전용 Exadata 인프라의 자율운영 AI 데이터베이스 내 액세스 제어

Autonomous AI Database on Dedicated Exadata Infrastructure를 구성할 때는 클라우드 사용자가 자신의 직무 수행에 적합한 종류의 클라우드 리소스만 사용하고 생성할 수 있는 액세스 권한이 있는지 확인해야 합니다. 또한 권한이 부여된 직원 및 애플리케이션만 전용 인프라에서 생성된 자율운영 AI 데이터베이스에 액세스할 수 있도록 해야 합니다. 그렇지 않으면 전용 인프라 리소스를 "비용"으로 사용하거나 미션 크리티컬 데이터에 부적절하게 액세스할 수 있습니다.

전용 인프라 기능을 제공하는 클라우드 리소스 생성 및 사용을 시작하기 전에 액세스 제어 계획을 공식화한 다음 적절한 IAM(Identity and Access Management) 및 네트워킹 리소스를 생성하여 구성해야 합니다. 따라서 자율운영 AI 데이터베이스 내의 액세스 제어는 다음과 같은 다양한 레벨에서 구현됩니다.

• Oracle cloud 사용자 액세스 제어
• 클라이언트 액세스 제어
• 데이터베이스 사용자 액세스 제어

Oracle Cloud 사용자 접근 제어

Autonomous AI Database on Dedicated Exadata Infrastructure 배포를 구성하는 클라우드 리소스에 대한 테넌시의 Oracle Cloud 사용자에 대한 액세스를 제어합니다.

ID 및 액세스 관리(IAM) 서비스를 사용하여 클라우드 사용자가 적절한 종류의 자율운영 AI 데이터베이스 리소스만 생성 및 사용하여 직무를 수행할 수 있는 액세스 권한이 있는지 확인합니다. 클라우드 유저에 대한 액세스 제어를 설정하기 위해 특정 그룹의 유저에게 특정 구획의 특정 리소스 종류에 대한 특정 액세스 권한을 부여하는 정책을 정의합니다.

IAM 서비스는 보안 클라우드 사용자 액세스 전략을 정의하고 구현하는 데 도움이 되는 여러 종류의 구성요소를 제공합니다.

• 구획: 관련 리소스 모음입니다. 구획은 클라우드 리소스를 구성하고 격리하기 위한 Oracle Cloud Infrastructure의 기본 구성요소입니다.

• 그룹: 모든 사용자가 특정 리소스 또는 컴파트먼트 모음에 대해 동일한 유형의 액세스를 필요로 합니다.

• 동적 그룹: 정의한 규칙과 일치하는 리소스를 포함하는 특수 그룹 유형입니다. 따라서 일치하는 리소스가 생성되거나 삭제될 때 멤버쉽이 동적으로 변경될 수 있습니다.

• 정책: 누가 어떤 리소스에 액세스할 수 있는지, 어떻게 액세스할 수 있는지 지정하는 명령문 그룹입니다. 그룹 및 구획 레벨에서 액세스가 부여됩니다. 즉, 특정 그룹에 특정 구획 내의 특정 리소스 유형에 대한 특정 유형의 액세스 권한을 부여하는 정책 문을 작성합니다.

정책 및 정책 문

클라우드 사용자에 대한 액세스 제어를 정의하는 데 사용하는 기본 도구는 "Who", "How", "What", "Where" 측면에서 액세스를 지정하는 정책 문을 포함하는 IAM(Identity and Access Management) 리소스인 policy입니다.

정책 문 형식은 다음과 같습니다.

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name>는 개별 클라우드 사용자를 지정할 수 있는 IAM 리소스인 기존 IAM 그룹의 이름을 제공하여 "누구"를 지정합니다.

• to <control-verb>는 다음과 같이 미리 정의된 제어 동사 중 하나를 사용하는 "방법"을 지정합니다.

