Autonomous Database on Dedicated Exadata Infrastructure 中的安全功能
本文介绍了 Autonomous Database on Dedicated Exadata Infrastructure 中的主要安全功能。
请注意,在本节中,“您”一词广泛用于指组织中负责执行某些任务的任何管理员。在某些情况下,这是组管理员,在其他情况下是数据库管理员。
除了 Oracle Database 的标准安全功能(例如权限分析、网络加密、集中管理用户、安全应用角色、透明敏感数据保护等)外,专用 Autonomous Database 还增加了 Database Vault、Data Safe 和其他高级安全功能,无需额外付费。
您可以查看下面描述的专用 Autonomous Database 关键安全功能的构建块。
提示:
在下图中,您可以单击要进一步浏览的功能。图 - 主要安全功能
相关主题
配置管理
Autonomous Database 基于 Oracle Cloud Infrastructure 构建,提供标准、强化的安全配置,让您和您的团队无需花费大量时间和金钱来管理整个自治数据库车队的配置。SYS 和 System 等所有服务帐户每 90 天轮换一次。要进一步了解,请参阅Autonomous Database 中的配置管理。
安全修补程序和更新是自动完成的,因此您无需担心安全性保持最新。这些功能可保护高度敏感的数据库和数据免遭代价高昂且可能造成灾难性的安全漏洞和泄露。有关详细信息,请参阅专用 Autonomous Database 的服务维护。
数据加密
Autonomous Database 将加密格式的所有数据存储到 Oracle Database 中。只有经过验证的用户和应用程序才能在连接到数据库时访问数据。
Autonomous Database 使用始终开启的加密技术来保护静态和传输中的数据。默认情况下,存储在 Oracle Cloud 中的所有数据以及与 Oracle Cloud 的网络通信都是加密的。无法禁用加密。
有关数据加密和主加密密钥的更多详细信息,请参阅 Data Encryption in Dedicated Autonomous Database 。
审计
Oracle Autonomous Database on Dedicated Exadata Infrastructure 提供强大的审计功能,支持您跟踪谁在服务和特定数据库上执行了哪些操作。利用全面的日志数据,您可以审计和监视对资源的操作,从而满足审计要求,同时降低安全风险和运营风险。
有关详细信息,请参阅专用 Autonomous Database 中的审计功能。
访问控制
配置专用 Exadata 基础结构功能时,您需要确保云用户有权使用和仅创建相应类型的云资源来履行其工作职责。此外,您需要确保只有授权人员和应用才能访问在专用基础设施上创建的自治数据库。否则,您将面临“失控”使用专用基础设施资源或访问关键任务数据不当的风险。
保护对数据和包含数据的数据库的访问包括多种不同的访问控制。有关详细信息,请参阅 Access Control Within Dedicated Autonomous Database 。
证书管理
当客户机尝试通过 TCPS(Secure TCP) 数据库连接服务连接到 Autonomous Database 时,Oracle Autonomous Database on Dedicated Exadata Infrastructure 将使用标准 TLS 1.2 和 TLS 1.3 基于证书的验证来验证连接。但是,仅 Oracle Database 23ai 或更高版本支持 TLS 1.3。无论客户机尝试通过 TCPS 或 TCP 数据库连接服务进行连接,客户机对数据库的访问都受到客户机用于连接的数据库用户的访问权限的限制。
Oracle 托管自签名证书
默认情况下,Autonomous Database 使用自签名证书。自签名证书是系统生成的安全证书。
预配自治 Exadata VM 集群 (AVMC) 时会自动生成 Oracle 托管自签名证书,并应用于在该 AVMC 中创建的所有数据库。
自动生成自签名证书并将其与 AVMC 关联。但是,在连接到数据库之前,必须下载 Autonomous Database 客户端 wallet。使用自签名证书时,不能选择连接到没有 wallet 的数据库。有关下载数据库的 Wallet 的说明,请参阅下载客户端身份证明。
- 数据库 SSL 证书:用于数据库客户端连接的 SSL 证书。
