OCI의 사이버 보안 핵심에 대해 알아보기

OCI Core Landing Zone부터 시작하여 권장 설계 및 모범 사례에 따라 사이버 보안 제품군의 핵심 구성요소를 신속하게 설정합니다. CIS OCI Foundations Benchmark와 연계된 보안 OCI 테넌시를 배포하려면 시작하기 전에 섹션에서 CIS OCI Foundations Benchmark를 충족하는 보안 랜딩 존 배포 솔루션을 참조하십시오. 이 솔루션은 다양한 OCI 서비스를 사용하여 주요 메커니즘, 구조 및 보호를 설정하는 데 도움이 됩니다.

다음 다이어그램은 OCI Core Landing Zone 참조 아키텍처를 보여줍니다.

다음 oci-core-landingzone.png에 대한 설명입니다.
그림 oci-core-landingzone.png에 대한 설명

oci-core-landingzone-oracle.zip

랜딩 존은 조직이 비즈니스 크리티컬 워크로드를 효율적으로 배포할 수 있도록 설계되었습니다. ID, 네트워크, 스토리지, 컴퓨팅, 보안 등 모든 필수 기술 구성요소가 포함되어 있습니다. 랜딩 존 프로비저닝은 코드형 인프라(IaC)를 통해 자동화되므로 클릭 한 번으로 모든 것을 배포할 수 있습니다.

OCI Core Landing Zone은 Oracle Enterprise Landing Zone(OELZ)과 CIS(Center for Internet Security) Landing Zone 접근 방식을 모두 통합합니다. 이 통합 랜딩 존은 클라우드의 민첩성, 확장성 및 보안을 위한 참조 아키텍처를 제공합니다. 모듈식 OCI Landing Zone 프레임워크를 기반으로 빠르고 확장 가능한 배포가 가능하며 CIS OCI Foundations Benchmark에서 권장하는 보안 모범 사례가 포함되어 있어 강력한 보안 태세를 달성하고 규정 준수 요구사항을 충족할 수 있습니다.

사이버 보안은 NIST 사이버 보안 모델의 "보호 및 감지" 단계를 다룹니다.

예방 통제를 위한 권장 사항

이러한 권장 사항부터 시작하여 OCI 테넌시에 강력한 예방 제어를 설정합니다.

예방 통제는 논리적 보호, 네트워크 보호 및 인프라/애플리케이션 보호의 세 가지 주요 영역에 중점을 둡니다. 무단 액세스로부터 테넌시를 보호하고 네트워크 레벨 액세스를 제한하여 랜섬웨어와 같은 위험을 완화합니다. 인프라 및 애플리케이션을 보호하여 타협으로부터 복원력을 강화합니다.

논리적 보호

테넌시 컴파트먼트 설계

컴파트먼트 전략을 설계하여 랜섬웨어로부터 보호합니다. Oracle Cloud Infrastructure Identity and Access Management(OCI IAM)는 Oracle Cloud 및 비Oracle 애플리케이션을 위한 강력한 ID 관리(인증, SSO, 수명 주기 관리) 기능을 제공합니다. 또한 클라우드 또는 온프레미스에 관계없이 직원, 파트너 및 고객에게 안전한 액세스를 지원합니다. OCI IAM은 기존 ID 저장소 및 제공업체와 통합되어 클라우드 애플리케이션 및 서비스에 대한 최종 사용자 액세스를 간소화합니다. 다음 지침에 따라 구획 전략을 설계합니다.
  • 테넌시 내에서 논리적 컨테이너 역할을 하는 구획으로 클라우드 리소스를 구성합니다.
  • 구획을 구조화하여 중요한 워크로드와 데이터를 격리하고 분산 관리, 최소 권한 액세스 및 업무 분리를 허용합니다.
  • 운영 모델에 따라 리소스를 그룹화하여 배포하고, 역할 기반 관리 권한을 제한하고, 긴급 " 긴급" 계정으로 전체 테넌시 관리 권한을 제한합니다.
  • 컴파트먼트는 제로 트러스트 모델을 따르며 기본적으로 모든 액세스를 거부합니다. 액세스 권한은 명시적 IAM 정책을 통해서만 부여됩니다.

