Zugriffskontrolle in autonomer KI-Datenbank auf dedizierter Exadata-Infrastruktur

Wenn Sie Autonomous AI Database on Dedicated Exadata Infrastructure konfigurieren, müssen Sie sicherstellen, dass Ihre Cloud-Benutzer nur die zum Ausführen ihrer Jobaufgaben erforderlichen Cloud-Ressourcen verwenden und erstellen. Darüber hinaus müssen Sie sicherstellen, dass nur autorisierte Mitarbeiter und Anwendungen Zugriff auf die autonomen KI-Datenbanken haben, die in einer dedizierten Infrastruktur erstellt wurden. Andernfalls besteht die Gefahr einer unkontrollierten Nutzung Ihrer dedizierten Infrastrukturressourcen oder unbefugter Zugriffe auf geschäftskritische Daten.

Bevor Sie mit der Erstellung und Verwendung der Cloud-Ressourcen beginnen, die das dedizierte Infrastrukturfeature bereitstellen, müssen Sie einen Zugriffskontrollplan formulieren und durch Erstellen geeigneter IAM-(Identity and Access Management-) und Netzwerkressourcen implementieren. Dementsprechend wird die Zugriffskontrolle in einer autonomen KI-Datenbank auf verschiedenen Ebenen implementiert:
  • Oracle Cloud-Benutzerzugriffskontrolle
  • Clientzugriffskontrolle
  • Datenbankbenutzerzugriffskontrolle

Verwandte Themen

Oracle Cloud-Benutzerzugriffskontrolle

Sie steuern, welchen Zugriff die Oracle Cloud-Benutzer in Ihrem Mandanten auf die Cloud-Ressourcen haben, aus denen Ihr Deployment der autonomen KI-Datenbank auf einer dedizierten Exadata-Infrastruktur besteht.

Mit dem Identity and Access Management-(IAM-)Service stellen Sie sicher, dass Ihre Cloud-Benutzer nur die entsprechenden Autonomous AI Database-Ressourcen erstellen und verwenden können, die zum Ausführen ihrer Aufgaben erforderlich ist. Um Zugriffskontrollen für Cloud-Benutzer einzurichten, definieren Sie Policys, die bestimmten Gruppen von Benutzern spezifische Zugriffsrechte für bestimmte Arten von Ressourcen in bestimmten Compartments erteilen.

Der IAM-Service bietet mehrere Arten von Komponenten, mit denen Sie eine sichere Strategie für den Cloud-Benutzerzugriff definieren und implementieren können:

  • Compartment: eine Sammlung zugehöriger Ressourcen. Compartments sind eine wichtige Komponente von Oracle Cloud Infrastructure für die Organisation und Isolation der Cloud-Ressourcen.

  • Gruppe: eine Sammlung von Benutzern, die alle den gleichen Zugriffstyp für ein bestimmtes Set von Ressourcen oder Compartment benötigen.

  • Dynamische Gruppe: Ein spezieller Gruppentyp, der Ressourcen enthält, die von Ihnen definierten Regeln entsprechen. Daher kann sich die Mitgliedschaft dynamisch ändern, wenn übereinstimmende Ressourcen erstellt oder gelöscht werden.

  • Policy: eine Gruppe von Anweisungen, die angeben, wer wie darauf zugreifen kann. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt, d.h. Sie erstellen eine Policy-Anweisung, mit der eine bestimmte Gruppe einen bestimmten Zugriffstyp auf einen bestimmten Ressourcentyp innerhalb eines bestimmten Compartments erhält.

Policy- und Policy-Anweisungen

Das primäre Tool, mit dem Sie die Zugriffskontrolle für Cloud-Benutzer definieren, ist die Policy. Sie ist eine IAM-(Identity and Access Management-)Ressource, die Policy-Anweisungen enthält, die den Zugriff in Form von "Wer", "Wie", "Was" und "Wo" angeben.

Das Format einer Policy-Anweisung lautet:
Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

  • group <group-name> gibt den Namen einer vorhandenen IAM-Gruppe und eine IAM-Ressource an, der einzelne Cloud-Benutzer zugewiesen werden können.

