Database sichern

Sicherheitsempfehlungen

Dieser Abschnitt enthält Sicherheitsempfehlungen zur Verwaltung von Oracle Cloud Infrastructure Database-Instanzen. Empfehlungen zur sicheren Konfiguration von Oracle-Datenbanken finden Sie im Oracle Database Security Guide. In dieser Dokumentation bezieht sich "Datenbanksystem" auf Oracle Database-Deployments mit dem Base Database-Service, Exadata Database Service on Dedicated Infrastructure und der Autonomous Database on Dedicated Exadata-Infrastruktur. (Beachten Sie, dass einige Themen in Situationen, in denen Oracle die beschriebene Funktionalität verwaltet, möglicherweise nicht auf Autonomous Database anwendbar sind.)

Datenbankzugriffskontrolle

• Benutzer authentifizieren sich mit ihrem Kennwort bei der Datenbank. Oracle empfiehlt, hier starke Kennwörter zu verwenden. Richtlinien zur Auswahl von Oracle-Datenbankkennwörtern finden Sie unter Richtlinien zum Sichern von Kennwörtern. Außerdem stellt die Oracle-Datenbank ein PL/SQL-Skript bereit, um die Kennwortkomplexität der Datenbank zu verifizieren. Dieses Skript befindet sich unter $ORACLE_HOME/rdbms/admin/UTLPWDMG.SQL. Anweisungen zur Ausführung des UTLPWDMG.SQL-Skripts zur Verifizierung der Kennwortkomplexität finden Sie unter Kennwortkomplexitätsverifizierung durchsetzen.
• Neben dem Datenbankkennwort können Sie VCN-Netzwerksicherheitsgruppen oder -Sicherheitslisten verwenden, um die Netzwerkzugriffskontrolle für Datenbankinstanzen durchzusetzen. Oracle empfiehlt, VCN-Netzwerksicherheitsgruppen oder -Sicherheitslisten so zu konfigurieren, dass sie möglichst geringe Berechtigungen für den Zugriff auf Kundendatenbanken in Oracle Cloud Infrastructure Database gewähren.

• In einem öffentlichen Subnetz erstellte Datenbanksysteme können ausgehenden Traffic direkt an das Internet senden. In einem privaten Subnetz erstellte Datenbanksysteme haben keine Internetkonnektivität, und der Internetverkehr (Egress und Ingress) kann die Instanz nicht direkt erreichen. Wenn Sie versuchen, eine Route zu einem Datenbanksystem innerhalb eines privaten Subnetzes mit einem Internetgateway zu definieren, wird die Route ignoriert.

  Um BS-Patching und -Backups für ein Datenbanksystem im privaten Subnetz auszuführen, können Sie ein Servicegateway oder ein NAT-Gateway verwenden, um eine Verbindung zu den Patching- oder Backupendpunkten herzustellen.

  In einem virtuellen Cloud-Netzwerk (VCN) können Sie Sicherheitsregeln zusammen mit einem privaten Subnetz verwenden, um den Zugriff auf ein Datenbanksystem einzuschränken. In Deployments mit mehreren Ebenen können ein privates Subnetz und VCN-Sicherheitsregeln verwendet werden, um den Zugriff auf das Datenbanksystem von den Application Tiers zu begrenzen.

