Base Database Service용 보안 가이드

보안 개요

이 항목에서는 기준 데이터베이스 서비스의 보안에 대한 개요를 제공합니다. Oracle은 대부분의 구성 요소에 대한 보안을 관리하지만 사용자는 일부 구성 요소의 보안을 책임집니다.

클라우드 서비스 구성요소는 사용자가 액세스할 수 있는 서비스 및 Oracle 관리 인프라로 분류됩니다. 사용자가 액세스할 수 있는 서비스는 사용자가 기준 데이터베이스 서비스에 대한 구독의 일부로 액세스할 수 있는 구성요소를 나타냅니다. 일반적으로 DB 시스템 및 데이터베이스라고 하는 가상 머신 및 데이터베이스 서비스입니다. Oracle 관리 기반구조는 사용자가 액세스할 수 있는 서비스를 지원하기 위해 Oracle이 소유하고 운영하는 하드웨어를 가리킵니다. AMD 또는 Intel 기반 데이터베이스 컴퓨팅 구성으로 구성됩니다.

Oracle은 보안을 관리하고 Oracle 관리 인프라 구성요소에 대한 액세스를 관리합니다. 사용자는 DB 시스템 및 데이터베이스 서비스에 대한 액세스, DB 시스템에 대한 네트워크 액세스, DB 시스템에 대한 액세스 인증, DB 시스템에서 실행 중인 데이터베이스에 액세스하기 위한 인증을 포함하는 사용자가 액세스할 수 있는 서비스에 대한 보안 및 액세스를 관리합니다. Oracle 직원은 사용자가 액세스할 수 있는 서비스에 액세스할 수 있는 권한이 없습니다.

사용자는 표준 Oracle Database 연결 방법(예: 포트 1521의 Oracle Net)을 사용하여 사용자 장비의 계층 2(태그 지정된 VLAN) 연결을 통해 DB 시스템에서 실행되는 Oracle 데이터베이스에 액세스합니다. 사용자는 표준 Oracle Linux 방법을 사용하여 Oracle 데이터베이스를 실행하는 DB 시스템에 연결할 수 있습니다(예: 포트 22의 토큰 기반 SSH).

기본 데이터베이스 서비스는 다중, 독립 및 상호 보완 보안 제어를 사용하여 조직이 작업 로드 및 데이터에 대해 안전한 운영 환경을 생성할 수 있도록 지원합니다. 기준 데이터베이스 서비스는 다음과 같은 보안 제어를 제공합니다.

운영 환경 보안을 위한 심층 방어
서비스 및 사용자에 대한 최소 권한
이벤트 및 작업의 감사 및 책임 지목
클라우드 운영 자동화

운영 환경 보안을 위한 심층 방어

Base Database Service는 여러 가지 제어를 제공하여 서비스 전반의 기밀성, 무결성 및 책임을 유지합니다. 기본 데이터베이스 서비스는 다음과 같이 심층 방어 원칙을 추진합니다.

DB 시스템용 가상 머신은 Oracle Linux 7을 기반으로 강화된 운영체제 이미지에서 구축됩니다. 필수 소프트웨어 패키지로만 설치 이미지를 제한하고 불필요한 서비스를 사용 안함으로 설정하며 시스템 전체에서 보안 구성 매개변수를 구현하여 핵심 운영 환경을 보호합니다.
추가 보안 기본 구성 선택은 완성도가 높은 Oracle Linux 플랫폼의 모든 강점을 상속하는 것 외에도 서비스 인스턴스에서 구현됩니다. 예를 들어, 모든 데이터베이스 테이블스페이스에는 TDE(Transparent Data Encryption)와 초기 데이터베이스 유저 및 수퍼 유저에 대한 강력한 암호 적용, 향상된 감사(Audit) 및 이벤트 규칙이 필요합니다.
또한 기본 데이터베이스 서비스는 완전한 배포 및 서비스를 구성하며 PCI, HIPPA 및 ISO27001와 같은 산업 표준 외부 감사가 적용됩니다. 이러한 외부 감사 요구사항은 바이러스 백신 스캔, 예상치 않은 시스템 변경에 대한 자동 경보, 플리트의 모든 Oracle 관리 인프라 시스템에 대한 취약성 스캔과 같은 부가 가치 서비스 기능을 추가로 부과합니다.