  • to <control-verb> gibt mit einem dieser vordefinierten Kontrollverben "Wie" an:

    • inspect: Die Funktion zum Auflisten von Ressourcen des angegebenen Typs ohne Zugriff auf vertrauliche Informationen oder benutzerdefinierte Metadaten, die Bestandteil dieser Ressource sein könnten.
    • read: inspect sowie die Möglichkeit, benutzerdefinierte Metadaten und die eigentliche Ressource abzurufen.
    • use: read sowie die Möglichkeit, mit vorhandenen Ressourcen zu arbeiten, diese jedoch nicht zu erstellen oder zu löschen. Darüber hinaus bezeichnet "Arbeiten mit" verschiedene Vorgänge für verschiedene Ressourcentypen.
    • manage: Alle Berechtigungen für den Ressourcentyp, einschließlich Erstellen und Löschen.

    Im Kontext eines dedizierten Infrastrukturfeatures kann ein Flottenadministrator autonome Containerdatenbanken manage verwalten, während ein Datenbankadministrator diese nur use verwenden kann, um autonome KI-Datenbanken zu erstellen.

  • <resource-type> gibt den vordefinierten Ressourcentyp "Was" an. Ressourcentypwerte für die dedizierten Infrastrukturressourcen:

    • exadata-infrastructures
    • autonomous-container-databases
    • autonomous-databases
    • autonomous-backups

    Da dedizierte Infrastrukturressourcen Netzwerkressourcen verwenden, referenzieren einige der erstellten Policy-Anweisungen den Ressourcentypwert virtual-network-family. Außerdem können Sie Policy-Anweisungen erstellen, die den Ressourcentypwert tag-namespaces referenzieren, wenn Tagging in Ihrem Mandanten verwendet wird.

  • in compartment <compartment-name> gibt den Namen eines vorhandenen IAM-Compartments an (einer IAM-Ressource, in der Ressourcen erstellt werden). Compartments stellen eine wichtige Komponente von Oracle Cloud Infrastructure dar, um Cloud-Ressourcen zu organisieren und zu isolieren.

Die Policy-Details für Autonomous AI Database finden Sie unter IAM-Policys für Autonomous AI Database auf dedizierter Exadata-Infrastruktur.

Informationen zur Funktionsweise des IAM-Service und der zugehörigen Komponenten sowie zu deren Verwendung finden Sie unter Überblick über Oracle Cloud Infrastructure Identity and Access Management. Antworten auf häufig gestellte Fragen zu IAM finden Sie in den häufig gestellten Fragen zu Identity and Access Management.

Best Practices bei der Planung und Umsetzung von Zugriffskontrollen

Berücksichtigen Sie diese Best Practices bei der Planung und Umsetzung Ihrer Zugriffskontrollen für das dedizierte Infrastrukturfeature.

  • Erstellen Sie ein separates VCN, das nur private Subnetze enthält. In fast jedem Fall umfassen die autonomen KI-Datenbanken, die auf dedizierten Infrastrukturen erstellt wurden, sensible Unternehmensdaten, die normalerweise nur innerhalb des privaten Netzwerks des Unternehmens zugänglich sind. Selbst mit Partnern, Lieferanten, Verbrauchern und Kunden geteilte Daten werden über regulierte, sichere Kanäle zur Verfügung gestellt.

    Daher sollte der Netzwerkzugriff, den Sie solchen Datenbanken gewähren, für Ihr Unternehmen privat sein. Dazu können Sie ein VCN erstellen, das über private Subnetze und ein IPsec-VPN oder FastConnect eine Verbindung zum privaten Netzwerk Ihres Unternehmens herstellt. Informationen zum Einrichten einer solchen Konfiguration finden Sie unter Szenario B: Private Subnetze mit einem VPN in der Oracle Cloud Infrastructure-Dokumentation.

    Weitere Informationen zum Sichern der Netzwerkkonnektivität zu Ihren Datenbanken finden Sie unter Möglichkeiten zum Sichern Ihres Netzwerks in der Oracle Cloud Infrastructure-Dokumentation.

