Datenbanken sichern

Stellen Sie sicher, dass die Datenbankserver, der Netzwerkzugriff auf sie und die tatsächlichen Daten sicher sind.

Benutzer- und Netzwerkzugriff steuern

Enterprise Architect, Security Architect, Data Architect

Verwenden Sie Passwörter, private Subnetze und Netzwerksicherheitsgruppen, um den Benutzer- und Netzwerkzugriff zu kontrollieren.

• Stellen Sie sicher, dass die zur Authentifizierung bei der Datenbank verwendeten Passwörter sicher sind.
• Hängen Sie die DB-Systeme an private Subnetze an.

  Ein privates Subnetz verfügt nicht über Internetkonnektivität. Sie können ein NAT-Gateway für gesicherten Egress-Traffic und ein Servicegateway verwenden, um eine Verbindung zu Backupendpunkten (Objektspeicher) herzustellen.

• Verwenden Sie Netzwerksicherheitsgruppen oder Sicherheitslisten, um nur den erforderlichen Netzwerkzugriff auf Ihre DB-Systeme zuzulassen.

Berechtigungen zum Löschen von Datenbankressourcen einschränken

Enterprise Architect, Security Architect, Data Architect

Um versehentliches oder böswilliges Löschen von Datenbanken zu verhindern, erteilen Sie einer Mindestgruppe von Benutzern und Gruppen die Löschberechtigungen (DATABASE_DELETE und DB_SYSTEM_DELETE).

Mit den folgenden IAM-Policy-Anweisungen können DB-Benutzer Datenbanken, Datenbanksysteme und Datenbank-Homes verwalten. Die Bedingung where request.permission!='DB_SYSTEM_DELETE' stellt jedoch sicher, dass die DB-Benutzer keine Datenbanken löschen können.

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

Daten verschlüsseln

Enterprise Architect, Security Architect, Data Architect

Alle in Oracle Cloud Infrastructure erstellten Datenbanken werden mit transparenter Datenverschlüsselung (TDE) verschlüsselt. Stellen Sie sicher, dass alle migrierten Datenbanken ebenfalls verschlüsselt sind.

Rotieren Sie den TDE-Masterschlüssel regelmäßig. Der empfohlene Rotationszeitraum beträgt maximal 90 Tage.

Schlüssel sichern und verwalten

Enterprise Architect, Security Architect, Data Architect

Verwenden Sie Transparent Data Encryption (TDE), um Schlüssel zu sichern und zu verwalten.

TDE ist ein Feature von Oracle Database, mit dem sensible Daten verschlüsselt werden. Für komplexere Setups und größere Unternehmen ist eine zentrale Schlüsselverwaltung erforderlich, da die Verwaltung von Verschlüsselungsschlüsseln über verschiedene Datenbanken, Anwendungen und Server hinweg eine komplexe Aufgabe sein kann. Eine zentralisierte Schlüsselverwaltung vereinfacht dies, indem sie eine einheitliche Plattform bereitstellt, auf der alle kryptografischen Schlüssel, Oracle Wallets, Java Keystores und andere Geheimnisse sicher gespeichert und verwaltet werden können. Diese Zentralisierung reduziert den Verwaltungsaufwand, verbessert die Sicherheitslage und sorgt für konsistente Schlüsselmanagementpraktiken im gesamten Unternehmen.

Sicherheitspatches einspielen

Enterprise Architect, Security Architect, Data Architect

Spielen Sie die Oracle Database-Sicherheitspatches (Oracle Critical Patch Updates) ein, um bekannte Sicherheitsprobleme zu beheben und die Patches auf dem neuesten Stand zu halten.

Datenbanktools verwenden

Enterprise Architect, Security Architect, Data Architect

Das Oracle Database Security Assessment Tool stellt automatische Sicherheitskonfigurationsprüfungen für Oracle-Datenbanken in Oracle Cloud Infrastructure bereit. Oracle Audit Vault and Database Firewall (AVDF) überwacht Datenbankauditlogs und erstellt Alerts.

Data Safe aktivieren

Enterprise Architect, Security Architect, Data Architect

Data Safe ist ein einheitliches Control Center für Cloud- und On-Premise-Datenbanken von Oracle. Verwenden Sie Data Safe, um die Datenbank- und Datensicherheitskonfiguration zu bewerten, das damit verbundene Risiko für Benutzerkonten zu erkennen, vorhandene sensible Daten zu identifizieren, Kontrollen zum Schutz von Daten zu implementieren und Benutzeraktivitäten zu auditieren.

