将 Oracle Data Safe 连接到 Exadata 和自治数据库

此参考架构重点介绍了将 Exadata 和自治数据库连接到 Oracle Data Safe 的不同方式。还介绍了为安全部署到特定目标数据库的连接而需要采取的安全度量。

Oracle Data Safe 是完全集成的区域云服务,专注于数据安全。它提供一组完整的 Oracle Cloud Infrastructure (OCI) 集成功能,用于保护 Oracle 数据库中的敏感数据和受管制数据。

Oracle Data Safe 为在 OCI 中运行的 Oracle Autonomous Database 和数据库提供基本的安全服务。Data Safe 还支持本地数据库、Oracle Exadata Cloud@Customer 和多云部署。所有 Oracle Database 客户都可以使用 Data Safe 评估配置和用户风险、监视和审计用户活动以及发现敏感数据、对敏感数据进行分类和屏蔽,从而降低数据泄露风险并简化合规性。

欧盟 (EU) 通用数据保护条例 (GDPR) 和加州消费者隐私法 (CCPA) 等合规法要求公司保护其客户的隐私。以安全高效的方式运行各种托管数据库需要一种管理这些数据安全性的方法。Oracle Data Safe 可帮助您了解数据敏感性、评估数据风险、屏蔽敏感数据、实施和监视安全控制、评估用户安全性、监视用户活动以及满足数据安全合规性要求。

将数据库添加为目标后,Data Safe 可识别、分类和确定风险优先级,并提供关于以下各项的全面评估报告:
  • 安全性参数
  • 正在使用的安全控制
  • 用户角色和权限
Data Safe 有助于满足各种合规性要求,例如识别敏感数据的位置、屏蔽敏感数据以供非生产使用、安全捕获审计数据等。
审计合规性标准是一组审计策略,有助于加快法规合规性。它们还有助于评估您是否遵守数据库合规性要求。在活动审计期间,可以启用两个审计合规性标准策略来跟踪管理员活动:
  • Internet 安全中心 (Center for Internet Security,CIS) 配置 - 可用于 Oracle Database 12。2 及更高版本。
  • 安全技术实施准则 (Security Technical Implementation Guidelines,STIG)- 适用于 Oracle Database 21c 及更高版本。
除此之外,数据库还包含敏感和个人数据。不同的数据隐私法律和标准(如有必要)适用:
  • EU GDPR —欧盟通用数据保护条例
  • PCI-DSS- 支付卡行业数据安全标准,以及
  • HIPPA - 健康保险携带和责任法案
这些隐私法要求您保护个人数据。

数据屏蔽,也称为静态数据屏蔽,是使用虚拟现实数据永久替换敏感数据的过程。

数据安全可以根据包含 150 多个预定义敏感数据类型的库来搜索和分类敏感数据。这也可以通过自定义数据类型进行扩展。

体系结构

此参考体系结构概述了以下目标数据库以及数据安全连接到这些数据库的方式:
  • Exadata Database Service 或 Exadata Cloud@Customer / 区域 Cloud@Customer / Dedicated Region
  • 自治数据库

此参考体系结构仅讨论具有专用 IP 地址的数据库。要配置具有公共 IP 地址的数据库,不建议从安全角度进行配置。

对于此处讨论的每个数据安全部署,您还应在租户中部署体系框架。以下资源提供了使用 terraform 脚本在 Oracle Cloud Infrastructure 上部署安全性和合规性、着陆区域概念和着陆区域的最佳实践:
  • Oracle Cloud Infrastructure 的体系结构完善的框架
  • 部署符合 Oracle Cloud CIS 基础基准的安全体系框架
  • 符合 CIS 的 OCI 体系框架(GitHub 系统信息库)

注意:

有关这些资源的访问权限,请参阅下面的“浏览更多”主题。

Exadata 数据库服务或 Exadata Cloud@Customer

Oracle Exadata Database Service 在 Oracle Cloud Infrastructure (OCI) 数据中心提供 Oracle Exadata Database Machine 即服务。

托管服务 Exadata Cloud@Customer 提供了托管在内部部署数据中心中的 Exadata 数据库服务。

Exadata 数据库服务

Exadata Database Service 不需要连接到内部部署网络,因为它部署在 OCI 上,因此可以直接使用专用端点。设置必要的连接后,可以使用向导将数据库配置为数据安全中的目标。

Exadata Cloud@Customer

要连接 Exadata Cloud@Customer 目标数据库,有两个选项:
  • 内部部署连接器
  • 专用终点

在下图中,显示了 Oracle Cloud 与本地数据中心之间的连接。该图显示了可供选择的选项。如果存在站点到站点 VPN 或 OCI FastConnect 连接,则可以使用专用端点连接到 Exadata Cloud@Customer 目标数据安全数据库。如果没有 VPN 或 OCI FastConnect,则可以部署内部部署连接器以连接到 Exadata Cloud@Customer 目标数据安全数据库。然后,此内部部署连接器将通过 TLS 隧道连接到数据安全。


