Поделиться через

Оптимизация безопасности для рабочей нагрузки Oracle

Безопасность важна для любой архитектуры. Azure предлагает широкий спектр средств для эффективной защиты рабочей нагрузки Oracle. В этой статье описываются рекомендации по безопасности для плоскости управления Azure, связанной с рабочими нагрузками приложений Oracle, развернутыми на виртуальных машинах (виртуальных машинах) в Azure. Дополнительные сведения о функциях безопасности в Oracle Database см. в руководстве по безопасности Базы данных Oracle.

Большинство баз данных хранят конфиденциальные данные. Меры безопасности только на уровне базы данных недостаточны для защиты всей архитектуры, в которой будут размещаться эти рабочие нагрузки. Защита в глубине — это комплексный подход к безопасности, в котором реализуется несколько уровней механизмов защиты для защиты данных. Вы не полагаетесь на одну меру безопасности на определенном уровне, например механизмы безопасности сети. Используйте стратегию защиты в глубину, чтобы применить сочетание различных мер безопасности на разных уровнях для создания надежной защиты.

Вы можете разработать многоуровневый подход к защите для рабочих нагрузок Oracle, используя надежную систему проверки подлинности и авторизации, защищенную сетевую безопасность и шифрование данных в состоянии покоя и данных в процессе передачи. Вы можете развернуть загрузки Oracle на Azure как облачную модель инфраструктуры как услуги (IaaS). Вернитесь к матрице общей ответственности , чтобы лучше понять конкретные задачи и обязанности, назначенные поставщику облачных услуг и клиенту.

Вы должны периодически оценивать используемые службы и технологии, чтобы убедиться, что ваши меры безопасности соответствуют меняющемуся ландшафту угроз.

Используйте централизованное управление удостоверениями

Управление удостоверениями — это фундаментальная платформа, которая управляет доступом к важным ресурсам. Управление идентификацией становится критически важным при работе с различными сотрудниками, такими как стажеры, сотрудники на неполный рабочий день или сотрудники на полный рабочий день. Эти лица требуют различных уровней доступа, которые необходимо отслеживать, поддерживать и быстро отзывать по мере необходимости.

Ваша организация может повысить безопасность виртуальных машин Windows и Linux в Azure, интегрируя с идентификатором Microsoft Entra, которая является полностью управляемой службой управления удостоверениями и доступом.

Развертывание рабочих нагрузок в операционных системах Windows или Linux

Вы можете использовать идентификатор Microsoft Entra с единым входом (SSO) для доступа к приложениям Oracle и развертыванию баз данных Oracle в операционных системах Linux и операционных системах Windows. Интегрируйте операционную систему с идентификатором Microsoft Entra, чтобы повысить уровень безопасности.

Повышение безопасности рабочих нагрузок Oracle в Azure IaaS, обеспечивая защиту операционной системы, чтобы устранить уязвимости, которые злоумышленники могут использовать для вреда базе данных Oracle.

Дополнительные сведения об улучшении безопасности базы данных Oracle см. в рекомендациях по обеспечению безопасности рабочих нагрузок Oracle в акселераторе целевой зоны виртуальных машин Azure.

Рекомендации

  • Используйте пары ключей Secure Shell (SSH) для доступа к учетной записи Linux вместо паролей.

  • Отключите учетные записи Linux, защищенные паролем, и включите их только по запросу в течение короткого периода.

  • Отключите доступ для привилегированных учетных записей Linux, таких как корневые и учетные записи oracle, что позволяет войти только к персонализированным учетным записям.

  • Используйте sudo команду, чтобы предоставить доступ к привилегированным учетным записям Linux, таким как root и oracle, из пользовательских учетных записей, вместо непосредственного входа.

  • Убедитесь, что журналы аудита Linux и sudo журналы доступа записываются в журналы Azure Monitor с помощью служебной программы системного журнала Linux.

  • Примените исправления безопасности и исправления операционной системы и регулярно обновляйте обновления только из доверенных источников.

  • Реализуйте ограничения для ограничения доступа к операционной системе.

  • Ограничение несанкционированного доступа к серверам.

  • Управление доступом к серверу на уровне сети для повышения общей безопасности.

  • Рассмотрите возможность использования управляющей программы брандмауэра Linux в качестве дополнительного уровня защиты в дополнение к группам безопасности сети Azure (NSG).

  • Убедитесь, что управляющая программа брандмауэра Linux настроена для автоматического запуска.

  • Сканируйте сетевые порты прослушивания, чтобы определить потенциальные точки доступа. Используйте команду Linux netstat –l для перечисления этих портов. Убедитесь, что группы безопасности сети Azure или управляющая программа брандмауэра Linux управляют доступом к этим портам.

