Dela via

Säkerhetsriktlinjer för Oracle-arbetsbelastningar på Azure Virtual Machines-accelerator för landningszoner

  • Artikel

Den här artikeln beskriver hur du på ett säkert sätt kör Oracle-arbetsbelastningar på Azure Virtual Machines-acceleratorn för landningszoner i varje steg i livscykeln. Artikeln beskriver specifika designkomponenter och innehåller fokuserade förslag på säkerhet för Azure-infrastruktur som en tjänst (IaaS) för Oracle-arbetsbelastningar.

Översikt

Säkerhet är viktigt för alla arkitekturer. Azure erbjuder ett omfattande utbud av verktyg som hjälper dig att effektivt skydda din Oracle-arbetsbelastning. Syftet med den här artikeln är att tillhandahålla säkerhetsrekommendationer för Azure-kontrollplanet som är relaterat till Oracle-programarbetsbelastningar som distribueras på virtuella datorer. Detaljerad information och implementeringsriktlinjer för säkerhetsåtgärder i Oracle Database finns i Säkerhetsguide för Oracle Database.

De flesta databaser lagrar känsliga data. Det räcker inte att bara implementera säkerhet på databasnivå för att skydda arkitekturen där du distribuerar dessa arbetsbelastningar. Skydd på djupet är en omfattande metod för säkerhet som implementerar flera lager av försvarsmekanismer för att skydda data. I stället för att förlita sig på en enda säkerhetsåtgärd på en viss nivå, till exempel att bara fokusera på nätverkssäkerhetsmekanismer, använder den djupgående försvarsstrategin en kombination av olika nivåsäkerhetsåtgärder för att skapa en robust säkerhetsstatus. Du kan utforma den djupgående försvarsmetoden för Oracle-arbetsbelastningar med hjälp av ett starkt ramverk för autentisering och auktorisering, förstärkt nätverkssäkerhet och kryptering av vilande data och data under överföring.

Du kan distribuera Oracle-arbetsbelastningar som en IaaS-molnmodell i Azure. Gå tillbaka till matrisen för delat ansvar för att få en tydligare förståelse för de specifika uppgifter och ansvarsområden som tilldelats både molnleverantören och kunden. Mer information finns i Delat ansvar i molnet.

Du bör regelbundet utvärdera de tjänster och tekniker som du använder för att säkerställa att dina säkerhetsåtgärder överensstämmer med det föränderliga hotlandskapet.

Använda centraliserad identitetshantering

Identitetshantering är ett grundläggande ramverk som styr åtkomsten till viktiga resurser. Identitetshantering blir avgörande när du arbetar med olika typer av personal, till exempel tillfälliga praktikanter, deltidsanställda eller heltidsanställda. Den här personalen kräver olika åtkomstnivåer som måste övervakas, underhållas och omedelbart återkallas efter behov. Det finns fyra olika användningsfall för identitetshantering att överväga för dina Oracle-arbetsbelastningar, och varje användningsfall kräver en annan lösning för identitetshantering.

  • Oracle-program: Användare kan komma åt Oracle-program utan att behöva ange sina autentiseringsuppgifter igen när de har auktoriserats via enkel inloggning (SSO). Använd Microsoft Entra ID-integrering för att få åtkomst till Oracle-program. I följande tabell visas den SSO-strategi som stöds för varje Oracle-lösning.

    Oracle-program Länka till dokument
    E-Business Suite (EBS) Aktivera enkel inloggning för EBS R12.2
    JD Edwards (JDE) Konfigurera JDE SSO
    Personer Soft Aktivera enkel inloggning för Personer Soft
    Hyperion Oracle-supportdokument #2144637.1
    Siebel Oracle-supportdokument #2664515.1

  • Säkerhet på operativsystemnivå: Oracle-arbetsbelastningar kan köras på olika varianter av Linux-operativsystemet eller Windows-operativsystemet. Organisationer kan förbättra säkerheten för sina virtuella Windows- och Linux-datorer i Azure genom att integrera dem med Microsoft Entra-ID. Mer information finns i:

  • Azure Key Vault för att lagra autentiseringsuppgifter: Key Vault är ett kraftfullt verktyg för molnprogram och tjänster som du kan använda för att skydda lagring av hemligheter, till exempel lösenord och databas anslutningssträng. Du kan använda Key Vault för att lagra autentiseringsuppgifter för både virtuella Windows - och Linux-datorer på ett centraliserat och säkert sätt, oavsett operativsystem.

