Oracle Cloud Infrastructure - Dokumentation

Sicherheit - Überblick

Oracle Data Safe verwendet Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Komponenten, wie Regionen, Compartments, Benutzer und Gruppen, und IAM-Policys. Als Oracle Data Safe-Administrator müssen Sie sich mit diesen Komponenten und der Datenbanksicherheit vertraut machen.

Sicherheitsebenen

Die Sicherheit für Oracle Data Safe wird an zwei Stellen verwaltet:

  • In Oracle Cloud Infrastructure Identity and Access Management (IAM): Um den Benutzerzugriff auf Oracle Data Safe-Ressourcen und andere Oracle Cloud Infrastructure-Ressourcen zu kontrollieren, ist ein Mandantenadministrator zum Erstellen von Policys erforderlich.

  • In der Zieldatenbank: Um den Benutzerzugriff auf Zieldatenbankdaten zu kontrollieren, müssen Datenbankadministratoren Benutzern Zugriff auf die verwendeten Schemas erteilen. Datenbankadministratoren müssen außerdem die entsprechenden Oracle Data Safe-Features in jeder Zieldatenbank aktivieren, indem sie dem Oracle Data Safe-Serviceaccount Oracle Data Safe-Rollen erteilen.

Administratortypen

In der folgenden Tabelle werden die Typen von Administratoren beschrieben, die zum Verwalten von Oracle Data Safe erforderlich sind.

Administratorart Beschreibung
Mandantenadministrator Diese Person ist erforderlich, um Compartments, Benutzer, Gruppen und Policys im Mandanten mit IAM zu erstellen.
Oracle Data Safe-Administrator Diese Person kann alle Features in Oracle Data Safe verwenden und Inhalte im Sicherheitscenter verwalten.
Datenbankadministrator Diese Person ist erforderlich, um Benutzern Zugriff auf Daten in Zieldatenbanken zu erteilen und Oracle Data Safe-Features in Zieldatenbanken zu aktivieren.

Regionen

Wenn Sie sich für Oracle Cloud Infrastructure registrieren, erstellt Oracle einen Mandanten in einer Region. Dies ist Ihre Hauptregion. In Ihrer Hauptregion werden Ihre Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Ressourcen definiert. Wenn Sie eine andere Region abonnieren, stehen Ihre IAM-Ressourcen in der neuen Region zur Verfügung. Die Masterdefinitionen befinden sich jedoch in Ihrer Hauptregion und können nur dort geändert werden.

Folgende Ressourcen können Sie nur in der Hauptregion erstellen und aktualisieren:

  • Benutzer

  • Gruppen

  • Policys

  • Compartments

  • Dynamische Gruppen

  • Ressourcen für die Föderation

Wenn Sie für Ihren Mandanten eine neue Region abonnieren, werden alle Policys aus Ihrer Hauptregion in der neuen Region durchgesetzt. Wenn Sie möchten, dass bestimmte Benutzergruppen nur auf bestimmte Regionen zugreifen dürfen, können Sie Policys schreiben, um nur den Zugriff auf bestimmte Regionen zu gewähren. Ein Benutzer, der auf Oracle Data Safe-Features und -Ressourcen zugreifen möchte, benötigt Berechtigungen über eine IAM-Policy.

Oracle Data Safe-Ressourcen sind für jeden regionalen Oracle Data Safe-Service spezifisch. Beispiel: Angenommen, ein Benutzer erstellt eine Datenmaskierungs-Policy in dem Oracle Data Safe-Service in der Region Phoenix. Wenn sich der Benutzer beim Oracle Data Safe-Service in der Region Frankfurt anmeldet, kann er nicht dieselbe Datenmaskierungs-Policy finden und verwenden. Die Richtlinie müsste aus der Region Phoenix exportiert und in die Region Frankfurt importiert werden. Registrierte Zieldatenbanken in Oracle Data Safe sind ebenfalls regionsspezifisch. Regionsübergreifende Zielregistrierung wird nicht unterstützt.

