Sicherheitsdokumentation zu Base Database Service

Sicherheit - Überblick

Dieses Thema enthält einen Überblick über die Sicherheit in Base Database Service. Oracle verwaltet die Sicherheit der meisten Komponenten. Bei einigen Komponenten sind jedoch die Benutzer für die Sicherheit verantwortlich.

Die Cloud-Servicekomponenten sind in für Benutzer verfügbare Services und von Oracle verwaltete Infrastruktur unterteilt. Als für Benutzer verfügbare Services werden die Komponenten bezeichnet, auf die Benutzer im Rahmen ihres Abonnements des Base Database Service zugreifen können. Hierbei handelt es sich um virtuelle Maschinen und Datenbankservices, die allgemein als DB-Systeme bzw. Datenbanken bezeichnet werden. Von Oracle verwaltete Infrastruktur bezeichnet die Hardware, für die Oracle verantwortlich ist und die von Oracle betrieben wird, um für Benutzer verfügbare Services zu unterstützen. Sie besteht aus AMD- oder Intel-basierten Datenbank-Computing-Ausprägungen.

Oracle verwaltet die Sicherheit und den Zugriff auf die von Oracle verwalteten Infrastrukturkomponenten. Benutzer verwalten die Sicherheit und den Zugriff auf die für Benutzer verfügbaren Services, einschließlich Zugriff auf DB-Systeme und Datenbankservices, Netzwerkzugriff auf das DB-System, Authentifizierung für den Zugriff auf das DB-System und Authentifizierung für den Zugriff auf Datenbanken, die auf den DB-Systemen ausgeführt werden. Oracle-Mitarbeiter sind nicht zum Zugriff auf für Benutzer verfügbare Services berechtigt.

Benutzer greifen auf Oracle-Datenbanken, die auf DB-Systemen ausgeführt werden, über eine Layer-2-Verbindung (getaggte VLAN-Verbindung) von Benutzergeräten mit standardmäßigen Oracle Database-Verbindungsmethoden zu, wie Oracle Net auf Port 1521. Benutzer können mit den standardmäßigen Oracle Linux-Methoden eine Verbindung zum DB-System herstellen, auf dem die Oracle-Datenbanken ausgeführt werden, wie tokenbasiertes SSH auf Port 22.

Bei Base Database Service werden mehrere unabhängige und sich gegenseitig verstärkende Sicherheitskontrollen eingesetzt, damit Organisationen eine sichere Betriebsumgebung für ihre Workloads und Daten schaffen können. Bases Database Service stellt die folgenden Sicherheitskontrollen bereit:

Defense-in-Depth zum Sichern der Betriebsumgebung

Base Database Service bietet mehrere Steuerelemente, um Vertraulichkeit, Integrität und Rechenschaftspflicht für den gesamten Service zu gewährleisten. Base Database Service fördert das Prinzip der Defense-in-Depth wie folgt:

  • Die virtuellen Maschinen für DB-Systeme werden aus dem sicheren Betriebssystemimage auf der Basis von Oracle Linux 7 erstellt. Hierbei wird die Kernbetriebsumgebung gesichert, indem das Installationsimage nur auf die erforderlichen Softwarepackages beschränkt, unnötige Services deaktiviert und sichere Konfigurationsparameter im gesamten System implementiert werden.
  • Zusätzliche sichere Standardkonfigurationsoptionen werden in den Serviceinstanzen implementiert. Außerdem werden alle Stärken der ausgereiften Oracle Linux-Plattform geerbt. Beispiel: Alle Datenbank-Tablespaces erfordern transparente Datenverschlüsselung (TDE), die Durchsetzung sicherer Kennwörter für anfängliche Datenbankbenutzer und Superuser sowie erweiterte Audit- und Ereignisregeln.
  • Base Database Service stellt auch ein vollständiges Deployment und einen vollständigen Service dar und unterliegt daher externen Branchenstandards wie PCI, HIPAA und ISO27001. Diese externen Auditanforderungen bedeuten, dass zusätzliche Mehrwert-Servicefeatures wie Antiviren-Scans, automatische Warnungen bei unerwarteten Systemänderungen und Scans auf Sicherheitslücken bei allen von Oracle verwalteten Infrastruktursystemen in der Flotte erforderlich sind.

