전용 Exadata 인프라의 자율운영 AI 데이터베이스의 보안 기능

이 문서에서는 전용 Exadata 인프라의 자율운영 AI 데이터베이스의 주요 보안 기능에 대해 설명합니다.

이 섹션 전체에서 "귀하"라는 용어는 특정 작업을 수행할 책임이 있는 조직의 모든 관리자를 의미하는 데 광범위하게 사용됩니다. 어떤 경우에는 플리트 관리자이고, 다른 경우에는 데이터베이스 관리자입니다.

전용 자율운영 AI 데이터베이스는 권한 분석, 네트워크 암호화, 중앙 관리 사용자, 보안 애플리케이션 역할, 투명한 민감한 데이터 보호 등과 같은 Oracle AI Database의 표준 보안 기능과 함께 Database Vault, Data Safe 및 기타 고급 보안 기능을 추가 비용 없이 추가합니다.

아래 설명된 전용 자율운영 AI 데이터베이스의 주요 보안 기능에 대한 구성 요소를 확인할 수 있습니다.

참고:

다음 이미지에서 더 자세히 탐색할 피쳐를 클릭할 수 있습니다.

그림 - 주요 보안 기능



"그림 - 주요 보안 기능"에 대한 설명

관련 항목

구성 관리

Oracle Cloud Infrastructure를 기반으로 구축된 Autonomous AI Database는 강화된 표준 보안 구성을 제공하므로 귀사와 귀사의 팀은 Autonomous AI Database 제품군 전반에 걸친 구성 관리에 막대한 시간과 비용을 소비할 필요가 없습니다. SYS 및 System과 같은 모든 서비스 계정은 90일마다 교체됩니다. 자세한 내용은 Autonomous AI Database의 구성 관리를 참고하세요.

보안 패치 및 업데이트는 자동으로 수행되므로 보안을 최신 상태로 유지하는 것에 대해 걱정할 필요가 없습니다. 이러한 기능은 고도로 민감한 데이터베이스와 데이터를 비용이 많이 들고 잠재적으로 재해가 발생할 수 있는 보안 취약점 및 침해로부터 보호합니다. 자세한 내용은 전용 자율운영 AI 데이터베이스의 서비스 유지 관리를 참고하세요.

데이터 암호화

자율운영 AI 데이터베이스는 Oracle Database의 모든 데이터를 암호화된 형식으로 저장합니다. 데이터베이스 접속 시 인증을 받은 유저와 애플리케이션만이 데이터에 액세스할 수 있습니다.

Autonomous AI Database는 저장 및 전송 중인 데이터를 보호하는 상시 암호화를 사용합니다. Oracle Cloud에 저장된 모든 데이터와 네트워크 통신은 기본적으로 암호화됩니다. 암호화를 해제할 수 없습니다.

데이터 암호화 및 마스터 암호화 키에 대한 자세한 내용은 전용 자율운영 AI 데이터베이스의 데이터 암호화를 참조하십시오.

감사

전용 Exadata 인프라의 Oracle Autonomous AI Database는 서비스 및 특정 데이터베이스에서 누가 무엇을 했는지 추적할 수 있는 강력한 감사 기능을 제공합니다. 포괄적인 로그 데이터를 사용하면 리소스에 대한 작업을 감사 및 모니터링할 수 있으므로 보안 및 운영 위험을 줄이면서 감사 요구 사항을 충족할 수 있습니다.

자세한 내용은 전용 자율운영 AI 데이터베이스의 감사 기능을 참고하세요.

액세스 제어

Dedicated Exadata Infrastructure 기능을 구성할 때는 클라우드 유저가 적절한 종류의 클라우드 리소스만 사용하여 업무를 수행할 수 있는 액세스 권한이 있는지 확인해야 합니다. 또한 권한이 부여된 직원 및 애플리케이션만 전용 인프라에서 생성된 자율운영 AI 데이터베이스에 액세스할 수 있도록 해야 합니다. 그렇지 않으면 전용 인프라 리소스를 "비용"으로 사용하거나 미션 크리티컬 데이터에 부적절하게 액세스할 수 있습니다.

데이터 및 이 데이터가 포함된 데이터베이스에 대한 액세스 보안은 여러 종류의 액세스 제어로 구성됩니다. 자세한 내용은 전용 자율운영 AI 데이터베이스 내의 액세스 제어를 참고하세요.

