专用 Exadata 基础结构上的自治 AI 数据库内的访问控制
在配置 Autonomous AI Database on Dedicated Exadata Infrastructure 时,您需要确保您的云用户有权使用和仅创建相应类型的云资源来履行其工作职责。此外,您需要确保只有授权人员和应用才能访问在专用基础设施上创建的 Autonomous AI Database 。否则,您将面临专用基础设施资源“失控”使用或访问关键任务数据不当的风险。
- Oracle 云用户访问控制
- 客户机访问控制
- 数据库用户访问控制
相关主题
Oracle Cloud 用户访问控制
您可以控制租户中的 Oracle Cloud 用户对构成 Autonomous AI Database on Dedicated Exadata Infrastructure 部署的云资源的访问。
您可以使用身份和访问管理 (Identity and Access Management,IAM) 服务来确保您的云用户能够仅创建和使用相应类型的自治 AI 数据库资源来履行其工作职责。要为云用户实施访问控制,您可以定义策略来向特定用户组授予对特定区间中特定类型的资源的特定访问权限。
IAM 服务提供了多种组件,可帮助您定义和实施安全的云用户访问策略:
-
区间:相关资源的集合。区间是 Oracle Cloud Infrastructure 的一个基本组件,用于组织和隔离云资源。
-
组:所有用户都需要对特定一组资源或区间进行相同类型的访问权限的集合。
-
动态组:一种特殊类型的组,其中包含与您定义的规则相匹配的资源。因此,在创建或删除匹配资源时,成员资格可以动态更改。
-
策略:指定谁可以访问哪些资源以及如何访问的一组语句。在组和区间级别授予访问权限,这意味着您可以编写策略语句,为特定组提供对特定区间中特定类型资源的特定类型的访问权限。
策略和策略语句
用于为云用户定义访问控制的主要工具是 policy ,一个 IAM(Identity and Access Management,身份和访问管理)资源,其中包含根据 "Who"、"How"、"What" 和 "Where" 指定访问的策略语句。
Allow
group <group-name>
to <control-verb>
<resource-type>
in compartment <compartment-name>
-
group <group-name>
通过提供现有 IAM 组的名称来指定“谁”,该组是可向其分配单个云用户的 IAM 资源。 -
to <control-verb>
指定使用以下预定义控制动词之一的“方法”:inspect
:列出给定类型的资源的能力,无权访问任何机密信息或用户指定的元数据,这些信息或元数据可能属于该资源。read
:inspect
加上获取用户指定的元数据和实际资源本身的功能。use
:read
加上使用现有资源(但不创建或删除现有资源)的功能。此外,"work with" 表示不同资源类型的不同操作。manage
:资源类型的所有权限,包括创建和删除。
在专用基础设施功能的上下文中,组管理员可以
manage
自治容器数据库,而数据库管理员只能use
自治容器数据库来创建 Autonomous AI Database 。 -
<resource-type>
指定使用预定义资源类型的 "What"。专用基础结构资源的资源类型值包括:exadata-infrastructures
autonomous-container-databases
autonomous-databases
autonomous-backups
由于专用基础结构资源使用网络资源,因此您创建的一些策略语句将引用
virtual-network-family
资源类型值。此外,如果在租户中使用了标记,您可以创建引用tag-namespaces
资源类型值的策略语句。 -
in compartment <compartment-name>
通过提供现有 IAM 区间的名称(在其中创建资源的 IAM 资源)来指定 "Where"。区间是 Oracle Cloud Infrastructure 的一个基本组件,用于组织和隔离云资源。
有关 Autonomous AI Database 的策略详细信息,请参阅 IAM Policies for Autonomous AI Database on Dedicated Exadata Infrastructure 。
有关 IAM 服务及其组件的工作方式以及如何使用这些组件的信息,请参阅 Oracle Cloud Infrastructure Identity and Access Management 概览。有关 IAM 的常见问题解答,请参阅身份和访问管理常见问题解答。
规划和建立访问控制的最佳实践
在规划和实施专用基础设施功能的访问控制时,应考虑以下优秀实践。
-
创建仅包含专用子网的单独 VCN。在几乎所有情况下, Autonomous AI Database 都基于对公司敏感的专用基础设施内部数据创建,通常只能从公司的专用网络中访问。即使与合作伙伴、供应商、消费者和客户共享的数据也可通过受监管的安全渠道提供给他们。
因此,您向此类数据库提供的网络访问权限应该对您的公司是专用的。您可以通过创建使用专用子网的 VCN 以及用于连接到公司专用网络的 IPSec VPN 或 FastConnect 来确保这一点。有关设置此类配置的信息,请参阅 Oracle Cloud Infrastructure 文档中的方案 B:使用 VPN 的专用子网。
有关保护与数据库的网络连接的其他信息,请参阅 Oracle Cloud Infrastructure 文档中的保护网络的方法。
-
至少创建两个子网。您应至少创建两个子网:一个用于自治 Exadata VM 集群和自治容器数据库资源,一个用于与 Autonomous AI Database 的客户端和应用程序关联的资源。