OCI IAM 정책

리소스에 대한 액세스는 기본적으로 거부되며 명시적 정책에서만 허용됩니다. 다음 지침에 따라 OCI IAM 정책을 생성합니다.
  • 그룹에 대한 액세스 권한을 부여하고 클라우드 리소스에 대한 제한된 액세스 권한을 제공하는 명시적 정책을 생성합니다.
  • 상세한 정책을 작성합니다. 예를 들어, 일반적으로 백업 저장에 사용되지만 객체 또는 버킷 삭제 기능을 거부하는 오브젝트 스토리지 버킷을 생성 및 관리할 수 있는 그룹을 허용하는 정책을 생성할 수 있습니다. Storage_Admins{tenancy OCID}에서 버킷을 관리하도록 허용할 수 있습니다(여기서 request.permission != 'DELETE').
  • 자격 증명 재사용을 방지하고 격리를 향상시키려면 별도의 ID 도메인을 중요한 구획(예: 저장소)에 지정합니다. 예를 들어, 버킷, 블록 볼륨 및 수동 데이터베이스 백업의 복사본을 저장할 저장소 컴파트먼트를 생성하고 액세스를 제어할 별도의 ID 도메인을 지정할 수 있습니다. 이렇게 하면 기본 환경에 액세스할 수 있는 모든 사용자가 동일한 인증서를 사용하여 Vault 구획에 액세스하는 것을 제한하고 이러한 자산을 격리하고 보호할 수 있습니다.
  • 추가 보안을 위해 ID 도메인을 외부 제공자와 독립적으로 통합합니다. Vault 및 Safe Restore enclaves용 별도의 ID 제공자를 사용하여 운용 환경에 사용된 ID 제공자와 뛰어난 격리를 제공합니다.

MFA(다중 요소 인증)

MFA를 활성화 및 위임하여 모든 로컬 OCI 계정을 보호합니다. OCI IAM은 보안 질문, 모바일 앱 비밀번호, 모바일 앱 통지, 텍스트 메시지(SMS), 이메일, 우회 코드, 이중 보안 등 MFA를 지원하는 다양한 방법을 지원합니다.

네트워크 보안

기존의 경계 기반 사이버 보안은 사이버 보안 필러의 기반이며 방화벽, 배스천 호스트, 경계 차세대 방화벽, WAF, 기본적인 ID 및 액세스 관리 관행을 사용합니다. 기존의 사이버 보안은 테이블 스테이크이지만 이 공간 경계 보안에서 표준 차단 및 대처 메커니즘이 없으면 손상됩니다.

OCI는 보안 네트워크를 달성하기 위한 제어를 구현하는 데 도움이 되는 여러 기능을 제공합니다. VCN은 OCI의 모든 네트워킹을 위한 기반을 제공합니다. 기본적으로 테넌시에 대한 네트워크 액세스는 없습니다. 수신 및 송신을 허용하고 허용되는 방향, 포트 및 프로토콜을 지정하려면 서비스를 구현해야 합니다.

공격자가 네트워크에 액세스하지 못하도록 네트워크를 설계하고 액세스 권한을 얻는 경우 공격자가 나중에 이동하지 못하도록 방지합니다. 다음 권장 사항에 따라 네트워크 보호를 구성합니다.

