Documentazione di Oracle Cloud Infrastructure

Gestisci la sicurezza del database con Oracle Data Safe

Informazioni su Oracle Data Safe

I criteri aziendali richiedono il monitoraggio dei database e la conservazione dei record di audit. I tuoi sviluppatori stanno chiedendo copie dei dati di produzione per quella nuova applicazione e ti stai chiedendo quali tipi di informazioni sensibili conterranno. Nel frattempo, è necessario assicurarsi che le attività di manutenzione recenti non abbiano lasciato lacune critiche nella configurazione di sicurezza nei database di produzione e che le modifiche del personale non abbiano lasciato account utente inattivi nei database. Oracle Data Safe ti assiste in questi task ed è incluso in Exadata Database Service*.

Oracle Data Safe è un centro di controllo unificato che ti aiuta a gestire i requisiti quotidiani di sicurezza e compliance dei database Oracle, indipendentemente dal fatto che siano in esecuzione in Oracle Cloud Infrastructure, a Cloud@Customer, on-premise o in qualsiasi altro cloud.

Data Safe supporta la valutazione dei controlli di sicurezza, la valutazione della sicurezza utente, il monitoraggio dell'attività utente e l'indirizzamento dei requisiti di conformità di sicurezza dei dati per il database valutando la riservatezza dei dati e il mascheramento dei dati riservati per i database non di produzione.

In Data Safe sono disponibili le funzioni riportate di seguito.

  • Valutazione della sicurezza: gli errori di configurazione e la deviazione della configurazione contribuiscono in modo significativo alle violazioni dei dati. Utilizza la valutazione della sicurezza per valutare la configurazione del tuo database e confrontarla con le best practice di settore e Oracle. Report di valutazione della sicurezza relativi alle aree di rischio e notifica la modifica delle configurazioni.
  • Valutazione degli utenti: molte violazioni iniziano con un account utente compromesso. La valutazione degli utenti consente di individuare gli account di database più a rischio, ovvero gli account che, se compromessi, potrebbero causare il maggior danno, e di adottare misure proattive per proteggerli. Le baseline di valutazione utente semplificano l'aggiunta di nuovi account o la modifica dei privilegi di un account. Utilizza gli eventi OCI per ricevere notifiche proattive quando un database si discosta dalla baseline.
  • Audit attività: la comprensione e la generazione di report sull'attività degli utenti, l'accesso ai dati e le modifiche alle strutture del database supportano i requisiti di conformità normativa e possono essere di aiuto nelle indagini successive agli incidenti. L'audit delle attività raccoglie i record di audit dai database e consente di gestire i criteri di audit. Gli insight di audit semplificano l'identificazione di criteri di audit inefficienti, mentre gli avvisi basati sui dati di audit ti informano in modo proattivo di attività rischiose.
  • Ricerca automatica dei dati riservati: sapere quali dati riservati vengono gestiti nelle applicazioni è fondamentale per la sicurezza e la privacy. La ricerca automatica dei dati analizza il database per trovare oltre 150 tipi diversi di dati riservati, consentendo di comprendere quali tipi e quanti dati riservati si stanno memorizzando. Utilizzare questi report per formulare criteri di audit, sviluppare modelli di mascheramento dei dati e creare criteri di controllo dell'accesso efficaci.
  • Mascheramento dei dati: ridurre al minimo la quantità di dati riservati gestiti dall'organizzazione consente di soddisfare i requisiti di conformità e le normative sulla privacy dei dati. Il mascheramento dei dati consente di rimuovere i rischi dai database non di produzione sostituendo le informazioni riservate con dati mascherati. Con modelli di mascheramento riutilizzabili, oltre 50 formati di mascheramento inclusi e la possibilità di creare facilmente formati personalizzati per i requisiti specifici dell'organizzazione, il mascheramento dei dati può semplificare le operazioni di sviluppo e test delle applicazioni.
  • Gestione del firewall SQL: proteggi da rischi quali attacchi SQL injection o account compromessi. Oracle SQL Firewall è una nuova funzionalità di sicurezza integrata nel kernel Oracle Database 23ai e offre una protezione avanzata contro questi rischi. La funzione SQL Firewall in Oracle Data Safe consente di gestire e monitorare centralmente i criteri SQL Firewall per i database di destinazione. Data Safe consente di raccogliere le attività SQL autorizzate di un utente del database, generare e abilitare il criterio con liste di inclusione di istruzioni SQL approvate e percorsi di connessione al database e offre una vista completa di qualsiasi violazione di SQL Firewall nella flotta dei database di destinazione.

