Autonomous Database on Dedicated Exadata Infrastructure 내 액세스 제어

Autonomous Database on Dedicated Exadata Infrastructure를 구성할 때는 클라우드 사용자가 업무를 수행할 수 있는 적절한 종류의 클라우드 리소스만 사용하고 생성할 수 있도록 해야 합니다. 또한 권한이 부여된 직원 및 애플리케이션만 전용 인프라에서 생성된 자율운영 데이터베이스에 액세스할 수 있도록 해야 합니다. 그렇지 않으면 전용 인프라 리소스가 "사용되지 않는" 위험을 감수하거나 미션 크리티컬 데이터에 부적절하게 액세스할 수 있습니다.

전용 인프라 기능을 제공하는 클라우드 리소스를 생성 및 사용하기 전에 액세스 제어 계획을 공식화한 다음 적절한 IAM(ID 및 액세스 관리) 및 네트워킹 리소스를 생성하여 기관을 만들어야 합니다. 따라서 Autonomous Database 내의 액세스 제어는 다음과 같은 다양한 수준으로 구현됩니다.

• Oracle cloud 사용자 액세스 제어
• 클라이언트 액세스 제어
• 데이터베이스 사용자 액세스 제어

Oracle Cloud 사용자 접근 제어

전용 Exadata 인프라의 Autonomous Database 배포를 구성하는 클라우드 리소스에 대한 테넌시의 Oracle Cloud 사용자의 액세스를 제어합니다.

IAM(Identity and Access Management) 서비스를 사용하여 클라우드 사용자가 적절한 종류의 Autonomous Database 리소스만 생성 및 사용할 수 있도록 작업 업무를 수행할 수 있도록 합니다. 클라우드 사용자를 위한 액세스 제어를 구현하기 위해 특정 구획의 특정 리소스 종류에 대한 특정 사용자 그룹에 특정 액세스 권한을 부여하는 정책을 정의합니다.

IAM 서비스는 보안 클라우드 사용자 액세스 전략을 정의하고 구현하는 데 도움이 되는 여러 종류의 구성요소를 제공합니다.

• 구획: 관련 리소스 모음입니다. 구획은 클라우드 리소스를 구성하고 격리하기 위한 Oracle Cloud Infrastructure의 기본 구성요소입니다.

• 그룹: 모든 사용자가 특정 리소스 또는 컴파트먼트 모음에 대해 동일한 유형의 액세스를 필요로 합니다.

• 동적 그룹: 정의한 규칙과 일치하는 리소스를 포함하는 특수 그룹 유형입니다. 따라서 일치하는 리소스가 생성되거나 삭제될 때 멤버쉽이 동적으로 변경될 수 있습니다.

• 정책: 누가 어떤 리소스에 액세스할 수 있는지, 어떻게 액세스할 수 있는지 지정하는 명령문 그룹입니다. 그룹 및 구획 레벨에서 액세스가 부여됩니다. 즉, 특정 그룹에 특정 구획 내의 특정 리소스 유형에 대한 특정 유형의 액세스 권한을 부여하는 정책 문을 작성합니다.

정책 및 정책 문

클라우드 사용자에 대한 액세스 제어를 정의하는 데 사용하는 기본 도구는 "Who", "How", "What", "Where" 측면에서 액세스를 지정하는 정책 문을 포함하는 IAM(Identity and Access Management) 리소스인 policy입니다.

정책 문 형식은 다음과 같습니다.

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name>는 개별 클라우드 사용자를 지정할 수 있는 IAM 리소스인 기존 IAM 그룹의 이름을 제공하여 "누구"를 지정합니다.

• to <control-verb>는 다음과 같이 미리 정의된 제어 동사 중 하나를 사용하는 "방법"을 지정합니다.