  • 분리: 전용 VCN에 데이터베이스와 같은 중요한 워크로드를 배치합니다. 방화벽, SL 및 NSG를 제어에 사용합니다. You can granularly control access between and within a VCN and achieve the first layer of segmentation. 중요한 워크로드를 자체 전용 VCN에 배치하면 방화벽, 보안 목록 및 NSG(네트워크 보안 그룹)를 활용하여 액세스를 필터링하고 제어할 수 있습니다.
  • 제로 트러스트 및 최소 권한: 제로 트러스트 및 최소 권한의 원칙을 적용하고, SL(보안 목록), NSG(네트워크 보안 그룹) 및 ZPR(제로 트러스트 패킷 경로 지정)을 사용하여 서브넷과 클라우드 리소스 간의 추가 세분화 및 격리를 달성합니다. 서브넷 및 리소스 격리를 위해 SL, NSG 및 ZPR을 사용합니다. OCI ZPR 정책은 의도 기반의 사람이 읽을 수 있는 언어를 사용하므로 쉽게 감사, 이해 및 관리할 수 있습니다.
  • SL: SL은 서브넷 레벨에서 작동하며 서브넷에 대한 수신 및 송신을 제어합니다.
  • NSG: NSG를 사용하여 특정 VNIC에 적용되는 수신 및 송신 규칙 집합을 정의합니다. NSG는 VNIC 계층에서 격리를 제공하며 개별 VNIC 장착 리소스 간에 마이크로 세분화를 구현할 수 있도록 합니다.
  • SL을 통한 NSG: NSG는 VNIC 레벨에서 마이크로 세분화를 지원하고 네트워크 설계와 별도의 보안을 지원하므로 SL을 통한 NSG를 선호합니다.
  • 트래픽 제한: 수신 및 송신 트래픽을 지정된 애플리케이션이 최소 권한 원칙을 행사하는 데 필요한 소스 및 대상 포트로만 제한합니다. RDP 및 SSH와 같은 중요한 포트에 대한 전세계 액세스를 엄격하게 제한합니다.
  • OCI IAM 정책: OCI IAM 정책을 사용하여 SL에 대한 권한을 부여하고, 직무 분리를 기반으로 목록을 유지 관리할 책임이 있는 당사자만 관리할 수 있도록 합니다.
  • 네트워크 방화벽: DRG를 통해 허브 앤 스포크 아키텍처로 OCI Network Firewall을 배포하여 교차 VCN 및 온프레미스 트래픽을 규제합니다. OCI는 여러 타사 방화벽(예: Fortinet, Palo Alto, Cisco)을 지원합니다.
  • 안전한 제어 인터넷 액세스를 위해 OCI 게이트웨이를 사용하고, OCI 서비스에 리소스를 비공개로 연결합니다.
    • 인터넷 게이트웨이: 수신 및 송신을 제어합니다(보안에 대한 제한).
    • NAT 게이트웨이: 내부 IP를 노출하지 않고도 제어 송신을 허용합니다.
    • 서비스 게이트웨이: OCI 네트워크 내에서 리소스 통신을 유지합니다.
  • 프라이빗 연결: OCI FastConnect를 사용하여 테넌시와 내부 네트워크 간의 고속, 저지연, 프라이빗 연결을 지원합니다. 암호화를 제공하려면 MacSEC 및/또는 IPSEC를 고려하십시오.
  • 배스천 호스트: OCI 관리형 배스천 서비스를 사용하여 리소스에 대한 보안 및 임시 관리자 액세스를 제공합니다.
  • 제로 트러스트 패킷 경로 지정: 네트워크 보안 정책을 보다 쉽고 감사할 수 있도록 합니다.

인프라 및 애플리케이션 보호

OCI는 테넌시의 인프라 리소스를 보호하기 위한 몇 가지 기능을 제공합니다.

  • OCI IAM 정책: 관리자도 민감한 권한을 제거합니다. 전체 관리자 권한을 안전하게 보관된 긴급 계정으로 제한합니다. 예를 들어, 스토리지(객체, 블록 및 파일)를 삭제하고 백업하는 기능을 제거하고 보관할 수 있는 긴급 계정으로 테넌시 관리 권한을 제한할 수 있습니다.
  • DDoS 보호: OCI는 체적 공격으로부터 네트워크의 기본 보호를 제공하며, Oracle은 또한 테넌시 수준에서 계층 3 및 4 보호를 제공하는 솔루션을 보유하고 있습니다.
  • 웹 애플리케이션 방화벽(WAF): 로드 밸런서와 함께 OCI WAF를 사용하여 OWASP(Open Web Application Security Project) 상위 10개 취약성을 포함한 위협으로부터 공용 앱을 보호합니다. 필요한 경우 국가별 액세스를 제한합니다. OCI WAF는 SQL 주입과 같은 OWASP 공격으로부터 웹 기반 트래픽을 검사하고 보호하기 위해 OCI 로드 밸런싱을 사용하여 배포해야 합니다. 사용 및 액세스 요구 사항에 따라 국가별 트래픽 제한을 고려하십시오.
  • 취약성 및 패치 관리: OCI Vulnerability Scanning ServiceOracle OS Management Hub 서비스의 조합을 사용합니다.
    • 컴퓨트 노드 및 레지스트리 이미지에 OCI 취약성 스캔 서비스를 사용합니다. 모든 컴퓨트 노드 및 컨테이너에서 열린 포트 및 CVSS 기반 취약성을 모두 스캔합니다.
    • Oracle OS Management Hub를 사용하여 OS 패치 작업을 자동화하고 모니터링할 수 있습니다. 누락된 OS 및 보안 패치를 식별하고 Oracle Linux 및 Windows 컴퓨트 노드에서 패치 적용을 자동화합니다.
  • 인스턴스 보안: 인스턴스 보안은 컴퓨트, 가상 및 베어메탈 호스트의 워크로드에 대한 런타임 보안을 제공합니다. 인스턴스 보안은 클라우드 보안 상태 관리에서 클라우드 워크로드 보호로 Cloud Guard의 범위를 확장합니다. 이를 통해 일관된 가시성과 인프라의 보안 상태에 대한 전체적인 이해를 통해 한 곳에서 보안 요구 사항을 충족할 수 있습니다.
  • OCI Vault: Vault는 자체 암호화 키 및 기타 중요 인증서를 관리하려는 경우 키 및 암호에 대해 HSM 지원 전체 수명 주기 관리 서비스를 제공합니다. 요구 사항을 충족하기 위한 Vault 서비스에는 여러 가지 옵션이 있습니다.
  • 보안 영역: 테넌시 내에서 클라우드 리소스의 생성 및 이동을 위한 가드레일을 제공합니다. 보안 영역은 구획에 적용되고 제어 평면에서 작동하여 특정 작업이 수행되지 않도록 합니다. 예를 들어, 퍼블릭 버킷 생성, 퍼블릭 IP 주소 지정을 방지하고 모든 스토리지의 보안을 위해 고객 관리 암호화 키를 사용해야 할 수 있습니다. 특정 보안 상태 및 규정 준수 요구사항을 충족하도록 사용자정의 보안 영역을 정의합니다. 요구사항 및 대상 컴파트먼트에 관련된 정책 문을 선택합니다.

