DB 시스템에 대한 보안 규칙

이 문서에서는 DB 시스템에 사용할 보안 규칙을 나열합니다. 보안 규칙은 DB 시스템의 컴퓨트 노드에서 허용되는 트래픽의 유형을 제어합니다. 규칙은 두 섹션으로 나뉩니다.

보안 규칙에 대한 자세한 내용은 보안 규칙을 참조하십시오. 이러한 규칙을 구현하는 여러 가지 방법에 대한 자세한 내용은 보안 규칙을 구현하는 방법을 참조하십시오.

주:

Oracle에서 제공하는 DB 시스템 이미지를 실행하는 인스턴스에는 인스턴스에 대한 액세스를 제어하는 방화벽 규칙도 있습니다. 인스턴스의 보안 규칙과 방화벽 규칙이 모두 올바르게 설정되어 있는지 확인합니다. 또한 DB 시스템에서 열린 포트를 참조하십시오.

관련 항목

기본 연결에 필요한 일반 규칙

다음 섹션에는 VCN의 호스트에 필수 연결을 사용으로 설정하는 몇 가지 일반 규칙이 있습니다.

보안 목록을 사용하여 보안 규칙을 구현하는 경우 다음 규칙이 기본 보안 목록에 기본적으로 포함됩니다. 특정 보안 요구 사항에 맞게 목록을 업데이트하거나 바꿉니다. Oracle Cloud Infrastructure 환경 내에서 네트워크 트래픽이 제대로 작동하려면 두 개의 ICMP 규칙(일반 수신 규칙 2 및 3)이 필요합니다. 일반 수신 규칙 1(SSH 규칙) 및 일반 송신 규칙 1을 조정하여 VCN의 리소스와의 통신이 필요한 호스트 간 트래픽만 허용하도록 합니다.

기본 보안 목록에 대한 자세한 내용은 보안 목록을 참조하십시오.

일반 수신 규칙 1: 어디서나 SSH 트래픽 허용

  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 소스 유형: CIDR
  • 소스 CIDR: 0.0.0.0/0(IPv4), ::/0(IPv6)
  • IP 프로토콜: TCP
  • 소스 포트 범위: 모두
  • 대상 포트 범위: 22

주:

IPv6 CIDR은 IPv6 주소를 사용하여 SSH에 접속하려는 경우에만 필요합니다.

일반 수신 규칙 2: 경로 MTU 검색 단편화 메시지 허용

이 규칙은 VCN의 호스트가 경로 MTU 검색 단편화 메시지를 수신할 수 있도록 합니다. 이러한 메시지에 액세스하지 않으면 VCN의 호스트가 VCN 외부의 호스트와 통신하는 데 문제가 있을 수 있습니다.

  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 소스 유형: CIDR
  • 소스 CIDR: 0.0.0.0/0(IPv4), ::/0(IPv6)
  • IP 프로토콜: ICMP
  • 유형입니다: 3
  • 코드: 4

일반 수신 규칙 3: VCN 내에서 연결 오류 메시지 허용

이 규칙을 사용하면 VCN의 호스트가 서로 연결 오류 메시지를 수신할 수 있습니다.

  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 소스 유형: CIDR
  • 소스 CIDR: VCN의 CIDR
  • IP 프로토콜: ICMP
  • 유형: 모두
  • 코드: 모두

일반 송신 규칙 1: 모든 송신 트래픽 허용

  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 대상 유형: CIDR
  • 대상 CIDR: 0.0.0.0/0(IPv4), ::/0(IPv6)
  • IP 프로토콜: 모두

주:

  • IPv6 대상 CIDR은 IPv6 네트워크에 대한 송신 통신에만 필요합니다.
  • 대상 CIDR을 제한할 수 있습니다.

사용자정의 보안 규칙

DB 시스템의 기능을 위해서는 다음 규칙이 필요합니다.

주:

사용자정의 수신 규칙 1 및 2는 VCN 내에서 시작된 연결만 포함합니다. VCN 외부에 상주하는 클라이언트가 있는 경우 Oracle은 대신 소스 CIDR을 클라이언트의 공용 IP 주소로 설정하도록 두 개의 추가 유사 규칙을 설정할 것을 권장합니다.

사용자정의 수신 규칙 1: VCN 내에서 ONS 및 FAN 트래픽 허용

이 규칙은 권장되며 ONS(Oracle Notification Services)가 FAN(Fast Application Notification) 이벤트에 대해 통신할 수 있도록 합니다.

  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 소스 유형: CIDR
  • 소스 CIDR: IPv4 및 IPv6 VCN의 CIDR
  • IP 프로토콜: TCP
  • 소스 포트 범위: 모두
  • 대상 포트 범위: 6200
  • 설명: 규칙에 대한 선택적 설명입니다.

사용자 정의 수신 규칙 2: VCN 내에서 SQL*NET 트래픽 허용

이 규칙은 SQL*NET 트래픽용이며 데이터베이스에 대한 클라이언트 연결을 사용으로 설정해야 하는 경우에만 필요합니다.

