Sicherheitsdokumentation zu Base Database Service
Sicherheit - Überblick
Dieses Thema enthält einen Überblick über die Sicherheit in Base Database Service. Oracle verwaltet die Sicherheit der meisten Komponenten. Bei einigen Komponenten sind jedoch die Benutzer für die Sicherheit verantwortlich.
Die Cloud-Servicekomponenten sind in für Benutzer verfügbare Services und von Oracle verwaltete Infrastruktur unterteilt. Als für Benutzer verfügbare Services werden die Komponenten bezeichnet, auf die Benutzer im Rahmen ihres Abonnements des Base Database Service zugreifen können. Hierbei handelt es sich um virtuelle Maschinen und Datenbankservices, die allgemein als DB-Systeme bzw. Datenbanken bezeichnet werden. Von Oracle verwaltete Infrastruktur bezeichnet die Hardware, für die Oracle verantwortlich ist und die von Oracle betrieben wird, um für Benutzer verfügbare Services zu unterstützen. Sie besteht aus AMD- oder Intel-basierten Datenbank-Computing-Ausprägungen.
Oracle verwaltet die Sicherheit und den Zugriff auf die von Oracle verwalteten Infrastrukturkomponenten. Benutzer verwalten die Sicherheit und den Zugriff auf die für Benutzer verfügbaren Services, einschließlich Zugriff auf DB-Systeme und Datenbankservices, Netzwerkzugriff auf das DB-System, Authentifizierung für den Zugriff auf das DB-System und Authentifizierung für den Zugriff auf Datenbanken, die auf den DB-Systemen ausgeführt werden. Oracle-Mitarbeiter sind nicht zum Zugriff auf für Benutzer verfügbare Services berechtigt.
Benutzer greifen auf Oracle-Datenbanken, die auf DB-Systemen ausgeführt werden, über eine Layer-2-Verbindung (getaggte VLAN-Verbindung) von Benutzergeräten mit standardmäßigen Oracle Database-Verbindungsmethoden zu, wie Oracle Net auf Port 1521. Benutzer können mit den standardmäßigen Oracle Linux-Methoden eine Verbindung zum DB-System herstellen, auf dem die Oracle-Datenbanken ausgeführt werden, wie tokenbasiertes SSH auf Port 22.
Bei Base Database Service werden mehrere unabhängige und sich gegenseitig verstärkende Sicherheitskontrollen eingesetzt, damit Organisationen eine sichere Betriebsumgebung für ihre Workloads und Daten schaffen können. Bases Database Service stellt die folgenden Sicherheitskontrollen bereit:
Defense-in-Depth zum Sichern der Betriebsumgebung
Base Database Service bietet mehrere Steuerelemente, um Vertraulichkeit, Integrität und Rechenschaftspflicht für den gesamten Service zu gewährleisten. Base Database Service fördert das Prinzip der Defense-in-Depth wie folgt:
- Die virtuellen Maschinen für DB-Systeme werden aus dem sicheren Betriebssystemimage auf der Basis von Oracle Linux 7 erstellt. Hierbei wird die Kernbetriebsumgebung gesichert, indem das Installationsimage nur auf die erforderlichen Softwarepackages beschränkt, unnötige Services deaktiviert und sichere Konfigurationsparameter im gesamten System implementiert werden.
- Zusätzliche sichere Standardkonfigurationsoptionen werden in den Serviceinstanzen implementiert. Außerdem werden alle Stärken der ausgereiften Oracle Linux-Plattform geerbt. Beispiel: Alle Datenbank-Tablespaces erfordern transparente Datenverschlüsselung (TDE), die Durchsetzung sicherer Kennwörter für anfängliche Datenbankbenutzer und Superuser sowie erweiterte Audit- und Ereignisregeln.
- Base Database Service stellt auch ein vollständiges Deployment und einen vollständigen Service dar und unterliegt daher externen Branchenstandards wie PCI, HIPAA und ISO27001. Diese externen Auditanforderungen bedeuten, dass zusätzliche Mehrwert-Servicefeatures wie Antiviren-Scans, automatische Warnungen bei unerwarteten Systemänderungen und Scans auf Sicherheitslücken bei allen von Oracle verwalteten Infrastruktursystemen in der Flotte erforderlich sind.