Datendauerhaftigkeit

• Oracle empfiehlt, nur möglichst wenigen IAM-Benutzern und -Gruppen Berechtigungen zum Löschen der Datenbank (DATABASE_DELETE, DB_SYSTEM_DELETE) zu gewähren. Dadurch werden Datenverluste aufgrund von versehentlichen Löschvorgängen durch autorisierte Benutzer oder durch böswillige Löschvorgänge minimiert. Erteilen Sie DELETE-Berechtigungen nur Mandanten- und Compartment-Administratoren.
• Mit RMAN können Sie regelmäßige Backups von Database-Datenbanken ausführen, wobei verschlüsselte Backupkopien im lokalen Speicher (z.B. Block-Volumes) oder in Oracle Cloud Infrastructure Object Storage gespeichert werden. RMAN verschlüsselt jedes Backup einer Datenbank mit einem eindeutigen Verschlüsselungsschlüssel. Im transparenten Modus wird der Verschlüsselungsschlüssel in Oracle Wallet gespeichert. RMAN-Backups in Object Storage erfordern ein Internetgateway (IGW), und VCN-Netzwerksicherheitsgruppen oder -Sicherheitslisten müssen so konfiguriert werden, dass sie einen sicheren Zugriff auf Object Storage ermöglichen. Informationen zum Einrichten des VCN für das Backup von Bare-Metal-Datenbanken finden Sie unter Datenbanken mit RMAN in Object Storage sichern. Weitere Informationen über das Backup und Exadata-Datenbanken finden Sie unter Exadata-Datenbankbackups mit bkup_api verwalten.

Datenbankverschlüsselung und Schlüsselverwaltung

• Alle in Oracle Cloud Infrastructure erstellten Datenbanken werden mit transparenter Datenverschlüsselung (TDE) verschlüsselt. Hinweis: Wenn Sie eine unverschlüsselte Datenbank mithilfe von RMAN von On Premise zu Oracle Cloud Infrastructure migrieren, wird die migrierte Datenbank nicht verschlüsselt. Oracle erfordert die Verschlüsselung solcher Datenbanken, nachdem sie in die Cloud migriert wurden.

  Weitere Informationen zum Verschlüsseln Ihrer Datenbank mit minimaler Ausfallzeit während der Migration finden Sie im Oracle Maximum Availability Architecture-Whitepaper Mit Oracle Data Guard über schnelle Offlinekonvertierung zu transparenter Datenverschlüsselung konvertieren.

  Beachten Sie, dass VM-DB-Systeme Oracle Cloud Infrastructure Block Storage anstelle des lokalen Speichers verwenden. Block Storage ist standardmäßig verschlüsselt.

• Vom Benutzer erstellte Tablespaces werden standardmäßig in Oracle Cloud Infrastructure Database verschlüsselt. In diesen Datenbanken ist der Parameter ENCRYPT_NEW_TABLESPACES auf CLOUD_ONLY gesetzt, wobei die in einer Database Cloud Service-(DBCS-)Datenbank erstellten Tablespaces transparent mit dem AES128-Algorithmus verschlüsselt werden, sofern kein anderer Algorithmus angegeben ist.
• Der Datenbankadministrator erstellt ein lokales Oracle Wallet auf einer neu erstellten Datenbankinstanz und initialisiert den TDE-Mastschlüssel (Transparent Data Encryption). Oracle Wallet wird dann so konfiguriert, dass es automatisch geöffnet ist. Ein Kunde kann jedoch ein Kennwort für Oracle Wallet festlegen, und Oracle empfiehlt, ein sicheres Kennwort festzulegen (mindestens acht Zeichen mit mindestens einem Großbuchstaben, einem Kleinbuchstaben, einer Zahl und einem Sonderzeichen).
• Oracle empfiehlt, den TDE-Masterschlüssel regelmäßig zu rotieren. Der empfohlene Rotationszeitraum beträgt maximal 90 Tage. Sie können den TDE-Masterschlüssel mit nativen Datenbankbefehlen (Beispiel: "administer key management" in 12c) oder dbaascli rotieren. Alle vorherigen Versionen des TDE-Masterschlüssels werden im Oracle Wallet verwaltet.
• Oracle Key Vault (OKV) ist eine Schlüsselverwaltungs-Appliance zur Verwaltung von Oracle TDE-Masterschlüsseln. OKV kann TDE-Masterschlüssel speichern, rotieren und prüfen. Anweisungen zum Installieren und Konfigurieren von OKV in Oracle Cloud Infrastructure finden Sie unter Oracle Database-Verschlüsselungsschlüssel in Oracle Cloud Infrastructure mit Oracle Key Vault verwalten.