  • inspect: 해당 리소스의 일부일 수 있는 기밀 정보 또는 사용자 지정 메타데이터에 액세스하지 않고 지정된 유형의 리소스를 나열하는 기능입니다.
  • read: inspect 및 사용자 지정 메타데이터 및 실제 리소스 자체를 가져오는 기능.
  • use: read 및 기존 리소스를 사용하지만 만들거나 삭제하지 않는 기능. 또한 "work with"는 리소스 유형별로 서로 다른 작업을 의미합니다.
  • manage: 생성 및 삭제를 포함하여 리소스 유형에 대한 모든 권한입니다.

  전용 인프라 기능 컨텍스트에서 플리트 관리자는 자율운영 컨테이너 데이터베이스를 manage할 수 있고, 데이터베이스 관리자는 자율운영 AI 데이터베이스를 생성하기 위해 use만 할 수 있습니다.

• <resource-type>는 미리 정의된 리소스 유형을 사용하여 "What"을 지정합니다. 전용 기반 구조 리소스에 대한 리소스 유형 값은 다음과 같습니다.

  • exadata-infrastructures
  • autonomous-container-databases
  • autonomous-databases
  • autonomous-backups

  전용 인프라 리소스는 네트워킹 리소스를 사용하기 때문에 사용자가 만드는 일부 정책 문은 virtual-network-family 리소스 유형 값을 참조합니다. 또한 테넌시에서 태그 지정이 사용되는 경우 tag-namespaces 리소스 유형 값을 참조하는 정책 문을 생성할 수 있습니다.

• in compartment <compartment-name>는 리소스가 생성되는 IAM 리소스인 기존 IAM 컴파트먼트의 이름을 제공하여 "위치"를 지정합니다. 구획은 클라우드 리소스를 구성하고 격리하기 위한 Oracle Cloud Infrastructure의 기본 구성요소입니다.

자율운영 AI 데이터베이스에 대한 정책 세부정보는 전용 Exadata 인프라의 자율운영 AI 데이터베이스에 대한 IAM 정책을 참조하십시오.

IAM 서비스와 해당 구성요소의 작동 방식 및 사용 방법에 대한 자세한 내용은 Oracle Cloud Infrastructure Identity and Access Management 개요를 참조하십시오. IAM에 대한 일반적인 질문에 대한 빠른 답변은 ID 및 접근 관리 FAQ를 참조하십시오.

액세스 제어를 계획 및 사용하는 경우 최적의 사용법(Best Practice)

전용 인프라 기능에 대한 액세스 제어를 계획하고 설정할 때는 이러한 모범 사례를 고려해야 합니다.

• 전용 서브넷만 포함된 별도의 VCN을 생성합니다. 거의 모든 경우에 자율운영 AI 데이터베이스는 기업에 민감하며 일반적으로 회사의 사설 네트워크 내에서만 액세스할 수 있는 전용 인프라 하우스 데이터를 기반으로 합니다. 파트너, 공급업체, 소비자 및 고객과 공유되는 데이터조차도 규제되고 안전한 채널을 통해 이용할 수 있습니다.

  따라서 이러한 데이터베이스에 제공하는 네트워크 액세스는 회사의 사설 데이터베이스여야 합니다. 프라이빗 서브넷을 사용하는 VCN과 IPSec VPN 또는 FastConnect을 생성하여 회사의 프라이빗 네트워크에 접속하면 됩니다. 해당 구성 설정에 대한 자세한 내용은 Oracle Cloud Infrastructure 문서의 시나리오 B: VPN을 사용하는 전용 서브넷을 참조하십시오.

  데이터베이스에 대한 네트워크 연결 보안에 대한 자세한 내용은 Oracle Cloud Infrastructure 문서의 네트워크 보안 방법을 참조하십시오.

• 서브넷을 두 개 이상 만듭니다. 자율운영 Exadata VM 클러스터 및 자율운영 컨테이너 데이터베이스 리소스에 대한 서브넷과 자율운영 AI 데이터베이스의 클라이언트 및 애플리케이션과 연관된 리소스에 대한 서브넷을 두 개 이상 생성해야 합니다.

