Überblick über Sicherheits-Policys

Erfahren Sie, warum Sie Sicherheits-Policys verwenden sollten und welche Berechtigungen Sie für deren Verwendung benötigen.

Sicherheits-Policys

Im Feature "Sicherheits-Policys" erstellen Sie Sicherheits-Policys, mit denen Sie Audit-Policys für Zieldatenbankgruppen und Zieldatenbanken erstellen, bereitstellen und verwalten können.

Jeder Sicherheits-Policy muss mindestens eine einheitliche Audit-Policy zugewiesen sein. Eine Sicherheits-Policy kann dann in Zieldatenbankgruppen und einzelnen Zieldatenbanken bereitgestellt werden. Nachdem Sie eine Sicherheits-Policy in einer Zieldatenbankgruppe oder Zieldatenbank bereitgestellt haben, werden die zugehörigen einheitlichen Audit-Policys auf die Datenbank(en) angewendet. Nachdem eine Sicherheits-Policy in einer Zieldatenbankgruppe bereitgestellt wurde, werden die mit der Sicherheits-Policy verknüpften einheitlichen Audit-Policys automatisch dem Ziel hinzugefügt oder daraus entfernt, wenn ein Ziel der Gruppe hinzugefügt oder daraus entfernt wird. Nachdem eine Audittrailerfassung gestartet wurde, können die Auditdaten im Aktivitätsauditing angezeigt werden.

Es sind eine Reihe von von von Oracle vordefinierten Sicherheits-Policys zur Verwendung verfügbar, oder Sie können benutzerdefinierte Sicherheits-Policys erstellen. Benutzerdefinierte Sicherheits-Policys können entweder mit den verfügbaren von Oracle vordefinierten Audit-Policys, Audit-Policys, die Sie aus einer vorhandenen Zieldatenbank importieren, oder mit benutzerdefinierten Audit-Policys erstellt werden, die Sie mit den verfügbaren einheitlichen Audit-Policy-Definitionen erstellen.

Bedingungen in Sicherheits-Policys

Die in Sicherheits-Policys verwendeten Begriffe

Sicherheits-Policy: Eine Data Safe-Ressource, in der einheitliche Audit-Policy-Konfigurationen gespeichert werden. Mit Sicherheits-Policys können Sie auf einfache Weise einheitliche Audit-Policys auf mehrere Zieldatenbankgruppen und/oder Zieldatenbanken gleichzeitig anwenden.
Einheitliche Audit-Policy: Besteht aus einer einheitlichen Audit-Policy-Definition und den Auditbedingungen, die mit den einheitlichen Audit-Policy-Definitionen verknüpft sind. Auditbedingungen legen fest, auf welche Benutzer die Audit-Policy anwendbar ist und auf welche Vorgangsaktivitäten auditiert werden sollen.
Definition der einheitlichen Audit-Policy: Definiert, welche Aktionen in der Datenbank auditiert werden.

Beispiel: Die Audit-Policy-Definition COMMON_USER_LOGON wendet Folgendes auf Ihre Ziele an. Die Auditbedingungen, die Sie in der einheitlichen Audit-Policy angeben, bestimmen, für welche Benutzer und Vorgänge dies gilt.
```
CREATE AUDIT POLICY common_user_logons ACTIONS LOGON CONTAINER=ALL
```
Sicherheits-Policy-Deployment: Definiert, in welchen Zieldatenbankgruppen und/oder Zieldatenbanken eine Sicherheits-Policy bereitgestellt wird. Wenn eine Sicherheits-Policy in einer Datenbank bereitgestellt wird, gelten die Audit-Policys, die von der Sicherheits-Policy definiert werden, für diese Datenbank.

Vordefinierte Oracle-Sicherheits-Policys

In der folgenden Tabelle werden die von Oracle vordefinierten Sicherheits-Policys beschrieben.

