Oracle Cloud Infrastructure-Dokumentation

Datenbanksicherheit mit Oracle Data Safe verwalten

Oracle Data Safe

In Ihrer Unternehmensrichtlinie müssen Sie Ihre Datenbanken überwachen und Auditdatensätze aufbewahren. Ihre Entwickler fragen nach Kopien von Produktionsdaten für diese neue Anwendung, und Sie fragen sich, welche Arten von sensiblen Informationen darin enthalten sind. In der Zwischenzeit müssen Sie sicherstellen, dass die jüngsten Wartungsaktivitäten keine kritischen Sicherheitskonfigurationslücken in Ihren Produktionsdatenbanken hinterlassen haben und dass Mitarbeiteränderungen keine inaktiven Benutzeraccounts in den Datenbanken hinterlassen haben. Oracle Data Safe unterstützt Sie bei diesen Aufgaben und ist im Exadata Database Service* enthalten.

Oracle Data Safe ist ein einheitliches Kontrollzentrum, mit dem Sie die täglichen Sicherheits- und Complianceanforderungen von Oracle Databases unabhängig davon verwalten können, ob sie in der Oracle Cloud Infrastructure, bei Cloud@Customer, On-Premises oder in einer anderen Cloud ausgeführt werden.

Mit Data Safe können Sie Sicherheitskontrollen auswerten, die Benutzersicherheit bewerten, Benutzeraktivitäten überwachen und Complianceanforderungen für die Datensicherheit für Ihre Datenbank erfüllen, indem Sie die Vertraulichkeit Ihrer Daten auswerten und sensible Daten für Nicht-Produktionsdatenbanken maskieren.

Data Safe umfasst die folgenden Features:

  • Sicherheitsbewertung: Konfigurationsfehler und Konfigurationsabweichungen tragen wesentlich zu Datenschutzverletzungen bei. Nutzen Sie die Sicherheitsbewertung, um die Konfiguration Ihrer Datenbank zu bewerten und sie mit Best Practices von Oracle und der Branche zu vergleichen. Die Sicherheitsbewertung berichtet über Risikobereiche und benachrichtigt Sie, wenn sich Konfigurationen ändern.
  • Benutzerbewertung: Viele Verstöße beginnen mit einem kompromittierten Benutzeraccount. Mit der Benutzerbewertung können Sie die riskantesten Datenbankaccounts erkennen - diejenigen Accounts, die, wenn sie kompromittiert werden, den größten Schaden verursachen könnten - und proaktive Schritte unternehmen, um sie zu sichern. Anhand von Basisplänen für Benutzerbewertungen lässt sich leicht erkennen, wann neue Accounts hinzugefügt oder die Berechtigungen eines Accounts geändert werden. Verwenden Sie OCI-Ereignisse, um proaktive Benachrichtigungen zu erhalten, wenn eine Datenbank von ihrer Baseline abweicht.
  • Aktivitätsauditing: Das Verstehen und Reporting von Benutzeraktivitäten, Datenzugriff und Änderungen an Datenbankstrukturen unterstützt Complianceanforderungen und kann bei Untersuchungen nach Vorfällen helfen. Das Aktivitätsauditing sammelt Auditdatensätze aus Datenbanken und unterstützt Sie bei der Verwaltung von Auditrichtlinien. Mit Audit-Insights können Sie ineffiziente Audit-Policys einfach identifizieren, und Alerts basierend auf Auditdaten benachrichtigen Sie proaktiv über riskante Aktivitäten.
  • Discovery für sensible Daten: Zu wissen, welche sensiblen Daten in Ihren Anwendungen verwaltet werden, ist für Sicherheit und Datenschutz von entscheidender Bedeutung. Bei der Daten-Discovery wird Ihre Datenbank auf über 150 verschiedene Typen sensibler Daten gescannt. So können Sie verstehen, welche Typen und Mengen sensibler Daten Sie speichern. Mit diesen Berichten können Sie Audit-Policys formulieren, Datenmaskierungsvorlagen entwickeln und effektive Zugriffskontroll-Policys erstellen.
  • Datenmaskierung: Durch die Minimierung der Menge an sensiblen Daten, die Ihre Organisation verwaltet, können Sie Complianceanforderungen erfüllen und Datenschutzvorschriften erfüllen. Mit der Datenmaskierung können Sie Risiken aus Ihren Nicht-Produktionsdatenbanken entfernen, indem Sie sensible Informationen durch maskierte Daten ersetzen. Mit wiederverwendbaren Maskierungsvorlagen, über 50 enthaltenen Maskierungsformaten und der Möglichkeit, ganz einfach benutzerdefinierte Formate für die individuellen Anforderungen Ihrer Organisation zu erstellen, kann die Datenmaskierung Ihre Anwendungsentwicklung und Testvorgänge optimieren.
  • SQL-Firewall-Management: Schutz vor Risiken wie SQL-Injection-Angriffen oder kompromittierten Konten. Oracle SQL Firewall ist eine neue Sicherheitsfunktion, die in den Oracle Database 23ai-Kernel integriert ist und einen erstklassigen Schutz vor diesen Risiken bietet. Mit dem SQL-Firewallfeature in Oracle Data Safe können Sie die SQL-Firewall-Policys für Ihre Zieldatenbanken zentral verwalten und überwachen. Mit Data Safe können Sie autorisierte SQL-Aktivitäten eines Datenbankbenutzers erfassen, die Policy mit Ausnahmelisten genehmigter SQL-Anweisungen und Datenbankverbindungspfaden generieren und aktivieren. Außerdem erhalten Sie einen umfassenden Überblick über alle SQL-Firewallverletzungen in der Flotte Ihrer Zieldatenbanken.

