Zugriffskontrolle in autonomer KI-Datenbank auf dedizierter Exadata-Infrastruktur

Bei die Konfiguration der autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur müssen Sie sicherstellen, dass Ihre Cloud-Benutzer nur die zum Ausführen ihrer Jobaufgaben erforderlichen Cloud-Ressourcen verwenden und erstellen dürfen. Darüber hinaus müssen Sie sicherstellen, dass nur autorisierte Mitarbeiter und Anwendungen Zugriff auf die autonomen KI-Datenbanken haben, die in einer dedizierten Infrastruktur erstellt wurden. Andernfalls besteht die Gefahr einer unkontrollierten Nutzung Ihrer dedizierten Infrastrukturressourcen oder unfugter Zugriffe auf geschäftskritische Daten.

Bevor Sie mit der Erstellung und Verwendung der Cloud-Ressourcen beginnen, die das dedizierte Infrastrukturfeature bereitstellen, müssen Sie einen Zugriffskontrollplan formulieren und durch Erstellen geeigneter IAM-(Identity and Access Management-) und Netzwerkressourcen implementieren. Dementsprechend wird die Zugriffskontrolle innerhalb einer autonomen KI-Datenbank auf verschiedenen Ebenen implementiert:

• Zugriffskontrolle für Oracle Cloud-Benutzer
• Clientzugriffskontrolle
• Zugriffskontrolle für Datenbankbenutzer

Oracle Cloud-Benutzerzugriffskontrolle

Sie steuern, welchen Zugriff die Oracle Cloud-Benutzer in Ihrem Mandanten auf die Cloud-Ressourcen haben, aus denen Ihr Deployment der autonomen KI-Datenbank auf der dedizierten Exadata-Infrastruktur besteht.

Mit dem Identity and Access Management-(IAM-)Service stellen Sie sicher, dass Ihre Cloud-Benutzer nur die entsprechenden Arten von autonomen KI-Datenbankressourcen erstellen und verwenden können, um ihre Aufgaben auszuführen. Um Zugriffskontrollen für Cloud-Benutzer einzurichten, definieren Sie Policys, die bestimmten Gruppen von Benutzern spezifische Zugriffsrechte für bestimmte Arten von Ressourcen in bestimmten Compartments erteilen.

Der IAM-Service bietet mehrere Arten von Komponenten, mit denen Sie eine sichere Strategie für den Cloud-Benutzerzugriff definieren und implementieren können:

• Compartment: Eine Sammlung zugehöriger Ressourcen. Compartments sind eine wichtige Komponente von Oracle Cloud Infrastructure für die Organisation und Isolation der Cloud-Ressourcen.

• Gruppe: eine Sammlung von Benutzern, die alle den gleichen Zugriffstyp zu einem bestimmten Ressourcenset oder Compartment benötigen.

• Dynamische Gruppe: Ein spezieller Gruppentyp, der Ressourcen enthält, die den von Ihnen definierten Regeln entsprechen. Daher kann sich die Mitgliedschaft dynamisch ändern, wenn übereinstimmende Ressourcen erstellt oder gelöscht werden.

• Policy: Eine Gruppe von Anweisungen, die angeben, wer wie auf welche Ressourcen zugreifen kann. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt, d.h. Sie erstellen eine Policy-Anweisung, mit der eine bestimmte Gruppe einen bestimmten Zugriffstyp auf einen bestimmten Ressourcentyp innerhalb eines bestimmten Compartments erhält.

Policy- und Policy-Anweisungen

Das primäre Tool, mit der Sie den Zugriffskontrolle für Cloud-Benutzer definieren, ist die Policy. Diese IAM-(Identity and Access Management-)Ressource enthält Policy-Anweisungen, die den Zugriff exakt angeben ("Wer", "Wie", "Was" und "Wo").

Das Format einer Policy-Anweisung lautet:

Allow
  group <group-name>
  to <control-verb>
  <resource-type>
  in compartment <compartment-name>

• Gruppe <group-name> gibt den Namen einer vorhandenen IAM-Gruppe an ("Wer"), eine IAM-Ressource, der einzelne Cloud-Benutzer zugewiesen werden können.