Least-Privilege-Prinzip für Services und Benutzer

Sichere Oracle-Codierungsstandards erfordern das Least-Privilege-Prinzip. Ein Aspekt des Least-Privilege-Prinzips besteht darin, sicherzustellen, dass Anwendungen, Services und Benutzer auf die Funktionen zugreifen können, die sie zur Ausführung ihrer Aufgaben benötigen. Ebenso wichtig ist es, sicherzustellen, dass der Zugriff auf unnötige Funktionen, Services und Schnittstellen begrenzt ist. Base Database Service fördert das Least-Privilege-Prinzip wie folgt:

  • Jeder Prozess und jeder Daemon muss als normaler, nicht privilegierter Benutzer ausgeführt werden, es sei denn, es kann nachgewiesen werden, dass er eine höhere Berechtigungsstufe erfordert. Auf diese Weise können unvorhergesehene Probleme oder Sicherheitslücken auf den nicht privilegierten Benutzerbereich beschränkt und eine Gefährdung des gesamten Systems vermieden werden.
  • Dieses Prinzip gilt auch für Mitglieder des Oracle Operations-Teams, die individuell benannte Accounts für den Zugriff auf die Infrastruktur zur Wartung oder Fehlerbehebung verwenden. Nur bei Bedarf verwenden sie den auditierten Zugriff auf höhere Berechtigungsstufen, um ein Problem zu lösen oder zu beheben. Die meisten Probleme werden durch automatisierte Prozesse gelöst. Daher wenden wir das Least-Privilege Prinzip auch an, indem wir Mitarbeitern keinen Zugriff auf ein System gestatten, es sei denn, eine automatisierte Lösung des Problems ist nicht möglich.

Audit und Erfassung von Ereignissen und Aktionen

Ein System muss Vorfälle erkennen und melden können, wenn sie auftreten. Wenn ein Vorfall nicht verhindert werden kann, muss eine Organisation sein Vorkommen identifizieren können, um die entsprechenden Maßnahmen ergreifen zu können. Base Database Service fördert Audit und Erfassung auf folgende Weise:

  • Durch Audit und Erfassung wird sichergestellt, dass sowohl Oracle als auch Benutzer wissen, welche Aktivitäten wann auf dem System ausgeführt wurden. Diese Details stellen nicht nur sicher, dass wir die Berichtsanforderungen für externe Audits erfüllen, sondern können auch dabei helfen, die Aktivität zu identifizieren, die zu unerwartetem Verhalten geführt hat.
  • Auditfunktionen werden für alle Infrastrukturkomponenten bereitgestellt, um sicherzustellen, dass alle Aktionen erfasst werden. Benutzer können Auditing auch für ihre Datenbank- und Benutzerdomainkonfiguration (domU) konfigurieren und diese möglicherweise in andere Unternehmensauditsysteme integrieren.
  • Oracle hat keinen Zugriff auf die Benutzer-domU.

Automatisierung des Cloud-Betriebs

Durch den Wegfall manueller Vorgänge für Provisioning, Patching, Wartung, Fehlerbehebung und Konfiguration von Systemen wird das Fehlerrisiko reduziert und eine sichere Konfiguration gewährleistet.

Base Database Service wurde unter dem Aspekt der Sicherheit entwickelt, indem das gesamte Provisioning, die Konfiguration und die meisten anderen betrieblichen Aufgaben automatisiert wurden. Durch die Automatisierung ist es möglich, fehlende Konfigurationen zu vermeiden und sicherzustellen, dass alle erforderlichen Pfade in das System ordnungsgemäß konfiguriert sind.

Sicherheitsfeatures

In diesem Thema werden die Sicherheitsfeatures beschrieben, die in Base Database Service verfügbar sind.