인증서 관리

클라이언트가 TCPS(보안 TCP) 데이터베이스 연결 서비스를 통해 자율운영 AI 데이터베이스에 연결하려고 시도할 때 Oracle Autonomous AI Database on Dedicated Exadata Infrastructure는 표준 TLS 1.2 및 TLS 1.3 인증서 기반 인증을 사용하여 연결을 인증합니다. 하지만 TLS 1.3은 Oracle AI Database 23ai 이상에서만 지원됩니다. 클라이언트가 TCPS 또는 TCP 데이터베이스 연결 서비스를 통해 연결을 시도하는지 여부에 관계없이 클라이언트의 데이터베이스 액세스는 클라이언트가 연결에 사용하는 데이터베이스 유저의 액세스 권한으로 제한됩니다.

Oracle 관리형 자체 서명 인증서

기본적으로 자율운영 AI 데이터베이스자체 서명된 인증서를 사용합니다. 자체 서명된 인증서는 시스템에서 생성된 보안 인증서입니다.

인증서 생성

Oracle 관리형 자체 서명 인증서는 자율운영 Exadata VM 클러스터(AVMC)를 프로비전하는 동안 자동으로 생성되며 해당 AVMC에서 생성된 모든 데이터베이스에 적용됩니다.

인증서 관리

자체 서명된 인증서는 자동으로 생성되어 AVMC와 연결됩니다. 그러나 데이터베이스에 접속하기 전에 자율운영 AI 데이터베이스 클라이언트 전자 지갑을 다운로드해야 합니다. 자체 서명된 인증서를 사용하는 경우 전자 지갑이 없는 데이터베이스에 연결하는 것은 선택 사항이 아닙니다. 데이터베이스의 전자 지갑 다운로드에 대한 지침은 클라이언트 인증서 다운로드를 참조하십시오.

요구 사항에 따라 다음 인증서 유형 중 하나가 AVMC와 연관됩니다.
  • 데이터베이스 SSL 인증서: 데이터베이스 클라이언트 접속을 위한 SSL 인증서입니다.
  • ORDS SSL 인증서: APEX(Application Express) 응용 프로그램에 대한 SSL 인증서입니다.
인증서 교체

조직의 보안 규제준수 요구사항을 충족하기 위해 Oracle Cloud Infrastructure(OCI) 콘솔 또는 API를 사용하여 Oracle 관리 자체 서명 인증서를 교체할 수 있습니다. 단계별 지침은 자율운영 Exadata VM 클러스터 리소스에 대한 보안 인증서 관리를 참조하십시오. 이를 인증서 교체라고 합니다.

새로 프로비전된 AVMC(자율운영 Exadata VM 클러스터) 리소스의 경우 Oracle 관리 자체 서명 인증서 생성 시 13개월 유효성이 제공됩니다. 콘솔 또는 API를 사용하여 SSL 인증서를 교체하면 서버측 및 클라이언트측 인증서가 모두 교체되고 유효성이 13개월로 재설정됩니다. Oracle에서 관리하는 서버측 또는 클라이언트측 인증서가 만료되기 전에 교체되지 않으면 Oracle은 자동으로 교체하고 새 전자 지갑을 생성합니다.

데이터베이스 SSL 인증서의 경우 인증서 교체로 인해 기존 인증서가 즉시 무효화되지 않습니다.

인증서 교체 후 2주 이내에 인증서 교체 전후에 다운로드한 자율운영 AI 데이터베이스 클라이언트 전자 지갑을 사용하여 데이터베이스에 연결할 수 있습니다.

인증서 교체 후 2주 후:

  • 데이터베이스 전자 지갑 인증서 교체 전에 다운로드가 무효화되어 데이터베이스에 접속하는 데 사용할 수 없습니다.
  • 인증서 교체에서 2주 이내에 다운로드된 데이터베이스 전자 지갑은 활성 상태로 유지되며 데이터베이스에 접속하는 데 사용할 수 있습니다.
  • 인증서 교체에서 2주 후 다운로드된 모든 새 데이터베이스 전자 지갑을 사용하여 데이터베이스에 접속할 수 있습니다.

예를 들어 다음과 같이 살펴보겠습니다.