• to <control-verb> gibt mit einem dieser vordefinierten Kontrollverben das "How" an:

  • inspect: Die Möglichkeit, Ressourcen des angegebenen Typs aufzulistet, ohne auf vertrauliche Informationen oder benutzerdefinierte Metadaten zuzugreifen, die Bestandteil dieser Ressource sein könnten.

  • Lesen: inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die eigentliche Ressource abzurufen.

  • use: read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten, diese jedoch nicht zu erstellen oder nicht zu löschen. Darüber hinaus bezeichnet "Arbeiten mit" verschiedene Vorgänge für verschiedene Ressourcentypen.

  • manage: Alle Berechtigungen für den Ressourcentyp, einschließlich Erstellen und Löschen.

  Im Kontext eines dedizierten Infrastrukturfeatures kann ein Flottenadministrator autonome Containerdatenbanken manage verwalten, während ein Datenbankadministrator diese nur use verwenden kann, um autonome KI-Datenbanken zu erstellen.

• <resource-type> gibt das "Was" mit einem vordefinierten Ressourcentyp an. Ressourcentypwerte für die dedizierten Infrastrukturressourcen:

  • exadata-infrastructures
  • autonomous-container-databases
  • autonomous-databases
  • autonome Backups

  Da dedizierte Infrastrukturressourcen Netzwerkressourcen verwenden, verweisen einige der erstellte Policy-Anweisungen auf den Ressourcentypwert virtual-network-family. Außerdem können Sie Policy-Anweisungen erstellen, die den Ressourcentypwert Tag-Namespaces referenzieren, wenn Tagging in Ihrem Mandanten verwendet wird.

• In Compartment <compartment-name> wird "Wo" angegeben, indem der Name eines vorhandenen IAM-Compartments, einer IAM-Ressource, in der Ressourcen erstellt werden, angegeben wird. Compartments stellen eine wichtige Komponente von Oracle Cloud Infrastructure für die Organisation und Isolierung von Cloud-Ressourcen dar.

Die Policy-Details für autonome KI-Datenbank finden Sie unter IAM-Policys für autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur.

Informationen zur Funktionsweise des IAM-Service und der zugehörigen Komponenten sowie zu deren Verwendung finden Sie unter Überblick über Oracle Cloud Infrastructure Identity and Access Management. Antworten auf häufig gestellte Fragen zu IAM finden Sie in den häufig gestellten Fragen zu Identity and Access Management.

Best Practices bei der Planung und Umsetzung von Zugriffskontrollen

Berücksichtigen Sie diese Best Practices bei der Planung und Umsetzung Ihrer Zugriffskontrollen für das dedizierte Infrastrukturfeature.

• Erstellen Sie ein separates VCN, das nur private Subnetze enthält. In fast jedem Fall umfassen die auf dedizierten Infrastrukturen erstellten autonomen KI-Datenbanken sensible Unternehmensdaten, die normalerweise nur innerhalb des privaten Netzwerks des Unternehmens zugänglich sind. Selbst mit Partnern, Lieferanten, Verbrauchern und Kunden geteilte Daten werden über regulierte, sichere Kanäle zur Verfügung gestellt.

  Daher sollte der Netzwerkzugriff, den Sie solchen Datenbanken gewähren, für Ihr Unternehmen privat sein. Dazu können Sie ein VCN erstellen, das über private Subnetze und ein IPsec-VPN oder FastConnect eine Verbindung zum privaten Netzwerk Ihres Unternehmens herstellt. Informationen zum Einrichten einer solchen Konfiguration finden Sie unter Szenario B: Private Subnetze mit einem VPN in der Oracle Cloud Infrastructure-Dokumentation.

  Weitere Informationen zum Sammeln der Netzwerkkonnektivität zu Ihren Datenbanken finden sie unter Möglichkeiten zum Sichern Ihres Netzwerks in der Oracle Cloud Infrastructure-Dokumentation.

• Erstellen Sie mindestens zwei Subnetze. Sie müssen mindestens zwei Subnetze erstellen: eines für autonome Exadata-VM-Cluster- und autonome Containerdatenbankressourcen und eines für Ressourcen, das mit Clients und Anwendungen von Autonomous AI Database verknüpft ist.