Im folgenden Diagramm gibt es drei Regionen: US East (Ashburn), Germany Central (Frankfurt) und India West (Mumbai). US East ist die Hauptregion für die Mandanten. Frankfurt und Mumbai rufen Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Ressourcen wie Benutzer, Gruppen und Compartments aus der Hauptregion ab. Jede Region besitzt eigene Ressourcen. Frankfurt besitzt eine Finance-Datenbankinstanz, Mumbai eine Sales-Datenbankinstanz. Die Hauptregion enthält IAM-Ressourcen, ein virtuelles Cloud-Netzwerk (VCN), eine Human-Resources-Datenbank, Block-Volumes und Instanzen einer virtuellen Maschine. Ein Benutzer mit den entsprechenden Berechtigungen kann die Sales-Datenbank beim Oracle Data Safe-Service in Mumbai registrieren. Dieselben Mumbai-spezifischen Berechtigungen erlauben dem Benutzer jedoch nicht, eine Datenbank in anderen Regionen zu registrieren. Wenn die Registrierung der Ressourcen-Datenbankinstanz in Frankfurt bei Oracle Data Safe aufgehoben bleibt, bleibt die Datenbank nicht überwacht, und der Benutzer weiß möglicherweise nicht, welche Sicherheitsprobleme in dieser Datenbank bestehen.

Beschreibung der Abbildung iam-regions.svg

Compartments

Compartments in Oracle Cloud Infrastructure sind logische Strukturen, mit denen Sie den Zugriff auf Ihre Cloud-Ressourcen organisieren und kontrollieren können, einschließlich Oracle Data Safe-Ressourcen. Benutzer können Compartments mit dem Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Service erstellen.

Compartments in Oracle Cloud Infrastructure enthalten Ressourcen wie Datenbankinstanzen, virtuelle Cloud-Netzwerke und Block-Volumes. Stellen Sie sich ein Compartment als logische Gruppe und nicht als physischen Container vor. Es dient als Filter für das, was Sie anzeigen. Wenn Sie eine Ressource in Oracle Cloud Infrastructure hinzufügen, erstellen Sie diese in einem bestimmten Compartment. Bei Bedarf können Sie Ressourcen von einem Compartment in ein anderes verschieben. Benutzer benötigen Berechtigungen für den Zugriff auf Compartments und die darin enthaltenen Ressourcen.

Wenn Sie sich für Oracle Cloud Infrastructure registrieren, erstellt Oracle einen Mandanten, der als Root-Compartment betrachtet wird. Das Root-Compartment enthält alle Cloud-Ressourcen. Innerhalb des Mandanten können Sie Compartments erstellen, die je nach den Anforderungen Ihrer Organisation direkte untergeordnete oder weitere untergeordnete Elemente des Root Compartments sind. Beispiel: Sie können ein Compartment erstellen, um alle Ressourcen für eine Finanzanwendung zu speichern. Um den Zugriff auf Ressourcen in jedem Compartment (und optional die untergeordneten Elemente) zu kontrollieren, erstellt ein Mitglied der Administratorengruppe Ihres Mandanten Policys. Letztendlich muss sichergestellt werden, dass jede Person nur auf die benötigten Ressourcen zugreifen kann.

Wenn Sie eine Oracle Data Safe-Ressource erstellen, geben Sie das Compartment an, zu dem Sie die Ressource gehören möchten. Die folgenden Oracle Data Safe-Ressourcen werden in Compartments gespeichert:

  • Zieldatenbanken

  • Private Endpunkte

  • On-Premise-Connectors

  • Modelle für sensible Daten (SDMs)

  • Benutzerdefinierte sensible Typen

  • Benutzerdefinierte Maskierungsformate

  • Maskierungs-Policys

  • Audit-Policys

  • Audittrails

  • Benutzerdefinierte Berichte

Damit ein Benutzer beim Erstellen von Oracle Data Safe-Ressourcen Compartments anzeigen und auswählen kann, muss dem Benutzer Berechtigungen für diese Compartments über Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys erteilt werden. Ein Benutzer kann einem Compartment mehrere Ressourcen hinzufügen. Nur Mandantenadministratoren können Compartments über IAM löschen.