SSL 인증서(예: C1)가 만료될 예정이며 이 인증서를 2월 1일에 교체한 것으로 간주합니다. 2월 1일부터 2월 14일까지 이전 인증서(C1)를 계속 사용할 수 있습니다. 이전 인증서(C1)를 계속 사용하거나 데이터베이스 접속을 위해 교체된 인증서(C2)에 대한 새 데이터베이스 전자 지갑을 다운로드할 수 있습니다. 2월 1일부터 2주 후, 즉 2월 14일부터 이전 인증서(C1)가 무효화되며 데이터베이스 연결에 사용할 수 없습니다. 이 2주 동안 사후 인증서 교체(C2)를 다운로드한 데이터베이스 전자 지갑을 계속 사용할 수 있습니다. 새 데이터베이스 전자 지갑을 다운로드하여 교체 후 2주 후에 데이터베이스 접속에 사용할 수도 있습니다.

가장 최근 교체에서 2주 이내 데이터베이스 SSL 인증서를 교체할 수도 있습니다. 이 시나리오에서는 이전 인증서(첫번째 교체로 인해 무효화되는 정보)가 즉시 사용 안함으로 설정됩니다. 다음 인증서(첫번째 교체를 통한 결과)는 활성 상태로 유지되고 세번째 인증서(두번째 교체를 통한 결과)는 두번째 교체를 통한 2주 동안 활성화를 기다립니다. 첫번째 교체 전에 다운로드된 모든 데이터베이스 전자 지갑은 두번째 교체 직후 무효화됩니다. 첫번째 교체 후 두번째 교체 후 2주까지 다운로드된 데이터베이스 전자 지갑을 사용하여 데이터베이스에 계속 접속할 수 있습니다. 두번째 교체 후 2주가 지나면 두번째 교체 후 다운로드된 클라이언트 전자 지갑, 즉 두번째 교체 후 2주 이내에 다운로드된 전자 지갑을 통해서만 데이터베이스에 접속할 수 있습니다.

위 예에서 동일한 인증서(C1)를 2월 1일부터 2주 이내로 다시 교체하면 인증서가 이중 회전을 거칩니다. 이 경우 이전 인증서(첫번째 교체 전 인증서, 즉 C1)가 즉시 무효화됩니다. 첫번째 교체로 인한 인증서(C2)는 활성 상태로 유지되고 두번째 교체로 인한 세번째 인증서(예: C3)는 두번째 교체로부터 2주 동안 활성화를 기다립니다. 두번째 교체 후 2주 후 첫번째 교체(C2)로 인한 인증서도 무효화되며 두번째 교체 전에 다운로드된 데이터베이스 전자 지갑은 데이터베이스 접속에 사용할 수 없습니다. 이 2주 동안 사후 인증서 교체(C3)를 다운로드한 데이터베이스 전자 지갑을 계속 사용할 수 있습니다. 새 데이터베이스 전자 지갑을 다운로드하여 두번째 교체 후 2주 후에 데이터베이스 접속에 사용할 수도 있습니다.

ORDS SSL 인증서의 경우 인증서 교체를 통해 모든 기존 애플리케이션 접속이 손실되므로 ORDS를 재시작하는 것이 좋습니다. ORDS SSL 인증서를 교체할 때는 위에서 설명한 2주 버퍼 기간이 적용되지 않습니다.

BYOC(Bring Your Own Certificate)

BYOC(자체 인증서 적용)를 사용하면 자율운영 AI 데이터베이스와 함께 CA 서명 서버측 인증서를 사용할 수 있습니다.

인증서 생성

자체 인증서를 가져오려면 먼저 인증서 생성에 설명된 대로 OCI(Oracle Cloud Infrastructure) 인증서 서비스를 사용하여 인증서를 생성해야 합니다. 이러한 인증서는 서명되어야 하고 PEM 형식이어야 합니다. 즉, 해당 파일 확장자는 .pem, .cer 또는 .crt여야 합니다.

인증서 설치

CA 서명된 서버측 인증서를 만든 후 AVMC와 함께 설치해야만 생성된 모든 데이터베이스에서 이 인증서를 보안 연결에 사용할 수 있습니다. BYOC 인증서를 AVMC와 연관시키는 작업은 OCI 콘솔의 인증서 관리 대화상자에서 쉽게 수행할 수 있습니다. 이 대화 상자에서 자체 인증서 가져오기를 선택하고 선택 목록에서 이전에 만든 인증서를 선택합니다. 선택적으로 인증 기관 및 CA 번들과 함께 CA certificate를 지정할 수도 있습니다. 단계별 지침은 자율운영 Exadata VM 클러스터 리소스에 대한 보안 인증서 관리를 참조하십시오.

