专用 Exadata 基础结构上的自治 AI 数据库中的安全功能
本文介绍了专用 Exadata 基础结构上的自治 AI 数据库中的主要安全功能。
请注意,本节中的术语“您”广泛用于指组织中负责执行某些任务的管理员。在某些情况下,这是组管理员,在另一些情况下则是数据库管理员。
除了 Oracle AI Database 的标准安全特性(例如权限分析、网络加密、集中管理用户、安全应用角色、透明敏感数据保护等)之外,Dedicated Autonomous AI Database 还增加了 Database Vault、Data Safe 和其他高级安全特性,无需额外付费。
您可以查看下文中描述的专用自治 AI 数据库的主要安全功能的构建块。
插图 adbd-security-features.svg 的说明
配置管理
Autonomous AI Database 基于 Oracle Cloud Infrastructure 构建,可提供标准、增强的安全配置,因此您和您的团队无需花费大量时间和金钱来管理自治 AI 数据库组的配置。SYS 和 System 等所有服务帐户每 90 天轮换一次。要进一步了解,请参阅自治 AI 数据库中的配置管理。
安全补丁和更新是自动完成的,因此您无需担心安全问题是否及时更新。这些功能可保护您的高度敏感数据库和数据免受昂贵且可能灾难性的安全漏洞和漏洞的影响。有关更多详细信息,请参阅专用自治 AI 数据库的服务维护。
数据解密
Autonomous AI Database 在 Oracle Database 中以加密格式存储所有数据。只有经过身份验证的用户和应用程序才能在连接到数据库时访问数据。
自治 AI 数据库使用始终在线加密来保护静态和传输中的数据。All data stored in and network communication with Oracle Cloud is encrypted by default. 无法禁用加密。
有关数据加密和主加密密钥的更多详细信息,请参阅数据加密在专用自治 AI 数据库中。
审计
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 提供强大的审计功能,支持您跟踪在服务和特定数据库上执行哪些操作。通过全面的日志数据,您可以审计和监视对资源的操作,从而帮助您满足审计要求,同时降低安全性和运营风险。
有关详细信息,请参阅审计专用自治 AI 数据库中的功能。
访问控制
配置专用 Exadata 基础结构功能时,您需要确保您的云用户有权使用并仅创建相应类型的云资源来履行其工作职责。此外,您需要确保只有授权人员和应用才能访问在专用基础设施上创建的自治 AI 数据库。否则,您将面临使用专用基础设施资源“失控”或访问关键任务数据的不当风险。
保护对数据和包含数据的数据库的访问,包括几种不同类型的访问控制。有关更多详细信息,请参阅专用自治 AI 数据库中的访问控制。
证书管理
当客户机尝试通过 TCPS(Secure TCP) 数据库连接服务连接到自治 AI 数据库时,基于专用 Exadata 基础结构的 Oracle Autonomous AI Database 使用标准 TLS 1.2 和 TLS 1.3 基于证书的验证来验证连接。但是,仅 Oracle AI Database 23ai 或更高版本支持 TLS 1.3。无论客户机尝试通过 TCPS 或 TCP 数据库连接服务进行连接,客户机对数据库的访问都受到客户机用于连接的数据库用户的访问权限的限制。
Oracle 托管的自签名证书
默认情况下,自治 AI 数据库使用自签名证书。自签名证书是系统生成的安全证书。
证书生成
预配自治 Exadata VM 集群 (AVMC) 时,会自动生成 Oracle 托管的自签名证书,并应用于该 AVMC 中创建的所有数据库。
证书管理
自动生成自签名证书并与 AVMC 关联。但是,必须先下载自治 AI 数据库客户端 wallet,然后才能连接到数据库。使用自签名证书时,不能选择连接到没有 wallet 的数据库。有关为数据库下载 wallet 的说明,请参阅下载客户端身份证明。
根据要求,以下任一证书类型都与您的 AVMC 关联:
-
数据库 SSL 证书:数据库客户端连接的 SSL 认证。
-
ORDS SSL 证书: Application Express (APEX) 应用程序的 SSL 证书。
证书轮换
为了满足组织的安全合规性需求,您可以使用 Oracle Cloud Infrastructure (OCI) 控制台或 API 轮换 Oracle 托管的自签名证书。有关逐步说明,请参阅 Manage Security Certificates for an Autonomous Exadata VM Cluster Resource 。这称为证书轮换。
