Connettere Oracle Data Safe a Exadata e ad Autonomous Databases

Questa architettura di riferimento evidenzia i diversi modi in cui è possibile connettere i database Exadata e Autonomous a Oracle Data Safe. Descrive inoltre le misure di sicurezza necessarie per fornire una distribuzione sicura di una connessione a un database di destinazione specifico.

Oracle Data Safe è un servizio cloud regionale completamente integrato incentrato sulla sicurezza dei dati. Fornisce un set completo e integrato di funzioni di Oracle Cloud Infrastructure (OCI) per proteggere i dati sensibili e regolamentati nei database Oracle.

Oracle Data Safe offre servizi di sicurezza essenziali per Oracle Autonomous Database e i database in esecuzione in OCI. Data Safe supporta anche database on-premise, Oracle Exadata Cloud@Customer e implementazioni multicloud. Tutti i clienti di Oracle Database possono ridurre il rischio di una violazione dei dati e semplificare la compliance utilizzando Data Safe per valutare la configurazione e il rischio degli utenti, monitorare e sottoporre a audit l'attività degli utenti e scoprire, classificare e mascherare i dati sensibili.

Le leggi sulla conformità, come il Regolamento generale sulla protezione dei dati (GDPR) dell'Unione europea (UE) e il California Consumer Privacy Act (CCPA), richiedono alle aziende di salvaguardare la privacy dei propri clienti. L'esecuzione di una vasta gamma di database ospitati in modo sicuro ed efficiente richiede un modo per gestire la sicurezza di questi dati. Oracle Data Safe ti aiuta a comprendere la riservatezza dei dati, a valutare i rischi per i dati, a mascherare i dati sensibili, a implementare e monitorare i controlli di sicurezza, a valutare la sicurezza degli utenti, a monitorare l'attività degli utenti e a soddisfare i requisiti di conformità alla sicurezza dei dati.

Dopo aver aggiunto un database come destinazione, Data Safe identifica, classifica e assegna priorità ai rischi e fornisce report di valutazione completi su:

• Parametri di sicurezza
• Controlli di sicurezza in uso
• Ruoli e privilegi utente

Data Safe consente di soddisfare vari requisiti di conformità, ad esempio l'identificazione della posizione dei dati riservati, il mascheramento dei dati riservati per l'uso non di produzione, l'acquisizione sicura dei dati di audit e così via.

Gli standard di conformità degli audit rappresentano una serie di criteri di audit che aiutano ad accelerare la conformità agli standard normativi. Inoltre, aiutano a valutare se stai rispettando i requisiti di conformità del database. Durante l'audit delle attività, è possibile abilitare due criteri degli standard di conformità degli audit per tenere traccia delle attività dell'amministratore:

• Configurazione CIS (Center for Internet Security) - disponibile per Oracle Database 12.2 e versioni successive.
• Linee guida per l'implementazione tecnica di sicurezza (STIG) - disponibili per Oracle Database 21c e versioni successive.

Oltre a questo, le banche dati contengono anche dati sensibili e personali. Si applicano diverse leggi e standard sulla privacy dei dati, come i seguenti, se necessario:

• GDPR UE - Regolamento generale sulla Protezione dei Dati dell'Unione Europea
• PCI-DSS - Lo standard PCI-DSS (Payment Card Industry Data Security Standard) e
• HIPPA - Legge sulla portabilità e la responsabilità dell'assicurazione sanitaria

Queste leggi sulla privacy impongono di proteggere i dati personali.

Il mascheramento dei dati, noto anche come mascheramento statico dei dati, è il processo di sostituzione permanente dei dati sensibili con dati fittizi dall'aspetto realistico.

Data Safe è in grado di rilevare e classificare i dati riservati in base a una libreria di oltre 150 tipi di dati riservati predefiniti. Questo può essere esteso anche con tipi di dati personalizzati.

Architettura

Questa architettura di riferimento descrive i database di destinazione riportati di seguito e il modo in cui Data Safe si connette a questi database.

