共用方式為

優化 Oracle 工作負載的安全性

  • 發行項

安全性對於任何架構而言都很重要。 Azure 提供一系列完整的工具,以有效地保護您的 Oracle 工作負載。 本文說明 Azure 上部署的 Oracle 應用程式工作負載的相關 Azure 控制平面安全性建議, (VM) 在 Azure 上部署。 如需 Oracle Database 中安全性功能的詳細資訊,請參閱 Oracle 資料庫安全性指南

大部分的資料庫都會儲存敏感數據。 只有資料庫層級的安全性措施不足以保護要放入這些工作負載的整個架構。 深層防禦是安全性的完整方法,您可以在其中實作數層防禦機制來保護數據。 您不依賴特定層級的單一安全性量值,例如網路安全性機制。 使用深度防禦策略來運用各種層級安全性措施的組合,以建立健全的安全性狀態。

您可以使用強式驗證和授權架構、強化的網路安全性,以及傳輸中數據的加密,來建構 Oracle 工作負載的深度防禦方法。 您可以將 Oracle 工作負載部署為基礎結構即服務, (Azure 上的 IaaS) 雲端模型。 請重新瀏覽 共用責任矩陣 ,以進一步瞭解指派給雲端提供者和客戶的特定工作和責任。

您應該定期評估您採用的服務和技術,以確保安全性措施符合不斷變更的威脅環境。

使用集中式身分識別管理

身分識別管理是管理重要資源的存取權的基本架構。 當您與各種人員合作時,身分識別管理會變得很重要,例如暫存人員、部分時間員工或全職員工。 這些個人需要不同層級的存取權,您必須視需要監視、維護及立即撤銷。

您的組織可以藉由整合 Microsoft Entra ID 來改善 Azure 中 Windows 和 Linux VM 的安全性,這是完全受控的身分識別和存取管理服務。

在 Windows 或 Linux 作業系統上部署工作負載

您可以使用 Microsoft Entra ID 搭配單一登錄 (SSO) 存取 Oracle 應用程式,並在 Linux 作業系統Windows 操作系統上部署 Oracle 資料庫。 將您的操作系統與 Microsoft Entra ID 整合,以增強其安全性狀態。

藉由確保您強化操作系統來消除攻擊者可能入侵 Oracle 資料庫的弱點,以改善 Azure IaaS 上 Oracle 工作負載的安全性。

如需如何改善 Oracle 資料庫安全性的詳細資訊,請參閱 Azure 虛擬機器 登陸區域加速器上 Oracle 工作負載的安全性指導方針

建議

  • 使用安全殼層 (SSH) 金鑰組進行 Linux 帳戶存取,而不是密碼。

  • 停用受密碼保護的 Linux 帳戶,並只在要求期間內啟用它們。

  • 停用特殊許可權 Linux 帳戶的登入存取,例如根帳戶和 Oracle 帳戶,只允許對個人化帳戶進行登入存取。

  • sudo使用 命令,從個人化帳戶授與特殊許可權 Linux 帳戶的存取權,例如根帳戶和 Oracle 帳戶,而不是直接登入。

  • 請務必使用Linux syslog公用程式擷取Linux稽核記錄,並 sudo 存取 Azure 監視器記錄中的記錄。

  • 僅從信任的來源套用安全性修補程式和操作系統修補程式和更新。

  • 實作限制以限制操作系統的存取。

  • 限制未經授權的伺服器存取。

  • 控制網路層級的伺服器存取,以增強整體安全性。

  • 除了 Azure 網路安全組 (NSG) 之外,請考慮使用 Linux 防火牆精靈作為額外的保護層。

  • 請確定您已將 Linux 防火牆精靈設定為在啟動時自動執行。

  • 掃描網路接聽埠以判斷可能的存取點。 使用 Linux netstat –l 命令列出這些埠。 請確定 Azure NSG 或 Linux 防火牆精靈可控制這些埠的存取權。

  • 設定可能具破壞性 Linux 命令的別名,例如 rmmv,以強制它們以互動模式執行,以便您在執行無法復原的命令之前至少提示一次。 進階使用者知道如何視需要移除別名。

