Protezione di OCI GoldenGate

Oracle Cloud Infrastructure GoldenGate offre una soluzione di replica dei dati sicura e facile da usare in conformità alle best practice di sicurezza leader del settore.

Responsabilità

Per utilizzare OCI GoldenGate in modo sicuro, conoscere le responsabilità di sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli dell'accesso dell'operatore cloud e l'applicazione di patch di sicurezza dell'infrastruttura. È Vostra responsabilità configurare le risorse cloud in modo sicuro. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei requisiti di sicurezza elencati di seguito.

  • Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.
  • Cifratura e riservatezza: le chiavi e i segreti di cifratura vengono memorizzati in wallet e vault per proteggere i dati e connettersi a risorse protette.
  • Traffico di rete: l'accesso cifrato alla console di distribuzione OCI GoldenGate è abilitato tramite SSL solo sulla porta 443. Per impostazione predefinita, l'accesso alla console di distribuzione OCI GoldenGate è disponibile solo da un endpoint privato OCI della rete privata del cliente. Gli endpoint pubblici possono essere configurati consentendo l'accesso pubblico cifrato alla console di distribuzione GoldenGate tramite SSL sulla porta 443.

Le Vostre responsabilità di sicurezza includono quanto segue:

  • Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti deve essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
  • Console di distribuzione OCI GoldenGate: gestione degli account: l'accesso alla console di distribuzione OCI GoldenGate viene gestito direttamente all'interno della console di Oracle Cloud. Gli account e le autorizzazioni vengono gestiti direttamente nella console di distribuzione OCI GoldenGate. Ulteriori informazioni sugli utenti della distribuzione.
  • Traffico di rete: le connessioni specificano la connettività di rete alle origini e alle destinazioni. Quando crei una connessione, puoi configurare i parametri SSL per garantire che la connessione sia sicura e crittografata. Scopri di più sulle connessioni.
  • Cifratura di rete: per impostazione predefinita, tutta la connettività di rete a OCI GoldenGate è cifrata tramite SSL con i certificati forniti da Oracle. Assicurarsi che tutti i certificati o le chiavi di cifratura forniti siano aggiornati e validi.
  • Audit degli eventi di sicurezza: la console di distribuzione OCI GoldenGate registra gli eventi di sicurezza. È possibile accedere ed esaminare questo log dal backup della distribuzione OCI GoldenGate. Assicurarsi di monitorare regolarmente questo log. Ulteriori informazioni sui backup della distribuzione.
  • Applicazione di patch: assicurarsi che le distribuzioni di OCI GoldenGate siano aggiornate. Gli aggiornamenti vengono rilasciati mensilmente ed è necessario eseguire l'upgrade al livello di patch di distribuzione più recente il prima possibile per evitare vulnerabilità. Ulteriori informazioni sulle distribuzioni di applicazione delle patch.
  • Audit dell'accesso remoto tramite load balancer o bastion: assicurarsi che l'audit di qualsiasi accesso remoto non direttamente a OCI GoldenGate sia abilitato e configurato in modo appropriato. Ulteriori informazioni.

Suggerimenti

  • Creare ulteriori utenti della console di distribuzione OCI GoldenGate con ruoli diversi dalla sicurezza.
  • Assegnare il privilegio minimo necessario per gli utenti e i gruppi IAM ai tipi di risorsa in goldengate-family.
  • Per ridurre al minimo la perdita di dati da eliminazioni involontarie da parte di un utente non autorizzato o da eliminazioni dannose, Oracle consiglia di concedere le autorizzazioni GOLDENGATE_DEPLOYMENT_DELETE e GOLDENGATE_CONNECTION_DELETE al set minimo possibile di utenti e gruppi IAM. Concedere queste autorizzazioni solo agli amministratori della tenancy e del compartimento.
  • OCI GoldenGate richiede solo l'accesso al livello USE per acquisire i dati dalle connessioni.

Esempi

Impedisci l'eliminazione delle distribuzioni

Creare questo criterio per consentire al gruppo ggs-users di eseguire tutte le azioni sulle distribuzioni, ad eccezione dell'eliminazione: 

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Per ulteriori informazioni sulla creazione dei criteri, vedere i criteri di Oracle Cloud Infrastructure GoldenGate.