訓練
認證
Microsoft Certified: Azure Database Administrator Associate - Certifications
使用 Microsoft PaaS 關聯式資料庫供應項目管理用於雲端、內部部署和混合關聯式資料庫的 SQL Server 資料庫基礎結構。
Oracle Database@Azure 的安全性指導方針
本文以 Azure 安全性設計區域中的考慮和建議為基礎,。 它提供 Oracle Exadata Database@Azure的重要設計考慮和建議。
大部分的資料庫都包含需要資料庫層級保護以外的高度安全架構的敏感數據。 深度防禦策略是由多個防禦機制所組成,可協助確保完整的安全性。 這種方法可防止依賴單一類型的安全性,例如網路防禦。 防禦機制包括強身份驗證和授權架構、網路安全性、待用數據的加密,以及傳輸中的數據加密。 您可以使用這個多層式策略,有效地保護 Oracle 工作負載。
如需詳細資訊,請參閱 Oracle Exadata Database@Azure 專用基礎結構的安全性指南 和 Exadata 安全性控制。
設計 Oracle Exadata Database@Azure的安全性量值時,請考慮下列指引:
Oracle Database@Azure是 Oracle 雲端基礎結構 (OCI) 上執行的 Oracle 資料庫服務,此服務會共置在Microsoft數據中心。
若要管理 Oracle Exadata Database@Azure資源,您需要整合 Azure 和 OCI 雲端平臺。 使用各自的安全性最佳做法來管理每個平臺。 Azure 控制平面會管理基礎結構的佈建,包括虛擬機 (VM) 叢集和網路連線能力。 OCI 控制台會處理資料庫管理和個別節點管理。
Oracle Database@Azure會透過子網委派整合到 Azure 虛擬網路中。
注意
Oracle Exadata Database@Azure預設沒有輸入或輸出因特網存取。
Oracle Database@Azure用戶端子網不支持網路安全組 (NSG)。
Oracle Exadata Database@Azure解決方案會使用預先定義的 傳輸控制通訊協定 (TCP) 埠清單,。 根據預設,這些埠無法從其他子網存取,因為 OCI 內的 NSG 會加以管理。
根據預設,Oracle Exadata Database@Azure會啟用待用數據加密。 它會透過透明數據加密功能,在資料庫層套用加密。 此加密可協助保護容器 (CDB$ROOT) 和可插式資料庫的安全。
根據預設,資料庫會透過 Oracle 管理的加密金鑰進行加密。 密鑰會使用 AES-128 加密,並儲存在 VM 叢集檔案系統內的錢包中。 如需詳細資訊,請參閱 管理資料表空間加密。
將客戶管理的加密金鑰儲存在 OCI Vault 或 Oracle Key Vault。 Oracle Exadata Database@Azure不支援 Azure Key Vault。
根據預設,資料庫備份會使用相同的主要加密金鑰進行加密。 在還原作業期間使用這些金鑰。
在 Oracle Exadata Database@Azure上安裝非Microsoft和 Oracle 代理程式。 請確定它們不會修改或危害資料庫作系統核心。
設計 Oracle Exadata Database@Azure部署時,請考慮下列安全性建議:
為不同團隊基於各種原因同時存取相同基礎設施上的多個資料庫時,應將基礎設施存取與數據服務存取分開。 若要在工作負載層級實現網路和管理隔離,請在不同的虛擬網路中部署 VM 叢集。
使用 NSG 規則來限制來源 IP 位址範圍,這有助於保護數據平面和虛擬網路存取。 若要防止未經授權的存取,請只開啟安全通訊所需的必要埠,並套用最低許可權 的原則。 您可以在 OCI 上設定 NSG 規則。
如果您需要輸出因特網存取,請設定網路位址轉換 (NAT) 或使用 Proxy,例如 Azure 防火牆或非Microsoft網路虛擬設備。
請考慮下列金鑰管理建議:
Oracle Exadata Database@Azure與 OCI Vault 內建整合。 如果您在 OCI Vault 中儲存主要加密金鑰,金鑰也會儲存在 Azure 外部的 OCI 中。
如果您需要在 Azure 中保留所有數據和服務,請使用 Oracle Key Vault。
Oracle Key Vault 沒有與 Oracle Exadata Database@Azure的內建整合。 Azure 上的 Oracle Key Vault 未以受控服務的形式提供。 您必須安裝解決方案、在 Oracle Exadata Database@Azure上整合資料庫,並確保解決方案維持高可用性。 如需詳細資訊,請參閱 在 Microsoft Azure中建立 Oracle Key Vault 映像。
若要確保加密密鑰可用性,請建立多主要 Oracle Key Vault 部署。 若要獲得強固的高可用性,請部署具有至少兩個可用性區域或區域的四個節點的多主要 Oracle Key Vault 叢集。 如需詳細資訊,請參閱 Oracle Key Vault 多主叢集概念。
如果您需要跨越內部部署環境或其他雲端平臺的混合式架構,請使用 Oracle Key Vault。 這些環境支援此解決方案。
注意
Oracle Key Vault 需要個別的授權。
如果您需要完成金鑰管理平臺或進行概念驗證或試驗,建議從本地儲存在軟體金鑰存放區的錢包開始。
轉換至金鑰存放區的過程取決於您的金鑰管理平台。 如果您選擇 OCI Vault,轉換是動態作業。 如果您選擇 Oracle Key Vault,您必須手動將加密密鑰移轉至 Oracle Key Vault 平臺。
如果您使用自己的加密金鑰,請建立嚴格的金鑰輪替程式,以維護安全性和合規性標準。
將加密金鑰和資料庫備份儲存在不同的環境中,以增強安全性,並將數據洩露的風險降到最低。
當您執行長期備份時,保留用於還原作業的舊加密密鑰。
在 Oracle Exadata Database@Azure 上的資料庫或網格基礎結構修補程式不會干擾的位置安裝非 Microsoft 或 Oracle 代理程式。
其他資源
文件
-
Oracle Database@Azure的網路拓撲和連線能力 - 用戶入門 - Cloud Adoption Framework
瞭解 Oracle Database@Azure網路拓撲和登陸區域連線的重要設計考慮和建議。
-
Oracle Database@Azure的身分識別與存取管理 - Cloud Adoption Framework
瞭解如何藉由專注於安全性措施、使用者存取和系統整合最佳做法,設計 Oracle Database@Azure的身分識別和存取管理方法。
-
使用 Exadata 資料庫服務進行 Oracle Database@Azure的商務持續性和災害復原 - Cloud Adoption Framework
瞭解 Oracle Database@Azure的商務持續性和災害復原(BCDR),以及如何為您的工作負載環境建置復原架構。