* Enthält 1 Million Auditdatensätze pro Datenbank und Monat, wenn die Auditerfassung für Aktivitätsauditing verwendet wird

Erste Schritte

Um zu beginnen, müssen Sie Ihre Datenbank nur bei Oracle Data Safe registrieren:

  • Voraussetzung: Rufen Sie die erforderlichen Identity and Access Management-(IAM-)Berechtigungen ab, um die Zieldatenbank in Data Safe zu registrieren: Berechtigungen zum Registrieren einer Oracle Cloud@Customer-Datenbank
  • Wählen Sie eine Option für die Verbindung der Datenbank mit Data Safe aus
    • Verbindung über VPN oder FastConnect mit einem privaten Data Safe-Endpunkt herstellen

      Wenn FastConnect oder VPN Connect zwischen der Cloud@Customer-Umgebung und einem virtuellen Cloud-Netzwerk (VCN) in Oracle Cloud Infrastructure (OCI) eingerichtet ist, können Sie die Datenbank mit einem privaten Oracle Data Safe-Endpunkt bei Oracle Data Safe registrieren. Sie können den privaten Endpunkt während der Registrierung oder vorher erstellen. Weitere Informationen zum Erstellen des privaten Endpunkts finden Sie unter Privaten Oracle Data Safe-Endpunkt erstellen.

    • Verbindung mit einem Data Safe-On-Premise-Connector herstellen

      Wenn zwischen Ihrer Cloud@Customer-Umgebung und OCI kein FastConnect oder VPN eingerichtet ist oder Sie es nicht für Data Safe verwenden möchten, können Sie Ihre Datenbank mit einem Oracle Data Safe-On-Premise-Connector bei Data Safe registrieren. Sie können den On-Premise-Connector während der Registrierung oder vorher erstellen und installieren. Weitere Informationen zum Erstellen des Connectors finden Sie unter Oracle Data Safe-On-Premise-Connector erstellen.

  • Cloud@Customer-Datenbank in Data Safe registrieren

Oracle Data Safe verwenden

Sobald Ihre Datenbank in Data Safe registriert ist, können Sie alle Features nutzen.

Sicherheitsbewertung

Sicherheitsbewertungen werden automatisch einmal pro Woche in Data Safe geplant und bieten ein Gesamtbild Ihrer Datenbanksicherheitslage. Sie analysiert Ihre Datenbankkonfigurationen, Benutzer und Benutzerberechtigungen sowie Sicherheits-Policys, um Sicherheitsrisiken zu erkennen und den Sicherheitsstatus von Oracle-Datenbanken innerhalb Ihrer Organisation zu verbessern. Eine Sicherheitsbewertung liefert Ergebnisse mit Empfehlungen für Korrekturaktivitäten, die Best Practices zur Reduzierung oder Minderung von Risiken befolgen.

Prüfen Sie zunächst den Sicherheitsbewertungsbericht für die Datenbank: Letzte Bewertung für eine Zieldatenbank anzeigen

Weitere Details zur Sicherheitsbewertung finden Sie unter Überblick über Sicherheitsbewertungen.

Benutzerbewertung

Benutzerbewertungen werden automatisch einmal pro Woche in Data Safe geplant und helfen Ihnen, hoch privilegierte Benutzeraccounts zu identifizieren, die eine Bedrohung darstellen könnten, wenn sie missbraucht oder kompromittiert werden. Die Benutzerbewertung prüft Informationen zu Ihren Benutzern in den Data Dictionaryaries in Ihren Zieldatenbanken und berechnet dann ein potenzielles Risiko für jeden Benutzer, basierend auf Systemberechtigungen und Rollenberechtigungen.

Prüfen Sie zunächst den Benutzerbewertungsbericht für Ihre Datenbank: Aktuelle Benutzerbewertung für eine Zieldatenbank anzeigen

Weitere Details zur Benutzerbewertung finden Sie unter Benutzerbewertungsüberblick.

