Optimera säkerheten för oracle-arbetsbelastningen

Säkerhet är avgörande för alla arkitekturer. Azure erbjuder ett omfattande utbud av verktyg för att effektivt skydda din Oracle-arbetsbelastning. Den här artikeln beskriver säkerhetsrekommendationer för Azure-kontrollplanet som är relaterat till Oracle-programarbetsbelastningar som distribueras på virtuella datorer (VM) i Azure. Mer information om säkerhetsfunktioner i Oracle Database finns i säkerhetsguiden för Oracle Database.

De flesta databaser lagrar känsliga data. Säkerhetsåtgärder endast på databasnivå räcker inte för att skydda hela arkitekturen där dessa arbetsbelastningar ska landas. Skydd på djupet är en heltäckande metod för säkerhet där du implementerar flera lager av försvarsmekanismer för att skydda data. Du förlitar dig inte på en enda säkerhetsåtgärd på en viss nivå, till exempel nätverkssäkerhetsmekanismer. Använd den djupgående försvarsstrategin för att använda en kombination av olika nivåsäkerhetsåtgärder för att skapa en robust säkerhetsstatus.

Du kan skapa en djupgående skyddsmetod för Oracle-arbetsbelastningar med hjälp av ett starkt ramverk för autentisering och auktorisering, förstärkt nätverkssäkerhet och kryptering av vilande data och data under överföring. Du kan distribuera Oracle-arbetsbelastningar som en IaaS-molnmodell (infrastruktur som en tjänst) i Azure. Gå tillbaka till matrisen för delat ansvar för att bättre förstå de specifika uppgifter och ansvarsområden som tilldelats molnleverantören och kunden.

Du bör regelbundet utvärdera de tjänster och tekniker som du använder för att säkerställa att dina säkerhetsåtgärder överensstämmer med det föränderliga hotlandskapet.

Använda centraliserad identitetshantering

Identitetshantering är ett grundläggande ramverk som styr åtkomsten till viktiga resurser. Identitetshantering blir avgörande när du arbetar med olika personal, till exempel tillfälliga praktikanter, deltidsanställda eller heltidsanställda. Dessa personer kräver olika åtkomstnivåer som du behöver för att övervaka, underhålla och omedelbart återkalla efter behov.

Din organisation kan förbättra säkerheten för virtuella Windows- och Linux-datorer i Azure genom att integrera med Microsoft Entra ID, vilket är en fullständigt hanterad tjänst för identitets- och åtkomsthantering.

Distribuera arbetsbelastningar i Windows- eller Linux-operativsystem

Du kan använda Microsoft Entra ID med enkel inloggning (SSO) för att få åtkomst till Oracle-program och distribuera Oracle-databaser på Linux-operativsystem och Windows-operativsystem. Integrera operativsystemet med Microsoft Entra ID för att förbättra dess säkerhetsstatus.

Förbättra säkerheten för dina Oracle-arbetsbelastningar på Azure IaaS genom att se till att du härdar operativsystemet för att eliminera sårbarheter som angripare kan utnyttja för att skada Oracle-databasen.

Mer information om hur du förbättrar Oracle Database-säkerheten finns i Säkerhetsriktlinjer för Oracle-arbetsbelastningar i Azure Virtual Machines accelerator för landningszoner.

Rekommendationer

• Använd SSH-nyckelpar (Secure Shell) för Åtkomst till Linux-konto i stället för lösenord.

• Inaktivera lösenordsskyddade Linux-konton och aktivera dem endast på begäran under en kort period.

• Inaktivera inloggningsåtkomst för privilegierade Linux-konton, till exempel rot- och oracle-konton, vilket endast tillåter inloggningsåtkomst till anpassade konton.

• sudo Använd kommandot för att ge åtkomst till privilegierade Linux-konton, till exempel rot- och oracle-konton, från anpassade konton i stället för en direkt inloggning.

• Se till att du samlar in Loggar för Linux-spårningsloggar och sudo åtkomstloggar till Azure Monitor-loggar med hjälp av syslog-verktyget Linux.

• Tillämpa säkerhetskorrigeringar och operativsystemkorrigeringar och uppdateringar regelbundet från betrodda källor.

• Implementera begränsningar för att begränsa åtkomsten till operativsystemet.

• Begränsa obehörig åtkomst till servrar.

• Kontrollera serveråtkomsten på nätverksnivå för att förbättra den övergripande säkerheten.

• Överväg att använda Linux-brandväggsdaemonen som ett extra skyddslager utöver Azure-nätverkssäkerhetsgrupper (NSG:er).

• Se till att du konfigurerar Linux-brandväggsdaemonen så att den körs automatiskt vid start.

• Genomsök nätverkslyssningsportar för att fastställa potentiella åtkomstpunkter. Använd Linux-kommandot netstat –l för att lista dessa portar. Kontrollera att antingen Azure NSG:er eller Linux-brandväggens daemon styr åtkomsten till dessa portar.