OCI는 랜섬웨어 유형 위협으로부터 테넌시를 적절히 보호하는 데 도움이 되는 다양한 서비스와 기능을 제공합니다. 이러한 컨트롤은 OCI 테넌시를 크게 강화하지만 어떤 시스템도 완벽하게 안전하지 않습니다. 사이버 위협이 진화함에 따라 경계를 유지하고 보안 태세를 지속적으로 조정합니다.

Detective Control 권장 사항

환경 보호를 위한 최선의 노력에도 불구하고 결정된 공격자가 결국 들어갈 방법을 찾을 수 있습니다. 그렇기 때문에 의심스러운 활동을 식별하고 환경이 손상될 경우 경고하는 데 도움이 되는 감지 제어를 설정해야 합니다.

OCI 서비스를 사용하여 테넌시의 잠재적 랜섬웨어 위협을 식별하고 이에 대응할 수 있습니다. 보안 OCI 테넌시를 설정하는 가장 빠른 방법은 OCI CIS 보안 벤치마크를 따르고 사이버 보안 모범 사례를 통합하는 OCI Core Landing Zone을 배포하는 것입니다.

로깅 및 분석

OCI Logging은 모든 로그를 중앙에서 볼 수 있는 확장성이 뛰어난 완전 관리형 서비스입니다. OCI 리소스에서 로그를 수집하고 이러한 리소스가 액세스 및 수행되는 방식에 대한 중요한 진단 세부정보를 제공합니다. 다음과 같은 세 가지 주요 로그 유형을 사용할 수 있습니다.

  1. 감사 로그:

    감사 로그는 콘솔, 명령행 또는 API 사용 여부에 관계없이 테넌시 내의 모든 작업을 캡처합니다. 감사 로그 콘텐츠는 변경 불가능하게 저장되며 변경 또는 삭제할 수 없습니다. 콘솔에서 감사 로그를 검색하고 OCI 통지 서비스를 사용하여 보안 팀에 전송할 수 있는 이벤트로 항목을 전환할 수 있습니다.

  2. 서비스 로그:

    서비스 로그는 API 게이트웨이, 로드 밸런서, 오브젝트 스토리지, 함수 및 VCN 플로우 로그와 같은 OCI 전용 서비스에서 생성됩니다. 각 서비스는 필요에 따라 사용 또는 사용 안함으로 설정할 수 있는 미리 정의된 로그 범주를 제공합니다.

  3. 사용자 정의 로그:

    사용자정의 로그를 사용하면 사용자정의 애플리케이션, 다른 클라우드 제공자 또는 온프레미스 환경에서 진단 정보를 모니터링하고 기록할 수 있습니다. API를 사용하여 이러한 로그를 수집하거나, 통합 모니터링 에이전트를 사용하여 컴퓨트 리소스에서 사용자정의 로그를 직접 업로드하도록 OCI 컴퓨트 인스턴스 또는 리소스를 구성합니다. 사용자정의 로그는 가상 머신과 베어메탈에서 모두 지원됩니다.