서비스 및 사용자에 대한 최소 권한

Oracle 보안 코딩 표준에는 최소 권한의 패러다임이 필요합니다. 응용 프로그램, 서비스 및 사용자가 자신의 작업을 수행하는 데 필요한 기능에 액세스할 수 있도록 하는 것은 최소 권한 원칙의 한 쪽에 불과합니다. 불필요한 기능, 서비스 및 인터페이스에 대한 액세스가 제한되도록 하는 것도 마찬가지로 중요합니다. 기본 데이터베이스 서비스는 다음과 같이 최소 권한의 원칙을 준수합니다.

각 프로세스 및 데몬은 더 높은 레벨의 권한 요구 사항을 입증할 수 없는 한 권한이 없는 일반 사용자로 실행되어야 합니다. 이를 통해 예기치 않은 문제 또는 권한이 없는 사용자 공간에 대한 취약성을 포함하며 전체 시스템을 손상시키지 않습니다.
이 원칙은 유지 관리 또는 문제 해결을 위해 인프라에 액세스하기 위해 개별 명명 계정을 사용하는 Oracle 운영 팀 구성원에게도 적용됩니다. 필요한 경우에만 더 높은 레벨의 권한으로 감사된 액세스를 사용하여 문제를 해결하거나 해결합니다. 대부분의 문제는 자동화를 통해 해결되므로 자동화에서 문제를 해결할 수 없는 한 작업자가 시스템에 액세스하도록 허용하지 않으면 최소 권한을 사용합니다.

이벤트 및 작업의 감사 및 책임 지목

시스템은 장애 발생 시 이를 인식하고 통지할 수 있어야 합니다. 마찬가지로 장애를 방지할 수 없는 경우 조직은 적절한 조치를 취하기 위해 발생 사항을 식별할 수 있어야 합니다. 기준 데이터베이스 서비스는 다음과 같은 방식으로 감사 및 책임을 권장합니다.

감사 및 책임은 Oracle과 사용자 모두 시스템에서 수행한 작업과 해당 시간을 인식하도록 합니다. 이러한 세부 정보는 외부 감사에 대한 보고 요구 사항을 준수할 뿐만 아니라 예기치 않은 동작으로 이어지는 작업을 식별하는 데도 도움이 될 수 있습니다.
모든 작업이 캡처되도록 모든 Infrastructure 구성 요소에 대해 감사 기능이 제공됩니다. 또한 사용자는 데이터베이스 및 사용자 도메인(domU) 구성에 대한 감사를 구성하고 이를 다른 엔터프라이즈 감사 시스템과 통합하도록 선택할 수 있습니다.
Oracle은 사용자 domU에 액세스하지 않습니다.

클라우드 운영 자동화

시스템을 프로비저닝, 패치, 유지 관리, 문제 해결 및 구성하는 데 필요한 수동 작업을 없애면 오류 발생 가능성이 줄어들고 보안 구성이 보장됩니다.

기본 데이터베이스 서비스는 모든 프로비저닝, 구성 및 기타 대부분의 운영 작업을 자동화하여 보안을 유지하도록 설계되었습니다. 자동화를 통해 누락된 구성을 방지하고 시스템에 필요한 모든 경로가 제대로 구성되었는지 확인할 수 있습니다.

보안 기능

이 항목에서는 기준 데이터베이스 서비스에서 사용할 수 있는 보안 기능에 대해 설명합니다.

Base Database Service는 다음과 같은 보안 기능을 제공합니다.

