전용 Exadata 인프라의 자율운영 AI 데이터베이스 내 액세스 제어

전용 Exadata 인프라에서 자율운영 AI 데이터베이스를 구성할 때 클라우드 사용자가 직무 수행에 적합한 종류의 클라우드 리소스만 사용하고 생성할 수 있도록 해야 합니다. 또한 권한이 부여된 직원 및 애플리케이션만 전용 인프라에서 생성된 자율운영 AI 데이터베이스에 액세스할 수 있도록 해야 합니다. 그렇지 않으면 전용 인프라 리소스를 "비용"으로 사용하거나 미션 크리티컬 데이터에 부적절하게 액세스할 수 있습니다.

전용 인프라 기능을 제공하는 클라우드 리소스 생성 및 사용을 시작하기 전에 액세스 제어 계획을 공식화한 다음 적절한 IAM(Identity and Access Management) 및 네트워킹 리소스를 생성하여 구성해야 합니다. 따라서 자율운영 AI 데이터베이스 내의 액세스 제어는 다음과 같은 다양한 레벨에서 구현됩니다.

Oracle Cloud 사용자 액세스 제어
클라이언트 액세스 제어
데이터베이스 유저 액세스 제어

Oracle Cloud 사용자 액세스 제어

전용 Exadata 인프라에서 자율운영 AI 데이터베이스를 배포하는 것을 구성하는 클라우드 리소스에 대한 테넌시의 Oracle Cloud 사용자에 대한 액세스를 제어합니다.

Identity and Access Management(IAM) 서비스를 사용하면 클라우드 사용자가 적절한 종류의 자율운영 AI 데이터베이스 리소스만 생성 및 사용하여 업무를 수행할 수 있는 액세스 권한이 있는지 확인할 수 있습니다. 클라우드 유저에 대한 액세스 제어를 설정하기 위해 특정 그룹의 유저에게 특정 구획의 특정 리소스 종류에 대한 특정 액세스 권한을 부여하는 정책을 정의합니다.

IAM 서비스는 보안 클라우드 사용자 액세스 전략을 정의하고 구현하는 데 도움이 되는 여러 종류의 구성요소를 제공합니다.

구획: 관련 리소스의 모음입니다. 구획은 클라우드 리소스를 구성하고 격리하기 위한 Oracle Cloud Infrastructure의 기본 구성요소입니다.
그룹: 특정 리소스 모음 또는 구획에 대해 동일한 유형의 액세스를 필요로 하는 모든 사용자의 모음입니다.
동적 그룹: 정의한 규칙과 일치하는 리소스를 포함하는 특수 그룹 유형입니다. 따라서 일치하는 리소스가 생성되거나 삭제될 때 멤버쉽이 동적으로 변경될 수 있습니다.
정책: 어떤 리소스에 액세스할 수 있는 사람 및 방법을 지정하는 명령문 그룹입니다. 액세스 권한은 그룹 및 컴파트먼트 레벨에서 부여됩니다. 즉, 특정 그룹에 특정 컴파트먼트 내의 특정 리소스 유형에 대한 특정 유형의 액세스 권한을 부여하는 정책 문을 작성합니다.

정책 및 정책 문

클라우드 사용자에 대한 액세스 제어를 정의하는 데 사용하는 기본 툴은 "Who", "How", "What" 및 "Where"로 액세스를 지정하는 정책 문이 포함된 IAM(ID 및 액세스 관리) 리소스인 policy입니다.

정책 문의 형식:

Allow
  group <group-name>
  to <control-verb>
  <resource-type>
  in compartment <compartment-name>