- ORDS SSL 证书: Application Express (APEX) 应用程序的 SSL 证书。
为了满足企业的安全合规性需求,您可以使用 Oracle Cloud Infrastructure (OCI) 控制台或 API 轮换 Oracle 管理的自签名证书。有关分步说明,请参阅管理自治 Exadata VM 集群资源的安全证书。这称为证书轮换。
对于新预配的自治 Exadata VM 集群 (AVMC) 资源,Oracle 管理的自签名证书自创建以来有效期为 13 个月。使用控制台或 API 轮换 SSL 证书会轮换服务器端和客户端证书,并将其有效期重置为 13 个月。当 Oracle 托管的服务器端或客户端证书在其到期前未轮换时,Oracle 会自动轮换它们并生成新的钱包。
对于数据库 SSL 证书,证书轮换不会立即使现有证书失效。
在证书轮换后的两周内,您可以使用您在证书轮换之前或之后下载的 Autonomous Database 客户端 wallet 连接到您的数据库。
证书轮换两周后:
- 数据库 wallet 在证书轮换之前下载已失效,无法用于连接到您的数据库。
- 从证书轮换下载的数据库 wallet 仍处于活动状态,可用于连接到数据库。
- 任何两周后下载的新数据库 wallet 都可用于连接到您的数据库。
让我们用一个示例来讨论此问题:
考虑 SSL 证书(如 C1)即将过期,您已在 2 月 1 日轮换此证书。从 2 月 1 日起两周内,直到 2 月 14 日,旧证书 (C1) 仍可供使用。您可以继续使用旧证书 (C1),也可以为数据库连接下载轮换证书 (C2) 的新数据库 wallet。从 2 月 1 日起两周后,也就是从 2 月 14 日起,旧证书 (C1) 将失效,不能用于数据库连接。在这两周内,您可以继续使用下载证书轮换后 (C2) 的数据库 wallet。您还可以下载新的数据库 wallet,并在轮换后两周开始将其用于您的数据库连接。
您还可以在最近的轮换两周内轮换数据库 SSL 证书。在这种情况下,将立即禁用旧证书(由于第一次轮换而失效)。下一个证书(从第一个轮换产生)保持活动状态,第三个证书(从第二个轮换产生)将等待激活从第二个轮换开始两周。在第一次轮换之前下载的任何数据库 wallet 在第二次轮换之后不久将失效。您可以通过在第一次轮换后下载的任何数据库 wallet 继续连接到数据库,直到第二次轮换后两周。在第二次轮换完成两周后,您只能使用在第二次轮换后下载的客户端钱包连接到您的数据库,即从第二次轮换或之后两周内下载的钱包。
在上例中,如果您在 2 月 1 日两周内再次轮换同一证书 (C1),则证书将进行双重轮换。在这种情况下,旧证书(第一个轮换之前的证书,即 C1)将立即失效。第一次轮换产生的证书 (C2) 保持活动状态,第二次轮换产生的第三个证书(如 C3)将等待激活第二次轮换后两周。在第二次轮换两周后,由第一次轮换 (C2) 生成的证书也会失效,在第二次轮换之前下载的任何数据库钱包都不能用于数据库连接。在这两周内,您可以继续使用下载证书轮换后 (C3) 的数据库 wallet。您还可以下载新的数据库 wallet,并在第二次轮换后两周开始将其用于您的数据库连接。
对于 ORDS SSL 证书,所有现有应用程序连接都将随证书轮换而丢失,建议您重新启动 ORDS。轮换 ORDS SSL 证书时,上述两周缓冲期不适用。
自带证书 (BYOC)
自带证书 (Bring Your Own Certificate,BYOC) 支持您将 CA 签名的服务器端证书与 Autonomous Database 一起使用。
要自备证书,必须首先使用 Oracle Cloud Infrastructure (OCI) 证书服务创建证书,如创建证书中所述。这些证书必须已签名,并且必须采用 PEM 格式,即,其文件扩展名必须仅为 .pem、.cer 或 .crt。
创建 CA 签名的服务器端证书后,必须将其与 AVMC 一起安装,以便其中创建的任何数据库都可以使用此证书进行安全连接。可以通过 OCI 控制台上的管理证书对话框将 BYOC 证书与 AVMC 关联。在此对话框中,选择自带证书,然后从选择列表中选择先前创建的证书。(可选)还可以指定具有证书颁发机构和 CA 包的 CA 证书。有关分步说明,请参阅管理自治 Exadata VM 集群资源的安全证书。
- 要使用数据库 Wallet 连接到数据库,必须先使用 OCI 控制台从数据库详细信息页下载客户端身份证明。有关说明,请参阅 Download Client Credentials 。