강화된 OS 이미지
최소화된 공격 표면
추가 보안 기능 사용
보안 액세스 방법
감사 및 로깅

강화된 OS 이미지

최소 패키지 설치: 효율적인 시스템을 실행하는 데 필요한 패키지만 설치됩니다. 더 작은 패키지 세트를 설치하면 운영 체제의 공격 표면이 줄어들고 시스템이 더 안전하게 유지됩니다.
보안 구성: 시스템 및 해당 컨텐츠의 보안 상태를 향상시키기 위해 설치 중에 기본값이 아닌 여러 구성 매개변수가 설정됩니다. 예를 들어, SSH는 특정 네트워크 인터페이스에서만 수신하도록 구성되고, sendmail은 로컬 호스트 연결만 수락하도록 구성되며, 설치 중 많은 다른 유사한 제한 사항이 구현됩니다.
필요한 서비스만 실행: 시스템에 설치할 수 있지만 정상 작동에 필요하지 않은 서비스는 기본적으로 사용 안함으로 설정됩니다. 예를 들어 NFS는 사용자가 다양한 응용 프로그램을 위해 구성한 서비스인 경우가 많지만 일반 데이터베이스 작업에는 필요하지 않으므로 기본적으로 사용 안함으로 설정됩니다. 사용자는 필요에 따라 요구 사항에 따라 서비스를 구성하도록 선택할 수 있습니다.

최소화된 공격 표면

강화된 이미지의 일부로 서비스를 제공하는 데 필요한 소프트웨어만 설치하고 실행하여 공격 표면이 줄어듭니다.

추가 보안 기능 사용

Base Database Service는 기본적으로 보안이 유지되도록 설계되었으며 네트워크 방화벽 제어에서 액세스 제어 보안 정책에 이르기까지 완전한 보안 스택을 제공합니다.
dbcli secure-dbsystem CLI를 사용하여 시스템의 보안을 향상시키기 위해 FIPS, SE Linux 및 STIG를 추가로 사용으로 설정할 수 있습니다.
STIG 도구는 프로비전된 시스템의 각 시스템 노드에서 DISA의 Oracle Linux 7 STIG 준수를 높이기 위해 제공됩니다.

보안 액세스 방법

강력한 암호화 암호화를 사용하여 SSH를 통해 데이터베이스 서버에 액세스합니다. 약한 암호화는 기본적으로 사용 안함으로 설정됩니다.
암호화된 Oracle Net 연결을 통해 데이터베이스에 액세스합니다. 기본적으로 당사의 서비스는 암호화된 채널을 통해 제공되며, 기본적으로 구성된 Oracle Net 클라이언트는 암호화된 세션을 사용합니다.

감사 및 로깅

기본적으로 감사 및 로깅은 운영 체제가 제공하는 상용 배치에 대한 구성을 추가하지는 않지만 STIG를 사용으로 설정하여 보안 설정을 더 추가하여 개선할 수 있습니다.

자세한 내용은 다음을 참조하십시오.

사용자 보안

이 항목에서는 기준 데이터베이스 서비스에서 사용 가능한 사용자 보안에 대해 설명합니다. Base Database Service 구성요소는 여러 사용자 계정으로 정기적으로 관리됩니다. Oracle은 토큰 기반 SSH 로그인만 사용하고 권장합니다. Oracle 유저 또는 프로세스는 암호 기반 인증을 사용하지 않습니다.

기본적으로 다음과 같은 종류의 사용자가 생성됩니다.

기본 유저: 로그온 권한 없음
기본 사용자: 로그인 권한 있음

기본 유저: 로그온 권한 없음

이 사용자 목록은 기본 운영 체제 사용자로 구성됩니다. 이러한 유저는 변경해서는 안됩니다. 이러한 사용자는 시스템에 로그인할 수 없습니다.

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

기본 사용자: 로그인 권한 있음

이러한 권한 있는 사용자는 시스템에서 대부분의 작업을 수행할 책임이 있습니다. 이러한 사용자는 실행 중인 시스템에 상당한 영향을 미치므로 변경하거나 삭제해서는 안됩니다. SSH 키는 로그인에 사용됩니다.