• Erstellen Sie mindestens zwei Compartments. Sie müssen mindestens zwei Compartments erstellen: eines für Exadata-Infrastruktur-, autonome Exadata-VM-Cluster- und autonome Containerdatenbankressourcen und eines für autonome KI-Datenbankressourcen.

• Erstellen Sie mindestens zwei Gruppen. Sie sollten mindestens zwei Gruppen erstellen: eine für Flottenadministratoren und eine für Datenbankadministratoren.

Clientzugriffskontrolle

Die Clientzugriffskontrolle wird in der autonomen KI-Datenbank implementiert, indem die Netzwerkzugriffskontrolle und die Clientverbindungen kontrolliert werden.

Netzwerkzugriffskontrolle

Sie definieren die Netzwerkzugriffskontrolle für autonome KI-Datenbanken, wenn Sie das dedizierte Deployment von Oracle Autonomous AI Database auf einer dedizierten Exadata-Infrastruktur einrichten und konfigurieren. Wie Sie dies tun, ist davon abhängig, ob sich Ihr dediziertes Deployment in Oracle Public Cloud oder Exadata Cloud@Customer befindet:

• In Oracle Public Cloud definieren Sie die Netzwerkzugriffskontrolle mit Komponenten des Networking-Service. Sie erstellen ein virtuelles Cloud-Netzwerk (VCN), das private Subnetze enthält, in denen Ihre autonomen KI-Datenbanken über das Netzwerk zugänglich sind. Außerdem erstellen Sie Sicherheitsregeln, um einen bestimmten Traffictyp zu oder von den IP-Adressen in einem Subnetz zuzulassen.

  Ausführliche Informationen zum Erstellen dieser Ressourcen können Sie unter Lab 1: Prepare Private Network for OCI Implementation in Oracle Autonomous AI Database Dedicated for Fleet Administrators ausführen.

• In Exadata Cloud@Customer definieren Sie Netzwerkzugriffskontrollen, indem sie ein Clientnetzwerk innerhalb Ihres Data Centers angeben und in einer VM-Clusternetzwerkressource innerhalb der Exadata-Infrastrukturressource aufzeichnet.

Zero Trust Packet Routing (ZPR)

Gilt nur für: Oracle Public Cloud

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) schützt sensible Daten vor unbefugtem Zugriff durch absichtsbasierte Sicherheits-Policys, die Sie für Ressourcen schreiben, wie ein autonomes Exadata-VM-Cluster (AVMC), dem Sie Sicherheitsattribute zuweisen.

Sicherheitsattribute sind Labels, mit denen ZPR Ressourcen identifiziert und organisiert. ZPR setzt Richtlinien auf Netzwerkebene jedes Mal durch, wenn der Zugriff angefordert wird, unabhängig von potenziellen Änderungen oder Fehlkonfigurationen der Netzwerkarchitektur. ZPR basiert auf den vorhandenen Regeln der Netzwerksicherheitsgruppe (NSG) und der Sicherheitskontrollliste (SCL). Damit ein Paket ein Ziel erreicht, muss es alle NSG- und SCL-Regeln sowie die ZPR-Policy bestehen. Die Anforderung wird gelöscht, wenn eine NSG-, SCL- oder ZPR-Regel oder -Policy keinen Traffic zulässt.

Sie können Netzwerke mit ZPR in drei Schritten sichern:

1. Erstellen Sie ZPR-Artefakte, und zwar Sicherheitsattribut-Namespaces und Sicherheitsattribute.

2. ZPR-Policys schreiben, um Ressourcen mit Sicherheitsattributen zu verbinden. ZPR verwendet eine ZPR Policy Language (ZPL) und setzt Einschränkungen für den Zugriff auf definierte Ressourcen durch. Als Kunde einer autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur können Sie ZPL-basierte Policys in Ihren Mandanten schreiben, um sicherzustellen, dass nur autorisierte Benutzer und Ressourcen auf Daten von AVMCs zugreifen.

