1. إطار أفضل الممارسات لـ Oracle Cloud Infrastructure
  2. تأمين قواعد بياناتك

تأمين قواعد بياناتك

تأكد من أمان خوادم قاعدة البيانات ووصول الشبكة إليها والبيانات الفعلية.

التحكم في وصول المستخدم والشبكة

مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات

استخدم كلمات السر والشبكات الفرعية الخاصة ومجموعات تأمين الشبكة للتحكم في وصول المستخدم والشبكة.
  • تأكد من قوة كلمات السر المستخدمة للتصديق على قاعدة البيانات.
  • إرفاق أنظمة قاعدة البيانات بالشبكات الفرعية الخاصة.

    لا تحتوي الشبكة الفرعية الخاصة على اتصال بالإنترنت. يمكنك استخدام جيت واي NAT لحركة مرور الضغط الآمنة وبوابة الخدمة للاتصال بنقاط انتهاء النسخ الاحتياطي (تخزين الكائنات).

  • استخدم مجموعات حماية الشبكة أو قوائم التأمين للسماح بالوصول المطلوب للشبكة إلى أنظمة قاعدة البيانات فقط.

تقييد الأذون لحذف موارد قاعدة البيانات

مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات

لمنع الحذف غير المقصود أو الخطأ لقواعد البيانات، قم بمنح أذونات الحذف (DATABASE_DELETE وDB_SYSTEM_DELETE) لمجموعة دنيا من المستخدمين والمجموعات.

تسمح جمل نظام IAM التالية لمستخدمي قاعدة البيانات بإدارة قواعد البيانات وأنظمة قاعدة البيانات ودور قاعدة البيانات الرئيسية. لكن الشرط where request.permission!='DB_SYSTEM_DELETE' يضمن عدم تمكن مستخدمي قاعدة البيانات من حذف قواعد البيانات. 

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

تشفير البيانات

مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات

يتم تشفير جميع قواعد البيانات التي تم تكوينها في Oracle Cloud Infrastructure باستخدام تشفير البيانات الشفاف (TDE). تأكد من تشفير أية قواعد بيانات تم ترحيلها أيضًا.
تدوير المفتاح الرئيسي TDE دوريًا. وفترة التناوب الموصى بها هي 90 يوما أو أقل.

تطبيق مجموعات السرية

مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات

تطبيق تصحيحات تأمين Oracle Database (Oracle Critical Patch Updates) للتخفيف من مشكلات الأمان المعروفة، والإبقاء على التصحيحات محدثة.

استخدام أدوات تأمين قاعدة البيانات

مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات

توفر أداة تقييم أمان Oracle Database فحوصات تلقائية لتكوين التأمين لقواعد بيانات Oracle في Oracle Cloud Infrastructure. يراقب Oracle Audit Vault and Database Firewall (AVDF) سجلات مراجعة قاعدة البيانات ويقوم بتكوين التنبيهات.

تمكين أمان البيانات

مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات

Data Safe هو مركز تحكم موحد لسحابة Oracle وقواعد البيانات المحلية. استخدم Data Safe لتقييم تكوين تأمين البيانات وقاعدة البيانات، وكشف المخاطر المرتبطة بحسابات المستخدمين، وتحديد البيانات الحساسة الموجودة، وتنفيذ عناصر التحكم لحماية البيانات، ومراجعة نشاط المستخدم.
  • تمديد سياسة الاحتفاظ بالمراجعة الآمنة للبيانات إلى سنة واحدة.
  • إخفاء البيانات التي تم تعريفها على أنها حساسة بواسطة Data Discovery.
  • استخدام التقييم الأمني لتحديد الضوابط الأمنية الموصى بها من قبل مركز أمن الإنترنت، واللائحة العامة لحماية البيانات، ومكتبة وزارة الدفاع لدلائل التنفيذ التقني الأمني.
  • إعداد تنبيهات للأحداث الأساسية في تدقيق النشاط الآمن للبيانات.

تمكين نقاط النهاية الخاصة لقواعد البيانات الذاتية

مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات

عند الإمكان، استخدم نقاط النهاية الخاصة مع Oracle Autonomous Transaction Processing.
يتم استخدام نقطة انتهاء خاصة لمنع وصول الجمهور إلى قواعد البيانات المستقلة المشتركة. تظل كل حركة المرور لقاعدة البيانات خاصة باستخدام VCN في Oracle Cloud Infrastructure دون الحاجة إلى توجيه عابر أو استخدام جيت واي خدمة.
  • استخدم شبكة فرعية خاصة مخصصة عند تحديد نقاط النهاية الخاصة.
  • بالنسبة لمجموعة تأمين شبكة نقاط النهاية الخاصة، حدد قاعدة مكون عديم الجنسية مع بروتوكول TCP ومنفذ الوجهة المساوي لمنفذ مستمع قاعدة البيانات. قصر تسمية CIDR المصدر على الشبكات الفرعية فقط، أو على جيت واي التوجيه الديناميكية المحلية (DRGs)، مع السماح بالوصول.
  • بالنسبة لمجموعة تأمين شبكة نقاط النهاية الخاصة، حدد قاعدة إصابة عديمي الجنسية مع بروتوكول TCP. قصر CIDR الوجهة على الشبكات الفرعية فقط أو DRG المحلية مع السماح بالوصول.

تعلم المزيد