  • Erstellen Sie mindestens zwei Subnetze. Sie müssen mindestens zwei Subnetze erstellen: eines für autonome Exadata-VM-Cluster- und autonome Containerdatenbankressourcen und eines für Ressourcen, das mit Clients und Anwendungen von autonomen KI-Datenbank verknüpft ist.

  • Erstellen Sie mindestens zwei Compartments. Sie müssen mindestens zwei Compartments erstellen: eines für Exadata-Infrastruktur-, autonome Exadata-VM-Cluster- und autonome Containerdatenbankressourcen und eines für autonome KI-Datenbankressourcen.

  • Erstellen Sie mindestens zwei Gruppen. Sie sollten mindestens zwei Gruppen erstellen: eine für Flottenadministratoren und eine für Datenbankadministratoren.

Clientzugriffskontrolle

Die Clientzugriffskontrolle wird in Autonomous AI Database implementiert, indem die Netzwerkzugriffskontrolle und die Clientverbindungen kontrolliert werden.

Netzwerkzugriffskontrolle

Sie definieren die Netzwerkzugriffskontrolle für Autonomous AI Databases, wenn Sie das dedizierte Deployment von Oracle Autonomous AI Database auf einer dedizierten Exadata-Infrastruktur einrichten und konfigurieren. Die Art und Art ist davon abhängig, ob sich Ihr dediziertes Deployment in Oracle Public Cloud oder Exadata Cloud@Customer befindet:

  • In Oracle Public Cloud definieren Sie die Netzwerkzugriffskontrolle mit Komponenten des Networking-Service. Sie erstellen ein virtuelles Cloud-Netzwerk (VCN), das private Subnetze enthält, in denen Ihre autonomen KI-Datenbanken über das Netzwerk zugänglich sind. Außerdem erstellen Sie Sicherheitsregeln, um einen bestimmten Traffictyp zu oder von den IP-Adressen in einem Subnetz zuzulassen.

    Ausführliche Informationen zum Erstellen dieser Ressourcen können Sie unter Lab 1: Prepare Private Network for OCI Implementation in Oracle Autonomous AI Database Dedicated for Fleet Administrators ausführen.

  • In Exadata Cloud@Customer, definieren Sie Netzwerkzugriffskontrollen, indem Sie ein Clientnetzwerk in Ihrem Data Center angeben und in einer VM-Clusternetzwerkressource innerhalb der Exadata-Infrastrukturressource aufzeichnen.

Zero Trust Packet Routing (ZPR)

Gilt nur für: Oracle Public Cloud (Anwendbar)

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) schützt sensible Daten vor unbefugtem Zugriff durch absichtsbasierte Sicherheits-Policys, die Sie für Ressourcen schreiben, wie ein autonomes Exadata-VM-Cluster (AVMC), dem Sie Sicherheitsattribute zuweisen.

Sicherheitsattribute sind Labels, mit denen ZPR Ressourcen identifiziert und organisiert. ZPR erzwingt Richtlinien auf Netzwerkebene bei jeder Anforderung des Zugriffs, unabhängig von potenziellen Änderungen oder Fehlkonfigurationen der Netzwerkarchitektur. ZPR basiert auf den vorhandenen Regeln für Netzwerksicherheitsgruppen (NSG) und Security Control List (SCL). Damit ein Paket ein Ziel erreicht, muss es alle NSG- und SCL-Regeln und die ZPR-Richtlinie bestehen. Die Anforderung wird gelöscht, wenn eine NSG-, SCL- oder ZPR-Regel oder -Policy keinen Traffic zulässt.

Sie können Netzwerke mit ZPR in drei Schritten sichern:

  1. Erstellen Sie ZPR-Artefakte, nämlich Sicherheitsattribut-Namespaces und Sicherheitsattribute.

  2. ZPR-Policys schreiben, um Ressourcen mit Sicherheitsattributen zu verbinden. ZPR verwendet eine ZPR Policy Language (ZPL) und setzt Einschränkungen für den Zugriff auf definierte Ressourcen durch. Als Autonome KI-Datenbank auf dedizierter Exadata-Infrastruktur können Sie ZPL-basierte Policys in Ihrem Mandanten schreiben, um sicherzustellen, dass nur autorisierte Benutzer und Ressourcen auf Daten aus AVMCs zugreifen.