• Exadata Database Service o Exadata Cloud@Customer / Regional Cloud@Customer / Dedicated Region
• Autonomous Database

Questa architettura di riferimento tratta solo i database con indirizzi IP privati. La configurazione di un database con un indirizzo IP pubblico non è consigliata dal punto di vista della sicurezza.

Per ogni distribuzione diversa di Data Safe discussa qui, dovresti anche distribuire una zona di destinazione nella tua tenancy. Le seguenti risorse forniscono le best practice per la sicurezza e la conformità, i concetti della zona di destinazione e l'implementazione di una zona di destinazione su Oracle Cloud Infrastructure utilizzando script terraform:

• Framework ben strutturato per l'infrastruttura Oracle Cloud
• Distribuire una zona di destinazione sicura che soddisfi il benchmark CIS Foundations per Oracle Cloud
• Zone di destinazione OCI conformi a CIS (repository GitHub)

Nota

Per accedere a queste risorse, fare riferimento all'argomento Esplora altro di seguito.

Exadata Database Service o Exadata Cloud@Customer

Oracle Exadata Database Service fornisce Oracle Exadata Database Machine come servizio in un data center Oracle Cloud Infrastructure (OCI).

Exadata Cloud@Customer, un servizio gestito, fornisce un Exadata Database Service ospitato nel data center on-premise.

Exadata Database Service

Exadata Database Service non deve connettersi alla rete on premise perché è distribuito su OCI e può quindi utilizzare direttamente l'endpoint privato. Dopo aver impostato la connettività necessaria, i database possono essere configurati come destinazioni in Data Safe utilizzando la procedura guidata.

Exadata Cloud@Customer

Per connettere un database di destinazione Exadata Cloud@Customer, sono disponibili due opzioni:

• Connettore in locale
• Endpoint privato

Nel diagramma riportato di seguito vengono mostrate le connessioni tra Oracle Cloud e il data center in locale. Il diagramma mostra le opzioni tra cui scegliere. Se esiste una connessione VPN site-to-site o OCI FastConnect, è possibile utilizzare un endpoint privato per connettersi ai database Data Safe di destinazione di Exadata Cloud@Customer. Se non esiste una VPN o OCI FastConnect, puoi distribuire un connettore in locale per connettersi ai database Data Safe di destinazione di Exadata Cloud@Customer. Questo connettore in locale si connetterà quindi a Data Safe tramite un tunnel TLS.

Descrizione dell'illustrazione data-safe-exa-adb.png

data-safe-exa-adb-oracle.zip

Tenere presente che, come mostrato nel diagramma, un tunnel di automazione in uscita, persistente e sicuro connette l'infrastruttura CPS nel data center on premise alla VCN di amministrazione gestita da Oracle nell'area OCI per la distribuzione di comandi di automazione cloud ai cluster VM. Questo è un tunnel in uscita per l'infrastruttura CPS e non può essere utilizzato per le connessioni Data Safe. Per ulteriori informazioni, consulta il collegamento riportato di seguito su 'Architecture Exadata Cloud@Customer'.

L'ambiente Exadata Cloud@Customer è supportato da Oracle utilizzando il controllo dell'accesso dell'operatore Oracle (OpCtl). OpCtl è un servizio di gestione degli accessi con privilegi OCI (PAM) che offre ai clienti un meccanismo tecnico per controllare meglio in che modo il personale Oracle può accedere alla propria infrastruttura Exadata Cloud@Customer (ExaC@C). Per una lettura dettagliata su questo argomento, vedere il collegamento Controllo dell'accesso operatore Oracle riportato di seguito. Le risorse riportate di seguito descrivono in dettaglio le architetture e la configurazione.

• Architettura Exadata Cloud@Customer
• Architettura Exadata Database Service
• Imposta database Cloud@Customer mediante endpoint privato
• Impostare il database Cloud@Customer mediante la procedura guidata
• Semplifica la sicurezza per i tuoi database Oracle on-premise con Oracle Data Safe
• Controlli di sicurezza di Exadata Database Service

Nota

Per accedere a queste risorse, fare riferimento all'argomento Esplora altro di seguito.