Least-Privilege-Prinzip für Services und Benutzer
Sichere Oracle-Codierungsstandards erfordern das Least-Privilege-Prinzip. Ein Aspekt des Least-Privilege-Prinzips besteht darin, sicherzustellen, dass Anwendungen, Services und Benutzer auf die Funktionen zugreifen können, die sie zur Ausführung ihrer Aufgaben benötigen. Ebenso wichtig ist es, sicherzustellen, dass der Zugriff auf unnötige Funktionen, Services und Schnittstellen begrenzt ist. Base Database Service fördert das Least-Privilege-Prinzip wie folgt:
- Jeder Prozess und jeder Daemon muss als normaler, nicht privilegierter Benutzer ausgeführt werden, es sei denn, es kann nachgewiesen werden, dass er eine höhere Berechtigungsstufe erfordert. Auf diese Weise können unvorhergesehene Probleme oder Sicherheitslücken auf den nicht privilegierten Benutzerbereich beschränkt und eine Gefährdung des gesamten Systems vermieden werden.
- Dieses Prinzip gilt auch für Mitglieder des Oracle Operations-Teams, die individuell benannte Accounts für den Zugriff auf die Infrastruktur zur Wartung oder Fehlerbehebung verwenden. Nur bei Bedarf verwenden sie den auditierten Zugriff auf höhere Berechtigungsstufen, um ein Problem zu lösen oder zu beheben. Die meisten Probleme werden durch automatisierte Prozesse gelöst. Daher wenden wir das Least-Privilege Prinzip auch an, indem wir Mitarbeitern keinen Zugriff auf ein System gestatten, es sei denn, eine automatisierte Lösung des Problems ist nicht möglich.
Audit und Erfassung von Ereignissen und Aktionen
Ein System muss Vorfälle erkennen und melden können, wenn sie auftreten. Wenn ein Vorfall nicht verhindert werden kann, muss eine Organisation sein Vorkommen identifizieren können, um die entsprechenden Maßnahmen ergreifen zu können. Base Database Service fördert Audit und Erfassung auf folgende Weise:
- Durch Audit und Erfassung wird sichergestellt, dass sowohl Oracle als auch Benutzer wissen, welche Aktivitäten wann auf dem System ausgeführt wurden. Diese Details stellen nicht nur sicher, dass wir die Berichtsanforderungen für externe Audits erfüllen, sondern können auch dabei helfen, die Aktivität zu identifizieren, die zu unerwartetem Verhalten geführt hat.
- Auditfunktionen werden für alle Infrastrukturkomponenten bereitgestellt, um sicherzustellen, dass alle Aktionen erfasst werden. Benutzer können Auditing auch für ihre Datenbank- und Benutzerdomainkonfiguration (domU) konfigurieren und diese möglicherweise in andere Unternehmensauditsysteme integrieren.
- Oracle hat keinen Zugriff auf die Benutzer-domU.
Automatisierung des Cloud-Betriebs
Durch den Wegfall manueller Vorgänge für Provisioning, Patching, Wartung, Fehlerbehebung und Konfiguration von Systemen wird das Fehlerrisiko reduziert und eine sichere Konfiguration gewährleistet.
Base Database Service wurde unter dem Aspekt der Sicherheit entwickelt, indem das gesamte Provisioning, die Konfiguration und die meisten anderen betrieblichen Aufgaben automatisiert wurden. Durch die Automatisierung ist es möglich, fehlende Konfigurationen zu vermeiden und sicherzustellen, dass alle erforderlichen Pfade in das System ordnungsgemäß konfiguriert sind.
Sicherheitsfeatures
In diesem Thema werden die Sicherheitsfeatures beschrieben, die in Base Database Service verfügbar sind.
Base Database Service bietet die folgenden Sicherheitsfeatures:
Gesichertes BS-Image
- Minimale Packageinstallation: Nur die für den Betrieb eines effizienten Systems erforderlichen Packages werden installiert. Durch die Installation eines kleineren Packagesets wird die Angriffsfläche des Betriebssystems reduziert, und das System bleibt sicherer.
- Sichere Konfiguration: Viele nicht standardmäßige Konfigurationsparameter werden während der Installation festgelegt, um den Sicherheitsstatus des Systems und seines Inhalts zu verbessern. Beispiel: SSH ist so konfiguriert, dass nur bestimmte Netzwerkschnittstellen überwacht werden, Sendmail ist so konfiguriert, dass nur lokale Hostverbindungen akzeptiert werden, und viele weitere ähnliche Einschränkungen werden während der Installation implementiert.