For newly provisioned Autonomous Exadata VM Cluster (AVMC) resources, Oracle-managed self-signed certificates have a 13-month validity from their creation. 使用控制台或 API 轮换 SSL 证书将轮换服务器端证书和客户端证书,并将其有效期重置为 13 个月。当 Oracle 管理的服务器端或客户端证书未在到期之前轮换时,Oracle 会自动轮换这些证书并生成新的钱包。
对于数据库 SSL 证书,证书轮换不会立即使现有证书失效。
在证书轮换后的两周内,您可以使用您在证书轮换之前或之后下载的 Autonomous AI Database Client wallet 连接到数据库。
证书轮换后的两周内:
-
数据库 Wallet 在证书轮换之前下载已失效,无法用于连接到数据库。
-
从证书轮换在两周内下载的数据库 wallet 仍处于活动状态,可用于连接到数据库。
-
证书轮换两周后下载的任何新数据库 wallet 都可用于连接到您的数据库。
我们用一个示例来讨论这个问题:
假设 SSL 证书(例如 C1)即将过期,您已于 2 月 1 日轮换此证书。从 2 月 1 日起两周内,直到 2 月 14 日,旧证书 (C1) 仍可供使用。您可以继续使用旧证书 (C1),也可以下载用于数据库连接的轮换证书 (C2) 的新数据库 wallet。从 2 月 1 日起两周后,即从 2 月 14 日起,旧证书 (C1) 将失效,不能用于数据库连接。在这两周内,您可以继续使用下载的证书轮换后 (C2) 的数据库 wallet。您还可以下载新的数据库 wallet,并在轮换后的两周后开始将其用于数据库连接。
您还可以在两周内从最近的轮换轮换数据库 SSL 证书。在这种情况下,将立即禁用旧证书(关于由于第一次轮换而失效)。下一个证书(从第一个轮换产生)保持活动状态,第三个证书(从第二个轮换产生)将等待 two weeks from the second rotation 的激活。在第一次轮换之前下载的任何数据库 wallet 在第二次轮换后不久将失效。可以在第一次轮换后使用下载的任何数据库 wallet 继续连接到数据库,直到第二次轮换后的两周。从第二次轮换完成两周后,您只能使用第二次轮换后下载的客户端 Wallet(即从第二次轮换开始两周内下载的 Wallet)连接到数据库。
在上例中,如果您在 2 月 1 日两周内再次轮换同一证书 (C1),则证书将进行两次轮换。在这种情况下,旧证书(第一次轮换之前的证书,即 C1)会立即失效。由第一次轮换 (C2) 生成的证书保持活动状态,由第二次轮换产生的第三个证书(如 C3)将等待第二次轮换后的两周激活。在第二次轮换后的两周后,第一次轮换 (C2) 生成的证书也会失效,第二次轮换之前下载的任何数据库钱包都不能用于数据库连接。您可以在这两周内继续使用下载的证书轮换后 (C3) 的数据库 wallet。您还可以下载新的数据库 wallet,并在第二次轮换后的两周后开始将其用于数据库连接。
对于 ORDS SSL 证书,证书轮换将丢失所有现有应用程序连接,建议您重新启动 ORDS。轮换 ORDS SSL 证书时,上述两周缓冲区时段不适用。
自带证明 (BYOC)
自带证书 (Bring Your Own Certificate,BYOC) 允许您将 CA 签名的服务器端证书用于自治 AI 数据库。
证书生成
要自备证书,必须首先使用 Oracle Cloud Infrastructure (OCI) 证书服务创建证书,如创建证书中所示。这些证书必须已签名,并且必须采用 PEM 格式,即,其文件扩展名必须为 .pem、.cer 或 .crt。
证书安装
创建 CA 签名的服务器端证书后,必须将其与 AVMC 一起安装,以便其中创建的任何数据库都可以使用此证书进行安全连接。您可以通过 OCI 控制台上的管理证书对话框将 BYOC 证书与 AVMC 关联。在此对话框中,选择自带证书,然后从选择列表中选择之前创建的证书。(可选)您还可以指定具有证书颁发机构和 CA 包的 CA 证书。但是,如果要为 ORDS SSL 证书选择 CA 包,则该包只能包含属于证书链的证书。有关逐步说明,请参阅 Manage Security Certificates for an Autonomous Exadata VM Cluster Resource 。
证书管理
您可以连接到与 CA 签名的服务器端关联的自治 AI 数据库,无论是否具有自治 AI 数据库客户端 wallet。
-
要使用数据库 Wallet 连接到数据库,必须首先使用 OCI 控制台从数据库详细信息页下载客户端身份证明。有关说明,请参阅下载客户端身份证明。