  • inspect: 해당 리소스의 일부일 수 있는 기밀 정보 또는 사용자 지정 메타데이터에 액세스하지 않고 지정된 유형의 리소스를 나열하는 기능입니다.
  • read: inspect 및 사용자 지정 메타데이터 및 실제 리소스 자체를 가져오는 기능.
  • use: read 및 기존 리소스를 사용하지만 만들거나 삭제하지 않는 기능. 또한 "work with"는 리소스 유형별로 서로 다른 작업을 의미합니다.
  • manage: 생성 및 삭제를 포함하여 리소스 유형에 대한 모든 권한입니다.

  전용 인프라 기능 컨텍스트에서 플리트 관리자는 자율운영 컨테이너 데이터베이스를 manage할 수 있고, 데이터베이스 관리자는 자율운영 데이터베이스를 생성하기 위해 use만 수행할 수 있습니다.

• <resource-type>는 미리 정의된 리소스 유형을 사용하여 "What"을 지정합니다. 전용 기반 구조 리소스에 대한 리소스 유형 값은 다음과 같습니다.

  • exadata-infrastructures
  • autonomous-container-databases
  • autonomous-databases
  • autonomous-backups

  전용 인프라 리소스는 네트워킹 리소스를 사용하기 때문에 사용자가 만드는 일부 정책 문은 virtual-network-family 리소스 유형 값을 참조합니다. 또한 테넌시에서 태그 지정이 사용되는 경우 tag-namespaces 리소스 유형 값을 참조하는 정책 문을 생성할 수 있습니다.

• in compartment <compartment-name>는 리소스가 생성되는 IAM 리소스인 기존 IAM 컴파트먼트의 이름을 제공하여 "위치"를 지정합니다. 구획은 클라우드 리소스를 구성하고 격리하기 위한 Oracle Cloud Infrastructure의 기본 구성요소입니다.

Autonomous Database에 대한 정책 세부정보는 IAM Policies for Autonomous Database on Dedicated Exadata Infrastructure을 참조하십시오.

IAM 서비스와 해당 구성요소의 작동 방식 및 사용 방법에 대한 자세한 내용은 Oracle Cloud Infrastructure Identity and Access Management 개요를 참조하십시오. IAM에 대한 일반적인 질문에 대한 빠른 답변은 ID 및 접근 관리 FAQ를 참조하십시오.

액세스 제어를 계획 및 사용하는 경우 최적의 사용법(Best Practice)

전용 인프라 기능에 대한 액세스 제어를 계획하고 설정할 때는 이러한 모범 사례를 고려해야 합니다.

• 프라이빗 서브넷만 포함하는 별도의 VCN을 생성합니다. 거의 모든 경우에서 자율운영 데이터베이스는 회사에 민감하며 일반적으로 회사의 사설 네트워크 내에서만 액세스할 수 있는 전용 인프라 하우스 데이터에 생성됩니다. 파트너, 공급업체, 소비자 및 고객과 공유되는 데이터도 규제되고 안전한 채널을 통해 이용할 수 있습니다.

  따라서 이러한 데이터베이스에 제공하는 네트워크 액세스는 회사의 사설 데이터베이스여야 합니다. 프라이빗 서브넷을 사용하는 VCN과 IPSec VPN 또는 FastConnect을 생성하여 회사의 프라이빗 네트워크에 접속하면 됩니다. 해당 구성 설정에 대한 자세한 내용은 Oracle Cloud Infrastructure 문서의 시나리오 B: VPN을 사용하는 전용 서브넷을 참조하십시오.

  데이터베이스에 대한 네트워크 연결 보안에 대한 자세한 내용은 Oracle Cloud Infrastructure 문서의 네트워크 보안 방법을 참조하십시오.

• 두 개 이상의 서브넷을 생성합니다. You should create at least two subnets: one for Autonomous Exadata VM Cluster and Autonomous Container Database resources and one for resources associated with clients and applications of Autonomous Database.

• 구획을 두 개 이상 생성합니다. You should create at least two compartments: one for Exadata Infrastructure, Autonomous Exadata VM Cluster and Autonomous Container Database resources and one for Autonomous Database resources.