3. Sicherheitsattribute zu Ressourcen zuweisen, um die ZPR-Policys zu aktivieren.

   Hinweis: Geben Sie keine vertraulichen Informationen an, wenn Sie Cloud-Ressourcen Beschreibungen, Tags, Sicherheitsattribute oder Anzeigenamen über die Oracle Cloud Infrastructure-Konsole, die API oder die CLI zuweisen.

Weitere Informationen finden Sie unter Erste Schritte mit Zero Trust Packet Routing.

Sie haben die folgenden Optionen, um ZPR-Sicherheitsattribute auf einen AVMC anzuwenden:

• Wenden Sie Sicherheitsattribute an, wenn Sie einen AVMC bereitstellen. Weitere Informationen finden Sie unter Autonomes Exadata-VM-Cluster erstellen.

• Sicherheitsattribute auf eine vorhandene AVMC-Ressource anwenden Weitere Informationen finden Sie unter Configure Zero Trust Packet Routing (ZPR) for an AVMC.

Als Voraussetzung müssen die folgenden IAM-Policys definiert werden, um ZPR-Sicherheitsattribute erfolgreich zu einem AVMC hinzuzufügen:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

ACLs (Access Control-Listen)

Um zusätzliche Sicherheit zu gewährleisten, können Sie Access-Control-Listen (ACLs) sowohl in dedizierten Oracle Public Cloud- als auch in Exadata Cloud@Customer-Deployments aktivieren. Eine ACL bietet zusätzlichen Schutz der Datenbank, da nur der Client mit bestimmten IP-Adressen eine Verbindung zur Datenbank herstellen kann. Sie können IP-Adressen einzeln oder in CIDR-Blöcken hinzufügen. Sowohl IPv4- als auch IPv6-basierte IPs/CIDRs werden unterstützt. Auf diese Weise können Sie eine feingranulierte Zugriffskontroll-Policy formulieren, indem Sie den Netzwerkzugriff Ihrer Autonomous AI Database auf bestimmte Anwendungen oder Clients begrenzen.

Sie können eine ACL optional während des Provisionings der Datenbank oder danach erstellen. Sie können ACLs auch jederzeit bearbeiten. Wenn Sie eine ACL mit einer leeren Liste von IP-Adressen aktivieren, kann nicht auf die Datenbank zugegriffen werden. Weitere Informationen finden Sie unter Access-Control-Liste für eine dedizierte autonome KI-Datenbank festlegen.

Beachten Sie folgende Hinweise zur Verwendung einer ACL mit einer autonomen KI-Datenbank:

• Die Autonomous Database Servicekonsole unterliegt nicht den ACL-Regeln.
• Oracle Application Express (APEX), RESTful Services, SQL Developer Web und Performance Hub unterliegen keinen ACLs.
• Wenn beim Erstellen einer autonomen KI-Datenbank das Festlegen einer ACL nicht erfolgreich verläuft, verläuft das Provisioning der Datenbank ebenfalls nicht erfolgreich.
• Eine ACL kann nur aktualisiert werden, wenn sich die Datenbank im Status Verfügbar befindet.
• Durch das Wiederherstellen einer Datenbank werden die vorhandenen ACLs nicht überschrieben.
• Beim Klonen einer Datenbank (vollständig und Metadaten) werden die Zugriffskontrolleinstellungen der Quelldatenbank übernommen. Sie können nach Bedarf Änderungen vornehmen.
• Backup unterliegt keinen ACL-Regeln.
• Während einer ACL-Aktualisierung sind alle CDB-Vorgänge zulässig, Autonomous Container Database-(CDB-)Vorgänge sind jedoch nicht zulässig.

Web Application Firewall (WAF)

Für erweiterte Netzwerkkontrollen über Access Control-Listen hinaus unterstützt Oracle Autonomous AI Database auf dedizierter Exadata-Infrastruktur die Verwendung von Web Application Firewall (WAF). WAF schützt Anwendungen vor schädlichem und unerwünschtem Internettraffic. Mit WAF können Sie jeden internetseitigen Endpunkt schützen und eine konsistente Regeldurchsetzung über die Anwendungen eines Kunden hinweg ermöglichen. Mit WAF können Sie Regeln für Internetbedrohungen, wie Cross-Site Scripting (XSS), SQL-Injection und andere OWASP-definierte Sicherheitslücken erstellen oder verwalten. Durch Zugriffsregeln kann der Zugriff basierend auf der Geografie oder der Signatur von Anforderungen begrenzt werden. Schritte zum Konfigurieren von WAF finden Sie unter Erste Schritte mit Web Application Firewall-Policys.

