Oracle Cloud Infrastructure-Dokumentation

Best Practices zur Sicherheit

Für Oracle hat die Cloud-Sicherheit oberste Priorität, und die Sicherheitsverantwortlichkeiten werden von Oracle und Ihnen gemeinsam genutzt.

Oracle und Ihre Verantwortung

Oracle wertet regelmäßig kritische Patchupdates und Sicherheitswarnungen sowie relevante Fehlerkorrekturen von Drittanbietern aus, sobald sie verfügbar sind, und wendet die entsprechenden Patches entsprechend den geltenden Änderungsmanagementprozessen an. Sicherheitslücken werden in regelmäßigen Abständen gepatcht.

Sie müssen:

  • Verfolgen Sie Sicherheitslücken, und führen Sie regelmäßig Sicherheitsscans und Sicherheitsbewertungen für die DB-Systeme HeatWave durch.
  • Lesen und bewerten Sie Informationen zu kritischen Patchupdates und Sicherheitswarnungen und Bulletins. Siehe Sicherheitsalerts.
  • Wenden Sie kritische Softwareupgrades und Korrekturmaßnahmen an.
  • Falls Sie zusätzliche Informationen benötigen, die nicht adressiert sind, senden Sie eine Serviceanfrage in Ihrem dafür vorgesehenen Support-System. Siehe Supportanfrage erstellen.

Sicherheitsfeatures

Oracle bietet Ihnen verschiedene Features wie Verschlüsselung während der Übertragung, Datenmaskierung und Löschplan, um Ihre Daten zu schützen.

Tabelle 3-1: Sicherheitsfunktionen

Feature Best Practices
Datenbankzugriffskontrolle und Accountverwaltung Mit den MySQL-Sicherheitsfeatures können Sie den Zugriff kontrollieren und Ihren Account verwalten. Siehe Zugriffskontrolle und Accountverwaltung.
OCI-Auditservice Mit dem OCI Audit Service können Sie Aufrufe aller unterstützten öffentlichen API-(Application Programming Interface-)Endpunkte in Ihrem Mandanten automatisch als Logereignisse aufzeichnen. Die Logereignisse enthalten Details wie Quelle, Ziel oder Zeitpunkt, zu dem die API-Aktivität aufgetreten ist. Siehe Auditservicelogs anzeigen und Überblick über Audit.
MySQL Enterprise Audit-Plug-in Verwenden Sie das MySQL Enterprise Audit-Plug-in, um eine Logdatei zu erstellen, die einen Auditdatensatz der Serveraktivität enthält. Der Loginhalt umfasst, wenn Clients eine Verbindung herstellen und die Verbindung trennen, und welche Aktionen sie während der Verbindung ausführen, z. B. auf welche Datenbanken und Tabellen sie zugreifen. Sie können Statistiken für die Zeit und Größe jeder Abfrage hinzufügen, um Ausreißer zu ermitteln. Standardmäßig sind Audit-Plug-in-Logs deaktiviert, und Sie müssen Filter definieren, um das Logging aller auditierbaren Ereignisse für alle Benutzer zu aktivieren. Siehe MySQL-Standardberechtigungen und MySQL Enterprise-Audit-Plug-in.
Plug-in authentication_oci Verwenden Sie das MySQL-Plug-in authentication_oci, um MySQL-Benutzer vorhandenen Benutzern und Gruppen zuzuordnen, die im IAM-Service definiert sind. Siehe Mit authentication_oci-Plug-in authentifizieren.
Plug-in connection-control Standardmäßig unterstützt der HeatWave-Service das Plug-in connection-control, um Brute-force-Angriffe auf MySQL-Benutzeraccounts zu verhindern. Siehe Plug-ins und Komponenten.
Verschlüsselung-at-Rest Ihre ruhenden Daten werden immer mit Schlüsseln verschlüsselt, die von Oracle verwaltet werden, oder mit Schlüsseln, die vom Kunden bereitgestellt werden. Siehe Datensicherheit.
Verschlüsselung während der Übertragung Zum Schutz Ihrer Daten können Sie für einen bestimmten Benutzer die Verschlüsselung beim Übertragen verwenden. Siehe Datensicherheit.
Datenmaskierung Mit Datenmaskierung können Sie Ihre sensiblen Daten schützen. Siehe Datenmaskierung.
Löschplan Mit einem Löschplan können Sie das DB-System nicht löschen. Siehe Erweiterte Option: Löschplan.
Identity and Access Management Weisen Sie als Sicherheitsadministrator Benutzern Mindestberechtigungen zu. Mit IAM-Policys können Sie den Zugriff auf und die Verwendung von MySQL-Ressourcen kontrollieren. Siehe IAM-Policys.
Sicherheitszertifikat Ein Sicherheitszertifikat ist ein digitales Dokument, das bestätigt, dass sein Subject der Eigentümer des enthaltenen Public Keys im Zertifikat ist. Sie können entweder zulassen, dass der HeatWave-Service ein Sicherheitszertifikat definiert, oder Ihr eigenes Zertifikat in Oracle Cloud Infrastructure verwenden. Siehe Erweiterte Option: Verbindungen.
Komponente validate_password HeatWave Service erzwingt sichere Kennwörter mit der Komponente validate_password. Stellen Sie sicher, dass Ihre Anwendungen die Kennwortanforderungen erfüllen. Siehe Plug-ins und Komponenten.
Virtuelles Cloud-Netzwerk (VCN)
  • Konfigurieren Sie Netzwerksicherheitsgruppen oder Sicherheitslisten für das VCN, um die autorisierten öffentlichen IP-Adressen auf eine einzelne IP-Adresse oder einen kleinen Bereich von IP-Adressen zu beschränken. Siehe Virtuelles Cloud-Netzwerk erstellen.
  • Konfigurieren Sie das DB-System MySQL so, dass private Subnetze Ihres VCN verwendet werden. Um über ein externes Netzwerk eine Verbindung zu Ihrem MySQL-DB-System herzustellen, verwenden Sie eine Bastion-Session oder eine VPN-Verbindung. Wenn Sie nur über das Internet eine Verbindung zu Ihrem DB-System herstellen können, beschränken Sie die autorisierten öffentlichen IP-Adressen auf eine einzelne IP-Adresse oder einen kleinen Bereich von IP-Adressen, und verwenden Sie die Verschlüsselung während der Übertragung. Siehe Network Load Balancer.