Base Database Service bietet die folgenden Sicherheitsfeatures:

Gesichertes BS-Image

  • Minimale Packageinstallation: Nur die für den Betrieb eines effizienten Systems erforderlichen Packages werden installiert. Durch die Installation eines kleineren Packagesets wird die Angriffsfläche des Betriebssystems reduziert, und das System bleibt sicherer.
  • Sichere Konfiguration: Viele nicht standardmäßige Konfigurationsparameter werden während der Installation festgelegt, um den Sicherheitsstatus des Systems und seines Inhalts zu verbessern. Beispiel: SSH ist so konfiguriert, dass nur bestimmte Netzwerkschnittstellen überwacht werden, Sendmail ist so konfiguriert, dass nur lokale Hostverbindungen akzeptiert werden, und viele weitere ähnliche Einschränkungen werden während der Installation implementiert.
  • Nur erforderliche Services ausführen: Services, die zwar auf dem System installiert, jedoch für den normalen Betrieb nicht erforderlich sind, sind standardmäßig deaktiviert. Beispiel: Obwohl NFS ein Service ist, der häufig von Benutzern für verschiedene Anwendungszwecke konfiguriert wird, ist er standardmäßig deaktiviert, da er für normale Datenbankvorgänge nicht erforderlich ist. Benutzer können optional Services entsprechend ihren Anforderungen konfigurieren.

Minimale Angriffsfläche

Als Teil des gesicherten Images wird die Angriffsfläche reduziert, indem nur die Software installiert und ausgeführt wird, die für die Bereitstellung des Service erforderlich ist.

Zusätzlich aktivierte Sicherheitsfeatures

  • Base Database Service ist so konzipiert, dass er standardmäßig sicher ist und einen vollständigen Sicherheitsstack bereitstellt, von der Netzwerkfirewallkontrolle bis zur Zugriffskontrollsicherheits-Policys.
  • FIPS, SE Linux und STIG können zusätzlich aktiviert werden, um die Sicherheit auf Systemen mit der dbcli secure-dbsystem-CLI zu verbessern.
  • Mit dem STIG-Tool wird die Compliance mit Oracle Linux 7 STIG von DISA auf jedem Systemknoten in bereitgestellten Systemen erhöht.

Sichere Zugriffsmethoden

  • Der Zugriff auf Datenbankserver über SSH erfolgt über starke kryptografische Cipher. Schwache Cipher sind standardmäßig deaktiviert.
  • Zugriff auf Datenbanken über verschlüsselte Oracle Net-Verbindungen. Standardmäßig sind unsere Services über verschlüsselte Kanäle verfügbar, und ein Oracle Net-Client verwendet in der Standardkonfiguration verschlüsselte Sessions.

Auditing und Logging

Standardmäßig wird durch Auditing und Logging neben der vom Betriebssystem bereitgestellten Konfiguration für kommerzielle Deployments keine zusätzliche Konfiguration hinzugefügt. Die Konfiguration kann jedoch verbessert werden, indem Sie durch Aktivieren von STIG zusätzliche Sicherheitseinstellungen hinzufügen.

Benutzersicherheit

In diesem Thema wird die Benutzersicherheit beschrieben, die in Base Database Service verfügbar ist. Die Komponenten von Base Database Service werden regelmäßig von mehreren Benutzeraccounts verwaltet. Oracle verwendet und empfiehlt nur die tokenbasierte SSH-Anmeldung. Oracle-Benutzer oder -Prozesse verwenden keine kennwortbasierte Authentifizierung.

Die folgenden Benutzertypen werden standardmäßig erstellt:

Standardbenutzer: Keine Anmeldeberechtigungen

Diese Benutzerliste besteht aus Standardbenutzern des Betriebssystems. Diese Benutzer dürfen nicht geändert werden. Diese Benutzer können sich nicht beim System anmelden.

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

Standardbenutzer: mit Anmeldeberechtigungen

Diese privilegierten Benutzer sind für die Ausführung der meisten Aufgaben im System verantwortlich. Diese Benutzer dürfen niemals geändert oder gelöscht werden, da dies erhebliche Auswirkung auf das laufende System hätte. Zur Anmeldung werden SSH-Schlüssel verwendet.

Im Folgenden finden Sie eine Liste der Standardbenutzer mit Anmeldeberechtigungen.