Name der vordefinierten Oracle-Sicherheits-Policy	Beschreibung
Auditing von Admin-Aktivitäten	Prüft alle Aktivitäten für Benutzer mit Admin-Berechtigungen oder -Rollen.
Einfaches Auditing	Prüft kritische Aktivitäten, z.B. wenn ein Benutzer, eine Rolle oder ein Profil erstellt, geändert oder gelöscht wird, Benutzeranmeldung und -abmeldung sowie Schemaänderungen in der Datenbank.
CIS-Auditempfehlungen (Center for Internet Security)	Prüft die Aktivitäten, die das Center for Internet Security (CIS) empfiehlt.
Auditempfehlungen des Center for Internet Security (CIS) (26ai und höher)	Prüft die Aktivitäten, die das Center for Internet Security (CIS) für die Oracle AI Database 26ai und höher empfiehlt und anwendbar ist.
Von Oracle vordefinierte Audit-Policys	Eine Gruppe vordefinierter Best Practice-Audit-Policys, die von Oracle Database bereitgestellt werden. Sie decken Auditeinstellungen ab, die für die Sicherheit allgemein relevant sind.
Von Oracle vordefinierte Audit-Policys (Autonomous Database)	Ein Set vordefinierter Audit-Policys, die von Oracle Autonomous Database bereitgestellt werden. Sie decken Auditeinstellungen ab, die für die Sicherheit allgemein relevant sind.
Von Oracle vordefinierte Audit-Policys (in 21c eingeführt)	Eine Gruppe vordefinierter Audit-Policys für Oracle Database 21c. Sie decken Auditeinstellungen ab, die für die Sicherheit allgemein relevant sind.
Von Oracle vordefinierte Audit-Policys (in 26ai eingeführt)	Ein Set vordefinierter Audit-Policys für Oracle AI Database 26ai. Sie decken Auditeinstellungen ab, die für die Sicherheit allgemein relevant sind.
Von Oracle vordefinierte Audit-Policys (erforderlich)	Eine Gruppe vordefinierter Audit-Policys, die von Oracle Database bereitgestellt werden und nicht deaktiviert werden können. Sie decken Auditeinstellungen ab, die für die Sicherheit allgemein relevant sind.
Auditkonfiguration im Security Technical Implementation Guide (STIG)	Prüfen Sie die Aktivitäten, die im Security Technical Implementation Guide (STIG) empfohlen werden.
Security Technical Implementation Guide (STIG) für Auditkonfiguration (26ai und höher)	Prüfen Sie die Aktivitäten, die im Security Technical Implementation Guide (STIG) für Oracle AI Database 26ai und höher empfohlen und anwendbar sind.
Auditing von Benutzeraktivitäten	Prüft alle vom Benutzer initiierten Aktivitäten von Benutzern, die möglicherweise Zugriff auf sensible Daten oder einen breiteren Zugriff auf die Datenbank haben.

Voraussetzungen für Sicherheits-Policys

Für die Verwendung von Sicherheits-Policys sind die folgenden Voraussetzungen erforderlich:

Registrieren Sie die Zieldatenbanken, die Sie mit Sicherheits-Policys verwenden möchten.
Erteilen Sie die Rollen "Auditerfassung" und "Auditeinstellung" für die Zieldatenbank. Ein Datenbankadministrator kann diese Rollen dem Oracle Data Safe-Serviceaccount in der Zieldatenbank erteilen.

Tipp: Nicht autonome Datenbanken müssen das Berechtigungsskript erneut ausführen, selbst wenn der Data Safe-Serviceaccount bereits die Rollen AUDIT_COLLECTION und AUDIT_SETTING aufweist.
Rufen Sie die Berechtigung in Oracle Cloud Infrastructure Identity and Access Management (IAM) ab, um das Feature "Sicherheits-Policys" in Oracle Data Safe zu verwenden. Ein OCI-Administrator kann die Berechtigung use oder manage nach Bedarf für die folgenden Ressourcen erteilen:
- data-safe-unified-audit-policies
- data-safe-unified-audit-policy-definition
- data-safe-security-policies
- data-safe-security-policy-config
- data-safe-security-policy-deployments
- data-safe-attribute-sets

Als Alternative zum selektiven Erteilen von Berechtigungen können Sie Berechtigungen für data-safe-audit-family oder data-safe-unified-audit-policy-family in den relevanten Compartments erteilen, was Berechtigungen für alle oben genannten Ressourcen umfassen würde. Siehe data-safe-audit-family Resource oder data-safe-unified-audit-policy-family.

Rollen für den Oracle Data Safe-Serviceaccount in der Zieldatenbank erteilen

Sicherheits-Policy-Workflow

Die allgemeinen Schritte zum Erstellen und Bereitstellen von Sicherheits-Policys für Zieldatenbanken hängen davon ab, ob Sie vordefinierte oder benutzerdefinierte Sicherheits-Policys verwenden.

Registrieren Sie Zieldatenbanken, und erstellen Sie bei Bedarf Zieldatenbankgruppen. Siehe:
- Zieldatenbankregistrierung
- Zieldatenbankgruppe erstellen
Wenn Sie eine vordefinierte Sicherheits-Policy verwenden, stellen Sie die Sicherheits-Policy in den gewünschten Zieldatenbankgruppen und Zieldatenbanken bereit. Siehe Sicherheits-Policys bereitstellen.
Wenn Sie eine benutzerdefinierte Sicherheitsrichtlinie verwenden, gehen Sie wie folgt vor:

a) Erstellen Sie eine benutzerdefinierte Sicherheitsrichtlinie. Siehe Benutzerdefinierte Sicherheits-Policys erstellen.

b) Legen Sie die Konfiguration der Sicherheitsrichtlinie fest. Siehe Konfiguration einer benutzerdefinierten Sicherheits-Policy bearbeiten.

c) Fügen Sie der Sicherheits-Policy einheitliche Audit-Policys hinzu, oder importieren Sie sie. Siehe:
- Einheitliche Audit-Policys zu benutzerdefinierten Sicherheits-Policys hinzufügen
- Audit-Policys in eine Sicherheits-Policy importieren
c) Stellen Sie die Sicherheits-Policy für die gewünschten Zieldatenbankgruppen und Zieldatenbanken bereit. Siehe Sicherheits-Policys bereitstellen.