다음은 로그인 권한이 있는 기본 사용자 목록입니다.

root는 Linux 요구 사항입니다. 로컬 권한 명령을 실행하는 데는 거의 사용되지 않습니다. 루트는 TFA 에이전트와 같은 일부 프로세스에도 사용됩니다. RDBMS 소프트웨어(패치 적용, 데이터베이스 생성 등)에 대한 수명 주기 작업을 수행하는 로컬 에이전트("DCS 에이전트")를 실행합니다.
oracle는 Oracle Database 소프트웨어 설치를 소유하고 RDBMS 프로세스를 실행합니다.
grid는 Oracle Grid Infrastructure 소프트웨어 설치를 소유하고 GI 프로세스를 실행합니다.
opc 자동화 작업을 위해 Oracle Cloud Automation에서 사용됩니다. 사용자는 추가 인증 없이(자동화 기능 지원) 특정 권한 있는 명령을 실행할 수 있습니다.
mysql는 중요한 사용자이며 DCS 에이전트의 메타 저장소를 소유하므로 DCS 에이전트가 성공적으로 작동하려면 작동 및 실행 중이어야 합니다.

root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

보안 설정

이 항목에서는 기준 데이터베이스 서비스에서 사용할 수 있는 보안 설정에 대해 설명합니다. 다음은 시스템에 제공된 기본 보안 설정입니다.

표 - 보안 설정 및 기본값

보안 설정	기본값
비밀번호 복잡성	비밀번호 최소 길이: 15 동일한 문자 클래스에서 최대 연속 반복 문자의 비밀번호: 4 비밀번호 최대 연속 반복 문자 수: 3 비밀번호 강도 최소 숫자: 1 암호 강도 최소 다른 카테고리: 4 비밀번호 강도 최소 다른 문자: 8 비밀번호 강도 최소 특수 문자: 1 비밀번호 강도 최소 소문자: 1 비밀번호 강도 최소 대문자: 1
사용자 계정 구성	비밀번호를 사용할 수 있는 최대 일수: 60 비밀번호 변경 간격 최소 허용 일수: 1 암호화 해시 알고리즘: SHA512 로그온 실패 지연: 4초
사용 안함으로 설정된 옵션	사용 안함으로 설정된 Ctrl-Alt-Del 재부트 DCCP 지원이 사용 안함으로 설정되었습니다. USB 저장 장치가 꺼져 있음 X Windows 패키지 그룹이 제거되었습니다.
SSH 구성	SSH 프로토콜 2만 허용됩니다. 사용으로 설정된 권한 구분 사용 SSH 유휴 시간 초과 간격: 600초 GSSAPI 인증 사용 안함 압축이 지연됨으로 설정됨 SSH가 시스템에 로그온할 수 있도록 신뢰할 수 있는 비인증서 SSH 데몬은 알려진 호스트 인증을 사용하는 인증을 허용하지 않습니다.
패키지	업데이트된 버전이 설치된 후 모든 소프트웨어 구성 요소 제거 시스템은 확인되지 않은 소프트웨어, 패치, 서비스 팩, 장치 드라이버 또는 운영 체제 구성 요소에 대한 로컬 패키지 설치를 방지합니다.
로깅	시스템 및 커널 메시지가 원격 호스트(rsyslog)로 전송됩니다. rsyslog에 로깅하도록 구성된 Cron 주기적 실행을 위한 AIDE 구성
다른 사람	단일 사용자 및 유지 관리 모드로 부트 시 인증 필요 대화식 세션 시간 초과: 600초 SSSD 장치에 구성된 PAM 암호화된 암호 표현만 저장하도록 구성된 PAM 시스템 서비스 구성된 SSSD LDAP 백엔드 클라이언트 CA 인증서 위치 모든 트랜잭션에 대해 TLS를 사용하도록 구성된 SSSD LDAP 백엔드 비밀번호 만료 후 계정 사용 안함 그룹 계정 관리 유틸리티는 암호화된 암호 표현만 저장하도록 구성됩니다.

또한 기본적으로 ONSR 지역은 FIPS, SE Linux 및 STIG가 요구 사항 표준을 준수하도록 지원합니다. 추가 구성을 사용으로 설정하여 시스템 보안을 향상시킬 수 있습니다. 구성 표준(STIG)은 가장 제한적인 표준을 따르고 DISA의 Oracle Linux 7 STIG를 통해 보안 준수를 높일 수 있도록 설정할 수 있습니다. FIPS, SE Linux 및 STIG를 사용으로 설정하기 위한 도구가 이미지의 일부로 제공됩니다.