  • root ist für Linux erforderlich. Dieser Benutzer wird sparsam zur Ausführung lokaler privilegierter Befehle verwendet. Root wird auch für einige Prozesse wie TFA-Agent verwendet. Er führt den lokalen Agent (auch als "DCS-Agent" bezeichnet) aus, der Lebenszyklusvorgänge für RDBMS-Software ausführt (Patching, Datenbank erstellen usw.).
  • oracle ist Eigentümer der Oracle Database-Softwareinstallation und führt RDBMS-Prozesse aus.
  • grid ist Eigentümer der Oracle Grid Infrastructure-Softwareinstallation und führt Grid Infastructure-Prozesse aus.
  • opc wird von der Oracle Cloud-Automatisierung für Automatisierungsaufgaben verwendet. Der Benutzer ermöglicht die Ausführung bestimmter privilegierter Befehle ohne weitere Authentifizierung (zur Unterstützung von Automatisierungsfunktionen).
  • mysql ist ein kritischer Benutzer und muss hochgefahren und gestartet sein, damit der DCS-Agent erfolgreich ausgeführt werden kann, da er Eigentümer des Metastores des DCS-Agent ist.
root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

Sicherheitseinstellungen

In diesem Thema werden die Sicherheitseinstellungen beschrieben, die in Base Database Service verfügbar sind. Im Folgenden werden die im System bereitgestellten Standardsicherheitseinstellungen aufgeführt.

Tabelle -: Sicherheitseinstellungen und Standardwerte

Sicherheitseinstellungen Standardwerte
Kennwortkomplexität
  • Kennwortmindestlänge: 15
  • Maximale Anzahl aufeinander folgender wiederholter Zeichen derselben Zeichenklasse, die das Kennwort enthalten darf: 4
  • Maximale Anzahl aufeinander folgender wiederholter Zeichen im Kennwort: 3
  • Mindestanzahl Ziffern für Kennwortsicherheit: 1
  • Mindestanzahl verschiedener Kategorien für Kennwortsicherheit: 4
  • Mindestanzahl verschiedene Zeichen für Kennwortsicherheit: 8
  • Mindestanzahl Sonderzeichen für Kennwortsicherheit: 1
  • Mindestanzahl Kleinbuchstaben für Kennwortsicherheit: 1
  • Mindestanzahl Großbuchstaben für Kennwortsicherheit: 1
Benutzeraccountkonfiguration
  • Maximale Anzahl von Tagen, die ein Kennwort verwendet werden kann: 60
  • Mindestanzahl von Tagen, die zwischen Kennwortänderungen verstreichen muss: 1
  • Verschlüsselungs-Hash-Algorithmus: SHA512
  • Wartezeit bei Anmeldefehlern: 4 Sekunden
Deaktivierte Optionen
  • Deaktivierter Neustart mit Strg-Alt-Entf
  • DCCP-Support ist deaktiviert
  • USB-Speichergerät ist deaktiviert
  • X Windows-Packagegruppe wurde entfernt
SSH-Konfigurationen
  • Nur SSH-Protokoll 2 ist zulässig
  • Verwendung von Berechtigungstrennung aktiviert
  • SSH-Inaktivitätstimeoutintervall: 600 Sekunden
  • GSSAPI-Authentifizierung deaktiviert
  • Komprimierung auf verzögert gesetzt
  • Vertrauenswürdigkeit ohne Zertifikat erlaubt für SSH-Anmeldung beim System
  • SSH-Daemon lässt keine Authentifizierung über bekannte Hosts zu
Packages
  • Alle Softwarekomponenten entfernen, nachdem aktualisierte Versionen installiert wurden
  • Das System verhindert die Installation von lokalen Packages für nicht verifizierte Software, Patches, Service Packs, Gerätetreiber oder Betriebssystemkomponenten
Logging
  • System- und Kernelnachrichten werden an den Remotehost (rsyslog) gesendet
  • Cron zur Anmeldung bei rsyslog konfiguriert
  • AIDE für periodische Ausführung konfigurieren
Andere
  • Authentifizierung beim Booten in Einzelbenutzer- und Wartungsmodus erforderlich
  • Interaktiver Sessiontimeout: 600 Sekunden
  • Konfiguriertes PAM in SSSD-Geräten
  • PAM-Systemservice zum Speichern von Kennwörtern nur in verschlüsselter Form konfiguriert
  • Speicherort des CA-Zertifikats für SSSD-LDAP-Backend-Client konfiguriert
  • SSSD-LDAP-Backend zur Verwendung von TLS für alle Transaktionen konfiguriert
  • Account nach Kennwortablauf deaktivieren
  • Utilitys zur Gruppenaccountadministration sind so konfiguriert, dass Kennwörter nur in verschlüsselter Form gespeichert werden