모든 로그 데이터는 전송 중 및 유휴 상태로 암호화되며 오브젝트 스토리지와 같은 스토리지로 아카이브하거나 전송할 때 암호화 상태로 유지됩니다. OCI Logging은 Connector Hub와 통합되므로 아카이브 스토리지를 위해 Object Storage로 로그를 쉽게 전달할 수 있고, 보안 정보 및 이벤트 관리(SIEM) 및 기타 보안 분석 도구를 통해 수집을 위해 OCI Streaming 서비스를 제공할 수 있습니다.

OCI Log Analytics

SIEM이 없는 경우 OCI Log Analytics 서비스를 사용하여 로그를 분석하는 것이 좋습니다. OCI Log Analytics 서비스는 클라우드 또는 온프레미스 애플리케이션과 시스템 인프라의 로그 데이터를 인덱스화, 강화, 집계, 탐색, 검색, 분석, 상관, 시각화 및 모니터링할 수 있는 OCI 네이티브 솔루션입니다. 이 서비스는 로그에서 운영 통찰력을 얻는 여러 가지 방법을 제공합니다. Log Analytics를 사용하면 다음을 수행할 수 있습니다.

  • 대화식 로그 탐색기 UI 사용
  • 대시보드에 로그 정보 집계
  • API를 사용하여 데이터 수집 및 분석
  • 다른 OCI 서비스와 로그 데이터 통합

대화식 시각화는 데이터를 분할하고 분석하는 여러 가지 방법을 제공합니다. 클러스터링 기능을 사용하면 수백만 개의 로그 항목을 가장 흥미로운 패턴으로 줄이고, 기능을 그룹화하여 이상을 발견하고 트랜잭션을 추적할 수 있습니다. 링크 기능을 사용하여 트랜잭션의 로그를 분석하거나 그룹화된 뷰를 사용하여 비정상적 패턴을 식별할 수 있습니다.

OCI Log Analytics의 보안 모니터링 솔루션은 클라우드 보안 상태를 모니터링하고 이해하는 데 도움이 되는 선별된 대시보드 세트입니다. 이러한 대시보드는 복잡한 로그 데이터를 실행 가능한 보안 통찰력으로 전환하고 보안 문제를 해결하는 데 도움이 됩니다. 이 뷰를 통해 시간을 절약하고 위험을 줄이며 클라우드 보안 상태를 개선할 수 있습니다.

3개의 Oracle 정의 뷰인 VCN, OCI ComputeOCI Audit이 보안 모니터링 솔루션 페이지에 표시됩니다.

보안 상태 관리

While OCI Logging lets you visualize what's happening in your environment, it only provides disparate data points about the activity within it. 상황별 정보를 수집하면 잠재적 위협을 발견하고 랜섬웨어와 같은 위협으로부터 환경을 보호할 수 있습니다. 기존 SIEM 플랫폼은 상관 관계 및 고급 분석 기능을 제공합니다. 그러나 사용하기가 어렵고 구현 및 유지 관리 비용이 많이 들 수 있습니다. OCI는 다음과 같은 여러 이점을 제공하는 클라우드 전용 서비스를 제공합니다.

Cloud Guard

OCI 환경을 모니터링하고, 위험한 구성 또는 활동을 감지하고, 강력한 보안 상태를 유지하는 데 도움이 되는 클라우드 네이티브 서비스입니다. Cloud Guard를 사용하여 다음을 수행할 수 있습니다.

  • 리소스에서 구성 관련 보안 취약점을 확인하고 사용자와 운영자가 위험한 활동을 하는지 확인합니다.
  • 구성에 따라 감지, 제안, 지원 또는 시정 조치를 취합니다.
  • 감사 로그 정보를 실행 가능한 보안 관련 이벤트로 자동으로 변환하고 검토해야 하는 원시 이벤트 수를 줄입니다.
  • Cloud Guard 콘솔의 이벤트에 대한 조치를 취하여 OCI Streaming 서비스로 전달하고 SIEM 시스템으로 전달합니다.
  • Oracle에서 제공하는 감지기 및 응답기 레시피를 복제하고 사용자정의하여 경보를 받을 보안 위반 및 이에 대해 수행할 수 있는 작업을 조정합니다. 예를 들어 가시성이 public으로 설정된 오브젝트 스토리지 버킷을 감지할 수 있습니다.
  • 테넌시 수준에서 Cloud Guard를 적용하여 광범위한 적용 범위를 제공하고 여러 구성을 유지 관리하는 데 드는 관리 부담을 줄입니다.
  • 관리 목록을 사용하여 보안 스캔 감지기에서 특정 구성을 포함하거나 제외합니다.