- 要在没有客户端 Wallet 的情况下连接到数据库,必须确保:
- 单向 TLS 连接在 AVMC 级别启用。这是预配 AVMC 时使用高级选项中的监听程序参数定义的设置。有关指导,请参阅创建自治 Exadata VM 集群。
- CA 签名的服务器端证书由众所周知的公共 CA 签名,以便在缺省情况下由客户机操作系统信任。
为了满足企业的安全合规性需求,您可以使用 Oracle Cloud Infrastructure (OCI) 控制台或 API 轮换 CA 签名的服务器端证书。有关分步说明,请参阅管理自治 Exadata VM 集群资源的安全证书。
您必须在其到期日期之前轮换它们,如果失败,在您提供有效证书之前,此 AVMC 上的数据库在 TLS 端口上将无法访问。但是,您可以继续访问非 TLS 端口(例如 1521)上的数据库。
证书事件
| 事件 | 生成时间 |
|---|---|
| sslcertificateexpiry.reminder | 自治 Exadata VM 集群确定 wallet 将在不到六 (6) 周内到期。此事件最多每周报告一次。当存在使用即将到期的 wallet 的连接时,将触发此事件。 |
| sslcertificate.expired | SSL 证书已过期。与此自治 Exadata VM 集群相关的所有 Autonomous Database wallet 将过期。 |
| sslcertificaterotation.reminder | SSL 证书超过 365 天,建议客户轮换证书。SSL 证书跨越 365 天后,此提醒每周重复一次,直到轮换为止。 |
| sslcertificate.rotated | SSL 证书手动轮换(使用 Oracle Cloud Infrastructure 控制台或 API)或在到期时自动轮换。 |
提示:
使用 OCI 通知服务订阅这些事件,以便在发布时接收它们。有关更多详细信息,请参阅创建订阅。有关 Autonomous Database 事件的完整列表,请参阅 Events for Autonomous Database on Dedicated Exadata Infrastructure 。
数据保护
数据保护是任何数据库中的数据安全的一个重要方面。授权数据库帐户是访问数据库中敏感应用程序数据的最常用路径之一。尽管 ADMIN 或 Oracle 操作员等特权用户需要广泛且不受限制的访问来促进数据库维护,但相同的访问也会创建攻击点来获取对大量数据的访问。
-
Oracle Database Vault 预先配置,可在 Autonomous Database 中使用。您可以使用其强大的安全控制来限制特权数据库用户对应用程序数据的访问,降低内部和外部威胁的风险,并满足常见的合规性要求。
您可以部署控制措施来阻止特权账户访问应用程序数据,并控制数据库内的敏感操作。您可以配置可信路径,以便为授权的数据访问和数据库更改添加其他安全控制。通过对权限和角色的运行时分析,您可以通过实现最低权限和减少数据库帐户的攻击概要文件来提高现有应用程序的安全性。Database Vault 以透明方式保护现有数据库环境,避免成本高昂且耗时的应用更改。
Oracle Database Vault 主要解决以下数据库安全问题:-
对应用程序数据的管理授权帐户访问:虽然数据库管理员是最强大且最受信任的用户,但此管理员不需要访问驻留在数据库中的应用程序数据。
Oracle Database Vault 围绕应用程序方案、敏感表和存储过程提供控制,以防止入侵者和内部人员利用特权账户访问敏感应用程序数据。有关详细信息,请参阅 Oracle Database 19c Administrator's Guide 中的 How Oracle Database Vault Protects Privileged User Accounts 或 Oracle Database 23ai Administrator's Guide 。
-
应用数据访问的职责分离:可以自定义 Oracle Database Vault 职责分离控制,资源有限的组织可以将多个 Oracle Database Vault 职责分配给同一管理员,但如果有任何一个账户被盗和利用,则为每个职责分离角色使用单独的账户来尽可能减少对数据库的损坏。有关详细信息,请参阅 Oracle Database 19c Administrator's Guide 中的 How Oracle Database Vault Addresses Database Consolidation Concerns 或 Oracle Database 23ai Administrator's Guide 。