그룹 <group-name>은 개별 클라우드 사용자에게 지정할 수 있는 IAM 리소스인 기존 IAM 그룹의 이름을 제공하여 "Who"를 지정합니다.
to <control-verb>는 다음과 같은 미리 정의된 제어 동사 중 하나를 사용하여 "방법"을 지정합니다.
- 검사: 해당 리소스의 일부일 수 있는 기밀 정보 또는 사용자 지정 메타데이터에 대한 액세스 권한 없이 지정된 유형의 리소스를 나열하는 기능입니다.
- read: inspect 및 사용자 지정 메타데이터와 실제 리소스 자체를 가져올 수 있는 기능입니다.
- 사용: read 및 기존 리소스로 작업할 수 있지만 생성 또는 삭제하지는 않습니다. 또한 "작업"은 리소스 유형마다 다른 작업을 의미합니다.
- manage: 만들기 및 삭제를 포함하여 리소스 유형에 대한 모든 권한입니다.
전용 인프라 기능 컨텍스트에서 플리트 관리자는 자율운영 컨테이너 데이터베이스를 manage할 수 있고, 데이터베이스 관리자는 자율운영 AI 데이터베이스 생성을 위해 use만 수행할 수 있습니다.
<resource-type>은 미리 정의된 리소스 유형을 사용하여 "What"을 지정합니다. 전용 인프라 리소스에 대한 리소스 유형 값은 다음과 같습니다.
- Exadata 인프라
- 자율 컨테이너 데이터베이스
- 자율 운영 데이터베이스
- 자율 백업
전용 인프라 리소스는 네트워킹 리소스를 사용하므로 만드는 정책 문 중 일부는 virtual-network-family 리소스 유형 값을 참조합니다. 또한 테넌시에서 태그 지정이 사용되는 경우 tag-namespaces 리소스 유형 값을 참조하는 정책 문을 만들 수 있습니다.
<compartment-name> 컴파트먼트의에서는 리소스가 생성되는 IAM 리소스인 기존 IAM 컴파트먼트의 이름을 제공하여 "Where"를 지정합니다. 구획은 클라우드 리소스 구성 및 격리를 위한 Oracle Cloud Infrastructure의 기본 구성요소입니다.

자율운영 AI 데이터베이스에 대한 정책 세부정보는 전용 Exadata 인프라의 자율운영 AI 데이터베이스에 대한 IAM 정책을 참조하십시오.

IAM 서비스 및 해당 구성요소의 작동 방식과 사용 방법에 대한 자세한 내용은 Oracle Cloud Infrastructure Identity and Access Management 개요를 참조하십시오. IAM에 대한 일반적인 질문에 대한 빠른 답변은 ID 및 액세스 관리 FAQ를 참조하십시오.

액세스 제어 계획 및 시작 시 최적의 방법

전용 인프라 기능에 대한 액세스 제어를 계획하고 설정할 때는 이러한 모범 사례를 고려해야 합니다.

전용 서브넷만 포함된 별도의 VCN을 생성합니다. 거의 모든 경우에 전용 인프라에서 생성된 자율운영 AI 데이터베이스는 회사에 민감한 데이터를 보관하며 일반적으로 회사의 전용 네트워크 내에서만 액세스할 수 있습니다. 파트너, 공급업체, 소비자 및 고객과 공유되는 데이터조차도 규제되고 안전한 채널을 통해 이용할 수 있습니다.

따라서 이러한 데이터베이스에 제공하는 네트워크 액세스는 회사 전용이어야 합니다. 프라이빗 서브넷을 사용하는 VCN과 IPSec VPN 또는 FastConnect를 생성하여 회사의 프라이빗 네트워크에 접속하면 됩니다. 이러한 구성 설정에 대한 자세한 내용은 Oracle Cloud Infrastructure 설명서의 시나리오 B: VPN을 사용하는 전용 서브넷을 참조하십시오.

데이터베이스에 대한 네트워크 연결 보안에 대한 자세한 내용은 Oracle Cloud Infrastructure 설명서의 네트워크 보안 방법을 참조하십시오.
서브넷을 두 개 이상 만듭니다. 자율운영 Exadata VM 클러스터 및 자율운영 컨테이너 데이터베이스 리소스에 대한 서브넷과 자율운영 AI 데이터베이스의 클라이언트 및 애플리케이션과 연관된 리소스에 대한 서브넷을 두 개 이상 생성해야 합니다.
구획을 두 개 이상 생성합니다. Exadata 인프라, 자율운영 Exadata VM 클러스터 및 자율운영 컨테이너 데이터베이스 리소스용 구획과 자율운영 AI 데이터베이스 리소스용 구획을 각각 하나 이상 생성해야 합니다.
그룹을 두 개 이상 만듭니다. 플리트 관리자에 대해 하나, 데이터베이스 관리자에 대해 하나 이상의 그룹을 생성해야 합니다.