  3. Weisen Sie Ressourcen Sicherheitsattribute zu, um die ZPR-Policys zu aktivieren.

Hinweis:

Geben Sie keine vertraulichen Informationen ein, wenn Sie Cloud-Ressourcen Beschreibungen, Tags, Sicherheitsattribute oder benutzerfreundliche Namen über die Oracle Cloud Infrastructure-Konsole, -API oder -CLI zuweisen.

Weitere Informationen finden Sie unter Erste Schritte mit Zero Trust Packet Routing.

Sie haben die folgenden Optionen, um ZPR-Sicherheitsattribute auf ein AVMC anzuwenden:

Als Voraussetzung müssen die folgenden IAM-Policys definiert werden, um einem AVMC erfolgreich ZPR-Sicherheitsattribute hinzuzufügen:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy
allow group <group_name>
to manage autonomous-database-family
in tenancy
allow group <group_name>
to read security-attribute-namespaces
in tenancy
ACLs (Access Control-Listen)

Um zusätzliche Sicherheit zu gewährleisten, können Sie Access-Control-Listen (ACLs) sowohl in dedizierten Oracle Public Cloud- als auch in Exadata Cloud@Customer-Deployments aktivieren. Eine ACL bietet zusätzlichen Schutz dafür, dass nur der Client mit bestimmten IP-Adressen eine Verbindung zur Datenbank herstellen kann. Sie können IP-Adressen einzeln oder in CIDR-Blöcken hinzufügen. Sowohl IPv4- als auch IPv6-basierte IPs/CIDRs werden unterstützt. Auf diese Weise können Sie eine feingranulierte Zugriffskontroll-Policy formulieren, indem Sie den Netzwerkzugriff Ihrer Autonomous AI Database auf bestimmte Anwendungen oder Clients beschränken.

Sie können eine ACL optional während des Provisionings der Datenbank oder danach erstellen. Sie können ACLs auch jederzeit bearbeiten. Wenn Sie eine ACL mit einer leeren Liste von IP-Adressen aktivieren, kann nicht auf die Datenbank zugegriffen werden. Weitere Informationen finden Sie unter Access-Control-Liste für eine dedizierte autonome KI-Datenbank festlegen.

Beachten Sie folgende Hinweise zur Verwendung einer ACL mit Autonomous AI Database:
  • Die Autonomous AI Database-Servicekonsole unterliegt nicht den ACL-Regeln.
  • Oracle Application Express (APEX), RESTful-Services, SQL Developer Web und Performance Hub unterliegen keinen ACLs.
  • Wenn beim Erstellen einer autonomen KI-Datenbank das Festlegen einer ACL nicht erfolgreich ist, verläuft das Provisioning der Datenbank auch nicht erfolgreich.
  • Eine ACL kann nur aktualisiert werden, wenn sich die Datenbank im Status Verfügbar befindet.
  • Durch das Wiederherstellen einer Datenbank werden die vorhandenen ACLs nicht überschrieben.
  • Beim Klonen einer Datenbank (vollständig und Metadaten) werden die Zugriffskontrolleinstellungen der Quelldatenbank übernommen. Sie können nach Bedarf Änderungen vornehmen.
  • Backup unterliegt keinen ACL-Regeln.
  • Während einer ACL-Aktualisierung sind alle CDB-Vorgänge zulässig, Autonome AI-Datenbankvorgänge sind jedoch nicht zulässig.
Web Application Firewall (WAF)

Für erweiterte Netzwerkkontrollen, die über Access Control-Listen hinausgehen, unterstützt Oracle Autonomous AI Database on Dedicated Exadata Infrastructure die Verwendung von Web Application Firewall (WAF). WAF schützt Anwendungen vor schädlichem und unerwünschtem Internettraffic. Mit WAF können Sie jeden internetseitigen Endpunkt schützen und eine konsistente Regeldurchsetzung über die Anwendungen eines Kunden hinweg ermöglichen. Mit WAF können Sie Regeln für Internetbedrohungen, wie Cross-Site Scripting (XSS), SQL-Injection und andere OWASP-definierte Sicherheitslücken erstellen oder verwalten. Durch Zugriffsregeln kann der Zugriff basierend auf der Geografie oder der Signatur von Anforderungen begrenzt werden. Schritte zum Konfigurieren von WAF finden Sie unter Erste Schritte mit Web Application Firewall-Policys.

