Nota
- Questa esercitazione richiede l'accesso a Oracle Cloud. Per iscriverti a un account gratuito, consulta Inizia a utilizzare Oracle Cloud Infrastructure Free Tier.
- Utilizza valori di esempio per le credenziali, la tenancy e i compartimenti di Oracle Cloud Infrastructure. Al termine del laboratorio, sostituisci questi valori con quelli specifici del tuo ambiente cloud.
Semplifica il monitoraggio continuo del database automatizzando la registrazione a Oracle Data Safe con l'interfaccia CLI OCI
Introduzione
Mantenere un solido livello di sicurezza informatica per i database Oracle è essenziale nell'attuale complesso ambiente di minacce. Il monitoraggio continuo è fondamentale per identificare in modo proattivo vulnerabilità, configurazioni errate e potenziali minacce prima che possano essere sfruttate. Man mano che le minacce informatiche diventano più sofisticate e mirate, le valutazioni regolari per la conformità, le attività insolite e l'accesso non autorizzato diventano sempre più cruciali.
La registrazione manuale di più database in Oracle Data Safe utilizzando la console di Oracle Data Safe può essere laboriosa e dispendiosa in termini di tempo. Questa esercitazione offre un approccio semplificato per automatizzare il processo di registrazione utilizzando i comandi e gli script dell'interfaccia della riga di comando (OCI CLI) di Oracle Cloud Infrastructure all'interno dell'interfaccia OCI Cloud Shell, riducendo notevolmente lo sforzo manuale e il tempo necessario.
Destinatari
- Gli amministratori del database e gli amministratori della sicurezza OCI.
Obiettivi
-
Automatizza la registrazione a Oracle Data Safe utilizzando l'interfaccia CLI OCI per ridurre gli sforzi manuali e garantire una configurazione coerente.
Caso d'uso: automatizzare tutta la registrazione e la gestione di Oracle Database as a service (DBaaS) con Oracle Data Safe utilizzando l'interfaccia CLI OCI.
In questa esercitazione verranno fornite istruzioni dettagliate per automatizzare la registrazione di Oracle Database as a service (DBaaS) con Oracle Data Safe utilizzando l'interfaccia CLI OCI. Utilizzeremo un esempio semplice per dimostrare il processo, concentrandoci sui comandi dell'interfaccia CLI OCI personalizzati in base a un compartimento specifico in cui gestisci le operazioni Oracle Data Safe. Questa esercitazione può anche fungere da riferimento per adattare la procedura di registrazione dei database di destinazione in locale. Per ulteriori informazioni, consulta la sezione relativa alla registrazione di un database Oracle in locale.
Per scaricare script completi, vedere GitHub Repository.
Prerequisiti
-
Accedi a OCI Cloud Shell:
Per iniziare a utilizzare OCI Cloud Shell, è innanzitutto necessario concedere l'accesso utente tramite un criterio Oracle Cloud Infrastructure Identity and Access Management (OCI IAM). Per ulteriori informazioni, vedere OCI Cloud Shell.
Esempio di criterio IAM OCI per consentire l'accesso:
allow group <GROUP-NAME> to use cloud-shell in tenancyPer specificare un dominio, utilizzare:
allow group <DOMAIN-NAME>/<GROUP-NAME> to use cloud-shell in tenancy -
Autorizzazione per Oracle Data Safe:
Concedere l'autorizzazione del gruppo di utenti per tutte le risorse Oracle Data Safe. Per ulteriori informazioni, vedere Creare un gruppo di amministratori di Oracle Data Safe.
Esempio di criterio IAM OCI:
Allow group Data-Safe-Admins to manage data-safe-family in tenancy -
Creare un account Oracle Data Safe Service in tutti i database di destinazione:
Ogni database di destinazione per Oracle Data Safe richiede un account di servizio. I database autonomi includono questa opzione per impostazione predefinita, ma per i database non autonomi è necessario crearla manualmente. Per ulteriori informazioni, vedere Creare un account di servizio Oracle Data Safe nel database di destinazione.
Comando SQL:
CREATE USER DATASAFEADMIN identified by password DEFAULT TABLESPACE "DATA" TEMPORARY TABLESPACE "TEMP"; GRANT CONNECT, RESOURCE TO DATASAFEADMIN;Nota:
- La password deve contenere più di 14 caratteri, tra cui una lettera maiuscola, una lettera minuscola, un numero e un carattere speciale.