• 구획을 두 개 이상 생성합니다. Exadata 인프라, 자율운영 Exadata VM 클러스터 및 자율운영 컨테이너 데이터베이스 리소스와 자율운영 AI 데이터베이스 리소스용 구획을 각각 하나 이상 생성해야 합니다.

• 최소 두 개의 그룹을 생성합니다. 적어도 두 개의 그룹(플리트 관리자용과 데이터베이스 관리자용)을 생성해야 합니다.

클라이언트 액세스 제어

클라이언트 액세스 제어는 네트워크 액세스 제어 및 클라이언트 연결을 제어하여 자율운영 AI 데이터베이스에서 구현됩니다.

네트워크 액세스 제어

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure의 전용 배포를 설정하고 구성할 때 Autonomous AI Database에 대한 네트워크 액세스 제어를 정의합니다. 수행 방법은 전용 배포가 Oracle Public Cloud 또는 Exadata Cloud@Customer에 있는지 여부에 따라 달라집니다.

• Oracle Public Cloud에서 네트워킹 서비스의 구성요소를 사용하여 네트워크 액세스 제어를 정의합니다. 자율운영 AI 데이터베이스가 네트워크에 액세스할 수 있는 전용 서브넷이 포함된 VCN(가상 클라우드 네트워크)을 생성합니다. 또한 특정 유형의 트래픽이 서브넷의 IP 주소에 들어오거나 나오도록 허용하는 보안 규칙을 만듭니다.

  For detailed information about creating these resources, run Lab 1: Prepare Private Network for OCI Implementation in Oracle Autonomous AI Database Dedicated for Fleet Administrators.

• Exadata Cloud@Customer에서 데이터 센터 내의 클라이언트 네트워크를 지정하고 Exadata 인프라 리소스 내의 VM 클러스터 네트워크 리소스에 기록하여 네트워크 액세스 제어를 정의합니다.

ZPR(Zero Trust Packet Routing)

적용 대상: Oracle Public Cloud 전용

Oracle Cloud Infrastructure 제로 트러스트 패킷 라우팅(ZPR)은 보안 속성을 지정하는 자율운영 Exadata VM 클러스터(AVMC)와 같이 리소스에 대해 쓰는 의도 기반 보안 정책을 통해 무단 액세스로부터 민감한 데이터를 보호합니다.

보안 속성은 ZPR이 리소스를 식별하고 구성하는 데 사용하는 레이블입니다. ZPR은 잠재적인 네트워크 아키텍처 변경 또는 잘못된 구성에 관계없이 액세스가 요청될 때마다 네트워크 레벨에서 정책을 적용합니다. ZPR은 기존 NSG(네트워크 보안 그룹) 및 SCL(보안 제어 목록) 규칙을 기반으로 합니다. 패킷이 대상에 도달하려면 모든 NSG 및 SCL 규칙과 ZPR 정책을 통과해야 합니다. NSG, SCL 또는 ZPR 규칙이나 정책에서 트래픽을 허용하지 않는 경우 요청이 삭제됩니다.

다음 세 단계로 ZPR을 사용하여 네트워크를 보호할 수 있습니다.

1. ZPR 아티팩트, 즉 security attribute namespaces 및 security attributes을 만듭니다.

2. 보안 속성을 사용하여 리소스를 연결하려면 ZPR 정책을 작성하십시오. ZPR은 ZPL(ZPR Policy Language)을 사용하며 정의된 리소스에 대한 액세스 제한을 적용합니다. 전용 Exadata 인프라의 자율운영 AI 데이터베이스 고객은 테넌시에 ZPL 기반 정책을 작성하여 AVMC의 데이터에 권한이 부여된 사용자 및 리소스만 액세스할 수 있도록 할 수 있습니다.

3. ZPR 정책을 사용으로 설정하려면 리소스에 보안 속성을 지정합니다.

주:

Oracle Cloud Infrastructure 콘솔, API 또는 CLI를 통해 클라우드 리소스에 설명, 태그, 보안 속성 또는 친숙한 이름을 지정할 때 기밀 정보를 입력하지 마십시오.

자세한 내용은 Getting Started with Zero Trust Packet Routing를 참조하십시오.