-
要在没有客户端 wallet 的情况下连接到数据库,必须确保:
-
单向 TLS 连接在 AVMC 级别启用。这是使用 Advanced options 中的 Listener 参数在预配 AVMC 时定义的设置。有关指导,请参阅创建自治 Exadata VM 集群。
-
CA 签名的服务器端证书由众所周知的公共 CA 签名,因此默认情况下它受客户机操作系统的信任。
-
证书轮换
为了满足组织的安全合规性需求,您可以使用 Oracle Cloud Infrastructure (OCI) 控制台或 API 轮换 CA 签名的服务器端证书。有关逐步说明,请参阅 Manage Security Certificates for an Autonomous Exadata VM Cluster Resource 。
您必须在其到期日期之前轮换它们,在您提供有效证书之前,无法访问此 AVMC 上的数据库才能访问 TLS 端口。但是,您可以继续访问非 TLS 端口(例如 1521)上的数据库。
证书事件
为安全证书管理发布了以下事件:
| 事件 | 生成时间 |
|---|---|
| sslcertificateexpiry. 提醒 | 自治 Exadata VM 集群确定 wallet 将在不到六 (6) 周内到期。此事件最多每周报告一次。当存在使用即将到期的 wallet 的连接时,将触发此事件。 |
| sslcertificate. 已过期 | SSL 证书过期。与此自治 Exadata VM 集群相关的所有自治 AI 数据库 wallet 将过期。 |
| sslcertificaterotation.reminder | SSL 证书超过 365 天,建议客户轮换证书。在 SSL 证书超过 365 天后,此提醒每周一次,直到轮换为止。 |
| sslcertificate.rotated | SSL 证书将手动轮换(使用 Oracle Cloud Infrastructure 控制台或 API),或在到期时自动轮换。 |
提示:使用 OCI Notifications Service 订阅这些事件,以便在发布时接收它们。有关更多详细信息,请参阅创建订阅。
有关自治 AI 数据库事件的完整列表,请参阅基于专用 Exadata 基础结构的自治 AI 数据库事件。
数据防护
数据保护是任何数据库中数据安全的一个重要方面。特权数据库帐户是用于访问数据库中敏感应用程序数据的最常用的路径之一。虽然像 ADMIN 或 Oracle 操作员这样的特权用户需要广泛且不受限制的访问来促进数据库维护,但相同的访问也会为访问大量数据创建攻击点。
通过自治 AI 数据库,您可以使用以下项实施特权访问管理 (PAM) :
-
Oracle Database Vault 在自治 AI 数据库中预先配置并可供使用。您可以使用其强大的安全控制来限制特权数据库用户对应用程序数据的访问,降低内部和外部威胁的风险,并满足常见的合规性要求。
您可以部署控制来阻止特权帐户访问应用程序数据并控制数据库内的敏感操作。您可以配置可信路径,以向授权的数据访问和数据库更改添加其他安全控制。通过对权限和角色的运行时分析,可以实现最低权限并减少数据库帐户的攻击配置文件,从而提高现有应用程序的安全性。Database Vault 可透明地保护现有数据库环境,消除成本高昂且耗时的应用更改。
Oracle AI Database Vault 主要解决以下数据库安全问题:
-
对应用程序数据的管理特权帐户访问权限:虽然数据库管理员是最强大和最可信的用户,但此管理员不需要访问位于数据库中的应用程序数据。
围绕应用方案、敏感表和存储过程的 Oracle AI Database Vault 领域提供控制,以防止入侵者和内部人员利用特权帐户访问敏感应用数据。有关更多详细信息,请参阅 Oracle Database 19c Administrator’s Guide 或 Oracle Database 26ai Administrator’s Guide 中的 How Oracle AI Database Vault Protects Privileged User Accounts 。
-
应用数据访问职责分离:Oracle AI Database Vault 职责分离控制可以定制,资源有限的组织可以向同一管理员分配多个 Oracle AI Database Vault 职责,但为每个职责分离角色使用单独的账户,以在任意账户被盗和利用时尽可能减少对数据库的损坏。有关更多详细信息,请参阅 Oracle Database 19c Administrator’s Guide 或 Oracle Database 26ai Administrator’s Guide 中的 Oracle AI Database Vault 如何解决数据库合并问题。
