전용 Exadata 인프라의 자율운영 AI 데이터베이스에서 구성 관리

OCI(Oracle Cloud Infrastructure)를 기반으로 구축된 전용 Exadata 인프라의 자율운영 AI 데이터베이스는 표준적이고 강화된 보안 구성을 제공하므로 귀사와 귀사의 팀은 자율운영 AI 데이터베이스 플리트 전반에 걸친 구성 관리에 막대한 시간과 비용을 소비할 필요가 없습니다.

보안 패치 및 업데이트는 자동으로 수행되므로 보안을 최신 상태로 유지하는 것에 대해 걱정할 필요가 없습니다. 이러한 기능은 고도로 민감한 데이터베이스와 데이터를 비용이 많이 들고 잠재적으로 재해가 발생할 수 있는 보안 취약점 및 침해로부터 보호합니다. 자세한 내용은 자율운영 AI 데이터베이스의 서비스 유지 관리를 참고하세요.

자율운영 가상 머신 강화

클라이언트 VM이라고도 하는 자율운영 AI 데이터베이스 가상 머신(자율운영 VM) 이미지는 보안이 강화됩니다. Oracle Software Security Assurance에 설명된 대로 구성은 Oracle 소프트웨어 개발 및 보증 관행을 통해 보호됩니다. 자율운영 VM에는 허가되지 않은 소프트웨어 및 맬웨어를 감지하도록 구성된 적합한 안티바이러스 및 안티맬웨어 소프트웨어가 있습니다. 클라이언트 가상 머신에 설치된 Oracle의 Asset Endpoint Protection and Configuration Management 소프트웨어는 승인된 보안 프로세스를 통해서만 구성을 변경할 수 있습니다. Linux OS 감사 로그는 OCI의 보안 사고 감지 및 대응 팀(DART)에 의해 보안 사고 감지 및 감사를 위해 중앙 OCI 보안 정보 및 이벤트 관리(SIEM) 시스템으로 수집 및 전송됩니다. 로그는 생성일로부터 13개월 동안 보존됩니다.

DART는 SIEM 대시보드를 관리하고, 사고 경보를 평가하고, 내부 서비스 팀에서 티켓을 열어 실제 긍정에 대한 수정 조치를 시작할 책임이 있습니다. 보안 이벤트에 고객 업데이트가 필요한 경우 DART는 글로벌 정보 보안 및 서비스 팀과 협력하여 고객 업데이트를 발행합니다.

모든 Oracle Autonomous VM은 DISA STIG(Defense Information Systems Agency Security Technical Implementation Guide)와 호환되며, 사용자 액세스 제어, 열린 포트, 원치 않는 패키지 및 데몬 구성과 관련된 문제를 해결하는 Oracle Linux Security Technical Implementation Guide에 따라 강화됩니다. 여기에서 Oracle Linux DISA STIG 제어의 전체 목록을 확인할 수 있습니다.

자율운영 VM에 대한 수동 액세스는 회사에서 철저히 검증한 핵심 클라우드 운영 팀으로 제한됩니다. 운영 팀 멤버는 Exadata 인프라에 액세스하려면 회사에서 제공한 디바이스의 Oracle Cloud Network Attach(개인 보안 클라우드 네트워크)에 있어야 합니다. 액세스 자격 증명은 유효한 지원 티켓에 대한 응답으로 동적으로 생성됩니다. 클라이언트 VM에 대한 구성 변경은 엄격한 내부 보안 검토 및 변경 관리 프로세스를 거칩니다. 모든 도구, 스크립트 또는 소프트웨어는 승인된 소프트웨어 수명 주기 및 변경 관리 프로세스를 거친 후에만 설치 또는 수정됩니다.

인프라 및 자율운영 VM 모두에 대한 운영자 액세스 제어 서비스와의 통합은 이 액세스를 추가로 제한하고 액세스 권한 및 통지를 사용자에게 제공합니다. 운영자 작업은 거의 실시간으로 로그인되어 고객이 구성한 SIEM 및 Oracle 로깅 서비스로 전송되어 원하는 대로 고객이 다운로드할 수 있습니다. 로그를 고객 SIEM/스토리지로 다운로드하거나 OCI 오브젝트 스토리지에 무기한 보관할 수 있습니다. 자세한 내용은 운영자 액세스 제어 서비스를 참조하십시오.

