Säkerhetsriktlinjer för Oracle Database@Azure
Den här artikeln bygger på flera överväganden och rekommendationer som definieras i azure-säkerhetsdesignområdet. Den innehåller viktiga designöverväganden och rekommendationer för Oracle Database@Azure säkerhetsåtgärder.
Översikt
De flesta databaser innehåller känsliga data som kräver en säker arkitektur utöver skydd på databasnivå. Strategin för skydd på djupet ger omfattande säkerhet genom att flera försvarsmekanismer skiktas. Den här metoden kombinerar olika åtgärder för att undvika att enbart förlita sig på en typ av säkerhet, till exempel nätverksskydd. Dessa åtgärder omfattar starka autentiserings- och auktoriseringsramverk, nätverkssäkerhet, kryptering av vilande data och kryptering av data under överföring. Den här strategin med flera lager är viktig för att säkra Oracle-arbetsbelastningar på ett effektivt sätt.
Mer information finns i Översikt över Oracle Exadata-säkerhets - och säkerhetsfunktioner i Oracle Exadata Database Machine.
Utformningsbeaktanden
Tänk på följande när du utformar dina säkerhetsriktlinjer för Oracle Database@Azure:
Oracle Database@Azure arbetsbelastningar innehåller resurser som distribueras i virtuella Azure-nätverk och datacenter. Både Azure-kontrollplanet och Oracle Cloud Infrastructure-kontrollplanet (OCI) hanterar dessa resurser. Azure-kontrollplanet hanterar initieringen av infrastrukturen och nätverksanslutningen. Oracle-kontrollplanet hanterar databashantering och enskild nodhantering. Mer information finns i Grupper och roller för Oracle Database@Azure.
Oracle Database@Azure-tjänsten distribueras endast på privata undernät i Azure. Tjänsten är inte omedelbart tillgänglig från Internet.
Nätverkssäkerhetsgrupper (NSG:er) stöds för närvarande inte i Azure-undernät där Oracle Database@Azure-tjänsten distribueras.
Oracle Database@Azure-lösningen använder många TCP-portar (Transmission Control Protocol) för olika åtgärder. Den fullständiga listan över portar finns i Standardporttilldelningar.
Oracle Database@Azure-lösningen använder OCI Vault för att lagra och hantera nycklar för transparent datakryptering (TDE), vilket är aktiverat som standard. Det går inte att integrera med Azure Key Vault just nu.
Du kan använda OCI Vulnerability Scanning Service för sårbarhetsgenomsökning på enskilda noder i Oracle Database@Azure lösning. Det går inte att integrera med Microsoft Defender just nu.
Designrekommendationer
Tänk på följande rekommendationer när du utformar din säkerhet för Oracle Database@Azure:
Segmentera infrastrukturåtkomst från åtkomst till datatjänster, särskilt när olika team har åtkomst till flera databaser i samma infrastruktur av olika skäl.
Skydda dataplanet och åtkomsten till det virtuella nätverket genom att begränsa käll-IP-adressintervallet för den enskilda Oracle-Database@Azure värdbrandväggsprogramvaran, som är SELinux för databasservrar och cellvägg för lagringsservrar. Öppna endast de portar som krävs för säker kommunikation för att förhindra åtkomst till och från Internet.
Konfigurera NAT (Network Address Translation) om du behöver internetåtkomst. Kräv alltid kryptering för data under överföring.
Använd OCI Vault för att lagra och hantera krypteringsnycklar. Om du tar med dina egna nycklar konfigurerar du en strikt process för nyckelrotation.
Använd funktionerna för sårbarhetsgenomsökning i Oracle för att identifiera säkerhetsrisker som hackare kan utnyttja, till exempel öppna portar, nödvändiga korrigeringar och operativsystemkonfigurationer.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för