• 최소 두 개의 그룹을 생성합니다. 적어도 두 개의 그룹(플리트 관리자용과 데이터베이스 관리자용)을 생성해야 합니다.

클라이언트 액세스 제어

클라이언트 액세스 제어는 네트워크 액세스 제어 및 클라이언트 접속을 제어하여 Autonomous Database에서 구현됩니다.

네트워크 액세스 제어

Oracle Autonomous Database의 전용 배포를 설정하고 구성할 때 자율운영 데이터베이스에 대한 네트워크 액세스 제어를 정의합니다. 이를 수행하는 방법은 전용 배포가 Oracle Public Cloud 또는 Exadata Cloud@Customer에 있는지 여부에 따라 달라집니다.

• Oracle Public Cloud에서는 네트워킹 서비스의 구성요소를 사용하여 네트워크 액세스 제어를 정의합니다. 자율운영 데이터베이스가 네트워크에 액세스할 수 있는 전용(private) 서브넷이 포함된 VCN(가상 클라우드 네트워크)을 생성합니다. 또한 특정 유형의 트래픽이 서브넷의 IP 주소에 들어오거나 나갈 수 있도록 보안 규칙을 생성합니다.

  해당 리소스 생성에 대한 자세한 내용을 보려면 플리트 관리자 전용 Oracle Autonomous Database에서 Lab 1: Prepare Private Network for OCI Implementation을 실행하십시오.

• Exadata Cloud@Customer에서 데이터 센터 내의 클라이언트 네트워크를 지정하고 Exadata 인프라 리소스 내의 VM 클러스터 네트워크 리소스에 기록하여 네트워크 액세스 제어를 정의합니다.

ZPR(Zero Trust Packet Routing)

적용 대상: Oracle Public Cloud 전용

Oracle Cloud Infrastructure 제로 트러스트 패킷 라우팅(ZPR)은 보안 속성을 지정하는 자율운영 Exadata VM 클러스터(AVMC)와 같이 리소스에 대해 쓰는 의도 기반 보안 정책을 통해 무단 액세스로부터 민감한 데이터를 보호합니다.

보안 속성은 ZPR이 리소스를 식별하고 구성하는 데 사용하는 레이블입니다. ZPR은 잠재적인 네트워크 아키텍처 변경 또는 잘못된 구성에 관계없이 액세스가 요청될 때마다 네트워크 레벨에서 정책을 적용합니다. ZPR은 기존 NSG(네트워크 보안 그룹) 및 SCL(보안 제어 목록) 규칙을 기반으로 합니다. 패킷이 대상에 도달하려면 모든 NSG 및 SCL 규칙과 ZPR 정책을 통과해야 합니다. NSG, SCL 또는 ZPR 규칙이나 정책에서 트래픽을 허용하지 않는 경우 요청이 삭제됩니다.

다음 세 단계로 ZPR을 사용하여 네트워크를 보호할 수 있습니다.

1. ZPR 아티팩트, 즉 security attribute namespaces 및 security attributes을 만듭니다.

2. 보안 속성을 사용하여 리소스에 접속하려면 ZPR 정책을 작성합니다. ZPR은 ZPR 정책 언어(ZPL)를 사용하며 정의된 리소스에 대한 액세스 제한을 적용합니다. Autonomous Database on Dedicated Exadata Infrastructure 고객은 테넌시에 ZPL 기반 정책을 작성하여 AVMC의 데이터에 권한이 부여된 사용자 및 리소스가만 액세스하도록 할 수 있습니다.

3. ZPR 정책을 사용으로 설정하려면 리소스에 보안 속성을 지정합니다.

주:

Oracle Cloud Infrastructure 콘솔, API 또는 CLI를 통해 클라우드 리소스에 설명, 태그, 보안 속성 또는 친숙한 이름을 지정할 때 기밀 정보를 입력하지 마십시오.