Clientverbindungskontrolle

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implementiert die Clientverbindungssteuerung mit der zertifikatbasierten Standardauthentifizierung TLS 1.2 und TLS 1.3, um eine Clientverbindung zu authentifizieren. TLS 1.3 wird jedoch nur auf Oracle Database 23ai oder höher unterstützt.

Standardmäßig verwendet Autonomous AI Database selbstsignierte Zertifikate. Sie können Ihr CA-signiertes serverseitiges Zertifikat jedoch über die Oracle Cloud Infrastructure-(OCI-)Konsole installieren. Um Ihr eigenes Zertifikat zu verwenden, müssen Sie das Zertifikat zuerst mit dem Oracle Cloud Infrastructure-(OCI-)Zertifikatsservice erstellen, wie unter Zertifikat erstellen gezeigt. Diese Zertifikate müssen signiert sein und das PEM-Format aufweisen. Die Dateierweiterung muss also .pem, .cer oder .crt lauten. Weitere Informationen finden Sie unter Certificate Management in Dedicated Autonomous AI Database.

Zugriffskontrolle für Datenbankbenutzer

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure konfiguriert die Datenbanken, die Sie erstellen, um das Standardfeature für die Benutzerverwaltung von Oracle AI Database zu verwenden. Dabei wird ein administrativer Benutzeraccount (ADMIN) erstellt, mit dem Sie zusätzliche Benutzeraccounts erstellen und Zugriffskontrollen für Accounts bereitstellen können.

Die Standardbenutzerverwaltung bietet ein robustes Set an Features und Kontrollen, wie System- und Objektberechtigungen, Rollen, Benutzerprofile und Kennwort-Policys, mit denen Sie in den meisten Fällen eine sichere Zugriffsstrategie für Datenbankbenutzer definieren und implementieren können. Ausführliche Anweisungen finden Sie unter Datenbankbenutzer erstellen und verwalten.

Grundlegende Informationen zur Standardbenutzerverwaltung finden Sie unter Benutzerkonten in Oracle AI Database-Konzepte. Ausführliche Informationen und Anleitungen finden Sie unter Managing Security for Oracle Database Users im Oracle Database 19c Security Guide oder im Oracle Database 26ai Security Guide.

Wenn Ihre Strategie für den Datenbankbenutzerzugriff mehr Kontrollen erfordert als die Standardbenutzerverwaltung, können Sie Ihre autonomen KI-Datenbanken so konfigurieren, dass sie eines der folgenden Tools verwenden, um strengere Anforderungen zu erfüllen.