-
至少创建两个区间。您应至少创建两个区间:一个用于 Exadata 基础结构、自治 Exadata VM 集群和自治容器数据库资源,一个用于 Autonomous AI Database 资源。
-
至少创建两个组。至少应创建两个组:一个用于组管理员,一个用于数据库管理员。
客户端访问控制
通过控制网络访问控制和客户端连接,在 Autonomous AI Database 中实施客户端访问控制。
网络访问控制
-
在 Oracle Public Cloud 上,可以使用网络服务的组件定义网络访问控制。您可以创建一个包含专用子网的虚拟云网络 (VCN),让您的 Autonomous AI Database 可以通过该子网进行网络访问。此外,您还可以创建安全规则,以允许特定类型的通信传入或传出子网中的 IP 地址。
For detailed information about creating these resources, run Lab 1: Prepare Private Network for OCI Implementation in Oracle Autonomous AI Database Dedicated for Fleet Administrators.
-
在 Exadata Cloud@Customer 上,您可以通过指定数据中心内的客户端网络并将其记录在 Exadata 基础结构资源内的 VM 集群网络资源中来定义网络访问控制。
适用于: 仅限 Oracle Public Cloud
Oracle Cloud Infrastructure 零信任包路由 (Zero Trust Packet Routing,ZPR) 可通过您为资源(例如您为其分配安全属性的自治 Exadata VM 集群 (AVMC))编写的基于意图的安全策略来保护敏感数据免遭未经授权的访问。
安全属性是 ZPR 用于标识和组织资源的标签。无论潜在的网络架构更改或配置错误,ZPR 都会在每次请求访问时在网络级别强制执行策略。ZPR 基于现有网络安全组 (NSG) 和安全控制列表 (Security Control List,SCL) 规则构建。要使包到达目标,它必须传递所有 NSG 和 SCL 规则以及 ZPR 策略。如果任何 NSG、SCL 或 ZPR 规则或策略不允许流量,将放弃请求。
可以使用 ZPR 通过三个步骤来保护网络:
-
编写 ZPR 策略以使用安全属性连接资源。ZPR 使用 ZPR 策略语言 (Policy Language,ZPL) 并对所定义资源的访问施加限制。作为 Autonomous AI Database on Dedicated Exadata Infrastructure 客户,您可以在租户中编写基于 ZPL 的策略,以确保来自 AVMC 的数据仅由授权用户和资源访问。
- 将安全属性分配给资源以启用 ZPR 策略。
注意:
通过 Oracle Cloud Infrastructure 控制台、API 或 CLI 为云资源分配说明、标记、安全属性或友好名称时,请避免输入机密信息。有关更多信息,请参见 Getting Started with Zero Trust Packet Routing 。
您可以通过以下选项将 ZPR 安全属性应用于 AVMC:
-
预配 AVMC 时应用安全属性。有关更多信息,请参见 Create an Autonomous Exadata VM Cluster 。
- 将安全属性应用于现有 AVMC 资源。有关更多信息,请参见 Configure Zero Trust Packet Routing (ZPR) for an AVMC 。
作为先决条件,必须定义以下 IAM 策略才能成功向 AVMC 添加 ZPR 安全属性:
allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy
allow group <group_name>
to manage autonomous-database-family
in tenancy
allow group <group_name>
to read security-attribute-namespaces
in tenancy
为了提高安全性,您可以在 Oracle Public Cloud 和 Exadata Cloud@Customer 专用部署中启用访问控制列表 (Access Control List,ACL)。ACL 通过仅允许具有特定 IP 地址的客户机连接到数据库,为数据库提供额外的保护。可以单独或在 CIDR 块中添加 IP 地址。支持基于 IPv4 和 IPv6 的 IP/CIDR。这样,您可以通过限制 Autonomous AI Database 对特定应用程序或客户机的网络访问来制定细粒度的访问控制策略。
您可以选择在数据库预配期间或在之后的任何时间创建 ACL。您还可以随时编辑 ACL。启用 IP 地址列表为空的 ACL 会使数据库无法访问。有关详细信息,请参阅设置专用 Autonomous AI Database 的访问控制列表。
- Autonomous AI Database Service Console 不受 ACL 规则约束。
- Oracle Application Express (APEX)、RESTful 服务、SQL Developer Web 和性能中心不受 ACL 约束。
- 创建自治 AI 数据库时,如果设置 ACL 失败,则预配数据库也会失败。
- 仅当数据库处于“可用”状态时,才允许更新 ACL。
- 还原数据库不会覆盖现有 ACL。
- 克隆数据库(完整和元数据)将具有与源数据库相同的访问控制设置。可以根据需要进行更改。
- 备份不受 ACL 规则的约束。
