保护 OCI GoldenGate
责任
要安全地使用 OCI GoldenGate ,请了解您的安全性和合规性职责。
通常,Oracle 提供云基础设施和运营的安全性,例如云运营商访问控制和基础设施安全打补丁。您负责安全地配置云资源。云中的安全性是您和 Oracle 的共同责任。
Oracle 负责满足以下安全要求:
- 物理安全:Oracle 负责保护运行 Oracle Cloud Infrastructure 中提供的所有服务的全球基础设施。此基础设施由运行 Oracle Cloud Infrastructure 服务的硬件、软件、网络和设施组成。
- 加密和保密性:加密密钥和密钥存储在钱包和 Vault 中,以保护您的数据并连接到安全资源。
- 网络流量:仅在端口 443 上通过 SSL 启用对 OCI GoldenGate 部署控制台的加密访问。默认情况下,只有 OCI 专用端点可从客户的专用网络访问 OCI GoldenGate 部署控制台。可以配置公共端点,以允许在端口 443 上通过 SSL 对 GoldenGate 部署控制台进行加密的公共访问。
您的安全责任包括:
- 访问控制:尽可能限制特权。应仅向用户授予执行其工作所需的访问权限。
- OCI GoldenGate 部署控制台账户管理:直接在 Oracle Cloud 控制台中管理对 OCI GoldenGate 部署控制台的访问。账户和权限直接在 OCI GoldenGate 部署控制台中进行管理。了解有关部署用户的更多信息。
- 网络流量:连接指定与源和目标的网络连接。创建连接时,可以配置 SSL 参数以确保连接安全并加密。了解有关连接的更多信息。
- 网络加密:默认情况下,与 OCI GoldenGate 的所有网络连接都使用 Oracle 提供的证书通过 SSL 进行加密。确保您提供的任何证书或加密密钥是最新且有效的。
- 安全事件审计: OCI GoldenGate 部署控制台记录安全事件。您可以从 OCI GoldenGate 部署备份访问和查看此日志。确保定期监视此日志。了解有关部署备份的更多信息。
- 打补丁:确保 OCI GoldenGate 部署是最新的。更新每月发布一次,您必须尽快升级到最新的部署补丁程序级别,以防止出现漏洞。了解有关为部署打补丁的更多信息。
- 通过负载平衡器或堡垒进行远程访问审计:确保启用并正确配置了不直接连接到 OCI GoldenGate 的任何远程访问审计。了解更多信息。
推荐
- 创建其他角色不是“安全”的 OCI GoldenGate 部署控制台用户。
- 将 IAM 用户和组所需的最小权限访问权限分配给
goldengate-family中的资源类型。 - 为了尽可能减少未经授权的用户删除无意中删除的数据丢失或恶意删除,Oracle 建议向尽可能少的一组 IAM 用户和组授予
GOLDENGATE_DEPLOYMENT_DELETE和GOLDENGATE_CONNECTION_DELETE权限。仅向租户和区间管理员授予这些权限。 - OCI GoldenGate 仅需要
USE级别访问才能从连接捕获数据。
示例
防止删除部署
创建此策略以允许组 ggs-users 对部署执行所有操作,但删除它们除外:
Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'有关创建策略的详细信息,请参阅 Oracle Cloud Infrastructure GoldenGate 策略。