Tool	Beschreibung
Database Vault	Oracle Database Vault ist vorkonfiguriert und kann in autonomen KI-Datenbanken verwendet werden. Mit den leistungsstarken Sicherheitskontrollen können Sie den Zugriff auf Anwendungsdaten durch privilegierte Datenbankbenutzer einschränken, das Risiko von internen und externen Bedrohungen reduzieren und allgemeine Complianceanforderungen erfüllen. Weitere Informationen finden Sie unter Datenschutz in Sicherheitsfunktionen der autonomen KI-Datenbank.
Oracle Cloud Infrastructure Identity and Access Management (IAM)	Sie können Autonomous AI Database so konfigurieren, dass die Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Authentifizierung und -Autorisierung verwendet wird, damit IAM-Benutzer mit IAM-Zugangsdaten auf eine Autonomous AI Database zugreifen können. Informationen zur Verwendung dieser Option mit Ihrer Datenbank finden Sie unter Identity and Access Management-(IAM-)Authentifizierung mit Autonomous AI Database verwenden.
Azure OAuth2-Zugriffstoken	Mit Hilfe von Azure oAuth2-Zugriffstoken können Sie Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Benutzer in einem Microsoft Azure Active Directory-(Azure AD-)Service zentral verwalten. Mit diesem Integrationstyp kann der Azure AD-Benutzer auf eine Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Instanz zugreifen. Azure AD-Benutzer und -Anwendungen können sich mit Azure AD-Single Sign-On-(SSO-)Zugangsdaten anmelden, um ein Azure AD-Zugriffstoken OAuth2 abzurufen, das an die Datenbank gesendet werden soll. Weitere Informationen zur Integration von Microsoft Azure Active Directory in Ihre Datenbanken finden Sie unter Microsoft Azure Active Directory-Benutzer für autonome KI-Datenbank authentifizieren und autorisieren.
Microsoft Active Directory (CMU-AD)	Wenn Sie Microsoft Active Directory als Benutzer-Repository verwenden, können Sie Ihre Autonomous AI-Datenbanken so konfigurieren, dass sie Microsoft Active Directory-Benutzer authentifizieren und autorisieren. Mit dieser Integration können Sie Ihr Benutzer-Repositorium konsolidieren und gleichzeitig eine rigorose Strategie für den Datenbankbenutzerzugriff implementieren, unabhängig davon, ob Sie Standardbenutzerverwaltung, Database Vault, Real Application Security oder Virtual Private Database verwenden. Weitere Informationen zur Integration von Microsoft Active Directory mit Ihren Datenbanken finden sie unter Microsoft Active Directory mit Autonomous AI Database.
Kerberos	Kerberos ist ein vertrauenswürdiges Drittanbieter-Authentifizierungssystem, das auf Shared Secrets basiert. Es wird davon ausgegangen, dass der Drittanbieter sicher ist. Das System bietet Single Sign-On-Funktionen, zentralisierten Kennwortspeicher, Datenbanklinkauthentifizierung und erweiterte PC-Sicherheit. Dies geschieht über einen Kerberos-Authentifizierungsserver. Die Unterstützung der autonomen KI-Datenbank für Kerberos bietet die Vorteile von Single Sign-On und zentralisierter Authentifizierung von Oracle-Benutzern. Weitere Informationen finden Sie unter Autonome KI-Datenbankbenutzer mit Kerberos authentifizieren.
Kerberos mit CMU-AD	Die Kerberos-Authentifizierung kann zusätzlich zu CMU-AD konfiguriert werden, um CMU-AD-Kerberos-Authentifizierung für Microsoft Active Directory-Benutzer bereitzustellen. Um CMU-AD-Kerberos-Authentifizierung für Microsoft Active Directory-Benutzer bereitzustellen, können Sie die Kerberos-Authentifizierung zusätzlich zu CMU-AD aktivieren, indem Sie type auf CMU setzen und gleichzeitig die externe Authentifizierung aktivieren, wie im Beispiel unter Kerberos-Authentifizierung in autonomer KI-Datenbank aktivieren dargestellt.
Real Application Security und Virtual Private Database	Oracle Real Application Security (RAS) stellt ein deklaratives Modell bereit, das Sicherheits-Policys ermöglicht, die nicht nur die geschützten Geschäftsobjekte, sondern auch die Principals (Benutzer und Rollen) umfassen, die über Berechtigungen zum Arbeiten mit diesen Geschäftsobjekten verfügen. RAS ist sicherer, skalierbarer und kostengünstiger als der Vorgänger Oracle Virtual Private Database. Mit Oracle RAS werden Anwendungsbenutzer sowohl in der Application Tier als auch in der Datenbank authentifiziert. Unabhängig vom Datenzugriffspfad werden die Datensicherheits-Policys im Datenbank-Kernel basierend auf der nativen Endbenutzersession in der Datenbank durchgesetzt. Die dem Benutzer zugewiesenen Berechtigungen kontrollieren die Vorgangstypen (Auswählen, Einfügen, Aktualisieren und Löschen), die für Zeilen und Spalten der Datenbankobjekte ausgeführt werden können. Weitere Informationen zu Oracle RAS finden Sie unter Introducing Oracle Database Real Application Security in der Oracle Database 19c Real Application Security - Administratordokumentation und Entwicklerdokumentation oder im Oracle Database 26ai Real Application Security - Administrator- und Entwicklerhandbuch. Oracle Autonomous AI Database auf dedizierter Exadata-Infrastruktur unterstützt auch Oracle Virtual Private Database (VPD), den Vorgänger von Oracle RAS. Wenn Sie Oracle VPD bereits kennen und verwenden, können Sie es mit autonomen KI-Datenbanken konfigurieren und verwenden. Weitere Informationen zu Virtual Private Database finden Sie unter Datenzugriff mit der Oracle Virtual Private Database steuern in der Sicherheitsdokumentation für Oracle Database 19c oder Sicherheitsdokumentation für Oracle Database 26ai.