Oracle Data Safe-Ressourcen sind spezifisch für eine Region in einem Mandanten. Ein Benutzer kann eine Zieldatenbank bei Oracle Data Safe nur für ein Compartment registrieren.

Im Diagramm unten ist das Konzept von Compartments dargestellt. Im Mandanten in Oracle Cloud Infrastructure enthält das Root Compartment eine VM-Instanz, ein virtuelles Cloud-Netzwerk, Block-Volumes und Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Ressourcen (z.B. Benutzer, Gruppen und Policys). Das Root Compartment wird automatisch erstellt, wenn der Mandant erstellt wird.

In der Region Frankfurt werden drei Abteilungen verwendet: Projekt A, Projekt B und Finanzen.

  • Das Compartment Projekt A enthält Ressourcen für Projekt A, einschließlich einer Payroll-Datenbankinstanz und Block-Volumes.

  • Das Compartment Projekt B enthält Ressourcen für Projekt B, einschließlich einer Budgetierungsdatenbankinstanz und Block-Volumes.

  • Da dieselben Benutzer an den Projekten A und B arbeiten, werden die beiden Datenbanken in Oracle Data Safe in demselben Compartment registriert - Finance. Das Modell für sensible Daten in Oracle Data Safe namens "Modell für sensible Daten 1" wird ebenfalls dem Compartment "Finance" zugewiesen. Beachten Sie, dass Sie keine Zieldatenbanken in demselben Compartment registrieren müssen, in dem sie sich befinden.

Beispiel von Compartments in OCI

Beschreibung der Abbildung iam-compartments.svg

Benutzer und Gruppen

Oracle Data Safe unterstützt föderierte und native Benutzer und Gruppen in Oracle Cloud Infrastructure.

Native Benutzer und Gruppen

Ein nativer Benutzer oder eine native Gruppe wird in Oracle Cloud Infrastructure Identity and Access Management (IAM) erstellt. IAM ist der Standardservice in Oracle Cloud Infrastructure, mit dem Administratoren den Benutzerzugriff auf Cloud-Ressourcen kontrollieren können. Benutzer und Gruppen können nur von Mandantenadministratoren im Compartment root erstellt werden.

Wenn Ihre Organisation einen Oracle Cloud-Account erhält, richtet Oracle automatisch einen Standardadministrator für den Account und eine Administrators-Gruppe ein. Mitglieder dieser Gruppe sind für das Erstellen von Benutzern und Gruppen in IAM verantwortlich und erteilen den Gruppen über Policys die Berechtigung zum Zugriff auf die benötigten Elemente. Um zu bestimmen, wie Benutzer gruppiert werden, prüfen sie, welche Benutzer denselben Zugriffstyp auf bestimmte Ressourcen und Compartments benötigen. Nur Mandantenadministratoren können Gruppen erstellen und Benutzer zu Gruppen hinzufügen. Ein Mandantenadministrator kann jedoch eine Policy erstellen, die einem regulären Benutzer die Möglichkeit gibt, andere Benutzer und Zugangsdaten zu erstellen.

Sehen wir uns das Diagramm unten an. Angenommen, Sie haben eine IT-Compliance- und IT-Sicherheitsgruppe in IAM erstellt. Die IT-Compliance-Gruppe ist für die Gewährleistung der gesetzlichen Einhaltung des Datenschutzes verantwortlich und muss nur Aktivitätsauditing verwenden. Die IT-Sicherheitsgruppe ist dafür verantwortlich, sensible Daten zu schützen, und muss Datasets an Tester und Entwickler bereitstellen. Sie benötigen Zugriff auf die Features "Daten-Discovery" und "Datenmaskierung". Mit diesen Informationen erstellt ein Mandantenadministrator zwei Gruppen in IAM mit dem Namen IT-Compliance und IT-Security und weist die Benutzer den entsprechenden Gruppen zu. Der Administrator erstellt eine IAM-Policy, die der IT-Compliancegruppe manage Zugriff auf Aktivitätsauditingressourcen erteilt. Der Administrator erstellt eine weitere Policy in IAM für die Gruppe IT-Security, die der Gruppe manage Zugriff auf die Daten-Discovery- und Datenmaskierungsressourcen erteilt. Der Administrator erstellt eine Gruppe mit dem Namen Data-Safe-Admins in IAM für die Poweruser, die alle Oracle Data Safe-Features verwenden müssen. Der Administrator erstellt eine dritte IAM-Policy, die der Data-Safe-Admins-Gruppe manage Zugriff auf alle Oracle Data Safe-Ressourcen erteilt.

