Datenbanken sichern
Stellen Sie sicher, dass die Datenbankserver, der Netzwerkzugriff auf sie und die eigentlichen Daten sicher sind.
Benutzer- und Netzwerkzugriff steuern
Enterprise Architect, Security Architect, Data Architect
- Stellen Sie sicher, dass die Kennwörter für die Authentifizierung bei der Datenbank sicher sind.
- Hängen Sie die DB-Systeme an private Subnetze an.
Ein privates Subnetz verfügt nicht über Internetkonnektivität. Sie können ein NAT-Gateway für gesicherten Egress-Traffic und ein Servicegateway verwenden, um eine Verbindung zu Backupendpunkten (Objektspeicher) herzustellen.
- Verwenden Sie Netzwerksicherheitsgruppen oder Sicherheitslisten, um nur den erforderlichen Netzwerkzugriff auf Ihre DB-Systeme zuzulassen.
Berechtigungen zum Löschen von Datenbankressourcen einschränken
Enterprise Architect, Security Architect, Data Architect
DATABASE_DELETE
und DB_SYSTEM_DELETE
) ein Mindestmaß an Benutzern und Gruppen.
Mit den folgenden IAM-Policy-Anweisungen können DB-Benutzer Datenbanken, Datenbanksysteme und Datenbank-Homes verwalten. Die Bedingung where request.permission!='DB_SYSTEM_DELETE'
stellt jedoch sicher, dass die DB-Benutzer keine Datenbanken löschen können.
Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'
Daten verschlüsseln
Enterprise Architect, Security Architect, Data Architect
Sicherheitspatches anwenden
Enterprise Architect, Security Architect, Data Architect
DB-Sicherheitstools verwenden
Enterprise Architect, Security Architect, Data Architect
Data Safe aktivieren
Enterprise Architect, Security Architect, Data Architect
- Erweiterung der Data Safe-Auditaufbewahrungs-Policy auf ein Jahr.
- Maskieren Sie Daten, die von der Daten-Discovery als sensibel identifiziert werden.
- Verwenden Sie die Sicherheitsbewertung, um empfohlene Sicherheitskontrollen nach Center for Internet Security (CIS), General Data Protection Regulation (GDPR) und der US-Verteidigungsbibliothek von Security Technical Implementation Guides (STIG) zu identifizieren.
- Richten Sie Alerts für wichtige Ereignisse in Data Safe-Aktivitätsauditing ein.
Private Endpunkte für autonome Datenbanken aktivieren
Enterprise Architect, Security Architect, Data Architect
Verwenden Sie nach Möglichkeit private Endpunkte mit Oracle Autonomous Transaction Processing.- Verwenden Sie ein dediziertes privates Subnetz beim Definieren von privaten Endpunkten.
- Definieren Sie für die Netzwerksicherheitsgruppe für den privaten Endpunkt eine zustandslose Ingress-Regel mit Protokoll-TCP und Zielport, die dem Datenbank-Listener-Port entsprechen. Beschränken Sie das Quell-CIDR-Label auf nur Subnetze oder, für On-Premise-Dynamische Routinggateways (DRGs), mit zulässigem Zugriff.
- Definieren Sie für die Netzwerksicherheitsgruppe für den privaten Endpunkt eine zustandslose Egress-Regel mit Protokoll TCP. Beschränken Sie das Ziel-CIDR auf nur Subnetze oder bei On-Premise-DRGs mit zulässigem Zugriff.