    • Du kan undvika behovet av att lagra autentiseringsuppgifter i oformaterad text i koden eller konfigurationsfilerna med hjälp av Key Vault. Du kan hämta autentiseringsuppgifterna från Key Vault vid körning, vilket lägger till ytterligare ett säkerhetslager i ditt program och hjälper till att förhindra obehörig åtkomst till dina virtuella datorer. Key Vault integreras sömlöst med andra Azure-tjänster, till exempel virtuella datorer, och du kan styra åtkomsten till Key Vault med hjälp av Azure Active Directory (Azure AD). Den här processen säkerställer att endast behöriga användare och program kan komma åt de lagrade autentiseringsuppgifterna.

  • Härdade OS-avbildningar: En CIS-förstärkt avbildning (Center for Internet Security) för Windows eller Linux i Azure har flera fördelar. CIS-riktmärken är globalt erkända som bästa praxis för att skydda IT-system och data. Dessa avbildningar är förkonfigurerade för att uppfylla säkerhetsrekommendationerna i CIS, vilket kan spara tid och arbete med att härda operativsystemet. Härdade OS-avbildningar kan hjälpa organisationer att förbättra sin säkerhetsstatus och följa säkerhetsramverk som National Institute of Standards and Technology (NIST) och PcI (Peripheral Component Interconnect).

Härda operativsystemet

Se till att operativsystemet är härdat för att eliminera sårbarheter som kan utnyttjas för att attackera Oracle-databasen.

  • Använd SSH-nyckelpar (Secure Shell) för Åtkomst till Linux-konto i stället för lösenord.
  • Inaktivera lösenordsskyddade Linux-konton och aktivera dem endast på begäran under en kort period.
  • Inaktivera inloggningsåtkomst för privilegierade Linux-konton (rot eller Oracle), vilket endast tillåter inloggningsåtkomst till anpassade konton.
  • I stället för direkt inloggningsåtkomst använder du sudo för att bevilja åtkomst till privilegierade Linux-konton från anpassade konton.
  • Samla in Linux-spårningsloggar och sudo-åtkomstloggar i Azure Monitor-loggar med hjälp av Linux SYSLOG-verktyget.
  • Tillämpa säkerhetskorrigeringar och os-korrigeringar eller uppdateringar regelbundet endast från betrodda källor.
  • Implementera begränsningar för att begränsa åtkomsten till operativsystemet.
  • Begränsa obehörig åtkomst till servern.
  • Kontrollera serveråtkomsten på nätverksnivå för att förbättra den övergripande säkerheten.
  • Överväg att använda Linux-brandväggens daemon för lokalt skydd utöver Azure-nätverkssäkerhetsgrupper (NSG:er).
  • Konfigurera Daemon för Linux-brandväggen så att den körs automatiskt vid start.
  • Genomsök nätverksportar som lyssnar på för att förstå de potentiella åtkomstpunkterna och se till att antingen Azure NSG:er eller Linux-brandväggsdaemon styr åtkomsten till dessa portar. Använd Linux-kommandot netstat –l för att hitta portarna.
  • Alias potentiellt destruktiva Linux-kommandon, till exempel rm och mv, för att tvinga dem till interaktivt läge så att du uppmanas minst en gång innan ett oåterkalleligt kommando utförs. Avancerade användare kan köra ett unalias-kommando om det behövs.
  • Konfigurera oracle-databasens enhetliga systemloggar för att skicka kopior av Oracle-granskningsloggarna till Azure Monitor-loggar med hjälp av Linux SYSLOG-verktyget.

Använda nätverkssäkerhet

Nätverkssäkerhet är den grundläggande komponenten i en skiktad säkerhetsmetod för Oracle-arbetsbelastningar i Azure.

  • Använd NSG:er: Du kan använda en Azure NSG för att filtrera nätverkstrafik mellan Azure-resurser i ett virtuellt Azure-nätverk. En nätverkssäkerhetsgrupp innehåller säkerhetsregler som tillåter eller nekar inkommande nätverkstrafik till Azure-resurser eller utgående nätverkstrafik från Azure-resurser. NSG:er kan filtrera trafiken mellan lokala nätverk till och från Azure med hjälp av IP-adressintervall och specifika portar. Mer information finns i Nätverkssäkerhetsgrupp.