- Evitare di utilizzare tablespace SYSTEM o SYSAUX.
Per concedere ruoli, scaricare ed eseguire lo script
datasafe_privileges.sqldalla console di Oracle Data Safe. Eseguire lo script come SYS. Per ulteriori informazioni, vedere Concedere i ruoli all'account del servizio Oracle Data Safe nel database di destinazione.
Output script di esempio:
SQL> @datasafe_privileges.sql DATASAFEADMIN GRANT ALL Enter value for USERNAME (case sensitive matching the username from dba_users) Setting USERNAME to DATASAFEADMIN Enter value for TYPE (grant/revoke) Setting TYPE to GRANT Enter value for MODE (audit_collection/audit_setting/data_discovery/masking/assessment/all) Setting MODE to ALL Granting AUDIT_COLLECTION privileges to "DATASAFEADMIN" ... Granting AUDIT_SETTING privileges to "DATASAFEADMIN" ... Granting DATA_DISCOVERY role to "DATASAFEADMIN" ... Granting MASKING role to "DATASAFEADMIN" ... Granting ASSESSMENT role to "DATASAFEADMIN" ... Done. Disconnected from Oracle Database 21c Enterprise Edition Release 21.0.0.0.0 - Production Version 21.1.0.0.0 [oracle@dbcs21c ~]$
Task 1: accedere a OCI Cloud Shell
Accedi a OCI Cloud Shell per utilizzare le sue funzionalità integrate.
-
Eseguire il login a OCI Console.
-
Fare clic sull'icona Cloud Shell/Editor di codice nell'intestazione della console e selezionare Cloud Shell dal menu a discesa. Tenere presente che l'interfaccia CLI OCI in esecuzione in OCI Cloud Shell eseguirà i comandi sull'area selezionata nel menu di selezione dell'area della console all'avvio di OCI Cloud Shell.
Task 2: creare endpoint privati per i database di destinazione
Oracle Data Safe supporta la connettività ai database Oracle utilizzando indirizzi IP pubblici o privati. Per i database con indirizzi IP privati, sono disponibili due opzioni: un endpoint privato Oracle Data Safe o un connettore in locale Oracle Data Safe. In questa esercitazione ci concentreremo sulla creazione di endpoint privati per la registrazione dei database DBaaS.
Nome script: generate_private_endpoints_and_commands_for_missing_vcns.sh.
Descrizione: questo script identifica le VCN in un compartimento OCI specificato privo di endpoint privati di Oracle Data Safe. Genera un file CSV in cui sono elencate le VCN mancanti e le relative subnet associate e crea uno script shell contenente i comandi CLI OCI per creare gli endpoint privati necessari per ogni VCN.
Seguire i passi indicati:
-
Richiedere all'utente l'OCID del compartimento.
-
Identificare le reti VCN a cui mancano gli endpoint privati di Oracle Data Safe.
-
Elencare i VCN mancanti e le relative subnet associate.
-
Generare un file CSV denominato
list_vcns_without_private_endpoints.csvcon i dettagli delle VCN e delle subnet mancanti. -
Creare uno script shell denominato
create_private_endpoints_commands.shcontenente i comandi dell'interfaccia CLI OCI per creare endpoint privati per le reti VCN identificate.
Esempio di output:
Task 3: Genera credenziali database di destinazione in formato JSON
In questa esercitazione viene utilizzato un singolo account di servizio Oracle Data Safe in tutti i database di destinazione. Pertanto, il file JSON delle credenziali del database sarà lo stesso per tutti i database di destinazione.
Nome script: generate_target_db_credentials.sh.
Descrizione: questo script richiede all'utente di immettere un nome utente e una password, quindi crea un file JSON denominato Credentials_Target_DBaaS.json contenente le credenziali fornite. Il file JSON viene utilizzato per memorizzare in modo sicuro il nome utente e la password del database di destinazione.
Seguire i passi indicati:
-
Chiedere all'utente di immettere un nome utente.
-
Richiede all'utente di immettere una password.
-
Creare un file JSON denominato
Credentials_Target_DBaaS.jsoncontenente il nome utente e la password.