Clientverbindungskontrolle

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implementiert die Clientverbindungssteuerung mit der zertifikatbasierten Standardauthentifizierung TLS 1.2 und TLS 1.3, um eine Clientverbindung zu authentifizieren. TLS 1.3 wird jedoch nur auf Oracle Database 23ai oder höher unterstützt.

Standardmäßig verwendet Autonomous AI Database selbstsignierte Zertifikate. Sie können Ihr CA-signiertes serverseitiges Zertifikat jedoch über die Oracle Cloud Infrastructure-(OCI-)Konsole installieren. Um Ihr eigenes Zertifikat zu verwenden, müssen Sie das Zertifikat zuerst mit dem Oracle Cloud Infrastructure-(OCI-)Zertifikatsservice erstellen, wie unter Zertifikat erstellen gezeigt. Diese Zertifikate müssen signiert sein und das PEM-Format aufweisen. Die Dateierweiterung muss also .pem, .cer oder .crt lauten. Weitere Informationen finden Sie unter Certificate Management in Dedicated Autonomous AI Database.

Datenbankbenutzer-Zugriffskontrolle

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure konfiguriert die von Ihnen erstellten Datenbanken für die Verwendung des Standardfeatures für die Benutzerverwaltung von Oracle AI Database. Dabei wird ein administrativer Benutzeraccount (ADMIN) erstellt, mit dem Sie zusätzliche Benutzeraccounts erstellen und Zugriffskontrollen für Accounts bereitstellen können.

Die Standardbenutzerverwaltung bietet ein robustes Set an Features und Kontrollen, wie System- und Objektberechtigungen, Rollen, Benutzerprofile und Kennwort-Policys, mit denen Sie in den meisten Fällen eine sichere Zugriffsstrategie für Datenbankbenutzer definieren und implementieren können. Ausführliche Anweisungen finden Sie unter Datenbankbenutzer erstellen und verwalten.

Grundlegende Informationen zur Standardbenutzerverwaltung finden Sie unter Benutzeraccounts in Oracle AI Database-Konzepte. Ausführliche Informationen und Anleitungen finden Sie unter Managing Security for Oracle Database Users im Oracle Database 19c Security Guide oder im Oracle Database 26ai Security Guide.

Wenn Ihre Strategie für den Datenbankbenutzerzugriff mehr Kontrollen erfordert als von der Standardbenutzerverwaltung bereitgestellt werden, können Sie Ihre autonomen KI-Datenbanken so konfigurieren, dass sie eines der folgenden Tools verwenden, um strengere Anforderungen zu erfüllen.
Tool Beschreibung
Database Vault

Oracle Database Vault ist vorkonfiguriert und kann in autonomen KI-Datenbanken verwendet werden. Mit den leistungsstarken Sicherheitskontrollen können Sie den Zugriff auf Anwendungsdaten durch privilegierte Datenbankbenutzer einschränken, das Risiko von internen und externen Bedrohungen reduzieren und allgemeine Complianceanforderungen erfüllen.

Weitere Informationen finden Sie unter Datenschutz in Sicherheitsfunktionen der Autonomous AI Database.

Oracle Cloud Infrastructure Identity and Access Management (IAM)

Sie können Autonomous AI Database so konfigurieren, dass Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Authentifizierung und -Autorisierung verwendet wird, damit IAM-Benutzer mit IAM-Zugangsdaten auf eine autonome KI-Datenbank zugreifen können. Informationen zur Verwendung dieser Option mit der Datenbank finden Sie unter Identity and Access Management-(IAM-)Authentifizierung mit Autonomous AI Database verwenden.

Zugriffstoken für Azure OAuth2

Mit Hilfe von Azure oAuth2-Zugriffstoken können Sie Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Benutzer in einem Microsoft Azure Active Directory-(Azure AD-)Service zentral verwalten. Mit diesem Integrationstyp kann der Azure AD-Benutzer auf eine Oracle Autonomous AI Database on Dedicated Exadata Infrastructure-Instanz zugreifen. Azure AD-Benutzer und -Anwendungen können sich mit Azure AD-Single Sign-On-(SSO-)Zugangsdaten anmelden, um ein Azure AD-Zugriffstoken OAuth2 abzurufen, das an die Datenbank gesendet werden soll.