- Nur erforderliche Services ausführen: Services, die zwar auf dem System installiert, jedoch für den normalen Betrieb nicht erforderlich sind, sind standardmäßig deaktiviert. Beispiel: Obwohl NFS ein Service ist, der häufig von Benutzern für verschiedene Anwendungszwecke konfiguriert wird, ist er standardmäßig deaktiviert, da er für normale Datenbankvorgänge nicht erforderlich ist. Benutzer können optional Services entsprechend ihren Anforderungen konfigurieren.
Minimale Angriffsfläche
Als Teil des gesicherten Images wird die Angriffsfläche reduziert, indem nur die Software installiert und ausgeführt wird, die für die Bereitstellung des Service erforderlich ist.
Zusätzlich aktivierte Sicherheitsfeatures
- Base Database Service ist so konzipiert, dass er standardmäßig sicher ist und einen vollständigen Sicherheitsstack bereitstellt, von der Netzwerkfirewallkontrolle bis zur Zugriffskontrollsicherheits-Policys.
- FIPS, SE Linux und STIG können zusätzlich aktiviert werden, um die Sicherheit auf Systemen mit der
dbcli secure-dbsystem
-CLI zu verbessern. - Mit dem STIG-Tool wird die Compliance mit Oracle Linux 7 STIG von DISA auf jedem Systemknoten in bereitgestellten Systemen erhöht.
Sichere Zugriffsmethoden
- Der Zugriff auf Datenbankserver über SSH erfolgt über starke kryptografische Cipher. Schwache Cipher sind standardmäßig deaktiviert.
- Zugriff auf Datenbanken über verschlüsselte Oracle Net-Verbindungen. Standardmäßig sind unsere Services über verschlüsselte Kanäle verfügbar, und ein Oracle Net-Client verwendet in der Standardkonfiguration verschlüsselte Sessions.
Auditing und Logging
Standardmäßig wird durch Auditing und Logging neben der vom Betriebssystem bereitgestellten Konfiguration für kommerzielle Deployments keine zusätzliche Konfiguration hinzugefügt. Die Konfiguration kann jedoch verbessert werden, indem Sie durch Aktivieren von STIG zusätzliche Sicherheitseinstellungen hinzufügen.
Benutzersicherheit
In diesem Thema wird die Benutzersicherheit beschrieben, die in Base Database Service verfügbar ist. Die Komponenten von Base Database Service werden regelmäßig von mehreren Benutzeraccounts verwaltet. Oracle verwendet und empfiehlt nur die tokenbasierte SSH-Anmeldung. Oracle-Benutzer oder -Prozesse verwenden keine kennwortbasierte Authentifizierung.
Die folgenden Benutzertypen werden standardmäßig erstellt:
Standardbenutzer: Keine Anmeldeberechtigungen
Diese Benutzerliste besteht aus Standardbenutzern des Betriebssystems. Diese Benutzer dürfen nicht geändert werden. Diese Benutzer können sich nicht beim System anmelden.
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
Standardbenutzer: mit Anmeldeberechtigungen
Diese privilegierten Benutzer sind für die Ausführung der meisten Aufgaben im System verantwortlich. Diese Benutzer dürfen niemals geändert oder gelöscht werden, da dies erhebliche Auswirkung auf das laufende System hätte. Zur Anmeldung werden SSH-Schlüssel verwendet.
Im Folgenden finden Sie eine Liste der Standardbenutzer mit Anmeldeberechtigungen.
root
ist für Linux erforderlich. Dieser Benutzer wird sparsam zur Ausführung lokaler privilegierter Befehle verwendet. Root wird auch für einige Prozesse wie TFA-Agent verwendet. Er führt den lokalen Agent (auch als "DCS-Agent" bezeichnet) aus, der Lebenszyklusvorgänge für RDBMS-Software ausführt (Patching, Datenbank erstellen usw.).oracle
ist Eigentümer der Oracle Database-Softwareinstallation und führt RDBMS-Prozesse aus.grid
ist Eigentümer der Oracle Grid Infrastructure-Softwareinstallation und führt Grid Infastructure-Prozesse aus.opc
wird von der Oracle Cloud-Automatisierung für Automatisierungsaufgaben verwendet. Der Benutzer ermöglicht die Ausführung bestimmter privilegierter Befehle ohne weitere Authentifizierung (zur Unterstützung von Automatisierungsfunktionen).mysql
ist ein kritischer Benutzer und muss hochgefahren und gestartet sein, damit der DCS-Agent erfolgreich ausgeführt werden kann, da er Eigentümer des Metastores des DCS-Agent ist.
root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash
Sicherheitseinstellungen
In diesem Thema werden die Sicherheitseinstellungen beschrieben, die in Base Database Service verfügbar sind. Im Folgenden werden die im System bereitgestellten Standardsicherheitseinstellungen aufgeführt.