자세한 내용은 Getting Started with Zero Trust Packet Routing를 참조하십시오.

AVMC에 ZPR 보안 속성을 적용할 수 있는 옵션은 다음과 같습니다.

• AVMC를 프로비저닝할 때 보안 속성을 적용합니다. 자세한 내용은 자율운영 Exadata VM 클러스터 생성을 참조하십시오.

• 기존 AVMC 리소스에 보안 속성을 적용합니다. 자세한 내용은 Configure Zero Trust Packet Routing (ZPR) for an AVMC을 참조하십시오.

AVMC에 ZPR 보안 속성을 성공적으로 추가하려면 사전 요구사항으로 다음 IAM 정책을 정의해야 합니다.

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

ACL(액세스 제어 목록)

추가 보안을 위해 Oracle Public Cloud 및 Exadata Cloud@Customer 전용 배포 모두에서 ACL(액세스 제어 목록)을 사용으로 설정할 수 있습니다. ACL은 특정 IP 주소를 가진 클라이언트만 데이터베이스에 연결할 수 있도록 하여 데이터베이스에 대한 추가 보호를 제공합니다. IP 주소를 개별적으로 또는 CIDR 블록에 추가할 수 있습니다. IPv4 및 IPv6 기반 IP/CIDR이 모두 지원됩니다. 이를 통해 Autonomous Database의 네트워크 액세스를 특정 애플리케이션 또는 클라이언트로 제한하여 세분화된 액세스 제어 정책을 공식화할 수 있습니다.

선택적으로 데이터베이스 프로비저닝 중에 또는 이후에 언제든지 ACL을 만들 수 있습니다. 또한 언제든지 ACL을 편집할 수도 있습니다. IP 주소 목록이 비어 있는 ACL을 사용으로 설정하면 데이터베이스에 액세스할 수 없게 됩니다. 자세한 내용은 전용 Autonomous Database에 대한 액세스 제어 목록 설정을 참조하십시오.

Autonomous Database에서 ACL을 사용하는 방법에 대한 다음 사항에 유의하십시오.

• Autonomous Database 서비스 콘솔에는 ACL 규칙이 적용되지 않습니다.
• Oracle Application Express(APEX), RESTful 서비스, SQL Developer Web 및 Performance Hub에는 ACL이 적용되지 않습니다.
• Autonomous Database를 생성하는 동안 ACL 설정이 실패하면 데이터베이스 프로비전도 실패합니다.
• ACL 업데이트는 데이터베이스가 사용 가능 상태인 경우에만 허용됩니다.
• 데이터베이스를 복원해도 기존 ACL을 덮어쓰지 않습니다.
• 데이터베이스 전체 및 메타 데이터를 복제할 때는 원본 데이터베이스와 동일한 액세스 제어 설정이 사용됩니다. 필요한 대로 변경할 수 있습니다.
• 백업에는 ACL 규칙이 적용되지 않습니다.
• ACL 업데이트 중에는 모든 CDB(자율운영 컨테이너 데이터베이스) 작업이 허용되지만, Autonomous Database 작업은 허용되지 않습니다.

WAF(웹 애플리케이션 방화벽)

액세스 제어 목록 이외의 고급 네트워크 제어의 경우 Oracle Autonomous Database는 WAF(웹 애플리케이션 방화벽) 사용을 지원합니다. WAF는 원치 않는 악의적인 인터넷 트래픽으로부터 애플리케이션을 보호합니다. WAF는 인터넷에 접속하는 모든 끝점을 보호할 수 있으며, 고객의 애플리케이션에 대해 일관된 규칙을 적용합니다. WAF는 사이트 간 스크립팅(XSS), SQL 삽입 및 기타 OWASP 정의 취약성을 비롯하여 인터넷 위협에 대한 규칙을 생성하고 관리할 수 있는 기능을 제공합니다. 액세스 규칙은 지역 또는 요청 서명을 기준으로 제한할 수 있습니다. WAF 구성 방법에 대한 단계는 웹 애플리케이션 방화벽 정책 시작하기를 참조하십시오.

