1. Oracle Cloud Infrastructure를 위한 모범 사례 프레임워크
  2. 데이터베이스 보호

데이터베이스 보호

데이터베이스 서버, 네트워크 액세스, 실제 데이터가 안전한지 확인합니다.

사용자 및 네트워크 액세스 제어

데이터 아키텍트, 보안 설계자

암호, 전용 서브넷 및 네트워크 보안 그룹을 사용하여 사용자 및 네트워크 액세스를 제어합니다.
  • 데이터베이스 인증에 사용되는 암호가 강력한지 확인합니다.
  • DB 시스템을 전용 서브넷에 연결합니다.

    전용 서브넷에는 인터넷이 연결되지 않습니다. 보안 송신 트래픽에는 NAT 게이트웨이를 사용하고 서비스 게이트웨이는 백업 엔드포인트(객체 스토리지)에 연결할 수 있습니다.

  • 네트워크 보안 그룹 또는 보안 목록을 사용하여 DB 시스템에 필요한 네트워크 액세스만 허용합니다.

데이터베이스 리소스 삭제 권한 제한

데이터 아키텍트, 보안 설계자

실수로 또는 악의적인 데이터베이스 삭제를 방지하려면 최소 사용자 및 그룹 집합에 삭제 권한(DATABASE_DELETEDB_SYSTEM_DELETE)을 부여합니다.

다음 IAM 정책 문을 사용하면 DB 사용자가 데이터베이스, 데이터베이스 시스템 및 데이터베이스 홈을 관리할 수 있습니다. 그러나 where request.permission!='DB_SYSTEM_DELETE' 조건은 DB 사용자가 데이터베이스를 삭제할 수 없도록 보장합니다. 

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

데이터 암호화

데이터 아키텍트, 보안 설계자

Oracle Cloud Infrastructure에서 생성된 모든 데이터베이스는 TDE(투명한 데이터 암호화)를 사용하여 암호화됩니다. 이전된 데이터베이스도 암호화되었는지 확인합니다.
TDE 마스터 키를 정기적으로 회전합니다. 권장되는 회전 기간은 90일 이하입니다.

보안 패치 적용

데이터 아키텍트, 보안 설계자

Oracle Database 보안 패치(Oracle Critical Patch Updates)를 적용하여 알려진 보안 문제를 완화하고 패치를 최신 상태로 유지합니다.

DB 보안 툴 사용

데이터 아키텍트, 보안 설계자

Oracle Database Security Assessment Tool은 Oracle Cloud Infrastructure에서 Oracle 데이터베이스의 자동 보안 구성 확인을 제공합니다. AVDF(Oracle Audit Vault and Database Firewall)는 데이터베이스 감사 로그를 모니터링하고 경고를 생성합니다.

데이터 안전 사용

데이터 아키텍트, 보안 설계자

Data Safe는 Oracle 클라우드 및 온프레미스 데이터베이스를 위한 통합 제어 센터입니다. Data Safe를 사용하여 데이터베이스 및 데이터 보안 구성을 보장하고, 사용자 계정에 대해 연계된 위험을 감지하고, 기존 중요한 데이터를 식별하며, 제어를 구현하여 데이터를 보호하고, 사용자 활동을 감사합니다.
  • Data Safe 감사 보존 정책을 1년으로 연장합니다.
  • 데이터 검색에 의해 민감한 것으로 식별된 데이터를 마스크합니다.
  • 보안 평가를 사용하여 CIS(Center for Internet Security), GDPR(General Data Protection Regulation) 및 STIG(Department of Defense Library of Security Technical Implementation Guides)로 권장 보안 제어를 식별합니다.
  • Data Safe 활동 감사에서 주요 이벤트에 대한 경보를 설정합니다.

자율운영 데이터베이스에 대한 전용 끝점 사용

데이터 아키텍트, 보안 설계자

가능한 경우 Oracle Autonomous Transaction Processing과 함께 전용 끝점을 사용합니다.
전용 끝점은 공유 자율 데이터베이스에 대한 공용 액세스를 제거하는 데 사용됩니다. 데이터베이스의 모든 트래픽은 전송 경로 지정이나 서비스 게이트웨이를 사용할 필요 없이 Oracle Cloud Infrastructure의 VCN을 사용하여 전용 상태로 유지됩니다.
  • 전용 끝점을 정의할 때는 전용 전용 전용 서브넷을 사용하십시오.
  • 전용 끝점 네트워크 보안 그룹의 경우 데이터베이스 리스너 포트와 동일한 프로토콜 TCP 및 대상 포트를 사용하여 Stateless 수신 규칙을 정의합니다. 소스 CIDR 레이블을 서브넷으로만 제한하거나, 온프레미스 DRG(동적 라우팅 게이트웨이)에 대해 액세스가 허용된 상태로 제한합니다.
  • 전용 끝점 네트워크 보안 그룹의 경우 프로토콜 TCP를 사용하여 Stateless 송신 규칙을 정의합니다. 허용된 액세스를 통해 대상 CIDR을 서브넷으로만 제한하거나 온프레미스 DRG로 제한합니다.

추가 정보