Tabelle -: Sicherheitseinstellungen und Standardwerte
Sicherheitseinstellungen | Standardwerte |
---|---|
Kennwortkomplexität |
|
Benutzeraccountkonfiguration |
|
Deaktivierte Optionen |
|
SSH-Konfigurationen |
|
Packages |
|
Logging |
|
Andere |
|
Darüber hinaus ermöglichen ONSR-Regionen standardmäßig FIPS, SE Linux und STIG die Einhaltung der Anforderungsstandards. Sie können die Systemsicherheit verbessern, indem Sie zusätzliche Konfigurationen aktivieren. Der Konfigurationsstandard (STIG) kann so festgelegt werden, dass er die restriktivsten Standards erfüllt und die Sicherheitscompliance mit Oracle Linux 7 STIG von DISA erhöht. Als Teil des Images wird ein Tool bereitgestellt, mit dem FIPS, SE Linux und STIG aktiviert werden können.
Sicherheitsprozesse
In diesem Thema werden die Standardsicherheitsprozesse beschrieben, die in Base Database Service verfügbar sind. Im Folgenden finden Sie die Liste der Prozesse, die standardmäßig auf der virtuellen Benutzermaschine (DB-System, auch als domU bezeichnet) ausgeführt werden.
Tabelle -: Sicherheitsprozesse
Prozesse | Beschreibung |
---|---|
domU-Agent |
Der Service ist ein Cloud-Agent für die Verarbeitung von Datenbank-Lebenszyklusvorgängen.
|
TFA-Agent |
Der Oracle Trace File Analyzer (TFA) bietet eine Reihe von Diagnosetools in einem Bundle. So können Diagnoseinformationen zu Oracle-Datenbank und -Clusterware problemlos erfasst werden, was wiederum bei der Kontaktaufnahme mit Oracle Support zur Problemlösung hilfreich ist.
|
Datenbank und GI (Clusterware) |
|
Netzwerkssicherheit
In diesem Thema wird die Netzwerksicherheit in Base Database Service beschrieben. Im Folgenden finden Sie eine Liste der Standardports, Prozesse und iptables-Regeln, die standardmäßig auf der virtuellen Benutzermaschine (DB-System, auch als domU bezeichnet) ausgeführt werden.
Ports für domU-Service
Die folgende Tabelle enthält eine Liste der Standardports für domU-Services.
Tabelle -: Standardportmatrix für domU-Services
Schnittstellentyp | Schnittstellenname | Port | Ausgeführter Prozess |
---|---|---|---|
Auf allen Schnittstellen horchen | 0.0.0.0 | 22 | SSH |
1522 | RDBMS: TNS-Listener | ||
7060 | DCS-Admin | ||
7070 | DCS-Agent | ||
(2181) | Zookeeper | ||
8888, 8895 | RAC: Quality of Management Service-(QOMS-)Server | ||
9000 | RAC: Oracle Clusterware | ||
68 | DHCP | ||
123 | NTP | ||
(5353) | Multicast-DNS | ||
Clientschnittstelle | ens3 | 1521 | RDBMS: TNS-Listener |
5000 | RDBMS: Autonomous Health Framework (AHF) (einschließlich TFA) | ||
ens3:1 | 1521 | RDBMS: TNS-Listener | |
ens3:2 | 1521 | RDBMS: TNS-Listener | |
ens3:3 | 1521 | RDBMS: TNS-Listener | |
Cluster-Interconnect | ens4 | 1525 | RDBMS: TNS-Listener |
(2888) | Zookeeper | ||
(3888) | Zookeeper | ||
6.000 | RAC: Grid-Interprozesskommunikation | ||
7.000 | RAC: High Availability Service |
iptables-Regeln für domU
Die Standard-iptables sind für das ACCEPT
von Verbindungen in Eingabe-, Weiterleitungs- und Ausgabeketten eingerichtet.