    I följande tabell visas inkommande porttilldelningar för virtuella Oracle-databasdatorer:

    Protokoll Portnummer Servicenamn Kommentar
    TCP 22 SSH Hanteringsport för virtuella Linux-datorer
    TCP 1521 Oracle TNS-lyssnare Andra portnummer som används ofta för säkerhetsändamål eller för belastningsutjämning av anslutningar
    TCP 3389 RDP Hanteringsport för virtuella Windows-datorer

  • Bestäm hur du ska ansluta till den virtuella datorn: Den virtuella dator där Oracle-databasarbetsbelastningen finns måste skyddas mot obehörig åtkomst. Hanteringsåtkomsten är känslig på grund av de högre behörigheter som krävs för hanteringsanvändare. I Azure har behöriga användare flera tillgängliga mekanismer för att hantera den virtuella datorn på ett säkert sätt.

    • Microsoft Defender för molnet just-in-time-åtkomst (JIT) använder Azures nätverkssäkerhetsmekanismer på ett intelligent sätt för att ge tidsbegränsade möjligheter att komma åt hanteringsportarna på den virtuella datorn.
    • Azure Bastion är en PaaS-lösning (plattform som en tjänst) som du distribuerar i Azure. Azure Bastion är värd för en jump box.

Du kan använda någon av lösningarna för att skydda hanteringen av den virtuella Oracle-databasdatorn. Om du vill kan du kombinera båda lösningarna för en avancerad metod med flera lager.

I allmänhet minimerar JIT-åtkomsten men eliminerar inte exponering för risker genom att begränsa de tider då hanteringsportar för SSH eller RDP är tillgängliga. JIT lämnar möjligheten öppen för åtkomst av andra sessioner tailgating under ett erhållet JIT-fönster. Sådana tailgaters måste fortfarande bryta sig förbi de exponerade SSH- eller RDP-portarna, så exponeringsrisken är liten. Sådana exponeringar kan dock göra JIT-åtkomsten mindre tilltalande för att blockera åtkomst från det öppna Internet.

Azure Bastion är i grunden en förstärkt jump box som hjälper till att förhindra åtkomst från det öppna Internet. Det finns dock många begränsningar för Azure Bastion som du kan överväga.

  • Använd X-Windows och virtual networking computing (VNC): Oracle-databasprogramvara kräver vanligtvis att du använder X-Windows eftersom anslutningen mellan den virtuella Linux-datorn i Azure och din stationära eller bärbara dator kan passera över brandväggar och Azure NSG:er. Därför bör du använda SSH-portvidarebefordring för att tunnelbelägga X-Windows- eller VNC-anslutningar via SSH. Ett exempel som använder parametern -L 5901:localhost:5901 finns i Öppna en VNC-klient och testa distributionen.

  • Alternativ för korsmolnanslutning: Aktivera anslutning mellan Oracle-databasarbetsbelastningar som körs i Azure och arbetsbelastningar i Oracle Cloud Infrastructure (OCI). Du kan skapa privata länkar eller pipelines mellan program med hjälp av Azure- eller OCI-sammanlänkningen mellan specifika regioner i Azure och OCI. Mer information finns i Konfigurera en direkt sammankoppling mellan Azure och Oracle Cloud Infrastructure. Den här artikeln beskriver inte skapandet av brandväggar på någon sida av Azure- eller OCI-sammanlänkningen, vilket vanligtvis är ett krav för inkommande eller utgående trafik mellan moln. Den här metoden använder Microsoft Nolltillit nätverksrekommendationer.

Principbaserad säkerhet i Azure

Det finns inga specifika inbyggda Azure-principdefinitioner för Oracle-arbetsbelastningar på acceleratorn för landningszoner för virtuella datorer. Azure Policy erbjuder dock omfattande täckning för de grundläggande resurser som används av valfri Oracle-lösning i Azure, inklusive virtuella datorer, lagring och nätverk. Mer information finns i Inbyggda principdefinitioner för Azure Policy.