Weitere Informationen zur Integration von Microsoft Azure Active Directory in Ihre Datenbanken finden Sie unter Microsoft Azure Active Directory-Benutzer für Autonomous AI Database authentifizieren und autorisieren.

Microsoft Active Directory (CMU-AD)

Wenn Sie Microsoft Active Directory als Benutzer-Repository verwenden, können Sie Ihre autonomen KI-Datenbanken für die Authentifizierung und Autorisierung von Benutzern von Microsoft Active Directory konfigurieren. Mit dieser Integration können Sie Ihr Benutzer-Repositorium konsolidieren und gleichzeitig eine rigorose Strategie für den Datenbankbenutzerzugriff implementieren, unabhängig davon, ob Sie Standardbenutzerverwaltung, Database Vault, Real Application Security oder Virtual Private Database verwenden.

Weitere Informationen zur Integration von Microsoft Active Directory mit Ihren Datenbanken finden sie unter Microsoft Active Directory mit Autonomous AI Database.

Kerberos

Kerberos ist ein vertrauenswürdiges Drittanbieter-Authentifizierungssystem, das auf Shared Secrets basiert. Es wird davon ausgegangen, dass der Drittanbieter sicher ist. Das System bietet Single Sign-On-Funktionen, zentralisierten Kennwortspeicher, Datenbanklinkauthentifizierung und erweiterte PC-Sicherheit. Dies geschieht über einen Kerberos-Authentifizierungsserver.

Die Autonomous AI Database-Unterstützung für Kerberos bietet die Vorteile von Single Sign-On und zentralisierter Authentifizierung von Oracle-Benutzern. Weitere Informationen finden Sie unter Autonomous AI Database-Benutzer mit Kerberos authentifizieren.

Kerberos mit CMU-AD

Die Kerberos-Authentifizierung kann zusätzlich zu CMU-AD konfiguriert werden, um Kerberos-CMU-AD-Authentifizierung für Microsoft Active Directory-Benutzer bereitzustellen.

Um CMU-AD-Kerberos-Authentifizierung für Microsoft Active Directory-Benutzer bereitzustellen, können Sie die Kerberos-Authentifizierung zusätzlich zu CMU-AD aktivieren, indem Sie type auf CMU setzen und gleichzeitig die externe Authentifizierung aktivieren, wie im Beispiel unter Kerberos-Authentifizierung in autonomen KI-Datenbank aktivieren dargestellt.

Real Application Security und Virtual Private Database

Oracle Real Application Security (RAS) stellt ein deklaratives Modell bereit, das Sicherheits-Policys ermöglicht, die nicht nur die geschützten Geschäftsobjekte, sondern auch die Principals (Benutzer und Rollen) umfassen, die über Berechtigungen zum Arbeiten mit diesen Geschäftsobjekten verfügen. RAS ist sicherer, skalierbarer und kostengünstiger als der Vorgänger Oracle Virtual Private Database.

Mit Oracle RAS werden Anwendungsbenutzer sowohl in der Application Tier als auch in der Datenbank authentifiziert. Unabhängig vom Datenzugriffspfad werden die Datensicherheits-Policys im Datenbank-Kernel basierend auf der nativen Endbenutzersession in der Datenbank durchgesetzt. Die dem Benutzer zugewiesenen Berechtigungen kontrollieren die Vorgangstypen (Auswählen, Einfügen, Aktualisieren und Löschen), die für Zeilen und Spalten der Datenbankobjekte ausgeführt werden können.

Weitere Informationen zu Oracle RAS finden Sie unter Einführung in die Oracle Database Real Application Security in der Oracle Database 19c Real Application Security Administrator's and Developer's Guide oder im Oracle Database 26ai Real Application Security Administrator's and Developer's Guide.