AVMC에 ZPR 보안 속성을 적용할 수 있는 옵션은 다음과 같습니다.

• AVMC를 프로비저닝할 때 보안 속성을 적용합니다. 자세한 내용은 자율운영 Exadata VM 클러스터 생성을 참조하십시오.

• 기존 AVMC 리소스에 보안 속성을 적용합니다. 자세한 내용은 Configure Zero Trust Packet Routing (ZPR) for an AVMC을 참조하십시오.

AVMC에 ZPR 보안 속성을 성공적으로 추가하려면 사전 요구사항으로 다음 IAM 정책을 정의해야 합니다.

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

ACL(액세스 제어 목록)

추가 보안을 위해 Oracle Public Cloud 및 Exadata Cloud@Customer 전용 배포에서 ACL(액세스 제어 목록)을 사용으로 설정할 수 있습니다. ACL은 특정 IP 주소를 가진 클라이언트만 데이터베이스에 연결할 수 있도록 허용하여 데이터베이스에 대한 추가 보호를 제공합니다. IP 주소는 개별적으로 또는 CIDR 블록으로 추가할 수 있습니다. IPv4 및 IPv6 기반 IP의 / CIDR이 모두 지원됩니다. 이를 통해 자율운영 AI 데이터베이스의 네트워크 액세스를 특정 애플리케이션 또는 클라이언트로 제한하여 세분화된 액세스 제어 정책을 공식화할 수 있습니다.

선택적으로 데이터베이스 프로비저닝(provisioning) 중에 또는 그 이후 언제든지 ACL을 생성할 수 있습니다. 언제든지 ACL을 편집할 수도 있습니다. IP 주소 목록이 비어 있는 ACL을 사용으로 설정하면 데이터베이스에 액세스할 수 없습니다. 자세한 내용은 전용 자율운영 AI 데이터베이스에 대한 액세스 제어 목록 설정을 참조하십시오.

자율운영 AI 데이터베이스에서 ACL을 사용하는 방법에 대해 다음 사항에 유의하십시오.

• 자율운영 AI 데이터베이스 서비스 콘솔에는 ACL 규칙이 적용되지 않습니다.
• Oracle Application Express(APEX), RESTful 서비스, SQL Developer Web 및 Performance Hub에는 ACL이 적용되지 않습니다.
• 자율운영 AI 데이터베이스를 생성하는 동안 ACL 설정이 실패하면 데이터베이스 프로비저닝도 실패합니다.
• ACL 업데이트는 데이터베이스가 사용 가능 상태인 경우에만 허용됩니다.
• 데이터베이스를 복원해도 기존 ACL을 덮어쓰지 않습니다.
• 데이터베이스 전체 및 메타 데이터를 복제할 때는 원본 데이터베이스와 동일한 액세스 제어 설정이 사용됩니다. 필요한 대로 변경할 수 있습니다.
• 백업에는 ACL 규칙이 적용되지 않습니다.
• ACL 업데이트 중에는 모든 CDB(자율운영 컨테이너 데이터베이스) 작업이 허용되지만 자율운영 AI 데이터베이스 작업은 허용되지 않습니다.

WAF(웹 애플리케이션 방화벽)

액세스 제어 목록 이외의 고급 네트워크 제어를 위해 전용 Exadata 인프라의 Oracle Autonomous AI Database는 웹 애플리케이션 방화벽(WAF) 사용을 지원합니다. WAF는 악성 및 원치 않는 인터넷 트래픽으로부터 애플리케이션을 보호합니다. WAF는 모든 인터넷 연결 엔드포인트를 보호하여 고객의 애플리케이션 전반에 걸쳐 일관된 규칙 적용이 가능합니다. WAF는 XSS(교차 사이트 스크립팅), SQL 주입 및 기타 OWASP 정의 취약성을 비롯한 인터넷 위협에 대한 규칙을 생성하고 관리할 수 있는 기능을 제공합니다. 접근 규칙은 지역 또는 요청 서명을 기준으로 제한할 수 있습니다. WAF 구성 방법에 대한 단계는 웹 애플리케이션 방화벽 정책 시작하기를 참조하십시오.