Im Folgenden sind die iptables-Standardregeln für domU-Services aufgeführt:
CHAIN INPUT
CHAIN FORWARD
CHAIN OUTPUT
Beispiel -: iptables-Regeln
Das folgende Beispiel enthält die iptables-Standardregeln für domU-Services.
iptables -L -n -v
Ausgabe:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
43M 110G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2664 224K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
40793 2441K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ens4 * 0.0.0.0/0 0.0.0.0/0
3 192 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
40 2400 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify. */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5000 /* Required for TFA traffic. */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events. */
343 20580 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify. */
132 7920 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify. */
0 0 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify. */
3 424 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * ens4 0.0.0.0/0 0.0.0.0/0
52M 170G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
8003 548K InstanceServices all -- * * 0.0.0.0/0 169.254.0.0/16
Chain InstanceServices (1 references)
pkts bytes target prot opt in out source destination
11 660 ACCEPT tcp -- * * 0.0.0.0/0 169.254.2.0/24 owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
1 60 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.2 owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.2 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
678 63323 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.169.254 tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.3 owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.4 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
2569 195K ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:123 /* Allow access to OCI local NTP service */
4727 284K ACCEPT tcp -- * * 0.0.0.0/0 169.254.169.254 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
15 4920 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 REJECT tcp -- * * 0.0.0.0/0 169.254.0.0/16 tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
0 0 REJECT udp -- * * 0.0.0.0/0 169.254.0.0/16 udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable
Benutzerzuständigkeiten für Sicherheitseinstellungen
In diesem Thema werden die Zuständigkeiten von Oracle Cloud Operations und die Benutzerzuständigkeiten für Sicherheitseinstellungen in Base Database Service beschrieben. Die folgende Tabelle enthält eine Liste der Sicherheitseinstellungen, die Oracle Cloud Operations und Benutzer vornehmen müssen.
Tabelle -: Zuständigkeit von Oracle Cloud Operations und Benutzern für verschiedene Vorgänge
Vorgang | Oracle Cloud-Plattform | Benutzer-/Mandanteninstanzen | ||
---|---|---|---|---|
Oracle Cloud-Zuständigkeit | Benutzerverantwortung | Oracle Cloud-Zuständigkeit | Benutzerverantwortung | |
DATENBANK-DEPLOYMENT | Softwareinfrastruktur und Anleitung für die Bereitstellung von Base Database Service |
Netzwerkadministrator: Cloud-Netzwerkinfrastruktur (VCN und Subnetze, Gateway usw.) konfigurieren. Datenbankadministrator:Datenbankanforderungen einrichten (Arbeitsspeicher, Speicher, Berechnung, Datenbankversion, Datenbanktyp usw.). |
Betriebssystem, Datenbank und Grid Infrastructure-System installieren, falls ausgewählt | Datenbank-Admin: Version der Oracle Database-Software, Ausprägung der Anforderungen an virtuelle Maschinen (CPU/Arbeitsspeicher), Größenressourcen für Datenspeicher- und Recovery-Speicherkonfiguration basierend auf den Workloads (Upgrade/Downgrade von Ressourcen) aktualisieren. |
MONITORING | Physische Sicherheit, Infrastruktur, Control Plane, Hardwarefehler, Verfügbarkeit, Kapazität | Keine | Verfügbarkeit der Infrastruktur zur Unterstützung des Monitorings der Benutzerservices. | Datenbankadministrator: Monitoring von Betriebssystem, Datenbanken, Anwendungen und Grid Infrastructure |
VORFALLSMANAGEMENT UND PROBLEMLÖSUNG | Vorfallsmanagement und Korrektur, Ersatzteile und Außendienst | Keine | Unterstützung bei Vorfällen im Zusammenhang mit der zugrunde liegenden Plattform | Datenbankadministrator: Vorfallsmanagement und Problemlösung für Benutzeranwendungen |
PATCHMANAGEMENT | Proaktives Patching von Hardware, IaaS/PaaS-Kontrollstack | Keine | Staging verfügbarer Patches, z.B. Oracle Database-Patchset |
Datenbankadministrator: Patching von Mandanteninstanzen, Tests BS-Administrator: BS-Patching |
BACKUP UND WIEDERHERSTELLUNG | Backup und Recovery von Infrastruktur und Control Plane, virtuelle Maschinen für Benutzer neu erstellen | Keine | Aktive und für Benutzer zugängliche virtuelle Maschinen bereitstellen | Datenbankadministrator: Snapshots/Backup und Recovery der IaaS- und PaaS-Daten des Benutzers mit nativen Oracle-Funktionen oder Drittanbieterfunktionen |
Zusätzliche Sicherheitsfunktionen aktivieren
Base Database Service bietet die folgenden zusätzlichen Sicherheitsfunktionen:
dbcli NetSecurity
Die dbcli NetSecurity übernimmt die Verschlüsselung von Daten während der Übertragung durch das Netzwerk. Wenn die Daten von Oracle Database zu einem Drittanbieter oder von einem Server zu einem Client verschoben werden, müssen sie auf der Absenderseite verschlüsselt und auf der Empfängerseite entschlüsselt werden. In NetSecurity werden Regeln mit Standardwerten für Client und Server während der Provisioning- und Datenbank-Home-Erstellungsvorgänge konfiguriert. Die CLI-Schnittstelle dcs-agent
stellt Befehle zum Aktualisieren dieser NetSecurity-Regeln bereit und verbessert die Sicherheit für Verschlüsselungsalgorithmen, Integritätsalgorithmen und Verbindungstypen.