인증서 관리
자율운영 AI 데이터베이스 클라이언트 전자 지갑을 사용하거나 사용하지 않고 CA 서명 서버측과 연관된 자율운영 AI 데이터베이스에 연결할 수 있습니다.
  • 데이터베이스 전자 지갑을 사용하여 데이터베이스에 접속하려면 먼저 OCI 콘솔을 사용하여 데이터베이스 세부정보 페이지에서 클라이언트 인증서를 다운로드해야 합니다. 지침은 클라이언트 인증서 다운로드를 참조하십시오.
  • 클라이언트 전자 지갑 없이 데이터베이스에 접속하려면 다음 사항을 확인해야 합니다.
    • 단방향 TLS 연결은 AVMC 레벨에서 사용으로 설정됩니다. AVMC를 프로비전하는 동안 고급 옵션리스너 매개변수를 사용하여 정의된 설정입니다. 자세한 내용은 자율운영 Exadata VM 클러스터 생성을 참조하십시오.
    • CA 서명된 서버측 인증서는 잘 알려진 공용 CA에 의해 서명되므로 기본적으로 클라이언트 운영 체제에서 신뢰됩니다.
인증서 교체

조직의 보안 규제준수 요구사항을 충족하기 위해 Oracle Cloud Infrastructure(OCI) 콘솔 또는 API를 사용하여 CA 서명 서버측 인증서를 교체할 수 있습니다. 단계별 지침은 자율운영 Exadata VM 클러스터 리소스에 대한 보안 인증서 관리를 참조하십시오.

유효 인증서를 제공할 때까지 이 AVMC의 데이터베이스에 연결할 수 없는 만료 날짜 이전에 해당 AVMC를 교체해야 합니다. 그러나 TLS가 아닌 포트(예: 1521)에서 데이터베이스에 계속 액세스할 수 있습니다.

인증서 이벤트

다음 이벤트가 보안 인증서 관리를 위해 게시됩니다.
이벤트 생성 시간
sslcertificateexpiry.reminder 자율운영 Exadata VM 클러스터에 따라 전자 지갑 만료 기한이 6주 미만으로 결정됩니다. 이 이벤트는 주당 최대 한 번 보고됩니다. 이 이벤트는 만료될 전자 지갑을 사용하는 연결이 있을 때 트리거됩니다.
sslcertificate.expired SSL 인증서가 만료됩니다. 이 자율운영 Exadata VM 클러스터와 관련된 모든 자율운영 AI 데이터베이스 전자 지갑이 만료됩니다.
sslcertificaterotation.reminder SSL 인증서가 365일보다 오래되었으며 고객이 인증서를 교체할 것을 권장합니다. SSL 인증서가 365일을 넘은 후 이 미리 알림은 교체될 때까지 주당 한 번입니다.
sslcertificate.rotated SSL 인증서는 Oracle Cloud Infrastructure 콘솔 또는 API를 사용하여 수동으로 또는 만료 시 자동으로 교체됩니다.

참고:

OCI Notifications Service를 통해 해당 이벤트를 구독하여 게시될 때마다 수신합니다. 자세한 내용은 구독 생성을 참조하십시오.

자율운영 AI 데이터베이스 이벤트의 전체 목록은 전용 Exadata 인프라의 자율운영 AI 데이터베이스 이벤트를 참조하십시오.

데이터 보호

데이터 보호는 모든 데이터베이스에서 데이터 보안의 중요한 측면입니다. 권한 있는 데이터베이스 계정은 데이터베이스의 중요한 응용 프로그램 데이터에 액세스하기 위해 가장 일반적으로 사용되는 경로 중 하나입니다. ADMIN 또는 Oracle 운영자와 같은 권한 있는 유저는 데이터베이스 유지 관리를 용이하게 하기 위해 광범위하고 무제한의 액세스가 필요하지만 동일한 액세스는 대량의 데이터에 대한 액세스 권한을 얻기 위한 공격 지점도 생성합니다.