클라이언트 접속 제어

전용 Exadata 인프라의 Oracle Autonomous AI Database는 클라이언트 연결을 인증하기 위해 표준 TLS 1.2 및 TLS 1.3 인증서 기반 인증으로 클라이언트 연결 제어를 구현합니다. 하지만 TLS 1.3은 Oracle Database 23ai 이상에서만 지원됩니다.

기본적으로 자율운영 AI 데이터베이스는 자체 서명된 인증서를 사용합니다. 그러나 OCI(Oracle Cloud Infrastructure) 콘솔에서 CA 서명 서버측 인증서를 설치할 수 있습니다. 고유 인증서를 가져오려면 먼저 인증서 생성에 설명된 대로 OCI(Oracle Cloud Infrastructure) 인증서 서비스를 사용하여 인증서를 생성해야 합니다. 이러한 인증서는 서명되어야 하며 PEM 형식이고 서명되어야 합니다. 즉, 파일 확장자는 .pem, .cer 또는 .crt이어야 합니다. 자세한 내용은 전용 자율운영 AI 데이터베이스의 인증서 관리를 참조하십시오.

데이터베이스 사용자 액세스 제어

전용 Exadata 인프라의 Oracle Autonomous AI Database는 Oracle AI Database의 표준 사용자 관리 기능을 사용하기 위해 생성한 데이터베이스를 구성합니다. 추가 유저 계정을 생성하고 계정에 대한 액세스 제어를 제공하는 데 사용하는 하나의 관리 유저 계정 ADMIN을 생성합니다.

표준 사용자 관리는 대부분의 경우 보안 데이터베이스 사용자 액세스 전략을 정의하고 구현할 수 있도록 시스템 및 객체 권한, 롤, 사용자 프로파일 및 비밀번호 정책과 같은 강력한 기능 및 제어 집합을 제공합니다. 자세한 지침은 데이터베이스 사용자 생성 및 관리를 참조하십시오.

표준 사용자 관리에 대한 기본 정보는 User Accounts in Oracle AI Database Concepts을 참조하십시오. 자세한 내용 및 지침은 Oracle Database 19c 보안 설명서의 Oracle Database 사용자에 대한 보안 관리 또는 Oracle Database 26ai 보안 설명서를 참조하십시오.

데이터베이스 사용자 액세스 전략에 표준 사용자 관리에서 제공하는 것보다 더 많은 제어가 필요한 경우 다음 도구 중 하나를 사용하여 보다 엄격한 요구 사항을 충족하도록 자율운영 AI 데이터베이스를 구성할 수 있습니다.