자세한 내용은 다음을 참조하십시오.

보안 프로세스

이 항목에서는 기준 데이터베이스 서비스에서 사용할 수 있는 기본 보안 프로세스에 대해 설명합니다. 다음은 domU이라고도 하는 사용자 가상 머신(DB 시스템)에서 기본적으로 실행되는 프로세스 목록입니다.

테이블 - 보안 프로세스

프로세스 설명

domU 에이전트

프로세스	설명
domU 에이전트	데이터베이스 수명 주기 작업을 처리하기 위한 클라우드 에이전트입니다. `root` 사용자로 실행 process 테이블은 다음과 같은 jar 이름을 가진 java 프로세스로 실행되고 있음을 보여줍니다. `dcs-agent-VersionNumber-SNAPSHOT.jar` `dcs-admin-VersionNumber-SNAPSHOT.jar`
TFA 에이전트	Oracle Trace File Analyzer(TFA)는 여러 진단 도구를 단일 번들에 제공하므로 Oracle Database 및 Clusterware에 대한 진단 정보를 쉽게 수집할 수 있고, 이는 Oracle Support를 처리할 때 문제 해결에 도움이 됩니다. `root` 사용자로 실행 `initd` 악마(`/etc/init.d/init.tfa`)로 실행됩니다. 프로세스 테이블에 Java 애플리케이션(`oracle.rat.tfa.TFAMain`)이 표시됩니다.
데이터베이스 및 GI(클러스터웨어)	`oracle` 및 `grid` 사용자로 실행 일부 CRS/클러스터웨어 데몬 프로세스는 `root` 사용자로 실행됩니다. 프로세스 테이블은 다음 응용 프로그램을 보여줍니다. `ora_`, `apx_`, `ams_` 및 `oracle+ASM` `mysqld` 및 `zookeeper` `/u01/<version>/grid/*`의 다른 프로세스

데이터베이스 수명 주기 작업을 처리하기 위한 클라우드 에이전트입니다.

root 사용자로 실행
process 테이블은 다음과 같은 jar 이름을 가진 java 프로세스로 실행되고 있음을 보여줍니다.
- dcs-agent-VersionNumber-SNAPSHOT.jar
- dcs-admin-VersionNumber-SNAPSHOT.jar

TFA 에이전트

Oracle Trace File Analyzer(TFA)는 여러 진단 도구를 단일 번들에 제공하므로 Oracle Database 및 Clusterware에 대한 진단 정보를 쉽게 수집할 수 있고, 이는 Oracle Support를 처리할 때 문제 해결에 도움이 됩니다.

root 사용자로 실행
initd 악마(/etc/init.d/init.tfa)로 실행됩니다.
프로세스 테이블에 Java 애플리케이션(oracle.rat.tfa.TFAMain)이 표시됩니다.

데이터베이스 및 GI(클러스터웨어)

oracle 및 grid 사용자로 실행
일부 CRS/클러스터웨어 데몬 프로세스는 root 사용자로 실행됩니다.
프로세스 테이블은 다음 응용 프로그램을 보여줍니다.
- ora_*, apx_*, ams_* 및 oracle+ASM*
- mysqld 및 zookeeper
- /u01/<version>/grid/*의 다른 프로세스

네트워크 보안

이 항목에서는 기준 데이터베이스 서비스의 네트워크 보안에 대해 설명합니다. 다음은 사용자 가상 머신(DB 시스템)에서 기본적으로 실행되는 기본 포트, 프로세스 및 iptables 규칙 목록이며 domU라고도 합니다.

domU 서비스용 포트

다음 표에서는 domU 서비스에 대한 기본 포트 목록을 제공합니다.