클라이언트 액세스 제어

클라이언트 액세스 제어는 네트워크 액세스 제어 및 클라이언트 연결을 제어하여 자율운영 AI 데이터베이스에서 구현됩니다.

네트워크 액세스 제어

전용 Exadata 인프라에서 Oracle Autonomous AI Database의 전용 배포를 설정하고 구성할 때 자율운영 AI 데이터베이스에 대한 네트워크 액세스 제어를 정의합니다. 수행 방법은 전용 배포가 Oracle Public Cloud 또는 Exadata Cloud@Customer에 있는지 여부에 따라 달라집니다.

Oracle Public Cloud에서 네트워킹 서비스의 구성요소를 사용하여 네트워크 액세스 제어를 정의합니다. 자율운영 AI 데이터베이스에 네트워크에 액세스할 수 있는 프라이빗 서브넷이 포함된 VCN(가상 클라우드 네트워크)을 생성합니다. 또한 특정 유형의 트래픽이 서브넷의 IP 주소에 들어오거나 나오도록 허용하는 보안 규칙을 만듭니다.

이러한 리소스 생성에 대한 자세한 내용을 보려면 Oracle Autonomous AI Database Dedicated for Fleet Administrators에서 Lab 1: Prepare Private Network for OCI Implementation을 실행하세요.
Exadata Cloud@Customer에서는 데이터 센터 내의 클라이언트 네트워크를 지정하고 Exadata 인프라 리소스 내의 VM 클러스터 네트워크 리소스에 기록하여 네트워크 액세스 제어를 정의합니다.

ZPR(제로 트러스트 패킷 경로 지정)

적용 대상: 적용 가능 Oracle Public Cloud only

Oracle Cloud Infrastructure Zero Trust Packet Routing(ZPR)은 보안 속성을 지정하는 자율운영 Exadata VM 클러스터(AVMC)와 같은 리소스에 대해 작성한 의도 기반 보안 정책을 통해 무단 액세스로부터 민감한 데이터를 보호합니다.

보안 속성은 ZPR이 리소스를 식별하고 구성하는 데 사용하는 레이블입니다. ZPR은 잠재적 네트워크 아키텍처 변경 또는 잘못된 구성에 관계없이 액세스가 요청될 때마다 네트워크 레벨에서 정책을 적용합니다. ZPR은 기존 NSG(네트워크 보안 그룹) 및 SCL(보안 제어 목록) 규칙을 기반으로 합니다. 패킷이 대상에 도달하려면 모든 NSG 및 SCL 규칙과 ZPR 정책을 통과해야 합니다. NSG, SCL 또는 ZPR 규칙이나 정책에서 트래픽을 허용하지 않는 경우 요청이 삭제됩니다.

다음 세 단계로 ZPR로 네트워크를 보호할 수 있습니다.

ZPR 아티팩트, 즉 보안 속성 네임스페이스 및 보안 속성을 생성합니다.
보안 속성을 사용하여 리소스를 연결하려면 ZPR 정책을 작성하십시오. ZPR은 ZPL(ZPR Policy Language)을 사용하며 정의된 리소스에 대한 액세스 제한을 적용합니다. 전용 Exadata 인프라의 자율운영 AI 데이터베이스 고객은 테넌시에 ZPL 기반 정책을 작성하여 AVMC의 데이터에 권한이 부여된 사용자 및 리소스만 액세스할 수 있도록 할 수 있습니다.
리소스에 보안 속성을 지정하여 ZPR 정책을 사용으로 설정합니다.

참고: Oracle Cloud Infrastructure 콘솔, API 또는 CLI를 통해 클라우드 리소스에 설명, 태그, 보안 속성 또는 친숙한 이름을 지정할 때는 기밀 정보를 입력하지 마십시오.