도구	설명
Database Vault	Oracle Database Vault는 자율운영 AI 데이터베이스에서 사전 구성되고 즉시 사용할 수 있습니다. 강력한 보안 제어를 사용하여 권한이 있는 데이터베이스 사용자의 애플리케이션 데이터 액세스를 제한하고 내부자 및 외부 위협의 위험을 줄이며 일반적인 규정 준수 요구 사항을 해결할 수 있습니다. Refer to Data Protection in Security Features of Autonomous AI Database for more details.
Oracle Cloud Infrastructure Identity and Access Management(IAM)	Oracle Cloud Infrastructure IAM(Identity and Access Management) 인증 및 권한 부여를 사용하도록 자율운영 AI 데이터베이스를 구성하여 IAM 사용자가 IAM 인증서를 사용하여 자율운영 AI 데이터베이스에 액세스할 수 있도록 할 수 있습니다. 이 옵션을 데이터베이스에 사용하려면 Use Identity and Access Management (IAM) Authentication with Autonomous AI Database을 참조하십시오.
Azure OAuth2 액세스 토큰	Azure oAuth2 액세스 토큰을 사용하여 Microsoft Azure Active Directory(Azure AD) 서비스에서 전용 Exadata 인프라의 Oracle Autonomous AI Database 사용자를 중앙에서 관리할 수 있습니다. 이러한 유형의 통합을 통해 Azure AD 사용자는 전용 Exadata 인프라의 Oracle Autonomous AI Database 인스턴스에 액세스할 수 있습니다. Azure AD 사용자 및 애플리케이션은 Azure AD SSO(Single Sign On) 자격 증명을 사용하여 로그인하여 Azure AD OAuth2 액세스 토큰을 가져와 데이터베이스로 전송할 수 있습니다. Microsoft Azure Active Directory를 데이터베이스와 통합하는 방법에 대한 자세한 내용은 Authenticate and Authorize Microsoft Azure Active Directory Users for Autonomous AI Database를 참조하십시오.
Microsoft Active Directory(CMU-AD)	Microsoft Active Directory를 사용자 저장소로 사용하는 경우 자율운영 AI 데이터베이스를 구성하여 Microsoft Active Directory 사용자를 인증하고 권한을 부여할 수 있습니다. 이 통합을 통해 표준 사용자 관리, Database Vault, Real Application Security 또는 Virtual Private Database 사용 여부에 관계없이 엄격한 데이터베이스 사용자 액세스 전략을 구현하는 동안 사용자 저장소를 통합할 수 있습니다. Microsoft Active Directory를 데이터베이스와 통합하는 방법에 대한 자세한 내용은 Microsoft Active Directory와 Autonomous AI Database를 참조하십시오.
Kerberos	Kerberos는 공유 보안을 기반으로 하는 신뢰할 수 있는 타사 인증 시스템입니다. 타사에서 보안이 유지되고 Single Sign-On 기능, 중앙 집중식 암호 저장, 데이터베이스 링크 인증 및 향상된 PC 보안을 제공하는 것으로 가정합니다. Kerberos 인증 서버를 통해 이 작업을 수행합니다. Kerberos에 대한 자율운영 AI 데이터베이스 지원은 Oracle 사용자의 Single Sign-On 및 중앙 집중식 인증의 이점을 제공합니다. 자세한 내용은 Kerberos로 Autonomous AI Database 사용자 인증을 참조하십시오.
CMU-AD가 있는 Kerberos	Microsoft Active Directory 사용자에 대해 CMU-AD Kerberos 인증을 제공하도록 CMU-AD를 기반으로 Kerberos 인증을 구성할 수 있습니다. Microsoft Active Directory 사용자에 대한 CMU-AD Kerberos 인증을 제공하려면 type를 CMU로 설정하여 CMU-AD에서 Kerberos 인증을 사용으로 설정하고, Enable Kerberos Authentication on Autonomous AI Database에 설명된 예제에 설명된 대로 외부 인증을 사용으로 설정하면 됩니다.
Real Application Security 및 Virtual Private Database	Oracle Real Application Security(RAS)는 보호되는 업무 객체뿐만 아니라 이러한 업무 객체에 대해 작업 권한이 있는 주체(사용자 및 롤)를 포함하는 보안 정책을 활성화하는 선언적 모델을 제공합니다. RAS는 이전 버전인 Oracle Virtual Private Database보다 더 안전하고 확장 가능하며 비용 효율적입니다. Oracle RAS를 사용하면 애플리케이션 사용자는 데이터베이스뿐 아니라 애플리케이션 계층에서도 인증됩니다. 데이터 액세스 경로에 관계없이 데이터 보안 정책은 데이터베이스의 일반 사용자 고유 세션을 기반으로 데이터베이스 커널에 적용됩니다. 유저에게 할당된 권한은 데이터베이스 객체의 행과 열에 대해 수행할 수 있는 작업 유형(선택, 삽입, 갱신, 삭제)을 제어합니다. Oracle RAS에 대한 자세한 내용은 Oracle Database Real Application Security 소개 in Oracle Database 19c Real Application Security Administrator's and Developer's Guide 또는 Oracle Database 26ai Real Application Security Administrator's and Developer's Guide를 참조하십시오. 전용 Exadata 인프라의 Oracle Autonomous AI Database는 또한 Oracle RAS의 전임자인 Oracle Virtual Private Database(VPD)를 지원합니다. 이미 Oracle VPD에 익숙하고 사용 중인 경우 자율운영 AI 데이터베이스와 함께 구성 및 사용할 수 있습니다. 가상 전용 데이터베이스에 대한 자세한 내용은 Oracle Database 19c 보안 설명서의 Oracle Virtual Private Database를 사용하여 데이터 액세스 제어 또는 Oracle Database 26ai 보안 설명서를 참조하십시오.

