Oracle Cloud Infrastructure - Dokumentation

SQL Firewall – Überblick

Mit dem SQL-Firewallfeature in Oracle Data Safe können Sie die SQL-Firewall in Ihrer gesamten Flotte von Oracle AI Database 26ai-Zielen verwalten und überwachen.

SQL-Firewall

Mit dem SQL-Firewallfeature in Oracle Data Safe können Sie die SQL-Firewall in Ihrer gesamten Flotte von Oracle AI Database-Zielen verwalten und überwachen. SQL Firewall ist eine neue Sicherheitsfunktion, die in den Oracle AI Database 26ai-Kernel integriert ist und Schutz vor Risiken wie SQL-Injection-Angriffen und kompromittierten Konten bietet. SQL Firewall prüft alle eingehenden Datenbankverbindungen und SQL-Anweisungen, einschließlich der aus PL/SQL-Einheiten, ob lokal oder über das Netzwerk, verschlüsselter oder Klartext. Es lässt nur explizit autorisiertes SQL zu und kann SQL-Anweisungen und Verbindungen protokollieren oder blockieren, die nicht in die SQL Firewall-Ausnahmelisten fallen.

SQL Firewall verwendet Ausnahmelisten autorisierter SQL-Anweisungen und vertrauenswürdiger Datenbankverbindungspfade, um zu bestimmen, welche SQL-Anweisungen und Verbindungspfade autorisiert sind und welche entweder protokolliert oder blockiert werden sollen. SQL Firewall-Ausnahmelisten-Policys funktionieren auf Datenbankkontoebene. Sie erstellen eine SQL Firewall-Ausnahmeliste für einen Datenbankaccount, indem Sie die erwartete SQL-Workload der Anwendung von erwarteten Datenbankverbindungen erfassen oder erfassen. Anschließend erkennt und verhindert die Firewall unbefugte SQL- und potenzielle SQL-Injection-Angriffe.

SQL Firewall kann auf verschiedene Arten verwaltet werden. Mit den PL/SQL-Prozeduren im Package SYS.DBMS_SQL_FIREWALL können Sie SQL Firewall direkt in einer Oracle AI Database (26ai oder höher) verwalten. Erwägen Sie Oracle Data Safe, wenn Sie die Bequemlichkeit des Oracle Cloud Infrastructure-(OCI-)Ökosystems nutzen möchten und die SQL-Firewall für eine Flotte von Oracle AI Database-Zielen verwalten und überwachen möchten.

Administratoren können mit Data Safe SQL-Aktivitäten von Datenbankaccounts erfassen, den Erfassungsfortschritt überwachen, SQL-Firewall-Policys mit Ausnahmelistenregeln (zulässige Kontexte und zulässige SQL-Anweisungen) aus den erfassten SQL-Aktivitäten erstellen und SQL-Firewall-Policys aktivieren. Sobald eine SQL-Firewall-Policy aktiviert ist, erfasst Data Safe automatisch die Firewallverletzungslogs aus der Datenbank und speichert sie in Data Safe. Diese Logs sind dann für Onlineanalysen und Berichte in Ihrer gesamten Datenbankflotte verfügbar. Sie können die REST-APIs, SDKs, die CLI und Terraform von Data Safe für weitere Automatisierung und Integration nutzen. Sie können auch das größere OCI-Ökosystem für die Integration von SQL-Firewallverletzungen mit seinen Alerts und Benachrichtigungen nutzen.

Begriffe in SQL Firewall

Die folgenden Begriffe werden im gesamten SQL-Firewallfeature von Oracle Data Safe verwendet.

  • Datenbanksicherheitskonfiguration: Diese Ressource stellt die Zieldatenbankkonfigurationen dar. In den Datenbanksicherheitskonfigurationen sind die SQL-Firewallkonfigurationen enthalten, z.B. der Status der Firewall, der Zeitpunkt, zu dem der Firewallstatus zuletzt aktualisiert wurde, die Einstellungen für das automatische Löschen von Verletzungslogs usw.

  • Sessionkontext: Dies stellt Clientinformationen dar, die SQL-Traffic auslösen: Client-IP-Adresse, BS-Programmname und BS-Benutzername.

  • SQL-Collection: Diese Ressource stellt die SQL-Collection für einen bestimmten Datenbankbenutzer in einer Zieldatenbank dar. Die SQL-Collection kapselt die in den Datenbanksessions des Benutzers abgesetzten SQL-Befehle und deren Sessionkontext.

  • SQL-Firewall-Policy: Eine für einen Datenbankbenutzer spezifische Ausnahmelisten-Policy, mit der eingehende SQL-Anweisungen ausgewertet werden, um zu bestimmen, ob sie Aktionen für die Zieldatenbank ausführen können. SQL-Anweisungen können zugelassen oder, wenn sie nicht Teil der Ausnahmeliste sind, zugelassen und protokolliert oder blockiert und protokolliert werden. Die Policy kann nur Sessionkontextinformationen, nur bestimmte SQL-Anweisungen oder beides enthalten.

  • SQL-Verletzungen: Dies stellt SQL-Anweisungen dar, die in der Zieldatenbank initiiert wurden und nicht in der Ausnahmeliste in der SQL Firewall-Policy enthalten sind.

  • Kontextverletzungen: Dies stellt den Sessionkontext dar, aus dem SQL-Anweisungen in der Zieldatenbank initiiert wurden, die nicht in der Ausnahmeliste in der SQL Firewall-Policy enthalten sind.

  • Verletzungen überwachen und protokollieren: Eine SQL Firewall-Policy-Durchsetzungsoption, bei der initiierte SQL-Anweisungen, bei denen es sich entweder um SQL- oder Kontextverletzungen handelt, in der Zieldatenbank ausgeführt werden dürfen und die Anweisungen und der Kontext zur späteren Referenz protokolliert werden.

  • Block- und Logverletzungen: Eine Option zur Durchsetzung von SQL-Firewall-Policys, bei der initiierte SQL-Anweisungen, bei denen es sich um SQL- oder Kontextverletzungen handelt, blockiert sind und nicht in der Zieldatenbank ausgeführt werden können. Die Anweisungen und der Kontext werden zur späteren Referenz protokolliert.

Voraussetzungen für die SQL-Firewall

SQL Firewall erfordert, dass Sie eine Oracle AI Database 26ai-Zieldatenbank in Data Safe registrieren. Benutzern müssen in IAM bestimmte Berechtigungen erteilt werden.

Die folgenden Voraussetzungen sind für die Verwendung des SQL-Firewallfeatures in Oracle Data Safe erforderlich:

  • Registrieren Sie eine Oracle AI Database 26ai oder höher. Siehe Zielregistrierung.

  • Erteilen Sie dem Data Safe-Serviceaccount in der Zieldatenbank die SQL-Firewallrolle. Siehe auch Rollen für den Oracle Data Safe-Serviceaccount.

  • Rufen Sie die erforderlichen IAM-Berechtigungen ab, die von einem Mandantenadministrator erteilt werden können. Um die volle Funktionalität der SQL-Firewall zu nutzen, wird empfohlen, manage-Berechtigungen für data-safe-sql-firewall-family in den relevanten Compartments zu erteilen.

    Allow group <group-name> to manage data-safe-sql-firewall-family in compartment <compartment-name>

    Alternativ können Administratoren selektivere Berechtigungen erteilen, indem sie bestimmten Ressourcen in data-safe-sql-firewall-family Berechtigungen erteilen. Weitere Informationen zu den Ressourcen, die in data-safe-sql-firewall-family enthalten sind, finden Sie unter data-safe-sql-firewall-family Resource.

Verwandte Themen