在使用 Database Vault 之前,请查看 Oracle Database 19c Administrator's Guide 或 Oracle Database 23ai Administrator's Guide 中的 What to Expect After You Enable Oracle Database Vault 以了解配置和启用 Database Vault 的影响。
有关如何在自治数据库中配置和启用 Database Vault 的信息,请参阅使用 Oracle Database Vault 管理数据库用户权限。提示:
要试用 Database Vault 的设置过程,请运行 Oracle Autonomous Database Dedicated for Security Administrators Workshop 中的 Lab 1:Protect Data With Database Vault 。 -
- PAM 还用于帮助保护数据以供客户授权使用,并帮助保护数据免受未经授权的访问,包括防止 Oracle Cloud Operations 和支持人员访问客户数据。Oracle Operations Access Control 可确保 Oracle Cloud 运营和支持人员用来监视和分析性能的用户账户无法访问 Autonomous Database 中的数据。有关详细信息,请参阅权限访问管理。
敏感数据搜索和数据掩码
-
Oracle Autonomous Database on Dedicated Exadata Infrastructure 支持与 Oracle Data Safe 服务集成,可帮助您评估和保护数据库。Oracle Data Safe 可帮助您了解数据的敏感性、评估数据风险、屏蔽敏感数据、实施和监视安全控制、评估用户安全性、监视用户活动以及满足数据库中的数据安全合规性要求。
它在单一、易于使用的管理控制台中提供以下功能集:-
安全评估可帮助您评估数据库配置的安全性。
-
用户评估可帮助您评估数据库用户的安全性并识别高风险用户。
-
数据发现可帮助您查找数据库中的敏感数据。数据屏蔽提供了一种屏蔽敏感数据的方法,以便数据在非生产目的时是安全的。
-
通过活动审计,您可以审计数据库上的用户活动,以便监视数据库使用情况并收到异常数据库活动的警报。
要使用 Oracle Data Safe 识别和保护 Autonomous Database 的敏感和受监管数据,必须在数据安全中注册数据库。将数据库注册到数据安全后,您可以直接从 Autonomous Database 的“详细信息”页面转到数据安全控制台。有关注册数据库的更多信息,请参见 Register or Deregister a Dedicated Database with Data Safe 。
-
-
当应用程序在运行时发出的查询返回包含敏感信息(如信用卡号或个人 ID)的结果集时,Oracle 数据编写可帮助您在将结果集返回到应用程序之前屏蔽敏感详细信息。可以使用
DBMS_REDACTPL/SQL 程序包实施数据编写策略。请参阅 Oracle Database 19c PL/SQL Packages and Types Reference 或 Oracle Database 23ai PL/SQL Packages and Types Reference 中的 DBMS_REDACT 。
合规性认证
Autonomous Database on Dedicated Exadata Infrastructure 满足一系列国际和行业特定的合规性标准,包括:
- FedRAMP 联邦风险和授权管理计划(美国)仅限政府区域 )
- HIPAA - 健康保险便携性和责任法案
- ISO/IEC 27001:2013 —国际标准化组织 27001
- ISO/IEC 27017:2015 —基于 ISO/IEC 27002 的云服务信息安全控制实践代码
- ISO/IEC 27018:2014 —作为 PII 处理器的公有云中保护个人身份信息 (Personally Identifiable Information,PII) 实践代码
- PCI DSS —支付卡行业数据安全标准是一组要求,旨在确保处理、存储或传输信用卡信息的所有公司都保持安全环境
- SOC 1 - 系统和组织控制 1
- SOC 2 —系统和组织控制 2
有关详细信息和认证的完整列表,请参阅 Oracle Cloud Compliance 。