*Include 1 milione di record di audit per database al mese se si utilizza la raccolta di audit per l'audit delle attività

Introduzione

Per iniziare, devi solo registrare il tuo database con Oracle Data Safe:

  • Prerequisito: ottenere le autorizzazioni IAM (Identity and Access Management) necessarie per registrare il database di destinazione in Data Safe: autorizzazioni per registrare un database Oracle Cloud@Customer
  • Selezionare un'opzione per la connessione del database a Data Safe
    • Connettersi tramite VPN o FastConnect utilizzando un endpoint privato Data Safe

      Se si dispone dell'impostazione di FastConnect o VPN Connect tra l'ambiente Cloud@Customer e una rete cloud virtuale (VCN) in Oracle Cloud Infrastructure (OCI), è possibile registrare il database con Oracle Data Safe utilizzando un endpoint privato Oracle Data Safe. È possibile creare l'endpoint privato durante la registrazione o prima. Per ulteriori dettagli sulla creazione dell'endpoint privato, vedere Crea un endpoint privato Oracle Data Safe.

    • Connetti utilizzando connettori Data Safe in locale

      Se non si dispone dell'impostazione di FastConnect o VPN tra l'ambiente Cloud@Customer e OCI o non si desidera utilizzarlo per Data Safe, è possibile registrare il database con Data Safe utilizzando un connettore in locale Oracle Data Safe. È possibile creare e installare il connettore in locale durante la registrazione o prima. Per ulteriori dettagli sulla creazione del connettore, vedere Creare un connettore in locale Oracle Data Safe.

  • Registrare il database Cloud@Customer in Data Safe

Uso di Oracle Data Safe

Una volta registrata la registrazione del database in Data Safe, puoi sfruttare tutte le funzioni.

Valutazione della sicurezza

Le valutazioni della sicurezza vengono pianificate automaticamente una volta alla settimana in Data Safe e forniscono un quadro generale del livello di sicurezza del database. Analizza le configurazioni del database, gli utenti e le autorizzazioni utente, nonché i criteri di sicurezza per scoprire i rischi per la sicurezza e migliorare il livello di sicurezza dei database Oracle all'interno dell'organizzazione. Una valutazione della sicurezza fornisce risultati con suggerimenti per le attività di correzione che seguono le best practice per ridurre o mitigare i rischi.

Iniziare esaminando il report di valutazione della sicurezza per il database: visualizzare la valutazione più recente per un database di destinazione

Puoi trovare ulteriori dettagli sulla valutazione della sicurezza nella sezione Panoramica sulla valutazione della sicurezza.

Valutazione degli utenti

Le valutazioni degli utenti vengono pianificate automaticamente una volta alla settimana in Data Safe e consentono di identificare gli account utente con privilegi elevati che potrebbero rappresentare una minaccia in caso di uso improprio o compromesso. La valutazione utente esamina le informazioni sugli utenti nei dizionari dati nei database di destinazione e quindi calcola un rischio potenziale per ogni utente, in base ai privilegi di sistema e alle autorizzazioni dei ruoli.

Iniziare esaminando il report di valutazione utente per il database: visualizzare la valutazione utente più recente per un database di destinazione

Per ulteriori dettagli sulla valutazione degli utenti, vedere Panoramica sulla valutazione degli utenti.