PAM(권한 있는 액세스 관리)

제품 및 서비스에 대한 사용자 액세스 및 권한 관리에 대한 Oracle의 보안 상태는 Oracle Access Control에 설명되어 있습니다.

전용 Exadata 인프라의 자율운영 AI 데이터베이스는 고객 서비스와 데이터베이스 데이터를 무단 액세스로부터 격리하고 보호하도록 설계되었습니다. 자율운영 AI 데이터베이스는 고객과 Oracle 간의 업무를 분리합니다. 고객은 데이터베이스 스키마에 대한 액세스를 제어합니다. Oracle은 Oracle 관리 인프라 및 소프트웨어 구성 요소에 대한 액세스를 제어합니다.

Autonomous AI Database on Dedicated Exadata Infrastructure는 고객이 직접 사용할 수 있도록 데이터를 보호하고, 무단 액세스로부터 데이터를 보호할 수 있도록 설계되었습니다. 여기에는 Oracle Cloud Ops 직원들의 고객 데이터 액세스가 금지됩니다. Exadata 인프라, 자율운영 VM 및 Oracle 데이터베이스 데이터에 대한 무단 액세스로부터 보호하기 위해 설계된 보안 조치는 다음과 같습니다.

• Oracle Database 데이터는 Oracle TDE(Transparent Data Encryption) 키로 보호됩니다.
• 고객은 TDE 암호화 키에 대한 액세스를 제어하고 해당 키를 외부 Oracle Key Vault 키 관리 시스템에 저장하도록 선택할 수 있습니다.
• Oracle Database Vault는 권한이 있는 사용자가 Autonomous AI Database의 고객 데이터에 액세스하지 못하도록 사전 구성되어 있습니다.
• 고객은 운영자 액세스 제어 서비스 등록을 통해 운영자 액세스를 승인하도록 선택할 수 있습니다.
• 모든 운영자 액세스는 Oracle 승인 장치로 구현된 하드웨어 YubiKey로 구현된 FIPS 140-2 레벨 3 하드웨어 다중 요소 인증을 기반으로 합니다.
• 모든 운영자 작업은 명령 레벨에서 기록되며 거의 실시간으로 OCI 로깅 서비스 또는 고객 SIEM으로 전송될 수 있습니다.

• Oracle Operations Access Control은 Oracle Cloud 운영 및 지원 직원이 성능을 모니터링 및 분석하는 데 사용하는 사용자 계정이 자율운영 AI 데이터베이스의 데이터에 액세스할 수 없도록 보장합니다. Oracle Cloud 운영 및 지원 담당자는 자율운영 AI 데이터베이스의 데이터에 액세스할 수 없습니다. 자율운영 컨테이너 데이터베이스를 생성할 때 전용 Exadata 인프라의 자율운영 AI 데이터베이스는 일반 사용자가 컨테이너 데이터베이스에 생성된 자율운영 AI 데이터베이스의 데이터에 액세스하지 못하도록 Oracle Database Vault의 운영 제어 기능을 활성화 및 구성합니다.

  자율운영 AI 데이터베이스에 이 SQL 문을 입력하여 Operations Control이 활성 상태인지 확인할 수 있습니다.

  SELECT * FROM DBA_DV_STATUS;

  APPLICATION CONTROL 상태는 Operations Control이 활성 상태임을 나타냅니다.

  주:

  이전에는 Operations Control을 Application Control이라고 했습니다.

또한 PAM은 Security Features of Autonomous AI Database에 설명된 대로 데이터 보호를 위해 Database Vault로 구현됩니다.

---

제목 및 저작권 정보

Copyright ©2021,2025,

Oracle and/or its affiliates.