Datenbank-Patching

Das Einspielen von Oracle Database-Sicherheitspatches (kritische Patchupdates von Oracle) ist zwingend erforderlich, um bekannte Sicherheitsprobleme zu minimieren. Oracle empfiehlt, die Patches auf dem neuesten Stand zu halten. Patchsets und Patchsetupdates (PSUs) werden vierteljährlich veröffentlicht. Diese Patchreleases enthalten Sicherheitskorrekturen und weitere wichtige Bugfixes mit hoher Auswirkung/geringem Risiko.

Informationen zu den neuesten bekannten Sicherheitsproblemen und verfügbaren Fixes finden Sie unter Kritische Patchupdates, Sicherheitshinweise und Mitteilungen. Wenn Ihre Anwendung die neuesten Patches nicht unterstützt und ein Datenbanksystem mit älteren Patches verwenden muss, können Sie ein Datenbanksystem mit einer älteren Version der verwendeten Oracle Database-Edition bereitstellen. Neben der Überprüfung der kritischen Patchupdates und Sicherheitswarnungen für Oracle Database empfiehlt Oracle, das mit dem Datenbanksystem bereitgestellte Betriebssystem zu analysieren und zu patchen.

Informationen zum Einspielen von Patches in Oracle Cloud Infrastructure Database-Instanzen finden Sie unter DB-Systeme aktualisieren und Oracle Grid Infrastructure- und Oracle-Datenbanken mit dbaascli patchen.

Datenbanksicherheitskonfiguration prüfen

• Das Oracle Database Security Assessment Tool (DBSAT) stellt automatische Sicherheitsprüfungen für Oracle-Datenbanken in Oracle Cloud Infrastructure bereit. DBSAT führt Sicherheitsprüfungen für die Benutzerberechtigungsanalyse, Datenbankautorisierungskontrollen, Auditing-Policys, Datenbank-Listener-Konfiguration, BS-Dateiberechtigungen und sensible Daten aus. Oracle-Datenbankimages in Oracle Cloud Infrastructure Database werden vor dem Provisioning mit DBSAT geprüft. Nach dem Provisioning empfiehlt Oracle, Datenbanken in regelmäßigen Abständen mit DBSAT zu scannen und eventuell aufgetretene Probleme zu beheben. DBSAT ist für Oracle-Kunden kostenlos erhältlich.

Datenbanksicherheitsauditing

Oracle Audit Vault and Database Firewall (AVDF) überwacht Datenbankauditlogs und erstellt Alerts. Anweisungen zum Installieren und Konfigurieren von AVDF in Oracle Cloud Infrastructure finden Sie unter Oracle Audit Vault and Database Firewall in Oracle Cloud Infrastructure bereitstellen.

Data Safe

Oracle empfiehlt, den Data Safe-Service zu verwenden, um die Sicherheit Ihrer Datenbank-Deployments zu verbessern. Oracle Data Safe ist ein einheitliches Kontrollzentrum für Oracle-Datenbanken, mit dem Sie die Sensibilität Ihrer Daten verstehen, Risiken für Daten auswerten, sensible Daten maskieren, Sicherheitskontrollen implementieren und überwachen, die Benutzersicherheit bewerten, Benutzeraktivitäten überwachen und Complianceanforderungen hinsichtlich der Datensicherheit erfüllen können. Vollständige Informationen finden Sie unter Erste Schritte.

Datenbankbackups

Oracle empfiehlt, nach Möglichkeit verwaltete Backups (Backups, die mit der Oracle Cloud Infrastructure-Konsole oder der API erstellt wurden) zu verwenden. Wenn Sie verwaltete Backups verwenden, verwaltet Oracle den Objektspeicherbenutzer sowie die Zugangsdaten und rotiert diese Zugangsdaten alle 3 Tage. Oracle Cloud Infrastructure verschlüsselt alle verwalteten Backups im Objektspeicher. Oracle verwendet standardmäßig das TDE-Feature zur Verschlüsselung der Backups.

Wenn Sie keine verwalteten Backups verwenden, empfiehlt Oracle, die Objektspeicherkennwörter regelmäßig zu ändern.