OCI 보안 아키텍처는 OCI의 고유한 다계층 Gen2 하드웨어 및 가상화 보안을 추가로 정의합니다. 자세한 내용은 Oracle Cloud Infrastructure 보안 아키텍처를 참조하십시오.

구성 드리프트 관리

자율운영 AI 데이터베이스 서비스 개발 및 자율운영 VM 이미지 빌드는 Oracle 기업 보안 관행의 범위에 속합니다. 이러한 구현은 여기에 게시된 Oracle Software Security Assurance 프로세스에서 신중하게 제어됩니다.

자율운영 VM 이미지 구성은 코드를 통해 제어되며 구성 변경으로 프로덕션 릴리스에 적용되기 전에 여러 코드 검토 및 품질 보증(QA) 주기를 거칩니다. 소프트웨어 구성 보안에 대한 Oracle의 자세 및 표준 방법은 Oracle Software Security Assurance 설명서의 보안 구성 섹션을 참조하십시오.

Oracle이 구축한 에이전트인 AEP/CM(자산 엔드포인트 보호 및 구성 관리) 소프트웨어가 제어 플레인 서버에 설치되어 인프라 및 자율운영 VM 인스턴스에서 Linux 감사 로그 및 AIDE(Linux Advanced Intrusion Detection Environment) 로그를 수집하고 전송합니다. 이러한 로그는 감사 목적으로 OCI 중앙 SIEM으로 전송됩니다. 로그 파일 변조, 외부 콘텐츠 다운로드, 보안 툴 사용 안함 등의 특정 SIEM 규칙은 DART가 자율운영 가상 머신 강화에 설명된 대로 평가하고 응답하는 경보를 생성합니다.

자율운영 VM 인스턴스는 승인된 Oracle 운영자 및 자동화를 제외하고 직접 ssh 액세스로부터 보호됩니다. 모든 운영자 작업은 운영자 액세스 제어를 통해 모니터링할 수 있습니다.

파일 무결성 및 침입 모니터링

자율운영 VM은 특정 빌드에서 파일 수 및 무결성을 유지 관리하는 파일 침입 및 모니터링 유틸리티로 구성됩니다. 파일 체크섬의 파일 수 변경 또는 변경에 플래그가 지정됩니다. AIDE 및 HIDS 로그도 수집되어 OCI SIEM으로 전송되며 Autonomous Virtual Machine Hardening에 설명된 DART 프로세스를 통해 위협이 있는지 검사합니다.

툴링을 포함하여 AVMC에 배포된 모든 소프트웨어 아티팩트는 체크섬을 사용하고 SSL 인증서를 사용하여 디지털 서명된 보안 변경 관리 방법을 통해 배포됩니다. 이를 인증서 서명 코드 배포라고 합니다.

자율운영 VM 취약성 스캔 및 응답

모든 자율운영 VM 이미지는 Oracle Software Security Assurance에 설명된 대로 Oracle의 보안 개발 관행을 사용하여 구축됩니다. CSSAP(Corporate Security Solution Assurance Process)는 Oracle의 기업 보안 아키텍처, GIS(Global Information Security) 및 Oracle의 IT 조직이 개발한 보안 검토 프로세스로, 포괄적인 정보 보안 관리 검토를 제공합니다. GIS 및 CSSAP는 OCI 서비스 팀과 독립적으로 운영되어 고객 및 Oracle의 정보 및 소프트웨어 자산을 보호합니다. 보안에 영향을 줄 수 있는 모든 서비스 기능은 CSSAP 검토 및 승인 프로세스를 거칩니다. 또한 품질 보증(QA) 테스트 주기는 적절한 스캔 도구를 사용하여 이미지가 STIG를 준수하는지 확인하고, 서비스 보안 지침을 충족하며, CSSAP 검토를 준비합니다.

AVMC에 대한 법의학 툴링은 취약성 관리에 중요한 역할을 합니다. 각 자율운영 VM 호스트의 Linux 감사 로그는 경보 규칙이 잠재적 위협을 캡처하고 표시하는 중앙 OCI SIEM으로 업로드됩니다. DART는 자율운영 가상 머신 강화에 설명된 대로 이러한 경보에 응답합니다. HIDS 및 바이러스 백신 로그도 마찬가지로 처리됩니다. CVE(Common Vulnerabilities and Exposures) 스캐너는 취약성 조사 결과가 분류되는 중앙 자동화 도구로 결과를 전송하고, 서비스 팀이 조사 결과의 심각도에 비례하여 일정 기간에 시스템을 패치할 수 있도록 티켓을 개설합니다. 점수가 7보다 큰 모든 CVE는 30일 이내에 패치되어야 합니다.

하이퍼바이저, 그리드 인프라, 스토리지 및 클라이언트 운영 체제와 펌웨어로 구성된 인프라 패치 번들의 일정을 분기별로 잡을 수 있습니다. 분기마다 데이터베이스 릴리스 업데이트 및 릴리스 업데이트 개정을 별도로 예약할 수도 있습니다. 특정 패치 업데이트가 필요하므로 모든 패치는 클라우드 자동화 툴 및 자율운영 클라우드 작업을 사용하여 스테이지되고 적용됩니다.

소프트웨어 패치 개발은 필요에 따라 Oracle의 보안 소프트웨어 개발 관행, QA 테스트 및 CSSAP 검토를 따릅니다. 패치 개발자, QA 테스터, 릴리스 관리 및 패치 작업 간의 책임 구분을 통해 패치가 고객의 하드웨어에 적용되기 전에 여러 직원이 개입할 수 있습니다.

가능한 경우 Linux ksplice와 같은 도구를 사용하여 다운타임 없이 실행 중인 시스템에 업데이트가 적용됩니다. 업데이트에 구성 요소 재시작이 필요한 경우 Oracle은 롤링 방식으로 구성 요소 재시작을 수행하여 업데이트 프로세스 중 서비스 가용성을 보장합니다. 비즈니스 SLA에 맞게 패치 적용 시작 시간을 예약할 수 있습니다. Infrastructure 구성 요소(GI, OS)와 각 DBMS 홈에 대해 별도로 패치 일정을 잡을 수 있습니다.

취약성 스캔 및 패치

전용 Exadata 인프라의 자율운영 AI 데이터베이스는 상용 취약성 스캔 도구를 사용하여 외부 및 내부 취약성 스캔(지원 종료 시스템 검색 포함)을 자주 수행합니다. 식별된 취약성은 취약성 관리를 위한 클라우드 규제준수 표준에 의해 조사 및 추적됩니다. 타사 및 오픈 소스 라이브러리에 대한 업데이트를 평가하고 식별하기 위해 다양한 기술적 조치를 사용합니다. 환경에 배포된 시스템의 인증된 취약성 스캔과 사전 배포 시스템 이미지 스캔은 해당 라이브러리를 식별하고 보안 수정이 필요한지 여부를 확인하기 위해 구현되었습니다. 기업 정책 및 비즈니스 단위 절차는 이러한 프로그램을 관리하고 매년 평가합니다.

자율운영 AI 데이터베이스는 메커니즘을 사용하여 여러 소스(취약성 검사 포함)의 보안 결과를 집계하고 해당 서비스 팀에 결과를 지정합니다. 이 시스템을 통해 서비스 팀은 검색 결과를 관리하고 필요에 따라 통지 및 자동 에스컬레이션을 포함하여 수정 작업의 자동 대기열 지정을 위해 티켓팅 시스템과 통합할 수 있습니다. 또한 이 시스템은 조직 전반의 수정 작업을 요약하고 일상적인 취약성 관리 작업을 유도합니다.

Oracle Software Security Assurance (OSSA)는 고객이 온프레미스에서 사용하든 Oracle Cloud를 통해 제공하든 관계없이 제품의 설계, 구축, 테스트 및 유지 관리에 보안을 구축하기 위한 Oracle의 방법론을 정의합니다. Oracle 기업 보안 정책(위협 및 취약성 관리를 다루는 정책 포함)은 매년 검토되고 필요에 따라 업데이트됩니다. 적어도 매년 독립적 인 제 3 자는 시스템 침투 테스트를 수행합니다.