Autonomous Database

Autonomous database su infrastruttura condivisa è disponibile con Data Safe. I database autonomi possono essere registrati tramite la procedura guidata o con un solo clic dalla pagina dei dettagli di Autonomous Database. I passi per connettere il database autonomo per Dedicated Region Cloud@Customer sono descritti in questa parte della documentazione di Data Safe.

Componenti architettura

Queste architetture presentano i componenti elencati di seguito.

• Tenancy

  Oracle Autonomous Transaction Processing è un servizio di database self-driving, self-securing e self-repairing ottimizzato per i carichi di lavoro di elaborazione delle transazioni. Non è necessario configurare o gestire alcun hardware né installare alcun software. Oracle Cloud Infrastructure gestisce la creazione del database, nonché il backup, l'applicazione di patch, l'upgrade e il tuning del database.

• Area

  Un'area geografica Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, chiamati domini di disponibilità. Le regioni sono indipendenti da altre regioni e vaste distanze possono separarle (tra paesi o addirittura continenti).

• Compartimento

  I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Utilizzare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote di utilizzo. Per controllare l'accesso alle risorse in un determinato compartimento, puoi definire criteri che specificano chi può accedere alle risorse e quali azioni possono eseguire.

• Domini di disponibilità

  I domini di disponibilità sono data center autonomi e indipendenti all'interno di un'area. Le risorse fisiche in ogni dominio di disponibilità sono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio alimentazione o raffreddamento, o la rete interna del dominio di disponibilità. Pertanto, è improbabile che un errore in un dominio di disponibilità influisca sugli altri domini di disponibilità nell'area.

• Domini di errore

  Un dominio di errori è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità, Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando si distribuiscono risorse su più domini di errore, le applicazioni possono tollerare errori fisici del server, manutenzione del sistema e interruzioni di corrente all'interno di un dominio di errore.

• Rete e subnet cloud virtuale (VCN)

  Una VCN è una rete personalizzabile e definita dal software impostata in un'area Oracle Cloud Infrastructure. Come le reti di data center tradizionali, le reti VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. È possibile segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una sottorete dopo la creazione. Una subnet può essere pubblica o privata.

• Load balancer

  Il servizio Oracle Cloud Infrastructure Load Balancing offre una distribuzione automatica del traffico da un singolo punto di accesso a più server nel back-end. Il load balancer fornisce l'accesso a diverse applicazioni.

• Lista di sicurezza

  Per ogni subnet, puoi creare regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

• Gateway NAT

  Il gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

• Gateway del servizio

  Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, ad esempio Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viaggia attraverso il fabric di rete Oracle e non attraversa mai Internet.

• Cloud Guard

  Puoi utilizzare Oracle Cloud Guard per monitorare e mantenere la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza recipe del rilevatore che è possibile definire per esaminare le risorse alla ricerca dei punti deboli della sicurezza e per monitorare operatori e utenti per attività rischiose. Quando viene rilevata qualsiasi attività di configurazione errata o non sicura, Cloud Guard consiglia azioni correttive e assiste nell'esecuzione di tali azioni, in base alle recipe del rispondente che è possibile configurare.

• Zona di sicurezza

  Le zone di sicurezza garantiscono fin dall'inizio le procedure di sicurezza di Oracle applicando criteri quali la cifratura dei dati e la prevenzione dell'accesso pubblico alle reti per un intero compartimento. Una zona di sicurezza è associata a un compartimento con lo stesso nome e include criteri di zona di sicurezza o una "ricetta" che si applica al compartimento e ai relativi compartimenti secondari. Non è possibile aggiungere o spostare un compartimento standard in un compartimento della zona di sicurezza.

• Storage degli oggetti

  Lo storage degli oggetti fornisce un accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati come immagini e video. Puoi memorizzare e recuperare in tutta sicurezza i dati direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare facilmente lo storage senza compromettere le prestazioni o l'affidabilità del servizio. Utilizza lo storage standard per lo storage "caldo" a cui devi accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage "a freddo" che si conserva per lunghi periodi di tempo e a cui si accede raramente o raramente.