Cloud Guard 위협 감지기

데이터 과학을 적용하여 손상된 환경을 신속하게 발견합니다. 머신 러닝, 데이터 과학 및 위협 인텔리전스를 사용하여 사용자 행동을 자동으로 분류하여 경보 소음을 줄입니다. Oracle의 위협 인텔리전스 데이터를 사용하여 MITRE ATT&CK 기술에 부합하는 타겟팅된 행동 모델을 모니터링합니다. 이는 알려진 공격자 동작과 동기를 사용하여 위협 표시자를 식별하고 공격 진행률에 따라 해당 표시자를 점수부여 알고리즘에 결합합니다.

또한 위협 감지기는 머신 러닝 및 기타 기술을 사용하여 OCI 관리자의 작업을 분석하여 보안 운영자에게 악의적인 사용자(인증서가 도난당했거나 충성도가 손상된 사용자)를 알리는 데 도움을 줍니다. 이 감지기가 사용으로 설정되었는지 확인하고 Rogue User 경보를 설정하여 팀의 권한이 부여된 사용자에게 알립니다.

Cloud Guard 인스턴스 보안

인스턴스 보안은 OCI 컴퓨트 가상 및 베어메탈 호스트의 워크로드에 대한 런타임 보안을 제공합니다. 일관된 가시성을 통해 한 곳에서 보안 요구 사항을 충족할 수 있습니다. Instance Security는 Infrastructure의 보안 상태를 전체적으로 이해하고 다음을 지원합니다.

  • OS 레벨에서 의심스러운 프로세스, 열린 포트 및 스크립트 실행 감지
  • 취약점 및 비정상적인 작업에 대해 실행 가능한 경보 수신
  • Oracle 관리형 감지기 레시피를 사용하거나 위협 사냥을 위한 고유 레시피를 생성합니다.
  • 고유 통합 OCI Logging을 사용하여 타사 보안 도구로 로그 익스포트

데이터베이스 보안

데이터베이스는 조직의 중요하고 민감하며 규제되는 운영 데이터를 포함하고 있기 때문에 랜섬웨어의 주요 대상입니다. 따라서 데이터베이스 보안 상태에 대한 실시간 인사이트를 확보하고 랜섬웨어 및 기타 공격으로부터 클라우드 인프라를 보호하는 것이 중요합니다.

기본적으로 OCI 데이터베이스는 TDE(투명한 데이터 암호화)를 사용하여 테이블 및 백업의 중요한 데이터를 보호합니다. TDE는 유휴 상태의 모든 데이터를 암호화하고 권한이 부여된 사용자 또는 애플리케이션이 이 데이터에 액세스할 때 이를 투명하게 해독합니다. TDE는 저장 매체 또는 데이터 파일이 도난당한 경우 매체에 저장된 데이터를 보호합니다.

Oracle Data Safe는 데이터의 민감도를 파악하고, 데이터 위험을 평가하고, 민감한 정보를 마스킹하고, 보안 제어를 구성 및 모니터링하고, 사용자를 평가하고, 데이터베이스 활동을 모니터링할 수 있도록 지원하는 통합 Oracle Database 콘솔을 제공합니다. Data Safe를 사용하여 다음을 수행할 수 있습니다.

  • 보안 위험 평가
  • 사용자 평가
  • 활동 감사
  • 데이터 검색
  • 데이터 마스킹

참고:

Data Safe에 모든 Oracle Database를 등록하여 위험을 식별, 분류 및 우선 순위를 지정하고 보안 매개변수, 보안 제어, 사용자 역할 및 권한에 대한 포괄적인 사용 보고서를 생성합니다.

Oracle Database Vault

Oracle Database VaultOracle Database 내에서 데이터 보안 제어를 구현하여 권한 있는 사용자가 중요한 애플리케이션 데이터에 대한 액세스를 제한합니다. 내부자 및 외부자 위협의 위험을 줄이고 규정 준수 요구 사항 및 업무 분리를 해결합니다.