Darüber hinaus ermöglichen ONSR-Regionen standardmäßig FIPS, SE Linux und STIG die Einhaltung der Anforderungsstandards. Sie können die Systemsicherheit verbessern, indem Sie zusätzliche Konfigurationen aktivieren. Der Konfigurationsstandard (STIG) kann so festgelegt werden, dass er die restriktivsten Standards erfüllt und die Sicherheitscompliance mit Oracle Linux 7 STIG von DISA erhöht. Als Teil des Images wird ein Tool bereitgestellt, mit dem FIPS, SE Linux und STIG aktiviert werden können.

Sicherheitsprozesse

In diesem Thema werden die Standardsicherheitsprozesse beschrieben, die in Base Database Service verfügbar sind. Im Folgenden finden Sie die Liste der Prozesse, die standardmäßig auf der virtuellen Benutzermaschine (DB-System, auch als domU bezeichnet) ausgeführt werden.

Tabelle -: Sicherheitsprozesse

Prozesse Beschreibung
domU-Agent

Der Service ist ein Cloud-Agent für die Verarbeitung von Datenbank-Lebenszyklusvorgängen.

  • Wird als Benutzer root ausgeführt
  • Die Prozesstabelle zeigt die Ausführung als JAVA-Prozess mit den folgenden JAR-Namen:
    • dcs-agent-VersionNumber-SNAPSHOT.jar
    • dcs-admin-VersionNumber-SNAPSHOT.jar
TFA-Agent

Der Oracle Trace File Analyzer (TFA) bietet eine Reihe von Diagnosetools in einem Bundle. So können Diagnoseinformationen zu Oracle-Datenbank und -Clusterware problemlos erfasst werden, was wiederum bei der Kontaktaufnahme mit Oracle Support zur Problemlösung hilfreich ist.

  • Wird als Benutzer root ausgeführt
  • Wird als Daemon initd ausgeführt (/etc/init.d/init.tfa)
  • Prozesstabellen zeigen eine Java-Anwendung (oracle.rat.tfa.TFAMain)
Datenbank und GI (Clusterware)
  • Wird als Benutzer oracle und grid ausgeführt
  • Einige CRS-/Clusterware-Daemon-Prozesse werden als root-Benutzer ausgeführt
  • Die Prozesstabelle zeigt folgende Anwendungen:
    • ora_*, apx_*, ams_* und oracle+ASM*
    • mysqld und zookeeper
    • einige andere Prozesse aus /u01/<version>/grid/*

Netzwerkssicherheit

In diesem Thema wird die Netzwerksicherheit in Base Database Service beschrieben. Im Folgenden finden Sie eine Liste der Standardports, Prozesse und iptables-Regeln, die standardmäßig auf der virtuellen Benutzermaschine (DB-System, auch als domU bezeichnet) ausgeführt werden.

Ports für domU-Service

Die folgende Tabelle enthält eine Liste der Standardports für domU-Services.

Tabelle -: Standardportmatrix für domU-Services

Schnittstellentyp Schnittstellenname Port Ausgeführter Prozess
Auf allen Schnittstellen horchen 0.0.0.0 22 SSH
1522 RDBMS: TNS-Listener
7060 DCS-Admin
7070 DCS-Agent
(2181) Zookeeper
8888, 8895 RAC: Quality of Management Service-(QOMS-)Server
9000 RAC: Oracle Clusterware
68 DHCP
123 NTP
(5353) Multicast-DNS
Clientschnittstelle ens3 1521 RDBMS: TNS-Listener
5000 RDBMS: Autonomous Health Framework (AHF) (einschließlich TFA)
ens3:1 1521 RDBMS: TNS-Listener
ens3:2 1521 RDBMS: TNS-Listener
ens3:3 1521 RDBMS: TNS-Listener
Cluster-Interconnect ens4 1525 RDBMS: TNS-Listener
(2888) Zookeeper
(3888) Zookeeper
6.000 RAC: Grid-Interprozesskommunikation
7.000 RAC: High Availability Service

iptables-Regeln für domU

Die Standard-iptables sind für das ACCEPT von Verbindungen in Eingabe-, Weiterleitungs- und Ausgabeketten eingerichtet.