• Erweitern Sie die Aufbewahrungs-Policy für Data Safe-Audits auf ein Jahr.
• Maskieren Sie Daten, die von der Daten-Discovery als sensibel identifiziert wurden.
• Verwenden Sie die Sicherheitsbewertung, um die empfohlenen Sicherheitskontrollen durch das Center for Internet Security (CIS), die Datenschutz-Grundverordnung (DS-GVO) und die Sicherheits-Library of Security Technical Implementation Guides (STIG) zu identifizieren.
• Richten Sie Alerts für wichtige Ereignisse im Data Safe-Aktivitätsauditing ein.

Private Endpunkte für autonome Datenbanken aktivieren

Enterprise Architect, Security Architect, Data Architect

Verwenden Sie nach Möglichkeit private Endpunkte mit Oracle Autonomous Database.

Mit einem privaten Endpunkt wird der öffentliche Zugriff auf gemeinsam verwendete autonome Datenbanken eliminiert. Der gesamte Traffic für die Datenbank bleibt mit einem VCN in Oracle Cloud Infrastructure privat, ohne dass Transitrouting oder Servicegateway erforderlich sind.

• Verwenden Sie ein dediziertes privates Subnetz, wenn Sie private Endpunkte definieren.
• Definieren Sie für die Netzwerksicherheitsgruppe für private Endpunkte eine zustandslose Ingress-Regel mit Protokoll-TCP und Zielport, die dem Datenbank-Listener-Port entspricht. Beschränken Sie das Quell-CIDR-Label auf Subnetze oder für On-Premise-Dynamische Routinggateways (DRGs) mit zulässigem Zugriff.
• Definieren Sie für die Netzwerksicherheitsgruppe für private Endpunkte eine zustandslose Egress-Regel mit Protokoll TCP. Beschränken Sie das Ziel-CIDR auf Subnetze oder, bei On-Premise-DRGs, mit zulässigem Zugriff.

Implementieren der maximalen Sicherheitsarchitektur von Oracle Database

Die Maximum Security Architecture von Oracle bietet ein robustes Framework für den Schutz sensibler Daten in Datenbanken. Es bietet einen umfassenden Ansatz für die Datenbanksicherheit, der sich auf drei kritische Bereiche konzentriert: Bewerten, Erkennen und Verhindern. Durch die Bewertung des aktuellen Status der Datenbank können Unternehmen Schwachstellen und Schwachstellen identifizieren, die von Angreifern ausgenutzt werden könnten. Dazu gehören die Auswertung der Datenbankkonfiguration, der Benutzerzugriffskontrollen und der Datenschutzmaßnahmen.

Die Erkennung unangemessener oder nicht autorisierter Zugriffsversuche ist die nächste wichtige Verteidigungsebene. Mit den erweiterten Auditingfunktionen von Oracle können Unternehmen Datenbankaktivitäten überwachen, verdächtiges Verhalten erkennen und umgehend auf potenzielle Bedrohungen reagieren. Durch die Einrichtung von Alerts und die Überwachung wichtiger Datenbankereignisse können Administratoren Angriffe erkennen und mindern, bevor sie erhebliche Schäden verursachen. Der unbefugte Zugriff auf Daten zu verhindern, ist die letzte Festung in der Sicherheitsarchitektur von Oracle. Dazu gehören die Implementierung starker Authentifizierungsmechanismen, Zugriffssteuerungslisten und Verschlüsselungstechniken. Durch die Trennung von Aufgaben, die Verwendung von Grundsätzen der geringsten Berechtigung und die Verwendung virtueller privater Datenbanken können Unternehmen sicherstellen, dass nur autorisierte Benutzer auf vertrauliche Daten zugreifen können, wodurch nicht autorisierte Änderungen oder Offenlegungen verhindert werden.

Weitere Informationen

• Best Practices zur Sicherheit
• Oracle Data Safe
• Autonome Datenbank mit privatem Endpunkt
• Datenbanken sichern
• Richtlinien zum Sichern von Passwörtern
• Key Management
• Key Vault
• DB-Systeme patchen
• Kritische Patchupdates
• Oracle Database Security Assessment Tool
• Eine Einführung in die Architektur für maximale Sicherheit von Oracle
• Oracle Audit Vault and Database Firewall in Oracle Cloud Infrastructure bereitstellen