  • 設定 Oracle 資料庫統一系統記錄,以使用 Linux syslog 公用程式將 Oracle 稽核記錄的複本傳送至 Azure 監視器記錄。

設計網路拓撲

網路拓撲是 Azure 上 Oracle 工作負載分層安全性方法的基本元件。

將所有雲端服務放在單一虛擬網路中,並使用 Azure NSG 來監視和篩選流量。 新增防火牆以保護連入流量。 請確定您已將資料庫從因特網和內部部署網路部署所在的子網安全分隔。 評估內部和外部存取資料庫的使用者,以協助確保您的網路拓撲健全且安全。

如需網路拓撲的詳細資訊,請參閱 Azure 上 Oracle 的網路拓撲和連線能力,虛擬機器 登陸區域加速器

建議

  • 使用 Azure NSG 來篩選 Azure 虛擬網路中 Azure 資源之間的網路流量,以及篩選內部部署網路與 Azure 之間的流量。

  • 使用 Azure 防火牆 或網路虛擬設備 (NVA) 來保護環境。

  • 使用 Azure 提供的功能,Microsoft Defender 例如雲端 Just-In-Time (JIT) 存取Azure Bastion 功能,保護 Oracle 資料庫工作負載所在的 VM,以防止未經授權的存取。

  • 使用適用於 X Windows 系統的 SSH 連接埠轉送,虛擬網路 運算 (VNC) 公用程式透過 SSH 來通道連線。 如需詳細資訊,請參閱 開啟 VNC 用戶端並測試部署的範例

  • 將 VM 放在與因特網和內部部署網路隔離的專用子網中,以引導所有流量通過中樞虛擬網路。

使用加密來保護數據

將待用數據寫入記憶體以保護數據時加密待用數據。 當您加密數據時,未經授權的用戶無法公開或改變數據。 只有經過授權和已驗證的使用者才能檢視或修改數據。 Microsoft Azure 提供各種資料記憶體解決方案,包括檔案、磁碟和 Blob 記憶體,以符合不同的需求。 這些記憶體解決方案具有加密功能,可保護待用數據的安全。

加密傳輸中的數據,以保護從某個位置移至另一個位置的數據,通常是透過網路連線。 您可以根據連線的性質,使用各種方法來加密傳輸中的數據。 Azure 提供許多機制,可在數據從一個位置移至另一個位置時保持傳輸中私人。

建議

  • 瞭解 Microsoft 如何 加密待用數據

  • 請考慮 Oracle 進階安全性的功能,其中包括透明數據加密 (TDE) 和數據修訂。

  • 使用 Oracle 金鑰保存庫 管理金鑰。 如果您將 Oracle TDE 實作為額外的加密層,請注意 Oracle 不支援 Azure 金鑰管理解決方案,例如 Azure 金鑰保存庫 或其他雲端提供者的密鑰管理解決方案。 預設 Oracle 電子包位置位於 Oracle 資料庫 VM 的檔案系統中。 不過,您可以使用 Oracle 金鑰保存庫 作為 Azure 上的密鑰管理解決方案。 如需詳細資訊,請參閱在 Azure 中布建 Oracle 金鑰保存庫

  • 瞭解 Microsoft 如何 加密傳輸中的數據

  • 請考慮使用 Oracle 原生網路加密和數據完整性功能。 如需詳細資訊,請參閱 設定 Oracle 資料庫原生網路加密和數據完整性

整合 Oracle 資料庫稽核線索

應用程式記錄監視對於在應用層級偵測安全性威脅至關重要。 Azure Sentinel 是雲端原生安全性資訊和事件管理, (SIEM) 解決方案,可用來監視 Oracle 工作負載的安全性事件。

如需詳細資訊,請參閱 Microsoft Sentinel 的 Oracle 資料庫稽核連接器

建議

  • 針對 Oracle 資料庫工作負載使用 Microsoft Sentinel 解決方案。 Oracle Database 稽核連接器會使用業界標準的 syslog 介面來擷取 Oracle Database 稽核記錄,並將其內嵌到 Azure 監視器記錄中。

  • 使用 Azure Sentinel 來檢閱應用程式、Azure 基礎結構和客體作業系統的稽核記錄。

後續步驟

監視工作負載