  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 소스 유형: CIDR
  • 소스 CIDR: IPv4 및 IPv6 VCN의 CIDR
  • IP 프로토콜: TCP
  • 소스 포트 범위: 모두
  • 대상 포트 범위: 1521
  • 설명: 규칙에 대한 선택적 설명입니다.

사용자정의 송신 규칙 1: 아웃바운드 SSH 액세스 허용

이 규칙은 2노드 DB 시스템의 노드 간 SSH 액세스를 사용으로 설정합니다. 기본 연결에 필요한 일반 규칙 및 기본 보안 목록의 일반 송신 규칙과 중복됩니다. 선택사항이지만 일반 규칙(또는 기본 보안 목록)이 실수로 변경된 경우 권장됩니다.

  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 대상 유형: CIDR
  • 대상 CIDR: 0.0.0.0/0(IPv4), ::/0(IPv6)
  • IP 프로토콜: TCP
  • 소스 포트 범위: 모두
  • 대상 포트 범위: 22
  • 설명: 규칙에 대한 선택적 설명입니다.

사용자정의 송신 규칙 2: Oracle Services Network에 대한 액세스 허용

이 규칙을 사용하면 DB 시스템이 Oracle 서비스(인터넷 게이트웨이가 있는 공용 서브넷의 경우) 또는 모든 Oracle 서비스(서비스 게이트웨이가 있는 전용 서브넷의 경우)를 포함하는 Oracle Services Network와 통신할 수 있습니다. 기본 연결에 필요한 일반 규칙 및 기본 보안 목록의 일반 송신 규칙과 중복됩니다. 선택사항이지만 일반 규칙(또는 기본 보안 목록)이 실수로 변경된 경우 권장됩니다. OCI 서비스는 IPv4과만 통신합니다.

  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 대상 유형: 서비스
  • 대상 서비스:
    • IPv4 퍼블릭 서브넷(인터넷 게이트웨이 사용)을 사용하는 경우 CIDR 0.0.0.0/0를 사용합니다.
    • IPv4 프라이빗 서브넷(서비스 게이트웨이 사용)을 사용할 때는 All <region> Services in Oracle Services Network라는 CIDR 레이블을 사용합니다.
  • IP 프로토콜: TCP
  • 소스 포트 범위: 모두
  • 대상 포트 범위: 443(HTTPS)
  • 설명: 규칙에 대한 선택적 설명입니다.

네트워킹에 대한 자세한 내용은 Networking Overview를 참조하십시오.

보안 규칙을 구현하는 방법

네트워킹 서비스는 VCN 내에서 보안 규칙을 구현하는 두 가지 방법을 제공합니다.

보안 목록과 네트워크 보안 그룹의 비교는 Security Rules를 참조하십시오.

네트워크 보안 그룹 사용

NSG(네트워크 보안 그룹)를 사용하도록 선택하는 경우 권장 프로세스는 다음과 같습니다.

  1. DB 시스템에 대한 네트워크 보안 그룹을 생성합니다. 해당 NSG에 다음 보안 규칙을 추가합니다.
    • 기본 접속에 필요한 일반 규칙에 나열된 규칙입니다.
    • 사용자정의 보안 규칙에 나열된 규칙
  2. 데이터베이스 관리자는 DB 시스템을 생성할 때 몇 가지 네트워킹 구성 요소(예: 사용할 VCN 및 서브넷)를 선택해야 합니다. 또한 사용할 NSG 또는 NSG를 선택할 수 있습니다. 그들이 당신이 만든 NSG를 선택했는지 확인하십시오.

대신 일반 규칙에 대해 하나의 NSG를 생성하고 사용자정의 규칙에 대해 별도의 NSG를 생성할 수 있습니다. 그런 다음 데이터베이스 관리자가 DB 시스템에 사용할 NSG를 선택하면 두 NSG를 모두 선택해야 합니다.

보안 목록 사용

보안 목록을 사용하도록 선택한 경우 권장 프로세스는 다음과 같습니다.

  1. 필요한 보안 규칙을 사용하도록 서브넷을 구성합니다.
    1. 서브넷에 대한 사용자정의 보안 목록을 생성하고 사용자정의 보안 규칙에 나열된 규칙을 추가합니다.
    2. 다음 두 보안 목록을 서브넷에 연결합니다.
      • 모든 기본 규칙이 포함된 VCN의 기본 보안 목록입니다. 이 기능은 VCN과 함께 자동으로 제공됩니다.
      • 서브넷에 대해 생성한 새 사용자정의 보안 목록
  2. 나중에 데이터베이스 관리자가 DB 시스템을 생성할 때는 여러 네트워킹 구성 요소를 선택해야 합니다. 이미 생성 및 구성한 서브넷을 선택하면 서브넷에 생성된 컴퓨트 노드에 대해 보안 규칙이 자동으로 적용됩니다.

주의:

기본 보안 목록에서 기본 송신 규칙을 제거하지 마십시오. 그렇게 할 경우 대신 서브넷의 사용자정의 보안 목록에 다음 대체 송신 규칙을 포함해야 합니다.
  • Stateless: 아니요(모든 규칙은 Stateful 상태여야 함)
  • 대상 유형: CIDR
  • 대상 CIDR: 0.0.0.0/0
  • IP 프로토콜: 모두