자세한 내용은 제로 트러스트 패킷 경로 지정 시작하기를 참조하십시오.

AVMC에 ZPR 보안 속성을 적용할 수 있는 옵션은 다음과 같습니다.

AVMC를 프로비저닝할 때 보안 속성을 적용합니다. 자세한 내용은 자율운영 Exadata VM 클러스터 생성을 참조하십시오.
기존 AVMC 리소스에 보안 속성을 적용합니다. 자세한 내용은 AVMC에 대한 ZPR(제로 트러스트 패킷 라우팅) 구성을 참조하십시오.

전제 조건으로 AVMC에 ZPR 보안 속성을 성공적으로 추가하려면 다음 IAM 정책을 정의해야 합니다.

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

ACL(액세스 제어 목록)

추가 보안을 위해 Oracle Public Cloud 및 Exadata Cloud@Customer 전용 배치 모두에서 ACL(액세스 제어 목록)을 사용으로 설정할 수 있습니다. ACL은 특정 IP 주소를 가진 클라이언트만 데이터베이스에 연결할 수 있도록 하여 데이터베이스에 대한 추가적인 보호를 제공합니다. IP 주소는 개별적으로 또는 CIDR 블록으로 추가할 수 있습니다. IPv4 및 IPv6 기반 IP/CIDR이 모두 지원됩니다. 이를 통해 자율운영 AI 데이터베이스의 네트워크 액세스를 특정 애플리케이션 또는 클라이언트로 제한하여 세분화된 액세스 제어 정책을 공식화할 수 있습니다.

선택적으로 데이터베이스 프로비저닝(provisioning) 중에 또는 그 이후 언제든지 ACL을 생성할 수 있습니다. 언제든지 ACL을 편집할 수도 있습니다. IP 주소 목록이 비어 있는 ACL을 사용으로 설정하면 데이터베이스에 액세스할 수 없습니다. 자세한 내용은 전용 자율운영 AI 데이터베이스에 대한 액세스 제어 목록 설정을 참조하십시오.

자율운영 AI 데이터베이스에서 ACL을 사용하는 방법은 다음과 같습니다.

자율운영 AI 데이터베이스 서비스 콘솔에는 ACL 규칙이 적용되지 않습니다.
Oracle Application Express(APEX), RESTful 서비스, SQL Developer Web 및 Performance Hub에는 ACL이 적용되지 않습니다.
자율운영 AI 데이터베이스 생성 중 ACL 설정을 실패하면 데이터베이스 프로비전도 실패합니다.
데이터베이스가 Available 상태인 경우에만 ACL 갱신이 허용됩니다.
데이터베이스 복원은 기존 ACL을 덮어쓰지 않습니다.
전체 및 메타 데이터 데이터베이스의 복제는 원본 데이터베이스와 동일한 액세스 제어 설정을 가집니다. 필요한 경우 변경할 수 있습니다.
백업에는 ACL 규칙이 적용되지 않습니다.
ACL 업데이트 중에는 모든 CDB(자율운영 컨테이너 데이터베이스) 작업이 허용되지만 자율운영 AI 데이터베이스 작업은 허용되지 않습니다.

WAF(웹 애플리케이션 방화벽)

액세스 제어 목록 이외의 고급 네트워크 제어를 위해 전용 Exadata 인프라의 Oracle Autonomous AI Database는 웹 애플리케이션 방화벽(WAF) 사용을 지원합니다. WAF는 악성 및 원치 않는 인터넷 트래픽으로부터 애플리케이션을 보호합니다. WAF는 모든 인터넷 연결 엔드포인트를 보호할 수 있으므로 고객의 애플리케이션 전반에 걸쳐 일관된 규칙을 적용합니다. WAF는 XSS(교차 사이트 스크립팅), SQL 주입 및 기타 OWASP 정의 취약성을 비롯한 인터넷 위협에 대한 규칙을 생성하고 관리할 수 있는 기능을 제공합니다. 접근 규칙은 지역 또는 요청 서명을 기준으로 제한할 수 있습니다. WAF 구성 방법에 대한 단계는 웹 애플리케이션 방화벽 정책 시작하기를 참조하십시오.

클라이언트 연결 제어

전용 Exadata 인프라의 Oracle Autonomous AI Database는 클라이언트 연결을 인증하기 위해 표준 TLS 1.2 및 TLS 1.3 인증서 기반 인증으로 클라이언트 연결 제어를 구현합니다. 하지만 TLS 1.3은 Oracle Database 23ai 이상에서만 지원됩니다.

기본적으로 자율운영 AI 데이터베이스는 자체 서명된 인증서를 사용합니다. 그러나 OCI(Oracle Cloud Infrastructure) 콘솔에서 CA 서명 서버측 인증서를 설치할 수 있습니다. 고유 인증서를 가져오려면 먼저 인증서 생성에 설명된 대로 OCI(Oracle Cloud Infrastructure) 인증서 서비스를 사용하여 인증서를 생성해야 합니다. 이러한 인증서는 서명되어야 하며 PEM 형식이고 서명되어야 합니다. 즉, 파일 확장자는 .pem, .cer 또는 .crt이어야 합니다. 자세한 내용은 전용 자율운영 AI 데이터베이스의 인증서 관리를 참조하십시오.

데이터베이스 유저 액세스 제어

전용 Exadata 인프라의 Oracle Autonomous AI Database는 Oracle AI Database의 표준 사용자 관리 기능을 사용하기 위해 생성한 데이터베이스를 구성합니다. 추가 유저 계정을 생성하고 계정에 대한 액세스 제어를 제공하는 데 사용하는 하나의 관리 유저 계정 ADMIN을 생성합니다.

표준 사용자 관리는 시스템 및 객체 권한, 역할, 사용자 프로파일 및 암호 정책과 같은 강력한 기능 및 제어 세트를 제공하므로 대부분의 경우 보안 데이터베이스 사용자 액세스 전략을 정의하고 구현할 수 있습니다. 자세한 지침은 데이터베이스 사용자 생성 및 관리를 참조하십시오.

표준 사용자 관리에 대한 기본 정보는 Oracle AI Database Concepts의 User Accounts를 참조하십시오. 자세한 내용 및 지침은 Oracle Database 19c Security Guide의 Managing Security for Oracle Database Users 또는 Oracle Database 26ai Security Guide를 참조하십시오.

데이터베이스 사용자 액세스 전략에 표준 사용자 관리에서 제공하는 것보다 더 많은 제어가 필요한 경우 다음 도구 중 하나를 사용하여 보다 엄격한 요구 사항을 충족하도록 자율운영 AI 데이터베이스를 구성할 수 있습니다.

도구	설명
Database Vault	Oracle Database Vault는 사전 구성되어 있으며 자율운영 AI 데이터베이스에서 바로 사용할 수 있습니다. 강력한 보안 제어를 사용하여 권한이 있는 데이터베이스 사용자의 애플리케이션 데이터 액세스를 제한하고 내부자 및 외부 위협의 위험을 줄이며 일반적인 규정 준수 요구 사항을 해결할 수 있습니다. 자세한 내용은 자율운영 AI 데이터베이스의 보안 기능에서 데이터 보호를 참조하십시오.
Oracle Cloud Infrastructure Identity and Access Management(IAM)	IAM(Oracle Cloud Infrastructure Identity and Access Management) 인증 및 권한 부여를 사용하도록 자율운영 AI 데이터베이스를 구성하여 IAM 사용자가 IAM 인증서로 자율운영 AI 데이터베이스에 액세스할 수 있도록 할 수 있습니다. 이 옵션을 데이터베이스에 사용하려면 자율운영 AI 데이터베이스에서 ID 및 액세스 관리(IAM) 인증 사용을 참조하십시오.
Azure OAuth2 액세스 토큰	Azure `oAuth2` 액세스 토큰을 사용하여 Microsoft Azure Active Directory(Azure AD) 서비스에서 전용 Exadata 인프라에서 Oracle Autonomous AI Database를 중앙에서 관리할 수 있습니다. 이러한 유형의 통합을 통해 Azure AD 사용자는 전용 Exadata 인프라 인스턴스의 Oracle Autonomous AI Database에 액세스할 수 있습니다. Azure AD 사용자 및 애플리케이션은 Azure AD SSO(Single Sign On) 자격 증명을 사용하여 로그인하여 Azure AD `OAuth2` 액세스 토큰을 가져와 데이터베이스로 보낼 수 있습니다. Microsoft Azure Active Directory를 데이터베이스와 통합하는 방법에 대한 자세한 내용은 Authenticate and Authorize Microsoft Azure Active Directory Users for Autonomous AI Database를 참조하십시오.
Microsoft Active Directory(CMU-AD)	Microsoft Active Directory를 사용자 저장소로 사용하는 경우 Microsoft Active Directory 사용자를 인증하고 권한을 부여하도록 자율운영 AI 데이터베이스를 구성할 수 있습니다. 이 통합을 통해 표준 사용자 관리, Database Vault, Real Application Security 또는 Virtual Private Database 사용 여부에 관계없이 엄격한 데이터베이스 사용자 액세스 전략을 구현하는 동안 사용자 저장소를 통합할 수 있습니다. Microsoft Active Directory를 데이터베이스와 통합하는 방법에 대한 자세한 내용은 Microsoft Active Directory와 자율운영 AI 데이터베이스를 참조하십시오.
Kerberos	Kerberos는 신뢰받는 타사 인증 시스템으로 공유 암호를 사용합니다. 타사에서는 안전한 것으로 간주하고 Single Sign-On 기능, 중앙화된 암호 저장, 데이터베이스 링크 인증 및 향상된 PC 보안을 제공합니다. 이 작업은 Kerberos 인증 서버를 통해 수행됩니다. Kerberos에 대한 자율운영 AI 데이터베이스 지원은 Oracle 사용자의 Single Sign-On 및 중앙 집중식 인증의 이점을 제공합니다. 자세한 내용은 Kerberos로 자율운영 AI 데이터베이스 사용자 인증을 참조하십시오.
CMU-AD가 있는 Kerberos	Microsoft Active Directory 사용자에 대한 CMU-AD Kerberos 인증을 제공하도록 CMU-AD 위에 Kerberos 인증을 구성할 수 있습니다. Microsoft Active Directory 사용자에 대한 CMU-AD Kerberos 인증을 제공하려면 `type`를 `CMU`로 설정하여 CMU-AD에서 Kerberos 인증을 사용으로 설정하고, Enable Kerberos Authentication on Autonomous AI Database에 설명된 예제에 설명된 대로 외부 인증을 사용으로 설정할 수 있습니다.
실제 애플리케이션 보안 및 가상 전용 데이터베이스	Oracle Real Application Security(RAS)는 보호되는 비즈니스 객체뿐만 아니라 이러한 비즈니스 객체에 대해 작업할 수 있는 권한이 있는 주체(사용자 및 역할)를 포함하는 보안 정책을 사용으로 설정하는 선언적 모델을 제공합니다. RAS는 이전 버전인 Oracle Virtual Private Database보다 더 안전하고 확장 가능하며 비용 효율적입니다. Oracle RAS에서는 응용 프로그램 유저가 데이터베이스뿐만 아니라 응용 프로그램 계층에서도 인증됩니다. 데이터 액세스 경로에 관계없이 데이터 보안 정책은 데이터베이스의 일반 유저 고유 세션에 따라 데이터베이스 커널에 적용됩니다. 유저에게 할당된 권한은 데이터베이스 객체의 행과 열에 대해 수행할 수 있는 작업 유형(선택, 삽입, 갱신 및 삭제)을 제어합니다. Oracle RAS에 대한 자세한 내용은 Oracle Database Real Application Security 소개 in Oracle Database 19c Real Application Security Administrator's and Developer's Guide 또는 Oracle Database 26ai Real Application Security Administrator's and Developer's Guide를 참조하십시오. 전용 Exadata 인프라의 Oracle Autonomous AI Database는 또한 Oracle RAS의 전임자인 Oracle Virtual Private Database(VPD)를 지원합니다. 이미 Oracle VPD에 익숙하고 사용 중인 경우 자율운영 AI 데이터베이스와 함께 구성하고 사용할 수 있습니다. 가상 전용 데이터베이스에 대한 자세한 내용은 Oracle Database 19c 보안 설명서의 Oracle Virtual Private Database를 사용하여 데이터 액세스 제어 또는 Oracle Database 26ai 보안 설명서를 참조하십시오.

PAM(권한이 있는 액세스 관리)

제품 및 서비스 전반의 사용자 액세스 및 권한 관리에 대한 Oracle의 보안 태세는 Oracle Access Control에 설명되어 있습니다.

전용 Exadata 인프라의 자율운영 AI 데이터베이스는 고객 서비스와 데이터베이스 데이터를 무단 액세스로부터 격리하고 보호하도록 설계되었습니다. 자율운영 AI 데이터베이스는 고객과 Oracle 간의 업무를 분리합니다. 고객은 데이터베이스 스키마에 대한 액세스를 제어합니다. Oracle은 Oracle 관리 인프라 및 소프트웨어 구성 요소에 대한 액세스를 제어합니다.

전용 Exadata 인프라의 자율운영 AI 데이터베이스는 고객 승인 사용을 위한 데이터를 보호하고, Oracle Cloud Ops 직원의 고객 데이터 액세스를 방지하는 등 무단 액세스로부터 데이터를 보호할 수 있도록 설계되었습니다. Exadata 인프라, 자율운영 VM 및 Oracle 데이터베이스 데이터에 대한 무단 액세스로부터 보호하기 위해 설계된 보안 조치는 다음과 같습니다.

Oracle Database 데이터는 Oracle TDE(투명한 데이터 암호화) 키로 보호됩니다.
고객은 TDE 암호화 키에 대한 액세스를 제어하며 이러한 키를 외부 Oracle Key Vault 키 관리 시스템에 저장하도록 선택할 수 있습니다.
Oracle Database Vault는 권한이 있는 사용자가 자율운영 AI 데이터베이스의 고객 데이터에 액세스하지 못하도록 사전 구성되어 있습니다.
고객은 운영자 액세스 제어 서비스 등록을 통해 운영자 액세스를 승인하도록 선택할 수 있습니다.
모든 운영자 액세스는 Oracle이 승인한 장치로 구현된 하드웨어 YubiKey로 구현된 FIPS 140-2 레벨 3 하드웨어 다중 요소 인증을 기반으로 합니다.
모든 운영자 작업은 명령 레벨에서 기록되며 거의 실시간으로 OCI 로깅 서비스 또는 고객 SIEM으로 전송할 수 있습니다.
Oracle Operations Access Control은 Oracle Cloud 운영 및 지원 직원이 성능을 모니터링 및 분석하는 데 사용하는 사용자 계정이 자율운영 AI 데이터베이스의 데이터에 액세스할 수 없도록 보장합니다. Oracle Cloud 운영 및 지원 담당자는 자율운영 AI 데이터베이스의 데이터에 액세스할 수 없습니다. 자율운영 컨테이너 데이터베이스를 생성할 때 전용 Exadata 인프라의 자율운영 AI 데이터베이스는 일반 사용자가 컨테이너 데이터베이스에서 생성된 자율운영 AI 데이터베이스의 데이터에 액세스하지 못하도록 Oracle Database Vault의 작업 제어 기능을 사용으로 설정하고 구성합니다.

자율운영 AI 데이터베이스에 이 SQL 문을 입력하여 Operations Control이 활성 상태인지 확인할 수 있습니다.
```
SELECT * FROM DBA_DV_STATUS;
```
APPLICATION CONTROL 상태는 작업 제어가 활성 상태임을 나타냅니다.

주: Operations Control은 이전에 Application Control이라고 했습니다.

PAM은 Security Features of Autonomous AI Database에 설명된 대로 데이터 보호를 위해 Database Vault와 함께 구현됩니다.