비용이 많이 들고 시간이 많이 소요되는 애플리케이션 변경 없이 신규 및 기존 Oracle Database 환경을 보호합니다. Database Vault는 추가 서버 및 에이전트를 배포할 필요 없이 Oracle Real Application Clusters(Oracle RAC), Oracle GoldenGate, Oracle Data Guard 등 엔터프라이즈 아키텍처와 호환됩니다.

Oracle Database Vault는 다음과 같은 기능을 제공합니다.

  • 영역: Oracle DatabaseOracle Database Vault 보안 제어 내에서 제한된 애플리케이션 환경을 생성하여 민감한 데이터에 대한 무단 액세스를 차단합니다. 조직은 EU GDPR(European Union General Data Protection Regulation), PCI-DSS(Payment Card Industry Data Security Standard) 및 민감한 정보에 대한 액세스, 공개 또는 수정에 대한 강력한 내부 제어가 필요한 수많은 기타 규정과 같은 데이터 개인정보 보호법 및 표준을 준수할 수 있도록 지원합니다.
  • 명령 규칙: 권한 있는 사용자 계정의 작업을 방해하는 악의적이거나 우발적인 변경을 방지합니다. 명령 제어는 특정 유지 관리 기간 외부에서 DROP TABLE 또는 ALTER SYSTEM과 같은 허용되지 않은 명령을 방지합니다.
  • 신뢰할 수 있는 경로: IP, 응용 프로그램, 사용자 및 시간을 기반으로 제로 트러스트 액세스를 적용하므로 공격자가 도난당한 자격 증명을 쉽게 사용할 수 없습니다. Oracle Database Vault는 민감한 데이터에 대한 무단 액세스를 차단하고 관리자에게 의심스러운 데이터 액세스 작업을 알리고 데이터 도난이 발생하기 전에 이를 방지할 수 있는 고부가가치 경보를 생성할 수 있습니다.
  • 업무 분리: 권한이 있는 사용자에 대한 확인 및 잔액을 적용하고, 공격자가 보안 제어를 사용 안함으로 설정하고, 악의적인 사용자를 생성하고, 권한이 있는 계정의 자격 증명을 사용하여 중요한 데이터에 액세스하지 못하도록 방지합니다.

참고:

모든 OCI 데이터베이스에 대해 Database Vault를 구현합니다.

이벤트 및 통지

설명된 서비스가 적용되지 않는 OCI 테넌시 내에서 발생하는 추가 이벤트에 대해 경보를 받도록 선택할 수 있습니다. OCI 이벤트 및 통지 서비스를 사용하면 이러한 이벤트를 식별하고 이벤트가 발생할 때 팀에 통지를 보낼 수 있습니다.

OCI 이벤트

OCI 이벤트를 사용하여 테넌시의 상태 변경에 따라 자동화된 통지를 전송하는 규칙을 생성합니다. 규칙에는 테넌시의 리소스에 의해 생성된 이벤트를 지정하기 위해 정의하는 필터가 포함됩니다. 규칙은 필터가 일치하는 이벤트를 찾을 때 트리거되는 작업도 지정해야 합니다.

작업은 이벤트 일치에 대해 정의하는 응답입니다. 규칙의 필터가 일치 항목을 찾으면 OCI 이벤트 서비스는 규칙에서 식별한 하나 이상의 대상에 일치 이벤트를 전달합니다. 이벤트에 대한 대상 서비스는 통지, 스트리밍 및 함수입니다.

OCI 통지

OCI 리소스가 있는 이벤트가 트리거될 때 경보를 전송하려면 OCI 통지를 사용합니다. 알람, 이벤트 규칙 및 서비스 커넥터를 구성하여 전자메일 및 텍스트 메시지(SMS)를 비롯한 지원되는 끝점을 통해 사람이 읽을 수 있는 메시지를 보낼 수 있습니다. 또한 사용자정의 HTTPS 엔드포인트 및 OCI 함수를 통해 태스크를 자동화할 수 있습니다. 메시지를 직접 게시할 수도 있습니다.

OCI Audit, Logging, Cloud Guard 및 Data Safe 서비스는 모두 OCI Events 및 Notifications와 통합되어 운영 및 보안 팀에 테넌시의 보안 관련 문제를 통지할 수 있습니다.