  • Настройте псевдонимы для потенциально разрушительных команд Linux, таких как rm и mv, чтобы заставить их работать в интерактивном режиме, чтобы вам было предложено хотя бы один раз перед выполнением необратимой команды. При необходимости расширенные пользователи знают, как удалить псевдонимы.

  • Настройте единые системные журналы базы данных Oracle, чтобы использовать служебную программу системного журнала Linux для отправки копий журналов аудита Oracle в журналы Azure Monitor.

Проектирование топологии сети

Топология сети является основным компонентом многоуровневого подхода к безопасности для рабочих нагрузок Oracle в Azure.

Поместите все облачные службы в одну виртуальную сеть и используйте группы безопасности Сети Azure для мониторинга и фильтрации трафика. Добавьте брандмауэр для защиты входящего трафика. Убедитесь, что вы выделяете и безопасно отделяете подсеть, в которой развертывается база данных из Интернета и локальная сеть. Оцените пользователей, имеющих внутренний и внешний доступ к базе данных, чтобы обеспечить надежную и безопасную топологию сети.

Для получения дополнительной информации о топологии сети и подключении см. раздел Топология сети и подключение для Oracle в целевой зоне ускорителя виртуальных машин Azure.

Рекомендации

  • Используйте группы безопасности сети Azure для фильтрации сетевого трафика между ресурсами Azure в виртуальной сети Azure и фильтрации трафика между локальными сетями и Azure.

  • Используйте брандмауэр Azure или сетевое виртуальное устройство (NVA) для защиты среды.

  • Защитите виртуальную машину, на которой находится нагрузка Oracle Database, от несанкционированного доступа с помощью предоставляемых Azure функций, таких как Microsoft Defender for Cloud для JIT-доступа и функционала Azure Bastion.

  • Используйте перенаправление портов SSH для служебных программ X Системы Windows и виртуальных сетевых вычислений (VNC) для туннелирования подключений через SSH. Дополнительные сведения см. в примере, который открывает клиент VNC и проверяет развертывание.

  • Перенаправляйте весь трафик через виртуальную сеть концентратора, размещая виртуальные машины в выделенной подсети, изолированной от Интернета и локальной сети.

Использование шифрования для защиты данных

Шифруйте данные в состоянии покоя при их записи в хранилище для защиты данных. При шифровании данных неавторизованные пользователи не могут предоставлять или изменять их. Только авторизованные и прошедшие проверку подлинности пользователи могут просматривать или изменять данные. Microsoft Azure предлагает различные решения для хранения данных, включая хранилище файлов, дисков и BLOB-объектов, в соответствии с различными потребностями. Эти решения хранилища имеют функции шифрования для защиты неактивных данных.

Шифрование передаваемых данных для защиты данных, перемещающихся из одного расположения в другое, обычно через сетевое подключение. Вы можете использовать различные методы для шифрования данных в транзитном режиме в зависимости от характера подключения. Azure предлагает множество механизмов хранения данных в закрытом режиме при переходе из одного расположения в другое.

Рекомендации

  • Узнайте, как корпорация Майкрософт шифрует неактивных данных.

  • Рассмотрим функции Oracle Advanced Security, которые включают прозрачное шифрование данных (TDE) и изменение данных.

  • Управление ключами с помощью Oracle Key Vault. Если вы реализуете Oracle TDE в качестве дополнительного уровня шифрования, обратите внимание, что Oracle не поддерживает решения по управлению ключами Azure, такие как Azure Key Vault или другие решения по управлению ключами поставщиков облачных служб. Расположение Oracle Wallet по умолчанию находится в файловой системе виртуальной машины базы данных Oracle. Однако вы можете использовать Oracle Key Vault в качестве решения для управления ключами в Azure. Дополнительные сведения см. в статье "Подготовка Oracle Key Vault" в Azure.

  • Узнайте, как корпорация Майкрософт шифрует данные при передаче.

  • Рекомендуется использовать функцию шифрования и целостности данных Oracle Native Network. Дополнительные сведения см. в статье о настройке шифрования собственных сетей Oracle Database и целостности данных.

Интеграция следов аудита Базы данных Oracle

Мониторинг журналов приложений является важным для обнаружения угроз безопасности на уровне приложения. Azure Sentinel — это облачное решение для управления безопасностью и событиями (SIEM), которое можно использовать для мониторинга событий безопасности рабочей нагрузки Oracle.

Дополнительные сведения см. в разделе Соединитель аудита Базы данных Oracle для Microsoft Sentinel.

Рекомендации

  • Используйте решение Microsoft Sentinel для рабочих нагрузок Базы данных Oracle. Коннектор аудита Oracle Database использует отраслевой стандартный интерфейс syslog для получения записей аудита Oracle Database и их передачи в журналы Azure Monitor.

  • Используйте Azure Sentinel для проверки записей аудита приложений, инфраструктуры Azure и гостевых операционных систем.

Следующий шаг

Мониторинг рабочих нагрузок