• Konfigurera alias för potentiellt destruktiva Linux-kommandon, till exempel rm och mv, för att tvinga dem att köras i interaktivt läge så att du uppmanas minst en gång innan ett oåterkalleligt kommando körs. Avancerade användare vet hur de ska ta bort aliasen om det behövs.

• Konfigurera Oracle-databasens enhetliga systemloggar för att använda Linux syslog-verktyget för att skicka kopior av Oracle-granskningsloggarna till Azure Monitor-loggar.

Utforma nätverkstopologin

Nätverkstopologi är den grundläggande komponenten i en säkerhetsmetod i flera lager för Oracle-arbetsbelastningar i Azure.

Placera alla molntjänster i ett enda virtuellt nätverk och använd Azure NSG:er för att övervaka och filtrera trafiken. Lägg till en brandvägg för att skydda inkommande trafik. Se till att du ägnar och på ett säkert sätt separerar undernätet där du distribuerar databasen från Internet och det lokala nätverket. Utvärdera användare som har intern och extern åtkomst till databasen för att säkerställa att nätverkstopologin är robust och säker.

Mer information om nätverkstopologi finns i Nätverkstopologi och anslutning för Oracle på Azure Virtual Machines accelerator för landningszoner.

Rekommendationer

• Använd Azure NSG:er för att filtrera nätverkstrafik mellan Azure-resurser i ett virtuellt Azure-nätverk och för att filtrera trafik mellan lokala nätverk och Azure.

• Använd Azure Firewall eller en virtuell nätverksinstallation (NVA) för att skydda din miljö.

• Skydda den virtuella dator där Oracle Database-arbetsbelastningen finns mot obehörig åtkomst med hjälp av Funktioner som tillhandahålls av Azure, till exempel Microsoft Defender för JIT-åtkomst (Just-in-time) för molnet och Azure Bastion-funktioner.

• Använd SSH-portvidarebefordring för X Windows System- och Virtual Network Computing-verktyg (VNC) till tunnelanslutningar via SSH. Mer information finns i ett exempel som öppnar en VNC-klient och testar en distribution.

• Dirigera all trafik via ett virtuellt navnätverk genom att placera virtuella datorer i ett dedikerat undernät som är isolerat från Internet och det lokala nätverket.

Använda kryptering för att skydda data

Kryptera vilande data när de skrivs till lagring för att skydda data. När du krypterar data kan obehöriga användare inte exponera eller ändra dem. Endast behöriga och autentiserade användare kan visa eller ändra data. Microsoft Azure erbjuder olika datalagringslösningar, inklusive fil-, disk- och bloblagring, för att uppfylla olika behov. Dessa lagringslösningar har krypteringsfunktioner för att skydda vilande data.

Kryptera data under överföring för att skydda data som flyttas från en plats till en annan, vanligtvis över en nätverksanslutning. Du kan använda olika metoder för att kryptera data under överföring beroende på anslutningens art. Azure erbjuder många mekanismer för att hålla data under överföring privata när de flyttas från en plats till en annan.

Rekommendationer

• Förstå hur Microsoft krypterar vilande data.

• Överväg funktionerna i Oracle Advanced Security, som omfattar transparent datakryptering (TDE) och dataredigering.

• Hantera nycklar med Oracle Key Vault. Om du implementerar Oracle TDE som ett extra krypteringslager bör du tänka på att Oracle inte stöder Azure-nyckelhanteringslösningar, till exempel Azure Key Vault eller andra molnleverantörers nyckelhanteringslösningar. Standardplatsen för Oracle Wallet finns i filsystemet för den virtuella Oracle-databasdatorn. Du kan dock använda Oracle Key Vault som en nyckelhanteringslösning i Azure. Mer information finns i Etablera Oracle Key Vault i Azure.

• Förstå hur Microsoft krypterar data under överföring.

• Överväg att använda oracle-funktionen inbyggd nätverkskryptering och dataintegritet. Mer information finns i Konfigurera inbyggd nätverkskryptering och dataintegritet i Oracle Database.

Integrera Oracle Database-granskningsloggar

Övervakning av programloggar är viktigt för att identifiera säkerhetshot på programnivå. Azure Sentinel är en molnbaserad lösning för säkerhetsinformation och händelsehantering (SIEM) som kan användas för att övervaka säkerhetshändelserna för din Oracle-arbetsbelastning.

Mer information finns i Oracle Database Audit Connector för Microsoft Sentinel.

Rekommendationer

• Använd Microsoft Sentinel-lösningen för Oracle Database-arbetsbelastningar. Oracle Database-granskningsanslutningsappen använder ett syslog-gränssnitt av branschstandard för att hämta Oracle Database-granskningsposter och mata in dem i Azure Monitor-loggar.

• Använd Azure Sentinel för att granska granskningsposter för program, Azure-infrastrukturen och gästoperativsystem.

Nästa steg

Övervaka arbetsbelastningar