자율운영 AI 데이터베이스는 다음을 사용하여 권한 있는 액세스 관리(PAM)를 구현할 수 있게 해줍니다:

  • Oracle Database VaultAutonomous AI Database에서 사전 구성되고 즉시 사용할 수 있습니다. 강력한 보안 제어를 사용하여 권한이 있는 데이터베이스 사용자의 애플리케이션 데이터 액세스를 제한하고 내부자 및 외부 위협의 위험을 줄이며 일반적인 규정 준수 요구 사항을 해결할 수 있습니다.

    컨트롤을 배포하여 애플리케이션 데이터에 대한 권한 있는 계정 액세스를 차단하고 데이터베이스 내에서 중요한 작업을 제어할 수 있습니다. 인증된 데이터 액세스 및 데이터베이스 변경에 추가 보안 제어를 추가하도록 신뢰할 수 있는 경로를 구성할 수 있습니다. 권한 및 롤에 대한 런타임 분석을 통해 최소 권한을 구현하고 데이터베이스 계정의 공격 프로파일을 줄여 기존 응용 프로그램의 보안을 향상시킬 수 있습니다. Database Vault는 기존 데이터베이스 환경을 투명하게 보호하여 비용이 많이 들고 시간이 많이 소요되는 애플리케이션 변경을 제거합니다.

    Oracle AI Database Vault는 주로 다음과 같은 데이터베이스 보안 문제를 해결합니다.

    • 애플리케이션 데이터에 대한 관리 권한 계정 액세스: 데이터베이스 관리자는 가장 강력하고 신뢰할 수 있는 사용자이지만 이 관리자는 데이터베이스 내에 있는 애플리케이션 데이터에 액세스할 필요가 없습니다.

      애플리케이션 스키마, 민감한 테이블 및 내장 절차에 대한 Oracle AI Database Vault 영역은 침입자 및 내부자가 민감한 애플리케이션 데이터에 액세스하기 위해 권한 있는 계정을 악용하지 못하도록 하는 제어를 제공합니다. 자세한 내용은 Oracle Database 19c Administrator's GuideHow Oracle AI Database Vault Protects Privileged User Accounts 또는 Oracle Database 26ai Administrator's Guide를 참조하십시오.

    • 애플리케이션 데이터 액세스에 대한 책임 구분: Oracle AI Database Vault 책임 구분 제어를 커스터마이징할 수 있으며, 제한된 리소스를 보유한 조직은 동일한 관리자에게 여러 Oracle AI Database Vault 책임을 지정할 수 있지만, 하나의 계정이 도난되고 활용되는 경우 각 책임 구분 역할에 대해 별도의 계정을 사용하여 데이터베이스 손상을 최소화할 수 있습니다. 자세한 내용은 Oracle Database 19c Administrator's GuideHow Oracle AI Database Vault Addresses Database Consolidation Concerns 또는 Oracle Database 26ai Administrator's Guide를 참조하십시오.

    Database Vault를 사용하기 전에 What to Expect After You Enable Oracle AI Database Vault in Oracle Database 19c Administrator's Guide 또는 Oracle Database 26ai Administrator's Guide를 검토하여 Database Vault 구성 및 활성화의 영향을 이해하십시오.

    자율운영 AI 데이터베이스에서 Database Vault를 구성하고 사용으로 설정하는 방법에 대한 자세한 내용은 Oracle AI Database Vault를 사용하여 데이터베이스 사용자 권한 관리를 참조하십시오.

    참고:

    To try out the process of setting up Database Vault, run Lab 1: Protect Data With Database Vault in Oracle Autonomous AI Database Dedicated for Security Administrators Workshop.
  • 또한 PAM은 고객 승인 사용을 위한 데이터를 보호하고, 무단 액세스로부터 데이터를 보호하는 데 사용되며, 여기에는 Oracle Cloud Operations 및 지원 직원의 고객 데이터 액세스를 방지하는 것이 포함됩니다. Oracle Operations Access Control은 Oracle Cloud 운영 및 지원 직원이 성능을 모니터링 및 분석하는 데 사용하는 사용자 계정이 자율운영 AI 데이터베이스의 데이터에 액세스할 수 없도록 보장합니다. 자세한 내용은 Privileged Access Management를 참조하십시오.