• FastConnect

  Oracle Cloud Infrastructure FastConnect consente di creare facilmente una connessione privata dedicata tra il tuo data center e Oracle Cloud Infrastructure. FastConnect offre opzioni di larghezza di banda più elevata e un'esperienza di networking più affidabile se confrontata con le connessioni basate su internet.

• Local Peering gateway (LPG)

  Un GPL consente di eseguire il peer di una VCN con un'altra VCN nella stessa area. Peering significa che le reti VCN comunicano utilizzando indirizzi IP privati, senza il traffico che attraversa Internet o l'instradamento attraverso la rete on-premise.

• Autonomous Transaction Processing
  Autonomous Transaction Processing offre un servizio di database self-driving, self-securing e self-repairing che può essere scalato immediatamente per soddisfare le richieste di una vasta gamma di applicazioni: elaborazione delle transazioni mission-critical, transazioni miste e analytics, IoT, documenti JSON e così via. Quando crei un Autonomous Database, puoi distribuirlo in uno dei tre tipi di infrastruttura Exadata:

  • Condiviso: scelta semplice ed elastica. Oracle gestisce in modo autonomo tutti gli aspetti del ciclo di vita del database, dal posizionamento del database al backup e agli aggiornamenti.
  • Dedicato al cloud pubblico; un cloud privato a scelta nel cloud pubblico. Servizio di computazione, storage, rete e database completamente dedicato per un solo tenant, che garantisce i massimi livelli di isolamento e governance della sicurezza.
  • Dedicato a Cloud@Customer; Autonomous Database sull'infrastruttura dedicata in esecuzione sul sistema Exadata Database Machine nel tuo data center, insieme alla configurazione di rete che lo connette a Oracle Cloud.
• Autonomous Data Warehouse

  Oracle Autonomous Data Warehouse è un servizio di database self-driving, self-securing e self-repairing ottimizzato per i carichi di lavoro di data warehousing. Non è necessario configurare o gestire alcun hardware né installare alcun software. Oracle Cloud Infrastructure gestisce la creazione del database, nonché il backup, l'applicazione di patch, l'upgrade e il tuning del database.

• Autonomous Transaction Processing

  Oracle Autonomous Transaction Processing è un servizio di database self-driving, self-securing e self-repairing ottimizzato per i carichi di lavoro di elaborazione delle transazioni. Non è necessario configurare o gestire alcun hardware né installare alcun software. Oracle Cloud Infrastructure gestisce la creazione del database, nonché il backup, l'applicazione di patch, l'upgrade e il tuning del database.

• Sistema DB Exadata

  Exadata Database Service ti consente di sfruttare la potenza di Exadata nel cloud. Puoi eseguire il provisioning di sistemi X8M flessibili che ti consentono di aggiungere server di calcolo e server di storage del database al tuo sistema in base alle tue esigenze. I sistemi X8M offrono reti RoCE (RDMA su Converged Ethernet) per moduli PMEM (High Bandwidth and Low Latency, Persistent Memory) e software Exadata intelligente. È possibile eseguire il provisioning dei sistemi X8M o X9M utilizzando una forma equivalente a un sistema X8 Quarter Rack, quindi aggiungere database server e storage in qualsiasi momento dopo il provisioning.

Suggerimenti

Utilizza i suggerimenti riportati di seguito come punto di partenza durante l'implementazione di Oracle Data Safe per i database distribuiti in locale e OCI. I requisiti potrebbero essere diversi dall'architettura descritta qui.

• VCN

  Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ciascun blocco in base al numero di risorse che prevedi di collegare alle subnet nella VCN. Utilizzare blocchi CIDR che si trovano all'interno dello spazio degli indirizzi IP privati standard.

  Seleziona blocchi CIDR che non si sovrappongono a nessun'altra rete (in Oracle Cloud Infrastructure, nel tuo data center on-premise o in un altro provider cloud) a cui intendi impostare connessioni private.

  Dopo aver creato una VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.