后面是 data-safe-exa-adb.png 的说明
插图 data-safe-exa-adb.png 的说明

data-safe-exa-adb-oracle.zip

请注意,如图中所示,传出、持久、安全的自动化隧道将内部部署数据中心的 CPS 基础设施连接到 OCI 区域中的 Oracle 管理的管理员 VCN,以便向 VM 集群提供云自动化命令。这是 CPS 基础结构的传出隧道,不能用于数据安全连接。有关详细信息,请参阅下面的“Architecture Exadata Cloud@Customer”链接。

Oracle 使用 Oracle Operator Access Control (OpCtl) 支持 Exadata Cloud@Customer 环境。OpCtl 是 OCI 特权访问管理 (PAM) 服务,它为客户提供了一种技术机制来更好地控制 Oracle 员工如何访问其 Exadata Cloud@Customer (ExaC@C) 基础设施。有关此内容的详细阅读,请参阅下面的“Oracle Operator Access Control”链接。以下资源详细介绍了体系结构和设置:
  • 架构 Exadata Cloud@Customer
  • 体系结构 Exadata 数据库服务
  • 使用专用端点设置 Cloud@Customer 数据库
  • 使用向导设置 Cloud@Customer 数据库
  • 利用 Oracle Data Safe 简化内部部署 Oracle 数据库的安全性
  • Exadata 数据库服务安全控制

注意:

有关这些资源的访问权限,请参阅下面的“浏览更多”主题。

自治数据库

共享基础设施上的自治数据库随 Data Safe 提供。可以通过向导注册自治数据库,也可以通过单击“Autonomous Database Details(自治数据库详细信息)”页中的一次来注册自治数据库。Data Safe 文档的本部分讨论了连接 Dedicated Region Cloud@Customer 自治数据库的步骤。

体系结构组件

这些体系结构具有以下组件:
  • Tenancy

    Oracle Autonomous Transaction Processing 是一个自治驱动、自我保护和自我修复的数据库服务,针对事务处理工作负载进行了优化。您不需要配置或管理任何硬件,也不需安装任何软件。Oracle Cloud Infrastructure 可处理数据库创建以及数据库备份、打补丁、升级和调优。

  • 区域

    Oracle Cloud Infrastructure 区域是一个本地化的地理区域,包含一个或多个数据中心(称为可用性域)。区域独立于其他区域,并且很远的距离可以将它们分开(跨越国家甚至大洲)。

  • 区间

    区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问以及设置使用限额。要控制对给定区间中资源的访问,可以定义策略来指定哪些人可以访问资源以及他们可以执行哪些操作。

  • 可用性域

    可用性域是区域中独立的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用基础设施(例如电源或冷却设备)或内部可用性域网络。因此,一个可用性域出现故障不太可能影响该区域中的其他可用性域。

  • 容错域

    容错域是可用性域内的一组硬件和基础设施。每个可用性域都具有三个具有独立电源和硬件的容错域。在多个容错域之间分配资源时,您的应用可以容忍容错域内的物理服务器故障、系统维护和电源故障。

  • 虚拟云技术网络 (VCN) 和子网

    VCN 是您可以在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统数据中心网络一样,VCN 允许您完全控制网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后进行更改。您可以将 VCN 细分为多个子网,这些子网可以限定为某个区域或某个可用性域。每个子网由一系列不与 VCN 中的其他子网重叠的连续地址组成。您可以在创建子网后更改子网的大小。子网可以是公共子网,也可以是专用子网。

  • 负载平衡器

    Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。通过负载平衡器,您可以访问不同的应用。

  • 安全列表

    您可以为每个子网创建安全规则,以指定必须允许进出子网的通信的源、目标和类型。

  • NAT 门户

    NAT 网关允许 VCN 中的专用资源访问互联网上的主机,同时不会向传入的互联网连接公开这些资源。

  • 服务网关

    通过服务网关,您可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量将通过 Oracle 网络结构传输,而不会通过互联网。

  • Cloud Guard

    您可以使用 Oracle Cloud Guard 在 Oracle Cloud Infrastructure 中监视和维护资源的安全性。Cloud Guard 使用您可以定义的检测器配方来检查资源是否存在安全漏洞,并监视操作员和用户是否有风险活动。检测到任何错误配置或不安全活动时,Cloud Guard 会根据您可以配置的响应器配方建议更正操作,并协助您执行这些操作。

  • 安全区

    安全区域从一开始就实施诸如加密数据以及阻止整个区间对网络进行公共访问等策略,从而确保 Oracle 的安全优秀实践。安全区域与同名的区间关联,并包括适用于该区间及其子区间的安全区域策略或“配方”。无法将标准区间添加到安全区域区间或将其移动到安全区域区间。