모든 Oracle 고객에게 최고의 보안 태세를 제공하기 위해 Oracle은 고객에게 발생할 수 있는 위험에 따라 중요한 보안 취약점을 해결합니다. 가장 심각한 위험이 있는 문제는 먼저 해결됩니다. 일반적으로 보안 취약성에 대한 수정은 다음 순서로 생성됩니다.

패치 및 업데이트는 CI/CD(지속적인 통합/지속적인 배포) 도구를 통해 구현됩니다. 여러 가용성 도메인(예: 도메인 이름 서비스 업데이트)에 종속성이 있는 경우를 제외하고 각 지역 및 가용성 도메인에서 변경사항이 별도로 구현됩니다. Oracle Patching and Security Alerts Implementation Policy를 사용하려면 Oracle Critical Patch Update and Security Alert 업데이트 및 관련 권장 사항을 배치해야 합니다. 또한 이 정책에는 위험 기반 접근 방식을 사용하여 비Oracle 기술의 취약성을 해결하기 위한 요구 사항이 포함되어 있습니다. 자세한 내용은 Critical Patch Update and Security Alert programs을 참조하십시오.

Oracle은 분기별 유지 관리와 함께 월별 인프라 보안 유지 관리 활동을 예약하고 수행합니다. 그러나 이러한 보안 패치는 CVSS 점수가 7 이상인 취약성에 대한 수정을 포함하여 중요한 보안 업데이트가 있는 달에만 적용됩니다.

Oracle Cloud 보안 테스트 정책

Oracle은 Oracle Cloud 인프라, 플랫폼 및 애플리케이션에 대해 정기적으로 침투 및 취약성 테스트와 보안 평가를 수행하여 Oracle Cloud 서비스의 전반적인 보안을 검증하고 개선합니다. However, Oracle does not assess or test any components (including non-Oracle applications, non-Oracle databases or other non-Oracle software, code or data, as may be applicable) that you manage through or introduce into ; including introduction through your development in or creation in - the Oracle Cloud services (the “Customer Components”).

Oracle Customer Security Testing Policy describes the security testing activities such as penetration testing and vulnerability scanning that Oracle customers can perform against their Oracle On-Premises Products and Oracle Cloud Services (“Security Tests” or). 총칭하여 "테스트 정책"으로 지칭되며, Oracle Cloud Services의 서비스 내역서에 포함됩니다. 이 정책은 고객 구성요소에 포함된 제3자 자료의 테스트를 수행하거나 수행할 권리를 제공하지 않습니다. 서비스 유지보수 요청을 제출하는 데 필요한 권한이 있고 해당 테스트의 대상이 될 환경에 사인인된 Oracle 계정을 보유한 고객만 취약성 또는 침투 테스트를 수행할 수 있습니다.

Oracle Cloud 서비스 계약에서 달리 허용되거나 제한되는 경우를 제외하고, 자율운영 AI 데이터베이스 서비스에 대한 시스템 레벨 액세스 권한을 가진 서비스 관리자는 Oracle Cloud 보안 테스트에 설명된 제한 사항에 따라 자율운영 AI 데이터베이스 서비스에 포함된 고객 구성요소에 대한 침투 및 취약성 테스트를 실행할 수 있습니다.

보안 테스트 FAQ를 참조하여 보안 테스트에 대한 질문에 대한 답변을 찾을 수도 있습니다.

엔드포인트, 멀웨어 및 랜섬웨어 보호

자율운영 VM 클라이언트 시스템은 아래 설명된 대로 엔드포인트, 맬웨어 및 랜섬웨어 보호를 통해 구축됩니다.

보안 사고 관리

보안 사고 감지 및 대응 팀(DART)의 전담 보안 분석가 팀은 보안 이벤트 대시보드를 연중무휴 24시간 관리하고 경고를 처리하여 실제 긍정성을 필터링합니다. 참 양수가 감지되면 이벤트의 심각도 및 영향에 따라 적절한 응답이 시작됩니다. 여기에는 추가 분석, 근본 원인 평가 및 서비스 팀과의 수정 및 고객 커뮤니케이션이 포함될 수 있습니다.

Oracle의 보안 장애 응답 정책은 보안 장애 응답에 요약되어 있습니다.

관련 콘텐츠

자율운영 AI 데이터베이스의 보안 기능