표 - domU 서비스에 대한 기본 포트 매트릭스

인터페이스 유형	인터페이스 이름	포트	프로세스 실행 중
모든 인터페이스에서 수신	0.0.0.0	22	SSH
		1522	RDBMS: TNS 리스너
		7060	DCS 관리자
		7070	DCS 에이전트
		2181	Zookeeper
		8888, 8895	RAC: QOMS(Quality of Management Service) 서버
		9000	RAC: Oracle Clusterware
		68	DHCP
		123	NTP
		5353	멀티캐스트 DNS
클라이언트 인터페이스	ens3	1521	RDBMS: TNS 리스너
	ens3	5000	RDBMS: AHF(Autonomous Health Framework)(TFA 포함)
	ens3:1	1521	RDBMS: TNS 리스너
	ens3:2	1521	RDBMS: TNS 리스너
	ens3:3	1521	RDBMS: TNS 리스너
클러스터 상호 접속	ens4	1525	RDBMS: TNS 리스너
		2888	Zookeeper
		3888	Zookeeper
		6000	RAC: 그리드 프로세스 간 통신
		7000	RAC: 고가용성 서비스

domU에 대한 iptables 규칙

기본 iptables는 입력, 전달 및 출력 체인에서 ACCEPT 연결로 설정됩니다.

다음은 domU 서비스에 대한 기본 iptables 규칙입니다.

CHAIN INPUT
CHAIN FORWARD
CHAIN OUTPUT

예 - iptables 규칙

다음 예에서는 domU 서비스에 대한 기본 iptables 규칙을 제공합니다.

iptables -L -n -v

출력:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

보안 설정에 대한 사용자 권한

이 항목에서는 기준 데이터베이스 서비스의 보안 설정에 대한 Oracle Cloud 작업 책임 및 사용자 책임에 대해 설명합니다. 다음 표에서는 Oracle Cloud Operations 및 사용자가 수행해야 하는 보안 설정 목록을 제공합니다.

표 - 다양한 작업에 대한 Oracle Cloud 운영 및 사용자 책임

연산	Oracle Cloud 플랫폼		사용자/테넌트 인스턴스
연산	Oracle Cloud 책임	사용자 책임	Oracle Cloud 책임	사용자 책임
데이터베이스 배치	Base Database Service 배포를 위한 소프트웨어 인프라 및 지침	네트워크 관리자: 클라우드 네트워크 인프라(VCN 및 서브넷, 게이트웨이 등)를 구성합니다. 데이터베이스 관리자: 데이터베이스 요구사항(메모리, 스토리지, 계산, 데이터베이스 버전, 데이터베이스 유형 등)을 설정합니다.	선택한 경우 운영체제, 데이터베이스 및 Grid Infrastructure 시스템 설치	데이터베이스 관리자: 필요한 경우 작업 로드(리소스 업그레이드/다운그레이드)를 기반으로 Oracle Database 소프트웨어 버전, 가상 머신 요구사항 구성(CPU/메모리), 데이터 스토리지 및 복구 스토리지 구성 크기 리소스를 업데이트합니다.
MONITORING	물리적 보안, 인프라, 제어 플레인, 하드웨어 결함, 가용성, 용량	필요한 항목 없음	사용자 서비스의 사용자 모니터링을 지원하는 기반 구조 가용성입니다.	데이터베이스 관리자: 사용자 운영 체제, 데이터베이스, 앱 및 Grid Infrastructure 모니터링
인시던트 관리 및 해결	사고 관리 및 해결 부품 및 현장 파견	필요한 항목 없음	기본 플랫폼과 관련된 모든 장애 지원	데이터베이스 관리자: 사용자 앱에 대한 인시던트 관리 및 해결
패치 관리	하드웨어, IaaS/PaaS 제어 스택의 사전 패치 적용	필요한 항목 없음	사용 가능한 패치 준비(예: Oracle Database 패치 세트)	데이터베이스 관리자: 테넌트 인스턴스의 패치 적용, 테스트 OS 관리자: OS 패치
백업 및 복원	인프라 및 제어 플레인 백업 및 복구, 사용자 가상 머신 재생성	필요한 항목 없음	실행 중인 사용자 액세스 가능 가상 머신 제공	데이터베이스 관리자: Oracle 고유 또는 타사 기능을 사용하여 사용자 IaaS 및 PaaS 데이터의 스냅샷/백업 및 복구