Output script di esempio:
Task 4: Genera opzioni di connessione endpoint privato in formato JSON
Nome script: generate_Connection_Options_private_endpoints.sh.
Descrizione: questo script automatizza il processo di elencazione di VCN, subnet ed endpoint privati Oracle Data Safe all'interno di un compartimento OCI. Genera un file CSV contenente informazioni dettagliate su ogni endpoint privato, inclusi i nomi VCN e subnet associati, e crea singoli file JSON per ogni endpoint per definire le opzioni di connessione a Oracle Data Safe.
Seguire i passi indicati:
-
Richiedere all'utente l'ID compartimento.
-
Elencare tutti i VCN e salvare l'output in
vcn_list.txt. -
Elencare tutte le subnet e salvare l'output in
subnet_list.txt. -
Elencare tutti gli endpoint privati di Oracle Data Safe e salvare l'output in
PE_list.txt. -
Generare un file CSV denominato
list_All_private_endpoints_details.csvcon informazioni dettagliate su ogni endpoint privato. -
Creare file JSON per ogni endpoint privato per specificare le opzioni di connessione a Oracle Data Safe.
Output script di esempio:
Task 5: registrare i database autonomi in Oracle Data Safe
Quando si registra un Oracle Autonomous Database Serverless con Accesso sicuro da qualsiasi luogo, non è necessario selezionare un'opzione di connettività o specificare i dettagli dell'account di servizio, in quanto vengono inclusi per impostazione predefinita. In questa esercitazione viene illustrato come gestire e registrare Oracle Autonomous Database Serverless.
Nome script: generate_Autonomous_database_details_with_data_safe.sh.
Descrizione: questo script automatizza il processo di elencazione dei database autonomi Oracle in un compartimento OCI e il controllo dello stato di registrazione di Oracle Data Safe. Genera un file CSV contenente i dettagli di tutti i database Oracle Autonomous e crea file JSON per i database non registrati con Oracle Data Safe. Inoltre, lo script prepara i comandi di registrazione di Oracle Data Safe per ogni database non registrato e li salva in uno script shell. Ciò consente agli utenti di registrare rapidamente i database non registrati eseguendo i comandi generati.
Seguire i passi indicati:
-
Prompt per l'ID compartimento.
-
Generare un file CSV con i dettagli di Oracle Autonomous Database.
-
Creare file JSON per i database non registrati.
-
Preparare i comandi di registrazione di Oracle Data Safe in uno script shell.
-
Eseguire i comandi di registrazione per registrare i database.
Output script di esempio:
Task 6: registrare i database Oracle Cloud in Oracle Data Safe
Nome script: generate_Cloud_database_details_with_data_safe.sh.
Descrizione: automatizza l'estrazione e l'elaborazione dei dettagli del database cloud Oracle e dei relativi endpoint privati, creando file di configurazione JSON e generando comandi di registrazione per Oracle Data Safe.
Seguire i passi indicati:
-
Prompt per l'ID compartimento.
-
Elencare i database DBaaS e salvare in
Output1.txt. -
Aggiungere gli ID subnet per i database ai quali mancano gli ID cluster VM e gli ID sistema di database.
-
Salvare i risultati in
Oracle_Cloud_Databases_Details.csv. -
Elencare gli endpoint privati e salvare in
Datasafe_Private-Endpoint_List.txt. -
Genera file JSON per ogni nome PDB.
-
Creare i comandi di registrazione in
Datasafe_CloudDB_Registration_Commands.sh.
Output script di esempio:
Task 7: Aggiorna le pianificazioni di sicurezza e valutazione utente
È possibile configurare le pianificazioni per salvare automaticamente le valutazioni di sicurezza e utente più recenti per i database di destinazione in un compartimento designato in OCI. Per ulteriori informazioni, vedere Pianifica valutazioni di sicurezza e Pianifica valutazioni utente.
Nome script: generate_datasafe_assessment_schedules.sh.
Descrizione: questo script shell è progettato per automatizzare il processo di recupero dei database di destinazione Oracle Data Safe, delle relative valutazioni di sicurezza e utente e della generazione di pianificazioni di aggiornamento per OCI. Lo script richiede all'utente l'ID di un compartimento, recupera i database di destinazione attivi in Oracle Data Safe e genera due script di pianificazione dell'aggiornamento, uno per le valutazioni di sicurezza e uno per le valutazioni utente.
