OCI GoldenGate sichern

Oracle Cloud Infrastructure GoldenGate bietet eine sichere und benutzerfreundliche Datenreplikationslösung in Übereinstimmung mit branchenführenden Best Practices zur Sicherheit.

Responsibilitys

Um OCI GoldenGate sicher zu verwenden, müssen Sie sich mit Ihren Zuständigkeiten bezüglich Sicherheit und Compliance vertraut machen.

Im Allgemeinen bietet Oracle Sicherheit für Cloud-Infrastruktur und -Vorgänge, wie Zugriffskontrollen für Cloud-Benutzer und Infrastruktursicherheits-Patching. Sie sind für die sichere Konfiguration Ihrer Cloud-Ressourcen verantwortlich. Für die Sicherheit in der Cloud sind sowohl Sie als auch Oracle verantwortlich.

Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:

  • Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf dem alle in Oracle Cloud Infrastructure angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.
  • Verschlüsselung und Vertraulichkeit: Verschlüsselungsschlüssel und Secrets werden in Wallets und Vaults gespeichert, mit denen Ihre Daten geschützt und eine Verbindung zu sicheren Ressourcen hergestellt werden.
  • Netzwerktraffic: Verschlüsselter Zugriff auf die OCI GoldenGate-Deployment-Konsole ist nur über SSL auf Port 443 möglich. Standardmäßig ist der Zugriff auf die OCI GoldenGate-Deployment-Konsole nur über einen privaten OCI-Endpunkt im privaten Netzwerk des Kunden verfügbar. Öffentliche Endpunkte können so konfiguriert werden, dass der verschlüsselte öffentliche Zugriff auf die GoldenGate-Deployment-Konsole über SSL auf Port 443 zulässig ist.

Ihre Zuständigkeiten bezüglich der Sicherheit umfassen:

  • Zugriffskontrolle: Beschränken Sie die Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.
  • OCI GoldenGate-Deployment-Konsole: Der Zugriff auf die OCI GoldenGate-Deployment-Konsole wird direkt in der Oracle Cloud-Konsole verwaltet. Accounts und Berechtigungen werden direkt in der OCI GoldenGate-Deployment-Konsole verwaltet. Weitere Informationen zu Deployment-Benutzern.
  • Netzwerktraffic: Verbindungen legen die Netzwerkkonnektivität zu Quellen und Zielen fest. Wenn Sie eine Verbindung erstellen, können Sie SSL-Parameter konfigurieren, um sicherzustellen, dass die Verbindung sicher und verschlüsselt sein kann. Weitere Informationen zu Verbindungen.
  • Netzwerkverschlüsselung: Standardmäßig wird die gesamte Netzwerkverbindung zu OCI GoldenGate über SSL verschlüsselt, wobei von Oracle bereitgestellte Zertifikate verwendet werden. Stellen Sie sicher, dass das angegebene Zertifikat bzw. die angegebenen Verschlüsselungsschlüssel aktuell und gültig sind.
  • Audit von Sicherheitsereignissen: Die OCI GoldenGate-Deployment-Konsole protokolliert Sicherheitsereignisse. Sie können dieses Log über das OCI GoldenGate-Deployment-Backup aufrufen und prüfen. Stellen Sie sicher, dass Sie dieses Log regelmäßig überwachen. Weitere Informationen zu Deployment-Backups.
  • Patching: Stellen Sie sicher, dass OCI GoldenGate-Deployments auf dem neuesten Stand sind. Updates werden monatlich veröffentlicht. Sie müssen so schnell wie möglich auf die neueste Deployment-Patchebene upgraden, um Sicherheitslücken zu vermeiden. Weitere Informationen zum Patchen von Deployments.
  • Audit des Remotezugriffs über Load Balancer oder Bastion: Stellen Sie sicher, das Auditing für jeden Remotezugriff, der nicht direkt zu OCI GoldenGate führt, aktiviert und entsprechend konfiguriert ist. Weitere Informationen.

Empfehlungen

  • Erstellen Sie zusätzliche Benutzer der OCI GoldenGate-Deployment-Konsole mit anderen Rollen als "Sicherheit".
  • Weisen Sie den IAM-Benutzern und -Gruppen die Mindestberechtigungen für die Ressourcentypen in goldengate-family zu.
  • Um Datenverluste durch nicht autorisierte Benutzer oder versehentliche Löschvorgänge zu minimieren, empfiehlt Oracle, die Berechtigungen GOLDENGATE_DEPLOYMENT_DELETE und GOLDENGATE_CONNECTION_DELETE so wenigen IAM-Benutzern und -Gruppen wie möglich zu erteilen. Weisen Sie diese Berechtigungen nur Mandanten- und Compartment-Administratoren zu.
  • OCI GoldenGate benötigt nur Zugriff auf USE-Ebene, um Daten aus Verbindungen zu erfassen.

Beispiele

Löschen von Deployments verhindern

Erstellen Sie diese Policy, um das Ausführen aller Aktionen für Deployments (mit Ausnahme von Löschen) durch die Gruppe ggs-users zuzulassen: 

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Weitere Informationen zum Erstellen von Policys finden Sie unter Oracle Cloud Infrastructure GoldenGate-Policys.