- 在 ACL 更新期间,允许执行所有自治容器数据库 (Autonomous Container Database,CDB) 操作,但不允许执行 Autonomous AI Database 操作。
对于访问控制列表之外的高级网络控制,Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 支持使用 Web 应用防火墙 (Web Application Firewall,WAF)。WAF 可保护应用免受恶意和不需要的互联网流量的侵害。WAF 可以保护任何面向互联网的端点,并在客户应用中强制实施一致的规则。WAF 支持您创建和管理互联网威胁规则,包括跨站点脚本编写 (Cross-Site Scripting,XSS)、SQL 注入和其他 OWASP 定义的漏洞。访问规则可以根据地理位置或请求的签名进行限制。有关如何配置 WAF 的步骤,请参见 Web 应用防火墙策略入门。
客户端连接控制
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 通过标准 TLS 1.2 和 TLS 1.3 基于证书的身份验证实施客户端连接控制,以验证客户端连接。但是,仅 Oracle Database 23ai 或更高版本支持 TLS 1.3。
默认情况下, Autonomous AI Database 使用自签名证书。但是,您可以从 Oracle Cloud Infrastructure (OCI) 控制台安装 CA 签名的服务器端证书。要自备证书,必须首先使用 Oracle Cloud Infrastructure (OCI) 证书服务创建证书,如创建证书中所示。这些证书必须已签名,并且必须采用 PEM 格式,即,其文件扩展名必须为 .pem、.cer 或 .crt。有关更多详细信息,请参阅 Certificate Management in Dedicated Autonomous AI Database。
数据库用户访问控制
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 可配置您创建的数据库,以使用 Oracle AI Database 的标准用户管理功能。它创建一个管理用户帐户 ADMIN,用于创建其他用户帐户并为帐户提供访问控制。
标准用户管理提供一组强大的功能和控制,例如系统和对象权限、角色、用户配置文件和密码策略,使您能够在大多数情况下定义和实施安全的数据库用户访问策略。有关详细说明,请参见 Create and Manage Database Users 。
有关标准用户管理的基本信息,请参阅Oracle AI Database Concepts 中的用户帐户。有关详细信息和指导,请参阅 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Managing Security for Oracle Database Users 。
工具 | 说明 |
---|---|
Database Vault |
Oracle Database Vault 可在 Autonomous AI Database 中进行预配置并立即投入使用。您可以使用其强大的安全控制来限制特权数据库用户对应用程序数据的访问,降低内部和外部威胁的风险,并满足常见的合规性要求。 Refer to Data Protection in Security Features of Autonomous AI Database for more details. |
Oracle Cloud Infrastructure Identity and Access Management (IAM) |
您可以将 Autonomous AI Database 配置为使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 验证和授权,以允许 IAM 用户使用 IAM 身份证明访问 Autonomous AI Database 。有关将此选项用于数据库的信息,请参阅将身份和访问管理 (Identity and Access Management,IAM) 验证与 Autonomous AI Database。 |
Azure OAuth2 访问令牌 |
您可以在 Azure 有关将 Microsoft Azure Active Directory 与数据库集成的更多信息,请参见 Authenticate and Authorize Microsoft Azure Active Directory Users for Autonomous AI Database。 |
Microsoft Active Directory (CMU-AD) |
如果将 Microsoft Active Directory 用作用户资料档案库,则可以配置 Autonomous AI Database 来验证和授权 Microsoft Active Directory 用户。无论您使用标准用户管理、Database Vault、Real Application Security 还是虚拟专用数据库,这种集成都可以帮助您整合用户存储库,同时仍然实施严格的数据库用户访问策略。 有关将 Microsoft Active Directory 与数据库集成的详细信息,请参阅 Microsoft Active Directory 与 Autonomous AI Database。 |
Kerberos |
Kerberos 是受信任的依赖于共享密钥的第三方验证系统。它假设第三方是安全的,并提供单点登录功能,集中式密码存储,数据库链接验证和增强的 PC 安全性。它通过 Kerberos 验证服务器执行此操作。 对 Kerberos 的 Autonomous AI Database 支持可为 Oracle 用户提供单点登录和集中身份验证的优势。有关更多信息,请参见 Authenticate Autonomous AI Database Users with Kerberos 。 |