Beispiel für Benutzer und Gruppen in OCI

Beschreibung der Abbildung iam-groups.svg

Föderierte Benutzer und Gruppen

Wenn ein Benutzer in Ihrem Unternehmen Oracle Cloud Infrastructure-Ressourcen in der Konsole verwenden möchte, muss er sich mit einer Benutzeranmeldung und einem Kennwort anmelden. Unternehmen verwenden im Allgemeinen einen Identitätsprovider (IdP), wie Oracle Identity Cloud Service oder Microsoft Active Directory, um Benutzer für den Zugriff auf Websites, Services und Ressourcen zu authentifizieren. In der Oracle Cloud Infrastructure-Konsole kann ein Administrator mit einem unterstützten IdP föderieren, sodass jeder Mitarbeiter eine vorhandene Anmeldung und ein Kennwort verwenden kann und kein neues Set zur Verwendung von Oracle Cloud Infrastructure-Ressourcen erstellen muss.

Ein IdP-Administrator erstellt Benutzer und Gruppen im IdP und weist jeden Benutzer je nach Typ des erforderlichen Zugriffs einer oder mehreren Gruppen zu. Der Administrator kann eine IdP-Gruppe einer Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Gruppe zuordnen, sodass die IdP-Gruppe Zugriff auf dieselben Oracle Cloud Infrastructure-Ressourcen wie die IAM-Gruppe hat. Im IdP erstellte Gruppen besitzen erst dann Berechtigungen in Oracle Cloud Infrastructure, wenn ein Mandantenadministrator sie einer Gruppe in Oracle Cloud Infrastructure zuordnet. Ein Mandantenadministrator kann IAM-Policys für Gruppen definieren, um Zugriff auf Oracle Cloud Infrastructure-Ressourcen zu gewähren.

Im Diagramm unten ist das Konzept der föderierten Benutzer dargestellt. Gruppe A ist eine IAM-Gruppe, die Zugriff auf verschiedene Ressourcen hat, einschließlich eines virtuellen privaten Netzwerks, Block-Volumes und Instanzen virtueller Maschinen. Gruppe B ist eine Oracle Identity Cloud Service-Gruppe. In der Oracle Cloud Infrastructure-Konsole ordnet ein Administrator Gruppe B der Gruppe A zu. Mit dieser Zuordnung kann Gruppe B auf dieselben Ressourcen zugreifen wie Gruppe A. Gruppe C ist eine weitere Gruppe in Oracle Identity Cloud Service und ist keiner Gruppe in IAM zugeordnet. Daher kann Gruppe C nicht auf Ressourcen in Oracle Cloud Infrastructure zugreifen.

Beispiel föderierter Benutzer in OCI

Beschreibung der Abbildung föderated-users.svg

IAM-Policys

Oracle Data Safe verwendet Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Policys, um den Benutzerzugriff auf Oracle Data Safe-Ressourcen zu kontrollieren. Eine Policy ist ein Dokument, das von einem Mandantenadministrator in IAM geschrieben wird und angibt, wer auf welche Ressource Ihr Unternehmen zugreifen kann und wie. Eine Gruppe kann auf bestimmte Weise mit bestimmten Ressourcentypen in einem bestimmten Compartment arbeiten. Jede Policy besteht aus mindestens einer Policy-Anweisung.

Verwandte Themen