추가 보안 기능 사용

Base Database Service는 다음과 같은 추가 보안 기능을 제공합니다.

dbcli NetSecurity
OCI 저장소 통합
CLI에서 FIPS 사용

dbcli NetSecurity

dbcli NetSecurity는 네트워크를 통해 이동하는 데이터의 암호화를 처리합니다. 데이터가 Oracle Database에서 제3자로 또는 서버에서 클라이언트로 이동하는 경우 발신자 측에서 데이터를 암호화하고 수신자 측에서 해독해야 합니다. NetSecurity에서 규칙은 프로비전 및 데이터베이스 홈 생성 작업 중 클라이언트와 서버에 대한 기본값으로 구성됩니다. dcs-agent CLI 인터페이스는 이러한 NetSecurity 규칙을 업데이트하고 암호화 알고리즘, 무결성 알고리즘 및 연결 유형에 대한 보안을 향상시키는 명령을 제공합니다.

기본적으로 dcs-agent는 데이터베이스 홈에 대해 다음 기본 규칙을 구성합니다.

SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
SQLNET.ENCRYPTION_CLIENT=REQUIRED
SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

설정 업데이트에 대한 자세한 내용은 Oracle Database CLI Reference를 참조하십시오.

OCI 저장소 통합

이제 Base Database Service가 모든 OCI 상용 리전에서 OCI Vault 서비스와 통합되었습니다. 이제 데이터베이스를 보호하는 OCI Vault 내에서 TDE 마스터 키를 생성하고 관리할 수 있습니다. 이 기능을 사용하면 OCI Vault 서비스 사용을 시작하여 마스터 암호화 키를 저장 및 관리할 수 있습니다. 데이터베이스 보호에 사용되는 OCI Vault 키는 고가용성, 내구성, 관리형 서비스에 저장됩니다.

주:

OCI Vault 통합은 Oracle Database 버전 19.13 이상에서만 사용할 수 있습니다.

OCI Vault와 Base Database Service의 통합으로 다음을 수행할 수 있습니다.

기본 데이터베이스 서비스에서 Oracle 데이터베이스를 프로비전하면서 OCI 저장소 기반 키 암호화를 사용으로 설정하여 TDE 마스터 키를 중앙에서 제어하고 관리합니다.
TDE 마스터 키를 고가용성, 내구성 및 관리되는 서비스에 저장하도록 합니다. 이 경우 키는 FIPS(Federal Information Processing Standards) 140-2 보안 레벨 3 보안 인증을 충족하는 HSM(하드웨어 보안 모듈)에 의해 보호됩니다.
보안 준수를 유지하기 위해 암호화 키를 주기적으로 교체하고, 인력이 변경되는 경우 데이터베이스에 대한 액세스를 사용 안함으로 설정합니다.
Oracle 관리 키에서 기존 데이터베이스에 대한 사용자 관리 키로 이전합니다.
BYOK(Bring Your Own Key)인 자체 키를 가져와서 사용자 관리 암호화를 사용하여 데이터베이스를 만드는 동안 사용합니다.

주:

BYOK는 CDB(컨테이너 데이터베이스)에만 적용할 수 있습니다. PDB(플러거블 데이터베이스)에 자동으로 생성된 새 키 버전이 지정됩니다.
사용자 관리 암호화를 사용하는 Oracle 데이터베이스는 DB 시스템 복제, 내부 복원, 외부 수행 복원, 영역 내 Data Guard 구성 및 PDB 생성 및 로컬 복제와 같은 PDB 관련 작업을 지원합니다.

CLI에서 FIPS 사용

Oracle은 상용 사용자가 기본적으로 보안을 향상시킬 수 있는 도구를 제공합니다. 이 도구는 FIPS, SE Linux 및 STIG가 가장 엄격한 표준을 따르도록 하는 데 사용됩니다.

자세한 내용은 DB System Components의 FIPS, SE Linux 및 STIG 사용을 참조하십시오.