Datenerkennung

Die Daten-Discovery sucht nach sensiblen Spalten in der Datenbank. Es enthält über 150 vordefinierte sensible Typen und Sie können auch Ihre eigenen sensiblen Typen erstellen. Sie teilen der Daten-Discovery mit, ob Sie die gesamte Datenbank oder nur bestimmte Schemas scannen möchten und welche Art von sensiblen Informationen gesucht werden soll. Außerdem werden die sensiblen Spalten gefunden, die Ihren Kriterien entsprechen, und sie werden in einem Modell für sensible Daten (SDM) gespeichert.

Erkennen Sie zunächst sensible Daten in der Datenbank: Modelle für sensible Daten erstellen

Weitere Details zur Daten-Discovery finden Sie unter Überblick über die Daten-Discovery.

Datenmaskierung

Mit der Datenmaskierung, auch als statische Datenmaskierung bezeichnet, können Sie sensible oder vertrauliche Informationen in Ihren Nicht-Produktionsdatenbanken durch realistische und vollfunktionale Daten mit ähnlichen Eigenschaften wie die Originaldaten ersetzen. Data Safe enthält vordefinierte Maskierungsformate für jeden der vordefinierten sensiblen Typen, die auch für Ihre eigenen sensiblen Typen verwendet werden können.

Sobald Sie wissen, wo sensible Daten in Ihrer Datenbank gespeichert sind (z.B. nach der Ausführung der Daten-Discovery in Data Safe), können Sie zunächst eine Maskierungs-Policy erstellen: Maskierungs-Policys erstellen

Nachdem Sie eine Maskierungs-Policy erstellt und die Produktionsdatenbank kopiert haben, können Sie die Nicht-Produktionskopie maskieren: Sensible Daten in einer Zieldatenbank maskieren

Weitere Details zur Datenmaskierung finden Sie unter Überblick über die Datenmaskierung.

Aktivitätsüberwachung

Das Aktivitätsauditing in Oracle Data Safe unterstützt Sie dabei, die Rechenschaft sicherzustellen und die Einhaltung von Vorschriften zu verbessern. Mit dem Aktivitätsauditing können Sie Auditdatensätze gemäß den branchenspezifischen und gesetzlichen Complianceanforderungen erfassen und aufbewahren sowie Benutzeraktivitäten in Oracle-Datenbanken mit vordefinierten Berichten und Alerts überwachen. Beispiel: Sie können den Zugriff auf sensible Daten, sicherungsrelevante Ereignisse, Administrator- und Benutzeraktivitäten, die von Compliancevorschriften wie dem Center for Internet Security (CIS) empfohlenen Aktivitäten sowie die von Ihrer eigenen Organisation definierten Aktivitäten auditieren.

Wenn Sie die Auditerfassung in Data Safe verwenden, sind bis zu 1 Million Auditdatensätze pro Zieldatenbank pro Monat für Ihre Cloud@Customer-Datenbank enthalten.

Um Aktivitätsauditing zu verwenden, starten Sie den Audittrail für die Zieldatenbank in Data Safe: Audittrail starten

Nachdem der Audittrail gestartet wurde, können Sie Ihre Auditdaten mit vordefinierten Auditberichten überwachen und analysieren: Vordefinierten oder benutzerdefinierten Auditbericht anzeigen

Weitere Details zum Aktivitätsauditing finden Sie unter Überblick über Aktivitätsauditing.

SQL-Firewall*

Mit der SQL-Firewall in Oracle Data Safe können Sie die SQL-Firewalls zentral verwalten und einen umfassenden Überblick über SQL-Firewallverletzungen in der gesamten Flotte Ihrer Zieldatenbanken erhalten. Mit Data Safe können Sie autorisierte SQL-Aktivitäten eines Datenbankbenutzers erfassen, den Fortschritt der Erfassung überwachen, die Policy mit Ausnahmelisten genehmigter SQL-Anweisungen und Datenbankverbindungspfaden generieren und aktivieren.

Aktivieren Sie zunächst die SQL-Firewall in der 23ai-Zieldatenbank: SQL-Firewall in der Zieldatenbank aktivieren.

Als Nächstes müssen Sie eine SQL-Firewall-Policy mit Ausnahmelisten für den Datenbankbenutzer generieren und aktivieren, den Sie schützen möchten: SQL-Firewall-Policys generieren und durchsetzen.

Nachdem Sie mit der Durchsetzung der SQL-Firewall-Policy begonnen haben, können Sie die Verletzungen in den vordefinierten Verletzungsberichten überwachen und analysieren: Berichte zu Verletzungen anzeigen und verwalten.

Weitere Details zur SQL-Firewall finden Sie unter Überblick über SQL-Firewall.

*SQL-Firewall ist nur für Oracle Databases 23ai verfügbar.