데이터베이스 보호

데이터베이스 서버, 서버에 대한 네트워크 액세스 및 실제 데이터가 안전한지 확인합니다.

사용자 및 네트워크 액세스 제어

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

암호, 전용 서브넷 및 네트워크 보안 그룹을 사용하여 사용자 및 네트워크 액세스를 제어합니다.
  • 데이터베이스 인증에 사용되는 암호가 강력한지 확인합니다.
  • DB 시스템을 프라이빗 서브넷에 연결합니다.

    프라이빗 서브넷에는 인터넷 접속이 없습니다. NAT 게이트웨이를 사용하면 안전한 송신 트래픽 및 서비스 게이트웨이를 통해 백업 엔드포인트(객체 스토리지)에 연결할 수 있습니다.

  • 네트워크 보안 그룹 또는 보안 목록을 사용하여 DB 시스템에 필요한 네트워크 액세스만 허용합니다.

데이터베이스 리소스 삭제 권한 제한

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

실수로 또는 악의적으로 데이터베이스를 삭제하지 않도록 하려면 최소 사용자 및 그룹 집합에 삭제 권한(DATABASE_DELETEDB_SYSTEM_DELETE)을 부여합니다.

다음 IAM 정책 문을 통해 DB 사용자는 데이터베이스, 데이터베이스 시스템 및 데이터베이스 홈을 관리할 수 있습니다. 하지만 where request.permission!='DB_SYSTEM_DELETE' 조건은 DB 사용자가 데이터베이스를 삭제할 수 없도록 합니다.

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

데이터 암호화

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Oracle Cloud Infrastructure에서 생성된 모든 데이터베이스는 투명한 데이터 암호화(TDE)를 사용하여 암호화됩니다. 마이그레이션된 데이터베이스도 암호화되었는지 확인합니다.
TDE 마스터 키를 주기적으로 교체합니다. 권장 회전 기간은 90일 이하입니다.

키 보안 및 관리

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

TDE(Transparent Data Encryption)를 사용하여 키를 보호하고 관리합니다.

TDE는 중요한 데이터를 암호화하는 데 사용되는 Oracle Database의 기능입니다. 더 복잡한 설정과 대규모 조직의 경우 서로 다른 데이터베이스, 응용 프로그램 및 서버에서 암호화 키를 관리하는 것이 복잡한 작업이 될 수 있으므로 중앙 집중식 키 관리가 필요합니다. 중앙 집중식 키 관리는 모든 암호화 키, Oracle Wallets, Java 키 저장소 및 기타 암호를 안전하게 저장하고 관리할 수 있는 통합 플랫폼을 제공하여 이를 단순화합니다. 이 중앙 집중화는 관리 오버헤드를 줄이고 보안 태세를 개선하며 기업 전반에서 일관된 키 관리 관행을 보장합니다.

보안 패치 적용

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Oracle Database 보안 패치(Oracle Critical Patch Updates)를 적용하여 알려진 보안 문제를 완화하고 패치를 최신 상태로 유지합니다.

DB 보안 툴 사용

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Oracle Database Security Assessment Tool은 Oracle Cloud Infrastructure에서 Oracle 데이터베이스의 자동화된 보안 구성 검사를 제공합니다. Oracle Audit Vault and Database Firewall(AVDF)은 데이터베이스 감사 로그를 모니터링하고 경고를 생성합니다.

Data Safe 사용

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Data Safe는 Oracle 클라우드 및 온프레미스 데이터베이스를 위한 통합 제어 센터입니다. Data Safe를 사용하여 데이터베이스 및 데이터 보안 구성을 평가하고, 사용자 계정에 연관된 위험을 감지하고, 기존 민감한 데이터를 식별하고, 데이터 보호를 위한 제어를 구현하고, 사용자 작업을 감사합니다.
  • Data Safe 감사 보존 정책을 1년으로 확장합니다.
  • 데이터 검색에서 민감한 것으로 식별된 데이터를 마스크합니다.
  • 보안 평가를 사용하여 CIS(Center for Internet Security), GDPR(General Data Protection Regulation) 및 STIG(Department of Defense) 라이브러리의 권장 보안 제어를 식별합니다.
  • Data Safe 작업 감사에서 주요 이벤트에 대한 경보를 설정합니다.

자율운영 데이터베이스에 대해 프라이빗 끝점 사용

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

가능한 경우 Oracle Autonomous Database와 함께 프라이빗 엔드포인트를 사용하십시오.

프라이빗 끝점은 공유 자율운영 데이터베이스에 대한 퍼블릭 액세스를 제거하는 데 사용됩니다. 전송 라우팅이나 서비스 게이트웨이를 사용할 필요 없이 Oracle Cloud Infrastructure에서 VCN을 사용하여 데이터베이스의 모든 트래픽이 비공개로 유지됩니다.
  • 프라이빗 끝점을 정의할 때 전용 프라이빗 서브넷을 사용하십시오.
  • 프라이빗 끝점 네트워크 보안 그룹의 경우 데이터베이스 리스너 포트와 동일한 프로토콜 TCP 및 대상 포트를 사용하여 Stateless 수신 규칙을 정의합니다. 소스 CIDR 레이블을 서브넷으로만 제한하거나, 온프레미스 DRG(동적 경로 지정 게이트웨이)의 경우 액세스가 허용됩니다.
  • Private Endpoint Network Security Group의 경우 프로토콜 TCP를 사용하여 Stateless 송신 규칙을 정의합니다. 대상 CIDR을 서브넷으로만 제한하거나, 온프레미스 DRG의 경우 액세스가 허용됩니다.

Oracle Database 최대 보안 구조 구현

Oracle의 Maximum Security Architecture는 데이터베이스의 중요한 데이터를 보호하기 위한 강력한 프레임워크를 제공합니다. 세 가지 주요 영역인 평가, 감지 및 예방에 중점을 두고 데이터베이스 보안에 대한 포괄적인 접근 방식을 제공합니다. 데이터베이스의 현재 상태를 평가함으로써 조직은 공격자가 악용할 수 있는 취약점과 약점을 식별할 수 있습니다. 여기에는 데이터베이스 구성, 유저 액세스 제어 및 데이터 보호 조치 평가가 포함됩니다.

부적절하거나 승인되지 않은 액세스 시도를 감지하는 것이 다음으로 중요한 방어 계층입니다. Oracle의 고급 감사 기능을 통해 조직은 데이터베이스 활동을 모니터링하고 의심스러운 행동을 식별하며 잠재적 위협에 즉시 대응할 수 있습니다. 관리자는 경고를 설정하고 주요 데이터베이스 이벤트를 모니터링하여 심각한 손상을 입히기 전에 공격을 감지하고 완화할 수 있습니다. 데이터에 대한 무단 액세스를 방지하는 것은 Oracle의 보안 아키텍처의 마지막 요새입니다. 여기에는 강력한 인증 메커니즘, 액세스 제어 목록 및 암호화 기법 구현이 포함됩니다. 업무를 분리하고 최소한의 권한 원칙을 사용하며 가상 전용 데이터베이스를 사용하면 권한이 부여된 사용자만 민감한 데이터에 액세스할 수 있으므로 무단 수정이나 공개를 방지할 수 있습니다.