Protezione di GoldenGate

Per utilizzare GoldenGate in modo sicuro, conoscere le responsabilità relative a sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei seguenti requisiti di sicurezza:

• Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.
• Cifratura e riservatezza: le chiavi di cifratura e i segreti per GoldenGate vengono memorizzati in wallet e vault per proteggere i dati e connettersi a risorse protette.
• Sicurezza di rete: l'accesso cifrato alla console di distribuzione GoldenGate viene abilitato solo tramite SSL sulla porta 443. Per impostazione predefinita, l'accesso alla console di distribuzione GoldenGate è disponibile solo da un endpoint privato OCI dalla rete privata del cliente. È possibile configurare gli endpoint pubblici consentendo l'accesso pubblico cifrato alla console di distribuzione GoldenGate tramite SSL sulla porta 443.

In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.

• Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
• GoldenGate Gestione account console di distribuzione: l'accesso alla console di distribuzione GoldenGate viene gestito nella console OCI. Gli account e le autorizzazioni vengono gestiti nella console di distribuzione GoldenGate. Ulteriori informazioni sugli utenti di distribuzione.
• Sicurezza di rete: è possibile configurare la connettività di rete per le origini e le destinazioni (registrazioni del database OCI GoldenGate). Assicurarsi che queste registrazioni del database siano sicure e cifrate. Ogni registrazione del database GoldenGate OCI può essere protetta utilizzando SSL configurando i parametri SSL appropriati. Vedere Gestione delle registrazioni dei database.
• Cifratura di rete: per impostazione predefinita, tutta la connettività di rete a OCI GoldenGate viene cifrata su SSL con i certificati forniti da Oracle. Verificare che tutte le chiavi di certificato o cifratura fornite siano aggiornate e valide.
• Audit degli eventi di sicurezza: la console di distribuzione GoldenGate OCI registra gli eventi di sicurezza. È possibile accedere e rivedere questo log dal backup della distribuzione GoldenGate OCI. Accertarsi di monitorare questo log con regolarità. Ulteriori informazioni sui backup della distribuzione.
• Applicazione delle patch: assicurarsi che le distribuzioni GoldenGate OCI siano aggiornate. Gli aggiornamenti vengono rilasciati ogni mese ed è necessario eseguire l'upgrade al livello di patch di distribuzione più recente il prima possibile per evitare vulnerabilità. Ulteriori informazioni sull'applicazione di patch alle distribuzioni.
• Audit dell'accesso remoto su load balancer o bastion: assicurarsi che l'audit di qualsiasi accesso remoto non diretto a OCI GoldenGate sia abilitato e configurato in modo appropriato. Per ulteriori informazioni, vedere Log per i load balancer.

Utilizzare i criteri per limitare l'accesso a GoldenGate.

Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.

GoldenGate Consigli IAM:

• Assegnare l'accesso con privilegi minimi per gli utenti e i gruppi IAM ai tipi di risorsa in goldengate-family.
• Per ridurre al minimo la perdita di dati a causa di eliminazioni involontarie da parte di un utente autorizzato o eliminazioni dannose, Oracle consiglia di concedere le autorizzazioni GOLDENGATE_DEPLOYMENT_DELETE e GOLDENGATE_DATABASE_REGISTRATION_DELETE al set minimo possibile di utenti e gruppi IAM. Assegnare queste autorizzazioni solo agli amministratori della tenancy e del compartimento.
• GoldenGate richiede solo l'accesso a livello USE per acquisire i dati dalle registrazioni del database.

Criteri di esempio:

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Per ulteriori informazioni sulla creazione dei criteri GoldenGate, vedere Policy di Oracle Cloud Infrastructure GoldenGate.