Im Folgenden sind die iptables-Standardregeln für domU-Services aufgeführt:

  • CHAIN INPUT
  • CHAIN FORWARD
  • CHAIN OUTPUT

Beispiel -: iptables-Regeln

Das folgende Beispiel enthält die iptables-Standardregeln für domU-Services.

iptables -L -n -v

Ausgabe:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

Benutzerzuständigkeiten für Sicherheitseinstellungen

In diesem Thema werden die Zuständigkeiten von Oracle Cloud Operations und die Benutzerzuständigkeiten für Sicherheitseinstellungen in Base Database Service beschrieben. Die folgende Tabelle enthält eine Liste der Sicherheitseinstellungen, die Oracle Cloud Operations und Benutzer vornehmen müssen.

Tabelle -: Zuständigkeit von Oracle Cloud Operations und Benutzern für verschiedene Vorgänge

Vorgang Oracle Cloud-Plattform Benutzer-/Mandanteninstanzen
Oracle Cloud-Zuständigkeit Benutzerverantwortung Oracle Cloud-Zuständigkeit Benutzerverantwortung
DATENBANK-DEPLOYMENT Softwareinfrastruktur und Anleitung für die Bereitstellung von Base Database Service

Netzwerkadministrator: Cloud-Netzwerkinfrastruktur (VCN und Subnetze, Gateway usw.) konfigurieren.

Datenbankadministrator:Datenbankanforderungen einrichten (Arbeitsspeicher, Speicher, Berechnung, Datenbankversion, Datenbanktyp usw.).

Betriebssystem, Datenbank und Grid Infrastructure-System installieren, falls ausgewählt Datenbank-Admin: Version der Oracle Database-Software, Ausprägung der Anforderungen an virtuelle Maschinen (CPU/Arbeitsspeicher), Größenressourcen für Datenspeicher- und Recovery-Speicherkonfiguration basierend auf den Workloads (Upgrade/Downgrade von Ressourcen) aktualisieren.
MONITORING Physische Sicherheit, Infrastruktur, Control Plane, Hardwarefehler, Verfügbarkeit, Kapazität Keine Verfügbarkeit der Infrastruktur zur Unterstützung des Monitorings der Benutzerservices. Datenbankadministrator: Monitoring von Betriebssystem, Datenbanken, Anwendungen und Grid Infrastructure
VORFALLSMANAGEMENT UND PROBLEMLÖSUNG Vorfallsmanagement und Korrektur, Ersatzteile und Außendienst Keine Unterstützung bei Vorfällen im Zusammenhang mit der zugrunde liegenden Plattform Datenbankadministrator: Vorfallsmanagement und Problemlösung für Benutzeranwendungen
PATCHMANAGEMENT Proaktives Patching von Hardware, IaaS/PaaS-Kontrollstack Keine Staging verfügbarer Patches, z.B. Oracle Database-Patchset

Datenbankadministrator: Patching von Mandanteninstanzen, Tests

BS-Administrator: BS-Patching

BACKUP UND WIEDERHERSTELLUNG Backup und Recovery von Infrastruktur und Control Plane, virtuelle Maschinen für Benutzer neu erstellen Keine Aktive und für Benutzer zugängliche virtuelle Maschinen bereitstellen Datenbankadministrator: Snapshots/Backup und Recovery der IaaS- und PaaS-Daten des Benutzers mit nativen Oracle-Funktionen oder Drittanbieterfunktionen