중요한 데이터 검색 및 데이터 마스킹

민감한 데이터(예: 신용 카드 번호, SSN)를 식별하고 필요에 따라 마스킹 또는 수정하면 데이터 보호 및 전반적인 데이터 보안이 향상됩니다.

  • 전용 Exadata 인프라의 Oracle Autonomous AI DatabaseOracle Data Safe 서비스와의 통합을 지원하므로 데이터베이스를 평가하고 보호할 수 있습니다. Oracle Data Safe는 데이터의 민감도를 파악하고, 데이터의 위험을 평가하고, 중요한 데이터를 마스크하고, 보안 제어를 구현 및 모니터하고, 사용자 안전을 평가하고, 사용자 작업을 모니터하고, 데이터베이스의 데이터 보안 준수 요구사항을 해결하는 데 도움이 됩니다.

    사용이 간편한 단일 관리 콘솔에서 다음과 같은 기능 세트를 제공합니다.

    • 보안 평가는 데이터베이스 구성의 보안을 평가하는 데 도움이 됩니다.

    • 사용자 평가는 데이터베이스 사용자의 보안을 평가하고 고위험 사용자를 식별하는 데 도움이 됩니다.

    • 데이터 검색을 사용하면 데이터베이스에서 중요한 데이터를 찾을 수 있습니다. 데이터 마스킹은 데이터가 비운용 용도로 안전하게 보호되도록 중요한 데이터를 마스킹할 수 있는 방법을 제공합니다.

    • Activity Auditing에서는 데이터베이스에 대한 사용자 작업을 감사할 수 있으므로 데이터베이스 사용을 모니터하고 비정상적인 데이터베이스 작업에 대해 경고를 받을 수 있습니다.

    Data Safe 사용에 대한 자세한 내용은 Oracle Data Safe 사용Oracle Data Safe 개요를 참조하십시오.

    Oracle Data Safe를 사용하여 자율운영 AI 데이터베이스의 민감한 규제 대상 데이터를 식별하고 보호하려면 데이터베이스를 Data Safe에 등록해야 합니다. Data Safe에 데이터베이스를 등록한 후 자율운영 AI 데이터베이스의 세부정보 페이지에서 직접 Data Safe 콘솔로 이동할 수 있습니다. 데이터베이스 등록에 대한 자세한 내용은 Data Safe에 전용 자율운영 AI 데이터베이스 등록 또는 등록 해제를 참조하십시오.

  • 런타임 시 응용 프로그램에서 실행한 질의가 신용 카드 번호 또는 개인 ID와 같은 중요한 정보가 포함된 결과 집합을 반환하는 경우 Oracle Data Redaction을 사용하면 결과 집합을 응용 프로그램에 반환하기 전에 중요한 세부 정보를 마스킹할 수 있습니다. DBMS_REDACT PL/SQL 패키지를 사용하여 데이터 개정에 대한 정책을 구현할 수 있습니다. Oracle Database 19c PL/SQL Packages and Types Reference 또는 Oracle Database 26ai PL/SQL Packages and Types ReferenceDBMS_REDACT을 참조하십시오.

규정 준수 인증

Autonomous AI Database on Dedicated Exadata Infrastructure는 다음과 같은 광범위한 국제 및 산업별 규제준수 표준을 충족합니다.

  • FedRAMP High—Federal Risk and Authorization Management Program(미국) 정부 지역만 해당)
  • HIPAA—건강 보험 이전 및 책임법
  • ISO / IEC 27001 : 2013 - 국제 표준화기구 27001
  • ISO/IEC 27017:2015—클라우드 서비스를 위한 ISO/IEC 27002 기반 정보 보안 제어 실무 코드
  • ISO/IEC 27018:2014—PII 프로세서로 작동하는 퍼블릭 클라우드에서 개인 식별 정보(PII) 보호를 위한 실무 코드
  • PCI DSS—Payment Card Industry Data Security Standard는 신용 카드 정보를 처리, 저장 또는 전송하는 모든 회사가 안전한 환경을 유지할 수 있도록 하기 위한 일련의 요구 사항입니다.
  • SOC 1 - 시스템 및 조직 제어 1
  • SOC 2 - 시스템 및 조직 제어 2

자세한 내용과 인증의 전체 목록은 Oracle Cloud 규제준수를 참조하십시오.