클라이언트 접속 제어

Oracle Autonomous Database는 클라이언트 연결을 인증하기 위해 표준 TLS 1.2 및 TLS 1.3 인증서 기반 인증으로 클라이언트 연결 제어를 구현합니다. 하지만 TLS 1.3은 Oracle Database 23ai 이상에서만 지원됩니다.

기본적으로 Autonomous Database는 자체 서명된 인증서를 사용합니다. 그러나 Oracle Cloud Infrastructure(OCI) 콘솔에서 CA 서명 서버측 인증서를 설치할 수 있습니다. 자체 인증서를 가져오려면 먼저 인증서 생성에 설명된 대로 OCI(Oracle Cloud Infrastructure) 인증서 서비스를 사용하여 인증서를 생성해야 합니다. 이러한 인증서는 서명되어야 하고 PEM 형식이어야 합니다. 즉, 해당 파일 확장자는 .pem, .cer 또는 .crt여야 합니다. 자세한 내용은 Certificate Management in Dedicated Autonomous Database를 참조하십시오.

데이터베이스 사용자 액세스 제어

Oracle Autonomous Database는 사용자가 생성한 데이터베이스를 Oracle Database의 표준 사용자 관리 기능을 사용하도록 구성합니다. 추가 유저 계정을 생성하고 계정에 대한 액세스 제어를 제공하는 데 사용하는 관리 유저 계정 ADMIN이 생성됩니다.

표준 사용자 관리는 대부분의 경우 보안 데이터베이스 사용자 액세스 전략을 정의하고 구현할 수 있도록 시스템 및 객체 권한, 롤, 사용자 프로파일 및 비밀번호 정책과 같은 강력한 기능 및 제어 집합을 제공합니다. 자세한 지침은 데이터베이스 사용자 생성 및 관리를 참조하십시오.

표준 사용자 관리에 대한 기본 정보는 User Accounts in Oracle Database Concepts을 참조하십시오. 자세한 내용 및 지침은 Oracle Database 19c Security Guide의 Managing Security for Oracle Database Users 또는 Oracle Database 23ai Security Guide를 참조하십시오.

데이터베이스 사용자 액세스 전략에 표준 사용자 관리에서 제공하는 것보다 더 많은 제어가 필요한 경우, 다음 도구 중 하나를 사용하여 보다 엄격한 요구 사항을 충족하도록 자율운영 데이터베이스를 구성할 수 있습니다.