Oracle Autonomous AI Database auf dedizierter Exadata-Infrastruktur unterstützt auch Oracle Virtual Private Database (VPD), den Vorgänger von Oracle RAS. Wenn Sie Oracle VPD bereits kennen und verwenden, können Sie es mit autonomen KI-Datenbanken konfigurieren und verwenden.

Weitere Informationen zu Virtual Private Database finden Sie unter Datenzugriff mit der Oracle Virtual Private Database steuern in der Sicherheitsdokumentation für Oracle Database 19c oder Sicherheitsdokumentation für Oracle Database 26ai.

Privileged Access Management (PAM)

Die Sicherheitslage von Oracle in Bezug auf den Benutzerzugriff und das Berechtigungsmanagement für alle seine Produkte und Services ist in Oracle Access Control dokumentiert.

Die Autonomous AI Database on Dedicated Exadata Infrastructure wurde entwickelt, um Kundenservices und Datenbankdaten vor unbefugtem Zugriff zu isolieren und zu schützen. Autonomous AI Database trennt Aufgaben zwischen dem Kunden und Oracle. Der Kunde kontrolliert den Zugriff auf Datenbankschemas. Oracle kontrolliert den Zugriff auf von Oracle verwaltete Infrastruktur- und Softwarekomponenten.

Autonomous AI Database on Dedicated Exadata Infrastructure wurde entwickelt, um Daten für die vom Kunden autorisierte Verwendung zu sichern und Daten vor unbefugtem Zugriff zu schützen. Dazu gehört die Verhinderung des Zugriffs auf Kundendaten durch Oracle Cloud Ops-Mitarbeiter. Zu den Sicherheitsmaßnahmen zum Schutz vor unbefugtem Zugriff auf die Exadata-Infrastruktur-, autonomen VMs- und Oracle-Datenbankdaten gehören:

  • Oracle Database-Daten werden durch Oracle Transparent Data Encryption-(TDE-)Schlüssel geschützt.
  • Der Kunde kontrolliert den Zugriff auf TDE-Verschlüsselungsschlüssel und kann diese Schlüssel in einem externen Oracle Key Vault-Schlüsselverwaltungssystem speichern.
  • Oracle Database Vault ist vorkonfiguriert, um zu verhindern, dass privilegierte Benutzer in Autonomous AI Databases auf Kundendaten zugreifen.
  • Kunden können den Operatorzugriff über die Operator Access Control-Serviceanmeldung genehmigen.
  • Der gesamte Operatorzugriff basiert auf der Hardware-Multifaktor-Authentifizierung gemäß FIPS 140-2 Level 3. Die Implementierung erfolgt auf einer Hardware YubiKey, die mit von Oracle genehmigten Geräten implementiert ist.
  • Alle Operatoraktionen werden auf Befehlsebene protokolliert und können nahezu in Echtzeit an den OCI-Loggingservice oder an ein Kunden-SIEM gesendet werden.

  • Oracle Operations Access Control stellt sicher, dass die Benutzeraccounts, die Oracle Cloud-Betriebs- und -Supportmitarbeiter zur Überwachung und Analyse der Performance verwenden, nicht auf Daten in autonomen KI-Datenbanken zugreifen können. Oracle Cloud-Betriebs- und -Supportmitarbeiter haben keinen Zugriff auf die Daten in Ihren autonomen KI-Datenbanken. Wenn Sie eine autonome Containerdatenbank erstellen, aktiviert und konfiguriert Autonomous AI Database on Dedicated Exadata Infrastructure das Feature für die Vorgangskontrolle von Oracle Database Vault, damit gemeinsame Benutzer nicht in autonomen KI-Datenbanken zugreifen können, die in der Containerdatenbank erstellt wurden.

    Sie können bestätigen, dass Operations Control aktiv ist, indem Sie diese SQL-Anweisung in eine autonome KI-Datenbank eingeben:
    SELECT * FROM DBA_DV_STATUS;
    Der Status APPLICATION CONTROL gibt an, dass die Vorgangskontrolle aktiv ist.

    Hinweis:

    Operations Control wurde früher als Application Control bezeichnet.

PAM wird auch mit Database Vault zum Datenschutz implementiert, wie unter Sicherheitsfunktionen der autonomen KI-Datenbank beschrieben.