  Quando si progettano le subnet, considerare il flusso di traffico e i requisiti di sicurezza. Collegare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

  Utilizzare le subnet regionali.

• Sicurezza

  Utilizza Oracle Cloud Guard per monitorare e mantenere la sicurezza delle tue risorse in Oracle Cloud Infrastructure in modo proattivo. Cloud Guard utilizza recipe del rilevatore che è possibile definire per esaminare le risorse alla ricerca dei punti deboli della sicurezza e per monitorare operatori e utenti per attività rischiose; ad esempio, Cloud Guard fornisce una recipe del rilevatore che può avvisare l'utente se un database non è registrato con Data Safe.

  Per le risorse che richiedono la massima sicurezza, Oracle consiglia di utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una recipe dei criteri di sicurezza definita da Oracle basata sulle procedure ottimali. Ad esempio, le risorse in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica e devono essere cifrate utilizzando chiavi gestite dal cliente. Quando crei e aggiorni risorse in una zona di sicurezza, Oracle Cloud Infrastructure convalida le operazioni in base ai criteri nella recipe della zona di sicurezza e nega le operazioni che violano uno qualsiasi dei criteri.

• Cloud Guard

  Duplica e personalizza le recipe predefinite fornite da Oracle per creare recipe personalizzate del rilevatore e del rispondente. Queste recipe consentono di specificare il tipo di violazioni della sicurezza che generano un'avvertenza e le azioni che possono essere eseguite su di esse. Ad esempio, potresti voler rilevare i bucket di storage degli oggetti con visibilità impostata su pubblica.

  Applica Cloud Guard a livello di tenancy per coprire l'ambito più ampio e ridurre il carico amministrativo di gestione di più configurazioni.

  È inoltre possibile utilizzare la funzione Elenco gestito per applicare determinate configurazioni ai rilevatori.

• Gruppi di sicurezza di rete (NSG)

  Puoi utilizzare i gruppi NSG per definire un set di regole di entrata e uscita che si applicano a VNIC specifiche. Si consiglia di utilizzare i gruppi NSG anziché le liste di sicurezza, poiché i gruppi NSG consentono di separare l'architettura della subnet della VCN dai requisiti di sicurezza dell'applicazione.

• Larghezza di banda del load balancer

  Durante la creazione del load balancer, puoi selezionare una forma predefinita che fornisce una larghezza di banda fissa oppure specificare una forma personalizzata (flessibile) in cui impostare un intervallo di larghezza di banda e consentire al servizio di ridimensionare automaticamente la larghezza di banda in base ai pattern di traffico. Con entrambi gli approcci, puoi modificare la forma in qualsiasi momento dopo aver creato il load balancer.

Scopri di più

Ulteriori informazioni sull'implementazione di Oracle Data Safe per Exadata e Autonomous Databases.

Esaminare le seguenti risorse aggiuntive:

• Framework ben strutturato per l'infrastruttura Oracle Cloud
• Distribuire una zona di destinazione sicura che soddisfi il benchmark CIS Foundations per Oracle Cloud
• Architettura tecnica di Exadata Cloud@Customer
• Architettura tecnica di Oracle Exadata Database Service on Dedicated Infrastructure
• Registrare i database Exadata Cloud@Customer utilizzando un endpoint privato di Oracle Data Safe
• Impostare il database Cloud@Customer mediante la procedura guidata
• Semplifica la sicurezza per i tuoi database Oracle on-premise con Oracle Data Safe
• Controlli di sicurezza di Exadata Cloud Service
• Controllo dell'accesso dell'operatore Oracle per Exadata Cloud@Customer
• zone di atterraggio-OCI / zona di atterraggio-core-OCI-terraform (OCI Core Landing Zone) su GitHub.
• zone operative / entità operative della zona di oci-landing-zone (zona di destinazione delle entità operative) su GitHub

Conferme

Autore: Jacco Steur

Contributore: Wei Han

Log delle modifiche

In questo log sono elencate le modifiche significative.

Giugno 13, 2025

Elenco aggiornato delle risorse aggiuntive in "Esplora di più".