도구	설명
Database Vault	Oracle Database Vault는 사전 구성되어 있으며 Autonomous Database에서 바로 사용할 수 있습니다. 강력한 보안 제어를 사용하여 권한이 있는 데이터베이스 사용자의 애플리케이션 데이터 액세스를 제한하여 내부자 및 외부 위협의 위험을 줄이고 일반적인 규정 준수 요구 사항을 해결할 수 있습니다. 자세한 내용은 Data Protection in Security Features of Autonomous Database을 참조하십시오.
Oracle Cloud Infrastructure Identity and Access Management(IAM)	Autonomous Database가 Oracle Cloud Infrastructure IAM(Identity and Access Management) 인증 및 권한 부여를 사용하여 IAM 사용자가 IAM 자격 증명을 사용하여 Autonomous Database에 액세스할 수 있도록 구성할 수 있습니다. 이 옵션을 데이터베이스에서 사용하려면 Autonomous Database와 함께 IAM(ID 및 액세스 관리) 인증 사용을 참조하십시오.
Azure OAuth2 액세스 토큰	Azure oAuth2 액세스 토큰을 사용하여 Microsoft Azure Active Directory(Azure AD) 서비스에서 Oracle Autonomous Database 사용자를 중앙에서 관리할 수 있습니다. 이러한 유형의 통합을 통해 Azure AD 사용자는 Oracle Autonomous Database 인스턴스에 액세스할 수 있습니다. Azure AD 사용자 및 애플리케이션은 Azure AD SSO(Single Sign On) 자격 증명으로 로그인하여 데이터베이스에 전송할 Azure AD OAuth2 액세스 토큰을 가져올 수 있습니다. Microsoft Azure Active Directory를 데이터베이스와 통합하는 방법에 대한 자세한 내용은 Authenticate and Authorize Microsoft Azure Active Directory Users for Autonomous Database를 참조하십시오.
Microsoft Active Directory(CMU-AD)	Microsoft Active Directory를 사용자 저장소로 사용하는 경우 Microsoft Active Directory 사용자를 인증하고 권한을 부여하도록 Autonomous Database를 구성할 수 있습니다. 이 통합을 사용하면 표준 사용자 관리, Database Vault, Real Application Security 또는 Virtual Private Database를 사용하는지 여부에 관계없이 엄격한 데이터베이스 사용자 액세스 전략을 구현하면서 사용자 저장소를 통합할 수 있습니다. Microsoft Active Directory를 데이터베이스와 통합하는 방법에 대한 자세한 내용은 Microsoft Active Directory with Autonomous Database를 참조하십시오.
Kerberos	Kerberos는 공유 보안을 기반으로 하는 신뢰할 수 있는 타사 인증 시스템입니다. 타사에서 보안이 유지되고 Single Sign-On 기능, 중앙 집중식 암호 저장, 데이터베이스 링크 인증 및 향상된 PC 보안을 제공하는 것으로 가정합니다. Kerberos 인증 서버를 통해 이 작업을 수행합니다. Kerberos에 대한 Autonomous Database 지원은 Oracle 사용자의 Single Sign-On 및 중앙 집중식 인증의 이점을 제공합니다. 자세한 내용은 Authenticate Autonomous Database Users with Kerberos를 참조하십시오.
CMU-AD가 있는 Kerberos	Microsoft Active Directory 사용자에 대해 CMU-AD Kerberos 인증을 제공하도록 CMU-AD를 기반으로 Kerberos 인증을 구성할 수 있습니다. Microsoft Active Directory 사용자에 대해 CMU-AD Kerberos 인증을 제공하려면 Enable Kerberos Authentication on Autonomous Database에 설명된 예제에 설명된 대로 외부 인증을 사용으로 설정하면서 type를 CMU로 설정하여 CMU-AD에서 Kerberos 인증을 사용으로 설정할 수 있습니다.
Real Application Security 및 Virtual Private Database	Oracle Real Application Security(RAS)는 보호되는 업무 객체뿐만 아니라 이러한 업무 객체에 대해 작업 권한이 있는 주체(사용자 및 롤)를 포함하는 보안 정책을 활성화하는 선언적 모델을 제공합니다. RAS는 이전 버전인 Oracle Virtual Private Database보다 더 안전하고 확장 가능하며 비용 효율적입니다. Oracle RAS를 사용하면 애플리케이션 사용자는 데이터베이스뿐 아니라 애플리케이션 계층에서도 인증됩니다. 데이터 액세스 경로에 관계없이 데이터 보안 정책은 데이터베이스의 일반 사용자 고유 세션을 기반으로 데이터베이스 커널에 적용됩니다. 유저에게 할당된 권한은 데이터베이스 객체의 행과 열에 대해 수행할 수 있는 작업 유형(선택, 삽입, 갱신, 삭제)을 제어합니다. Oracle RAS에 대한 자세한 내용은 Oracle Database 19c Real Application Security Administrator's and Developer's Guide 또는 Oracle Database 23ai Real Application Security Administrator's and Developer's Guide의 Introducing Oracle Database Real Application Security를 참조하십시오. Oracle Autonomous Database는 또한 Oracle RAS의 이전 버전인 Oracle Virtual Private Database(VPD)도 지원합니다. 이미 Oracle VPD에 대해 잘 알고 있으면 자율운영 데이터베이스를 구성하고 사용할 수 있습니다. 가상 전용 데이터베이스에 대한 자세한 내용은 Oracle Virtual Private Database를 사용하여 데이터 액세스 제어( Oracle Database 19c Security Guide) 또는 Oracle Database 23ai Security Guide)를 참조하십시오.