带 CMU-AD 的 Kerberos |
可以在 CMU-AD 上配置 Kerberos 验证,以便为 Microsoft Active Directory 用户提供 CMU-AD Kerberos 验证。 要为 Microsoft Active Directory 用户提供 CMU-AD Kerberos 验证,可以在 CMU-AD 上启用 Kerberos 验证,方法是将 |
Real Application Security 和虚拟专用数据库 |
Oracle Real Application Security (RAS) 提供了一个声明性模型,该模型支持安全策略,不仅包括受保护的业务对象,还包括有权对这些业务对象进行操作的主体(用户和角色)。RAS 比其前身 Oracle Virtual Private Database 更安全、可扩展且经济高效。 通过 Oracle RAS,应用用户可以在应用层和数据库中进行验证。无论数据访问路径如何,都会根据数据库中的最终用户本机会话在数据库内核中强制执行数据安全策略。分配给用户的权限控制可对数据库对象的行和列执行的操作类型(选择、插入、更新和删除)。 有关 Oracle RAS 的更多信息,请参阅 Introducing Oracle Database Real Application Security in Oracle Database 19c Real Application Security Administrator's and Developer's Guide 或 Oracle Database 26ai Real Application Security Administrator's and Developer's Guide 。 基于专用 Exadata 基础设施的 Oracle Autonomous AI Database 还支持 Oracle Virtual Private Database (VPD),后者是 Oracle RAS 的前身。如果您已经熟悉并使用 Oracle VPD,则可以对 Autonomous AI Database 进行配置并使用。 有关虚拟专用数据库的详细信息,请参阅 Oracle Database 19c Security Guide 或 Oracle Database 26ai Security Guide 中的 Using Oracle Virtual Private Database to Control Data Access 。 |
授权访问管理 (PAM)
Oracle Access Control 中介绍了 Oracle 在产品和服务中的用户访问和权限管理方面的安全状况。
Autonomous AI Database on Dedicated Exadata Infrastructure 旨在隔离和保护客户服务和数据库数据,防止未经授权的访问。Autonomous AI Database 可区分客户与 Oracle 的职责。客户控制对数据库方案的访问。Oracle 控制对 Oracle 管理的基础设施和软件组件的访问。
Autonomous AI Database on Dedicated Exadata Infrastructure 旨在帮助保护数据以供客户授权使用,并帮助保护数据免受未经授权的访问,包括防止 Oracle Cloud Ops 员工访问客户数据。旨在防止未经授权访问 Exadata 基础结构、自治 VM 和 Oracle 数据库数据的安全措施包括:
- Oracle Database 数据由 Oracle 透明数据加密 (Transparent Data Encryption,TDE) 密钥保护。
- 客户可以控制对 TDE 加密密钥的访问,并可以选择将此类密钥存储在外部 Oracle Key Vault 密钥管理系统。
- Oracle Database Vault 经过预配置,可防止特权用户访问 Autonomous AI Database 中的客户数据。
- 客户可以选择通过 Operator Access Control 服务注册来批准 Operator 访问。
- 所有操作员访问都基于 FIPS 140-2 级别 3 硬件多因素验证,该验证使用通过 Oracle 批准的设备实施的硬件 YubiKey 实现。
- 所有操作员操作都记录在命令级别,并且可以近乎实时地发送到 OCI 日志记录服务或客户 SIEM。
-
Oracle Operations Access Control 可确保 Oracle Cloud 运营和支持人员用于监视和分析性能的用户账户无法访问 Autonomous AI Database 中的数据。Oracle Cloud 运营和支持人员无法访问 Autonomous AI Database 中的数据。创建自治容器数据库时, Autonomous AI Database on Dedicated Exadata Infrastructure 支持并配置 Oracle Database Vault 的 Operations Control 功能,以阻止公用用户访问在容器数据库中创建的 Autonomous AI Database 中的数据。
通过在自治 AI 数据库中输入此 SQL 语句,可以确认 Operations Control 是否处于活动状态:
状态SELECT * FROM DBA_DV_STATUS;
APPLICATION CONTROL
指示操作控制处于活动状态。注意:
操作控制以前称为应用程序控制。
PAM is also implemented with Database Vault for data protection, as discussed in Security Features of Autonomous AI Database.