Standardmäßig konfiguriert dcs-agent
die folgenden Standardregeln für das Datenbank-Home:
SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
SQLNET.ENCRYPTION_CLIENT=REQUIRED
SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)
Weitere Informationen zum Aktualisieren der Einstellungen finden Sie in der Oracle Database-CLI-Referenz.
OCI Vault-Integration
Base Database Service bietet jetzt die Integration mit dem OCI Vault-Service in allen kommerziellen OCI-Regionen. Sie können jetzt TDE-Masterschlüssel in OCI Vault erstellen und verwalten, die Ihre Datenbanken schützen. Mit diesem Feature können Sie mit dem OCI Vault-Service die Masterverschlüsselungsschlüssel speichern und verwalten. Die zum Schutz von Datenbanken verwendeten OCI Vault-Schlüssel werden in einem hochverfügbaren, dauerhaften und verwalteten Service abgelegt.
Hinweis:
Die OCI Vault-Integration ist nur für Oracle Database ab Version 19.13 verfügbar.Mit der OCI Vault-Integration mit Base Database Service können Sie:
- TDE-Masterschlüssel zentral steuern und verwalten, indem Sie die OCI Vault-basierte Schlüsselverschlüsselung aktivieren, während Sie Oracle-Datenbanken in Base Database Service bereitstellen.
- Ihre TDE-Masterschlüssel in einem hochverfügbaren, dauerhaften und verwalteten Service speichern, wobei die Schlüssel durch HSM geschützt sind, die eine Sicherheitszertifizierung nach Federal Information Processing Standards (FIPS) 140-2 der Sicherheitsebene 3 haben.
- Ihre Verschlüsselungsschlüssel periodisch rotieren, um die Sicherheitscompliance aufrechtzuerhalten und in Fällen von Personaländerungen den Zugriff auf eine Datenbank zu deaktivieren.
- Die von Oracle verwalteten Schlüssel für Ihre vorhandenen Datenbanken in vom Benutzer verwaltete Schlüssel migrieren.
- Ihre eigenen Schlüssel hinzufügen - also BYOK (Bring Your Own Key) - und diese beim Erstellen von Datenbanken mit benutzerverwalteter Verschlüsselung verwenden.
Hinweis:
- BYOK gilt nur für die Containerdatenbank (CDB). Der integrierbaren Datenbank (PDB) wird eine automatisch generierte neue Schlüsselversion zugewiesen.
- Oracle-Datenbanken mit benutzerdefinierter Verschlüsselung unterstützen das Klonen von DB-Systemen, die In-Place-Wiederherstellung, die Out-of-Place-Wiederherstellung, die Data Guard-Konfiguration innerhalb einer Region und PDB-spezifische Vorgänge wie das Erstellen von PDBs und das lokale Klonen.
CLI zum Aktivieren von FIPS
Oracle stellt standardmäßig ein Tool für kommerzielle Benutzer bereit, mit dem sie die Sicherheit verbessern können. Mit diesem Tool können FIPS, SE Linux und STIG die strengsten Standards erfüllen.
Weitere Informationen finden Sie unter FIPS, SE Linux und STIG in den DB-Systemkomponenten aktivieren.