在使用 Database Vault 之前,请查看 Oracle Database 19c Administrator’s Guide 或 Oracle Database 26ai Administrator’s Guide 中的 What to Expect After You Enable Oracle AI Database Vault ,以了解配置和启用 Database Vault 的影响。
有关如何在自治 AI 数据库中配置和启用 Database Vault 的信息,请参阅使用 Oracle AI Database Vault 管理数据库用户权限。
提示:要尝试设置 Database Vault 的过程,请在 Oracle Autonomous AI Database Dedicated for Security Administrators Workshop 中运行 Lab 1:Protect Data With Database Vault 。
-
-
PAM 还用于帮助保护数据以供客户授权使用,并帮助保护数据免受未经授权的访问,包括防止 Oracle Cloud Operations 和支持人员访问客户数据。Oracle Operations Access Control 可确保 Oracle Cloud 运营和支持人员用于监视和分析性能的用户账户无法访问自治 AI 数据库中的数据。有关详细信息,请参阅特权访问管理。
敏感数据发现和数据屏蔽
根据需要识别敏感数据(例如信用卡号、SSN)以及屏蔽或编写敏感数据可以增强数据保护和整体数据安全性。
-
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 支持与 Oracle Data Safe 服务集成,可帮助您评估和保护数据库。Oracle Data Safe 可帮助您了解数据敏感性,评估数据的风险,屏蔽敏感数据,实施和监视安全控制,评估用户安全性,监视用户活动,以及满足数据库中的数据安全合规性要求。
它在单个易于使用的管理控制台中提供以下功能集:
-
安全评估可帮助您评估数据库配置的安全性。
-
用户评估可帮助您评估数据库用户的安全性并识别高风险用户。
-
数据搜索可帮助您查找数据库中的敏感数据。数据屏蔽为您提供了一种屏蔽敏感数据的方法,以便数据对于非生产目的是安全的。
-
通过活动审计,您可以审计数据库上的用户活动,以便监视数据库使用情况并收到异常数据库活动的预警。
有关使用数据安全的更多信息,请参阅 Using Oracle Data Safe 中的 Oracle Data Safe Overview 。
要使用 Oracle Data Safe 识别和保护自治 AI 数据库的敏感数据和受监管数据,必须向数据安全注册数据库。在 Data Safe 中注册数据库后,您可以直接从自治 AI 数据库的“详细信息”页面访问数据安全控制台。有关注册数据库的更多信息,请参见 Register or Deregister a Dedicated Autonomous AI Database with Data Safe 。
-
-
当应用程序在运行时发出的查询返回包含敏感信息(如信用卡号或个人 ID)的结果集时,Oracle Data Redaction 可以帮助您屏蔽敏感详细信息,然后再将结果集返回到应用程序。可以使用
**DBMS_REDACT**PL/SQL 程序包实施数据编写策略。请参阅 Oracle Database 19c PL/SQL Packages and Types Reference 或 Oracle Database 26ai PL/SQL Packages and Types Reference 中的 DBMS_REDACT 。
法规合规性认证
基于专用 Exadata 基础设施的自治 AI 数据库满足一系列国际和行业特定的合规性标准,包括:
-
FedRAMP High - 联邦风险与授权管理计划(美国)仅政府区域 )
-
HIPAA - 健康保险携带和责任法案
-
ISO/IEC 27001:2013 - 国际标准化组织 27001
-
ISO/IEC 27017:2015 - 基于 ISO/IEC 27002 的云服务信息安全控制的实践守则
-
ISO/IEC 27018:2014 - 作为 PII 处理器的公有云中个人身份信息 (PII) 保护实践守则
-
PCI DSS - 支付卡行业数据安全标准是一组要求,旨在确保处理、存储或传输信用卡信息的所有公司保持安全环境
-
SOC 1 - 系统和组织控制 1
-
SOC 2 - 系统和组织控制 2
有关详细信息和证书的完整列表,请参阅 Oracle Cloud Compliance 。要下载认证文档的副本,请参阅合规性文档。