Du kan också skapa anpassade principer för att uppfylla organisationens krav för att överbrygga klyftan. Använd till exempel anpassade Oracle-principer för att framtvinga lagringskryptering, hantera NSG-regler eller förbjuda tilldelning av offentlig IP-adress till en virtuell Oracle-dator.

Använda kryptering för att lagra data

  • Kryptera data under överföring: Gäller för tillståndet för data som flyttas från en plats till en annan och vanligtvis över en nätverksanslutning. Data under överföring kan krypteras på flera sätt, beroende på anslutningens natur. Som standard måste du aktivera datakryptering manuellt för data under överföring i Azure-datacenter. Mer information i Azure-dokumentationen finns i Kryptering av data under överföring.

  • Kryptera vilande data: Du måste också skydda data när de skrivs till lagring medan de är i vila. Konfidentiella data kan exponeras eller ändras när lagringsmedia tas bort eller används under användningen. Därför bör data krypteras för att säkerställa att endast auktoriserade och autentiserade användare kan visa eller ändra dem. Azure tillhandahåller tre lager kryptering i vila.

    • Alla data krypteras på den lägsta nivån när de sparas i valfri Azure Storage-enhet med kryptering på tjänstsidan för Lagring. Kryptering på tjänstsidan säkerställer att det inte är nödvändigt att radera eller förstöra lagringsmediet när en Azure-klientorganisation är klar med lagringen. Data som alltid krypteras i vila kan gå förlorade permanent om den plattformshanterade nyckeln ignoreras. Kryptering på tjänstsidan är snabbare och säkrare än att försöka ta bort alla data från lagringen.
    • Azure ger också en möjlighet att dubbelkryptering av lagrade data i lagringsinfrastrukturen med hjälp av kryptering för lagringsinfrastruktur, som använder två separata plattformshanterade nycklar.
    • Dessutom är Azure-diskkryptering data i vila-kryptering som hanteras i gästoperativsystemet (BitLocker för Windows och DM-CRYPT för Linux).

Lagringsinfrastrukturen har upp till tre möjliga lager med vilande datakryptering. Om du har alternativet Oracle Advanced Security kan Oracle-databasen även kryptera databasfiler med transparent datakryptering (TDE) och tillhandahålla en annan nivå av kryptering i vila.

Alternativet Oracle Advanced Security erbjuder även en funktion som kallas dataredigering, vilket är en form av dynamisk datamaskering. När databasen hämtar data maskeras datavärdet utan att det lagrade datavärdet ändras.

Dessa flera lager av kryptering i vila representerar själva definitionen av skydd på djupet. Om någon av de vilande krypteringsformerna av någon anledning komprometteras finns det fortfarande andra krypteringslager för att skydda data.

  • Hantera nycklar: Om du implementerar Oracle TDE som ett annat krypteringslager är det viktigt att observera att Oracle inte stöder de inbyggda nyckelhanteringslösningarna, till exempel Key Vault, som tillhandahålls av Azure eller andra molnleverantörer. I stället finns standardplatsen för Oracle-plånboken i filsystemet för den virtuella Oracle-databasdatorn.

Mer information finns i Etablera Oracle Key Vault i Azure för att lära dig hur du använder Oracle Key Vault som en Azure-nyckelhanteringslösning.

Integrera spårningsloggar

Övervakning av programloggar är viktigt för att identifiera säkerhetshot på programnivå. Använd Microsoft Sentinel-lösningen för Oracle Database-arbetsbelastningar. Oracle Database-granskningsanslutningsappen hämtar och matar in alla Oracle-databasgranskningsposter i Azure Monitor-loggar med hjälp av ett SYSLOG-gränssnitt av branschstandard. Med den här processen kan dessa poster granskas tillsammans med granskningsposter för Azure-infrastruktur och granskningsposter för gästoperativsystem (Linux eller Windows). Microsoft Sentinel-lösningen är en molnbaserad SIEM-lösning (säkerhetsinformation och händelsehantering) som är byggd för din Oracle-arbetsbelastning som körs på en virtuell Linux- eller Windows-dator. Mer information finns i Oracle Database Audit Connector för Microsoft Sentinel.

Gå vidare

Information om hur du planerar för kapacitetskrav för Oracle-arbetsbelastningar i Azure finns i Kapacitetsplanering för migrering av Oracle-arbetsbelastningar till Azure-landningszoner.