Monitor с помощью служебной программы системного журнала Linux.

  • Регулярно применяйте исправления для системы безопасности и исправления операционной системы только из надежных источников.

  • Реализуйте ограничения, чтобы ограничить доступ к операционной системе.

  • Ограничение несанкционированного доступа к серверам.

  • Управление доступом к серверу на уровне сети для повышения общей безопасности.

  • Рассмотрите возможность использования управляющей программы брандмауэра Linux в качестве дополнительного уровня защиты в дополнение к группам безопасности сети Azure (NSG).

  • Убедитесь, что управляющая программа брандмауэра Linux настроена для автоматического запуска при запуске.

  • Сканируйте порты прослушивания сети, чтобы определить потенциальные точки доступа. Используйте команду Linux netstat –l , чтобы получить список этих портов. Убедитесь, что группы безопасности сети Azure или управляющая программа брандмауэра Linux управляют доступом к этим портам.

  • Настройте псевдонимы для потенциально разрушительных команд Linux, таких как rm и mv, чтобы заставить их выполняться в интерактивном режиме, чтобы перед выполнением необратимой команды вам было предложено по крайней мере один раз. Опытные пользователи знают, как при необходимости удалить псевдонимы.

  • Настройте единые системные журналы базы данных Oracle, чтобы использовать служебную программу системного журнала Linux для отправки копий журналов аудита Oracle в журналы Azure Monitor.

Проектирование топологии сети

Топология сети является фундаментальным компонентом многоуровневого подхода к обеспечению безопасности рабочих нагрузок Oracle в Azure.

Разместите все облачные службы в одной виртуальной сети и используйте группы безопасности сети Azure для мониторинга и фильтрации трафика. Добавьте брандмауэр для защиты входящего трафика. Убедитесь, что вы выделяете и безопасно отделяете подсеть, в которой развертывается база данных, от Интернета и локальной сети. Оцените пользователей, имеющих внутренний и внешний доступ к базе данных, чтобы убедиться, что топология сети надежна и безопасна.

Дополнительные сведения о топологии сети см. в статье Топология сети и подключение для Oracle в Azure Виртуальные машины акселератор целевой зоны.

Рекомендации

  • Используйте группы безопасности сети Azure для фильтрации сетевого трафика между ресурсами Azure в виртуальной сети Azure и для фильтрации трафика между локальными сетями и Azure.

  • Используйте Брандмауэр Azure или сетевой виртуальный (модуль) (NVA) для защиты среды.

  • Защитите виртуальную машину, на которой находится рабочая нагрузка Oracle Database, от несанкционированного доступа, с помощью предоставляемых Azure функций, таких как JIT-доступ Microsoft Defender для облака и функции Бастиона Azure.

  • Используйте перенаправление портов SSH для служебных программ X Windows System и виртуальная сеть Computing (VNC) для туннелирования подключений через SSH. Дополнительные сведения см. в примере, который открывает клиент VNC и тестирует развертывание.

  • Направляя весь трафик через виртуальную сеть концентратора, разместив виртуальные машины в выделенной подсети, изолированной от Интернета и локальной сети.

Использование шифрования для защиты данных

Шифруйте неактивные данные при их записи в хранилище для защиты данных. При шифровании данных неавторизованные пользователи не могут предоставлять или изменять их. Просматривать или изменять данные могут только авторизованные и прошедшие проверку подлинности пользователи. Microsoft Azure предлагает различные решения для хранения данных, включая хранилище файлов, дисков и BLOB-объектов, для удовлетворения различных потребностей. Эти решения для хранения имеют функции шифрования для защиты неактивных данных.

Шифрование передаваемых данных для защиты данных, перемещающихся из одного расположения в другое, обычно через сетевое подключение. Для шифрования передаваемых данных можно использовать различные методы в зависимости от характера подключения. Azure предлагает множество механизмов для обеспечения конфиденциальности передаваемых данных при их перемещении из одного расположения в другое.

Рекомендации

  • Узнайте, как корпорация Майкрософт шифрует неактивные данные.

  • Рассмотрим функции Oracle Advanced Security, которые включают прозрачное шифрование данных (TDE) и скрытие данных.

  • Управление ключами с помощью Oracle Key Vault. Если вы реализуете Oracle TDE в качестве дополнительного уровня шифрования, обратите внимание, что Oracle не поддерживает решения по управлению ключами Azure, такие как Azure Key Vault, или решения по управлению ключами других поставщиков облачных служб. Расположение Oracle Wallet по умолчанию находится в файловой системе виртуальной машины базы данных Oracle. Однако вы можете использовать Oracle Key Vault в качестве решения для управления ключами в Azure. Дополнительные сведения см. в статье Подготовка Oracle Key Vault в Azure.

  • Узнайте, как корпорация Майкрософт шифрует данные при передаче.

  • Рассмотрите возможность использования функции Oracle Native Network Encryption and Data Integrity. Дополнительные сведения см. в разделе Configuring Oracle Database Native Network Encryption and Data Integrity.

Интеграция журналов аудита Oracle Database

Мониторинг журналов приложений необходим для обнаружения угроз безопасности на уровне приложения. Azure Sentinel — это облачное решение для управления информационной безопасностью и событиями безопасности (SIEM), которое можно использовать для мониторинга событий безопасности рабочей нагрузки Oracle.

Дополнительные сведения см. в статье Соединитель аудита Oracle Database для Microsoft Sentinel.

Рекомендации

  • Используйте решение Microsoft Sentinel для рабочих нагрузок Oracle Database. Соединитель аудита Oracle Database использует стандартный отраслевой интерфейс системного журнала для получения записей аудита Oracle Database и приема их в журналы Azure Monitor.

  • Используйте Azure Sentinel для просмотра записей аудита приложений, инфраструктуры Azure и гостевых операционных систем.

Следующий шаг

Мониторинг рабочих нагрузок