PAM(권한 있는 액세스 관리)

제품 및 서비스에 대한 사용자 액세스 및 권한 관리에 대한 Oracle의 보안 상태는 Oracle Access Control에 설명되어 있습니다.

Autonomous Database on Dedicated Exadata Infrastructure는 고객 서비스 및 데이터베이스 데이터를 무단 액세스로부터 격리하고 보호하도록 설계되었습니다. Autonomous Database는 고객과 Oracle 간의 업무를 구분합니다. 고객은 데이터베이스 스키마에 대한 액세스를 제어합니다. Oracle은 Oracle 관리 기반 구조 및 소프트웨어 구성 요소에 대한 액세스를 제어합니다.

Autonomous Database on Dedicated Exadata Infrastructure는 고객이 승인한 사용을 위해 데이터를 보호하고, Oracle Cloud Ops 직원의 고객 데이터 액세스를 차단하는 등 무단 액세스로부터 데이터를 보호하도록 설계되었습니다. Exadata 인프라, 자율운영 VM 및 Oracle 데이터베이스 데이터에 대한 무단 액세스를 방지하기 위해 설계된 보안 조치는 다음과 같습니다.

• Oracle Database 데이터는 Oracle TDE(Transparent Data Encryption) 키로 보호됩니다.
• 고객은 TDE 암호화 키에 대한 액세스를 제어하고 해당 키를 외부 Oracle Key Vault 키 관리 시스템에 저장하도록 선택할 수 있습니다.
• Oracle Database Vault는 권한이 있는 사용자가 Autonomous Database의 고객 데이터에 액세스하지 못하도록 사전 구성되어 있습니다.
• 고객은 운영자 액세스 제어 서비스 등록을 통해 운영자 액세스를 승인하도록 선택할 수 있습니다.
• 모든 운영자 액세스는 Oracle 승인 장치로 구현된 하드웨어 YubiKey로 구현된 FIPS 140-2 레벨 3 하드웨어 다중 요소 인증을 기반으로 합니다.
• 모든 운영자 작업은 명령 레벨에서 기록되며 거의 실시간으로 OCI 로깅 서비스 또는 고객 SIEM으로 전송될 수 있습니다.

• Oracle Operations Access Control은 Oracle Cloud 운영 및 지원 직원이 성능을 모니터링하고 분석하는 데 사용하는 사용자 계정이 Autonomous Database의 데이터에 액세스할 수 없도록 보장합니다. Oracle Cloud 운영 및 지원 담당자는 Autonomous Database의 데이터에 액세스할 수 없습니다. 자율운영 컨테이너 데이터베이스를 생성할 때 Autonomous Database on Dedicated Exadata Infrastructure는 일반 사용자가 컨테이너 데이터베이스에서 생성된 Autonomous Database의 데이터에 액세스하지 못하도록 Oracle Database Vault의 Operations Control 기능을 사용으로 설정하고 구성합니다.

  Autonomous Database에 다음 SQL 문을 입력하여 Operations Control이 활성 상태인지 확인할 수 있습니다.

  SELECT * FROM DBA_DV_STATUS;

  APPLICATION CONTROL 상태는 Operations Control이 활성 상태임을 나타냅니다.

  주:

  이전에는 Operations Control을 Application Control이라고 했습니다.

또한 PAM은 Security Features of Autonomous Database에 설명된 대로 데이터 보호를 위해 Database Vault로 구현됩니다.

---

제목 및 저작권 정보

Copyright ©2021,2025,

Oracle and/or its affiliates.