Seguire i passi indicati:
-
Prompt per l'ID compartimento.
-
Immettere l'ID compartimento.
-
Elenca destinazioni attive: salvare in
Datasafe_Active_TargetDB_list.txt. -
Recupera valutazioni: aggiunge i dettagli a
Datasafe_Active_TargetDBs.txt. -
Genera script: creare
schedule_security_assessments.sheschedule_user_assessments.sh.
Output script di esempio:
Task 8: iniziare a raccogliere i log di audit per i database di destinazione
Quando un database di destinazione viene registrato, Oracle Data Safe rileva automaticamente gli audit trail disponibili e crea una risorsa audit trail corrispondente per ogni database di destinazione. Una volta avviata la raccolta dello storico modifiche, Oracle Data Safe copia i record di audit dal database di destinazione nel repository per il monitoraggio e l'analisi. È possibile controllare la raccolta dei dati di audit avviandoli o arrestandoli in base alle esigenze. Per ulteriori informazioni, vedere Audit trail.
Nome script: Generate_DataSafe_Audit_Collection_Scripts.sh.
Descrizione: lo script Generate_DataSafe_Audit_Collection_Scripts.sh automatizza il processo di raccolta dei dati dello storico modifiche per i database di destinazione Oracle Data Safe. Richiede all'utente l'ID di un compartimento e l'ora di inizio di una raccolta audit trail, recupera gli audit trail con stato NOT_STARTED e genera un singolo script shell per avviare la raccolta audit trail per tutti i database di destinazione.
Seguire i passi indicati:
-
Immettere l'ID compartimento: richiede all'utente l'ID compartimento OCI.
-
Immettere l'ora di inizio: richiede l'ora di inizio della raccolta audit in formato
YYYY-MM-DD. -
Fetch Audit Trails: recupera gli audit trail con lo stato NOT_STARTED da OCI.
-
Genera CSV: estrae i dati rilevanti dello storico modifiche in
audit_trails.csv. -
Crea script: genera
Data_safe_Target_DB_Audit_Collection_Start.shcon i comandi per avviare la raccolta di audit per tutte le destinazioni.
Output script di esempio:
Task 9: Preparare un inventario Oracle Data Safe
Nome script: generate_data_safe_db_inventory.sh.
Descrizione: questo script shell interagisce con OCI per recuperare ed elaborare le informazioni del database di destinazione Oracle Data Safe in base ai tipi: AUTONOMOUS_DATABASE, DATABASE_CLOUD_SERVICE e INSTALLED_DATABASE. Genera file di output con informazioni dettagliate su ogni tipo di database.
Seguire i passi indicati:
-
ID compartimento di input: richiedere all'utente di immettere l'ID compartimento in cui si trovano i database.
-
Elenca e filtra database: elenca tutti i database di destinazione Oracle Data Safe nel compartimento specificato e li filtra per tipo.
-
Recupera dettagli database:
-
AUTONOMOUS_DATABASE: recupera dettagli quali il nome visualizzato, l'ID del database e il tipo di infrastruttura.
-
DATABASE_CLOUD_SERVICE: recupera dettagli quali l'ID del sistema di database, l'ID del cluster VM (gestione di valori nulli) e la porta del listener.
-
INSTALLED_DATABASE: recupera informazioni tra cui ID istanza, indirizzi IP e nome del servizio.
-
-
Genera file di output: crea file separati per ogni tipo di database con i dettagli raccolti.
-
Cleanup: rimuovere i file temporanei e finalizzare l'output.
Output script di esempio:
Collegamenti correlati
Conferme
-
Autore - Alex Kovuru (architetto cloud principale)
-
Collaboratore - Indiradarshni Balasundaram (ingegnere cloud)
Altre risorse di apprendimento
Esplora altri laboratori su docs.oracle.com/learn o accedi a più contenuti gratuiti sulla formazione su Oracle Learning YouTube channel. Inoltre, visita education.oracle.com/learning-explorer per diventare un Oracle Learning Explorer.
Per la documentazione del prodotto, visita l'Oracle Help Center.
Streamline Continuous Database Monitoring by Automating Oracle Data Safe Registration with OCI CLI
G15073-01
September 2024