Zusätzliche Sicherheitsfunktionen aktivieren

Base Database Service bietet die folgenden zusätzlichen Sicherheitsfunktionen:

dbcli NetSecurity

Die dbcli NetSecurity übernimmt die Verschlüsselung von Daten während der Übertragung durch das Netzwerk. Wenn die Daten von Oracle Database zu einem Drittanbieter oder von einem Server zu einem Client verschoben werden, müssen sie auf der Absenderseite verschlüsselt und auf der Empfängerseite entschlüsselt werden. In NetSecurity werden Regeln mit Standardwerten für Client und Server während der Provisioning- und Datenbank-Home-Erstellungsvorgänge konfiguriert. Die CLI-Schnittstelle dcs-agent stellt Befehle zum Aktualisieren dieser NetSecurity-Regeln bereit und verbessert die Sicherheit für Verschlüsselungsalgorithmen, Integritätsalgorithmen und Verbindungstypen.

Standardmäßig konfiguriert dcs-agent die folgenden Standardregeln für das Datenbank-Home:

  • SQLNET.ENCRYPTION_SERVER=REQUIRED
  • SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
  • SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
  • SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
  • SQLNET.ENCRYPTION_CLIENT=REQUIRED
  • SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
  • SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
  • SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

Weitere Informationen zum Aktualisieren der Einstellungen finden Sie in der Oracle Database-CLI-Referenz.

OCI Vault-Integration

Base Database Service bietet jetzt die Integration mit dem OCI Vault-Service in allen kommerziellen OCI-Regionen. Sie können jetzt TDE-Masterschlüssel in OCI Vault erstellen und verwalten, die Ihre Datenbanken schützen. Mit diesem Feature können Sie mit dem OCI Vault-Service die Masterverschlüsselungsschlüssel speichern und verwalten. Die zum Schutz von Datenbanken verwendeten OCI Vault-Schlüssel werden in einem hochverfügbaren, dauerhaften und verwalteten Service abgelegt.

Hinweis:

Die OCI Vault-Integration ist nur für Oracle Database ab Version 19.13 verfügbar.

Mit der OCI Vault-Integration mit Base Database Service können Sie:

  • TDE-Masterschlüssel zentral steuern und verwalten, indem Sie die OCI Vault-basierte Schlüsselverschlüsselung aktivieren, während Sie Oracle-Datenbanken in Base Database Service bereitstellen.
  • Ihre TDE-Masterschlüssel in einem hochverfügbaren, dauerhaften und verwalteten Service speichern, wobei die Schlüssel durch HSM geschützt sind, die eine Sicherheitszertifizierung nach Federal Information Processing Standards (FIPS) 140-2 der Sicherheitsebene 3 haben.
  • Ihre Verschlüsselungsschlüssel periodisch rotieren, um die Sicherheitscompliance aufrechtzuerhalten und in Fällen von Personaländerungen den Zugriff auf eine Datenbank zu deaktivieren.
  • Die von Oracle verwalteten Schlüssel für Ihre vorhandenen Datenbanken in vom Benutzer verwaltete Schlüssel migrieren.
  • Ihre eigenen Schlüssel hinzufügen - also BYOK (Bring Your Own Key) - und diese beim Erstellen von Datenbanken mit benutzerverwalteter Verschlüsselung verwenden.

Hinweis:

  • BYOK gilt nur für die Containerdatenbank (CDB). Der integrierbaren Datenbank (PDB) wird eine automatisch generierte neue Schlüsselversion zugewiesen.
  • Oracle-Datenbanken mit benutzerdefinierter Verschlüsselung unterstützen das Klonen von DB-Systemen, die In-Place-Wiederherstellung, die Out-of-Place-Wiederherstellung, die Data Guard-Konfiguration innerhalb einer Region und PDB-spezifische Vorgänge wie das Erstellen von PDBs und das lokale Klonen.

CLI zum Aktivieren von FIPS

Oracle stellt standardmäßig ein Tool für kommerzielle Benutzer bereit, mit dem sie die Sicherheit verbessern können. Mit diesem Tool können FIPS, SE Linux und STIG die strengsten Standards erfüllen.

Weitere Informationen finden Sie unter FIPS, SE Linux und STIG in den DB-Systemkomponenten aktivieren.