PAM (Privileged Access Management)

Der Sicherheitsstatus von Oracle in Bezug auf den Benutzerzugriff und die Berechtigungsverwaltung für seine Produkte und Services ist in Oracle Access Control dokumentiert.

Autonomous AI Database on Dedicated Exadata Infrastructure wurde entwickelt, um Kundenservices und Datenbankdaten vor unbefugtem Zugriff zu isolieren und zu schützen. Autonomous AI Database trennt Aufgaben zwischen dem Kunden und Oracle. Der Kunde kontrolliert den Zugriff auf Datenbankschemas. Oracle kontrolliert den Zugriff auf von Oracle verwaltete Infrastruktur- und Softwarekomponenten.

Autonomous AI Database on Dedicated Exadata Infrastructure wurde entwickelt, um Daten für die vom Kunden autorisierte Verwendung zu sichern und Daten vor unbefugtem Zugriff zu schützen. Dazu gehört auch, den Zugriff auf Kundendaten durch Oracle Cloud Ops-Mitarbeiter zu verhindern. Zu den Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf die Exadata-Infrastruktur-, autonomen VMs- und Oracle-Datenbankdaten gehören:

• Oracle Database-Daten werden durch Oracle Transparent Data Encryption-(TDE-)Schlüssel geschützt.
• Der Kunde kontrolliert den Zugriff auf TDE-Verschlüsselungsschlüssel und kann diese Schlüssel in einem externen Oracle Key Vault-Schlüsselverwaltungssystem speichern.
• Oracle Database Vault ist vorkonfiguriert, um zu verhindern, dass privilegierte Benutzer auf Kundendaten in autonomen KI-Datenbanken zugreifen.
• Kunden können den Operatorzugriff über die Operator Access Control-Serviceanmeldung genehmigen.
• Der gesamte Operatorzugriff basiert auf der FIPS 140-2 Level 3-Hardware-Multifaktor-Authentifizierung, die mit einer Hardware YubiKey implementiert ist, die mit von Oracle genehmigten Geräten implementiert ist.
• Alle Operatoraktionen werden auf Befehlsebene protokolliert und können nahezu in Echtzeit an den OCI-Loggingservice oder an einen Kunden-SIEM gesendet werden.

• Oracle Operations Access Control stellt sicher, dass die Benutzeraccounts, die Oracle Cloud-Betriebs- und -Supportmitarbeiter zur Überwachung und Analyse der Performance verwenden, nicht auf Daten in autonomen KI-Datenbanken zugreifen können. Oracle Cloud-Betriebs- und -Supportmitarbeiter haben keinen Zugriff auf die Daten in Ihren autonomen KI-Datenbanken. Wenn Sie eine autonome Containerdatenbank erstellen, aktiviert und konfiguriert die autonome KI-Datenbank auf einer dedizierten Exadata-Infrastruktur das Feature für die Vorgangskontrolle von Oracle Database Vault, damit gemeinsame Benutzer nicht in autonomen KI-Datenbanken zugreifen können, die in der Containerdatenbank erstellt wurden.

  Sie können bestätigen, dass Operations Control aktiv ist, indem Sie diese SQL-Anweisung in einer autonomen KI-Datenbank eingeben:

  SELECT * FROM DBA_DV_STATUS;
  

  Der Status APPLICATION CONTROL gibt an, dass die Vorgangskontrolle aktiv ist.

  Hinweis: Operations Control wurde früher als Application Control bezeichnet.

PAM wird auch mit Database Vault zum Datenschutz implementiert, wie unter Sicherheitsfunktionen der autonomen KI-Datenbank beschrieben.

Verwandte Inhalte

Wichtige Sicherheitsfunktionen