Ricerca automatica dati

Ricerca automatica dati cerca le colonne riservate nel database. Viene fornito con oltre 150 tipi riservati predefiniti e puoi anche creare i tuoi tipi riservati. Indicare se si desidera eseguire la scansione dell'intero database o solo di determinati schemi e il tipo di informazioni riservate da cercare e trovare le colonne riservate che soddisfano i criteri e memorizzarle in un modello dati riservati (SDM).

Iniziare individuando i dati riservati nel database: Crea modelli dati riservati

Per ulteriori dettagli sulla ricerca automatica dei dati, vedere Panoramica sulla ricerca automatica dei dati.

Mascheramento dei dati

Il mascheramento dei dati, noto anche come mascheramento statico dei dati, consente di sostituire le informazioni riservate o riservate nei database non di produzione con dati realistici e completamente funzionali con caratteristiche simili a quelle dei dati originali. Data Safe viene fornito con formati di mascheramento predefiniti per ciascuno dei tipi riservati predefiniti che possono essere utilizzati anche per i tipi riservati.

Dopo aver saputo dove sono memorizzati i dati riservati nel database (ad esempio dopo aver eseguito la ricerca automatica dei dati in Data Safe), è possibile iniziare creando un criterio di mascheramento: Crea criteri di mascheramento

Dopo aver creato un criterio di mascheramento e copiato il database di produzione, è possibile mascherare la copia non di produzione: Maschera dati riservati in un database di destinazione

Per ulteriori dettagli sul mascheramento dei dati, vedere Panoramica sul mascheramento dei dati.

Audit attività

L'audit delle attività in Oracle Data Safe consente di garantire l'affidabilità e migliorare la compliance normativa. Grazie all'audit delle attività, puoi raccogliere e conservare i record di audit in base ai requisiti di conformità del settore e alle normative e monitorare le attività degli utenti sui database Oracle con report e avvisi predefiniti. Ad esempio, è possibile eseguire l'audit dell'accesso a dati sensibili, eventi rilevanti per la sicurezza, attività degli amministratori e degli utenti, attività consigliate dalle normative sulla conformità come il Center for Internet Security (CIS) e attività definite dalla propria organizzazione.

Se si utilizza la raccolta di audit in Data Safe, per il database Cloud@Customer vengono inclusi fino a 1 milione di record di audit per database di destinazione al mese.

Per utilizzare l'audit delle attività, avviare l'audit trail per il database di destinazione in Data Safe: Avviare un audit trail

Una volta avviato l'audit trail, è possibile monitorare e analizzare i dati di audit con report di audit predefiniti: Visualizzare un report di audit predefinito o personalizzato

Per ulteriori dettagli sull'audit delle attività, vedere Panoramica sull'audit delle attività.

SQL Firewall*

SQL Firewall in Oracle Data Safe consente di gestire centralmente i firewall SQL e offre una vista completa delle violazioni del firewall SQL nella flotta dei database di destinazione. Data Safe consente di raccogliere le attività SQL autorizzate di un utente del database che si desidera proteggere, monitorare lo stato di avanzamento della raccolta, generare e abilitare il criterio con liste di inclusione di istruzioni SQL approvate e percorsi di connessione al database.

Per iniziare, abilitare il firewall SQL nel database di destinazione 23ai: Abilita firewall SQL nel database di destinazione.

Successivamente, è necessario generare e abilitare un criterio SQL Firewall con liste di inclusione per l'utente del database che si desidera proteggere: Genera e applica criteri SQL Firewall.

Dopo aver avviato l'applicazione del criterio SQL Firewall, è possibile monitorare e analizzare le violazioni nei report di violazione predefiniti: Visualizza e gestisci report violazioni.

Per ulteriori dettagli su SQL Firewall, vedere Panoramica di SQL Firewall.

*Il firewall SQL è disponibile solo per i database Oracle 23ai.