  • 对象存储

    通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全地存储数据,然后直接从互联网或云平台检索数据。您可以无缝扩展存储,而不会在性能或服务可靠性方面出现任何下降。将标准存储用于您需要快速、立即和频繁访问的“热”存储。将归档存储用于长期保留且很少或很少访问的“冷”存储。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 提供了一种在您的数据中心与 Oracle Cloud Infrastructure 之间创建专用私有连接的简便方式。与基于互联网的连接相比,FastConnect 提供了更高的带宽选项和更可靠、更稳定的网络体验。

  • 本地对等连接门户 (LPG)

    通过 LPG,您可以在同一区域中将一个 VCN 与另一个 VCN 建立对等连接。对等连接是指 VCN 使用专用 IP 地址进行通信,而无需通过互联网传送流量或通过内部部署网络进行路由。

  • 自治事务处理
    自治事务处理提供自治驱动、自我保护和自我修复的数据库服务,可以即时扩展以满足各种应用的需求:关键任务事务处理、混合事务处理和分析、IoT、JSON 文档等。创建 Autonomous Database 时,您可以将其部署到以下三种 Exadata 基础设施之一:
    • 共享;一个简单而灵活的选择。Oracle 可自主运行数据库生命周期的各个方面,包括数据库放置、备份和更新。
    • 专用于公有云;公有云的私有云。仅针对单个租户提供完全专用的计算、存储、网络和数据库服务,可实现高级别的安全隔离和监管。
    • Dedicated on Cloud@Customer ;Autonomous Database on Dedicated Infrastructure running on Exadata Database Machine system on your data center,以及用于将其连接到 Oracle Cloud 的网络配置。
  • 自治数据仓库

    Oracle Autonomous Data Warehouse 是一个自治驱动、自我保护和自我修复的数据库服务,针对数据仓库工作负载进行了优化。您不需要配置或管理任何硬件,也不需安装任何软件。Oracle Cloud Infrastructure 可处理数据库创建以及数据库备份、打补丁、升级和调优。

  • 自治事务处理

    Oracle Autonomous Transaction Processing 是一个自治驱动、自我保护和自我修复的数据库服务,针对事务处理工作负载进行了优化。您不需要配置或管理任何硬件,也不需安装任何软件。Oracle Cloud Infrastructure 可处理数据库创建以及数据库备份、打补丁、升级和调优。

  • Exadata 数据库系统

    借助 Exadata Database Service,您可以充分利用云端 Exadata 的强大功能。您可以预配灵活的 X8M 系统,以便随着需求的增长将数据库计算服务器和存储服务器添加到系统中。X8M 系统提供 RoCE(RDMA over Converged Ethernet,基于融合以太网的 RDMA)网络,支持高带宽和低延迟、持久性内存 (PMEM) 模块以及智能 Exadata 软件。您可以使用等效于四分之一机架 X8 系统的配置来预配 X8M 或 X9M 系统,然后在预配后随时添加数据库和存储服务器。

推荐

在为内部部署数据库和 OCI 部署数据库实施 Oracle Data Safe 时,请使用以下建议作为起点。 您的要求可能与此处描述的体系结构不同。
  • VCN

    创建 VCN 时,根据您计划附加到 VCN 中的子网的资源数,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

    选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure 、内部部署数据中心或其他云提供商中)不重叠的 CIDR 块。

    创建 VCN 后,您可以更改、添加和删除其 CIDR 块。

    设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到同一子网,该子网可以用作安全边界。

    使用区域子网。

  • 安全

    使用 Oracle Cloud Guard 主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用您可以定义的检测器配方来检查资源是否存在安全漏洞,并监视操作员和用户是否有风险活动;例如,Cloud Guard 提供了一个检测器配方,可在数据库未注册到数据安全时向您发出警报。

    对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与 Oracle 定义的基于优秀实践的安全策略配方关联的区间。例如,不能从公共 Internet 访问安全区域中的资源,并且必须使用客户管理的密钥对其进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。

  • Cloud Guard

    克隆和定制 Oracle 提供的默认配方,以创建定制检测器和响应器配方。通过这些配方,您可以指定生成警告的安全违规类型以及允许对它们执行哪些操作。例如,您可能希望检测可见性设置为公共的对象存储桶。

    在租户级别应用 Cloud Guard,以涵盖最广泛的范围,并减轻维护多个配置的管理负担。

    还可以使用“托管列表”功能将某些配置应用于检测器。

  • 网络安全组 (NSG)

    您可以使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。我们建议使用 NSG 而非安全列表,因为 NSG 使您能够将 VCN 的子网体系结构与应用的安全要求分开。

  • 负载平衡器带宽

    创建负载平衡器时,您可以选择提供固定带宽的预定义配置,也可以指定在其中设置带宽范围的定制(灵活)配置,并让服务根据流量模式自动缩放带宽。使用任一方法,您可以在创建负载平衡器后随时更改配置。

了解更多

详细了解如何实施 Oracle Data Safe for Exadata 和自治数据库。

查看以下其他资源:

确认

作者Jacco Steur

贡献者:魏寒

更改日志

此日志列出了重大更改: