将 Oracle Data Safe 连接到多云和混合云环境中的 Oracle 数据库

此参考架构重点介绍了将多云环境和 Oracle Database Service for Azure 连接到 Oracle Data Safe 的不同方式。此外,还介绍了为安全部署到特定目标的连接而需要采取的安全措施。

Oracle Data Safe 为在 OCI 中运行的 Oracle Autonomous Database 和数据库提供基本的安全服务。Data Safe 还支持本地部署数据库、Oracle Exadata Cloud@Customer 和多云 Oracle 数据库部署。所有 Oracle Database 客户都可以使用 Data Safe 评估配置和用户风险、监视和审计用户活动以及发现敏感数据、对敏感数据进行分类和屏蔽,从而降低数据泄露风险并简化合规性。

欧盟 (EU) 通用数据保护条例 (GDPR) 和加州消费者隐私法 (CCPA) 等合规法要求公司保护其客户的隐私。Oracle Data Safe 可帮助您了解数据敏感性、评估数据风险、屏蔽敏感数据、实施和监视安全控制、评估用户安全性、监视用户活动以及满足数据安全合规性要求。

将数据库添加为目标后,Data Safe 可识别、分类和确定风险优先级,并提供关于以下各项的全面评估报告:
  • 安全性参数
  • 正在使用的安全控制
  • 用户角色和权限
Data Safe 有助于满足各种合规性要求,例如识别敏感数据的位置、屏蔽敏感数据以供非生产使用、安全捕获审计数据等。
审计合规性标准是一组审计策略,有助于加快法规合规性。它们还有助于评估您是否遵守数据库合规性要求。在活动审计期间,可以启用两个审计合规性标准策略来跟踪管理员活动:
  • Internet 安全中心 (Center for Internet Security,CIS) 配置 - 可用于 Oracle Database 12。2 及更高版本。
  • 安全技术实施准则 (Security Technical Implementation Guidelines,STIG)- 适用于 Oracle Database 21c 及更高版本。
审计跟踪管理员活动。除此之外,数据库还包含敏感和个人数据。不同的数据隐私法律和标准(如有必要)适用:
  • EU GDPR —欧盟通用数据保护条例
  • PCI-DSS- 支付卡行业数据安全标准,以及
  • HIPPA - 健康保险携带和责任法案
这些隐私法要求您保护个人数据。数据屏蔽,也称为静态数据屏蔽,是使用虚拟现实数据永久替换敏感数据的过程。数据安全可以根据包含 150 多个预定义敏感数据类型的库来搜索和分类敏感数据。这也可以通过自定义数据类型进行扩展。

体系结构

此参考体系结构概述了以下目标数据库以及以下数据安全连接方案:
  • 数据安全连接到非 Microsoft Azure 云环境中的多云数据库部署
  • 数据安全使用数据库服务 (ODSA) 连接到 Microsoft Azure 中的数据库
对于此处讨论的所有不同数据安全部署,建议在您的租户中部署登录区域。以下资源提供了使用 terraform 脚本在 Oracle Cloud Infrastructure 上部署安全性和合规性、着陆区域概念和着陆区域的最佳实践:
  • Oracle Cloud Infrastructure 的体系结构完善的框架
  • 部署符合 Oracle Cloud CIS 基础基准的安全体系框架
  • 符合 CIS 的 OCI 体系框架(GitHub 系统信息库)

注意:

有关这些资源的访问权限,请参阅下面的“了解更多”。

数据安全连接到多云环境中的数据库

如果将 Oracle 数据库部署在多云环境中,则可以将它们视为内部部署的数据库。可以使用专用端点或内部部署连接器。下图显示了在 AWS 和/或 Microsoft Azure 上部署的数据库的连接选项。可以在此设置中使用任何可以托管 Oracle 数据库的云提供商。通过使用专用端点或内部部署数据安全连接器连接到云提供商中部署的数据库,数据安全可以检查数据库。


后面是 datasafe-multi-odsa-01.png 的说明
插图 datasafe-multi-odsa-01.png 的说明

datasafe-multi-odsa-01-oracle.zip

数据安全使用数据库服务 (ODSA) 连接到 Microsoft Azure 中的数据库

将数据安全连接到属于 Oracle Database Service for Azure (ODSA) 的数据库与其他基于 OCI 的数据库相同。但是,在使用 ODSA 服务时应考虑一些详细信息。下图说明了 ODSA 的体系结构:


后面是 datasafe-multi-odsa-02.png 的说明
插图 datasafe-multi-odsa-02.png 的说明

datasafe-multi-odsa-02-oracle.zip

由于数据库是在单独的 ODSA 区间中设置的,因此可能需要对策略进行一些调整才能访问这些资源。

借助 Oracle Database Service for Microsoft Azure (ODSA),数据库资源位于与 Microsoft Azure 账户关联的 OCI 租户中。在 OCI 中,数据库和基础设施资源保存在 ODSA 区间中。此区间将在注册过程中自动为 ODSA 资源创建。ODSA 多云 NetworkLink(见图)和账户链接也将在注册过程中设置。

ODSA 的一个先决条件是,您的租户必须支持身份域。此外,必须检查区域可用性。需要在这些区域预配 ODSA 数据库资源。

有关 ODSA 的其他信息,请参阅下面的“浏览更多”主题中的多云服务模式

此体系结构包含以下组件:
  • Tenancy

    租户是 Oracle 在您注册 OCI 时在 Oracle Cloud 中设置的安全隔离分区。您可以在租户内的 Oracle Cloud 中创建、组织和管理资源。租户是公司或组织的同义词。通常,公司将具有单个租户,并反映其在该租户中的组织结构。单个租户通常与单个订阅关联,而单个订阅通常只有一个租户。

  • 区域

    Oracle Cloud Infrastructure 区域是一个本地化的地理区域,包含一个或多个数据中心(称为可用性域)。区域独立于其他区域,并且很远的距离可以将它们分开(跨越国家甚至大洲)。

  • 区间

    区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间在 Oracle Cloud 中组织资源、控制对资源的访问以及设置使用限额。要控制对给定区间中资源的访问,可以定义策略来指定哪些人可以访问资源以及他们可以执行哪些操作。

  • 可用性域

    可用性域是区域中独立的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用基础设施(例如电源或冷却设备)或内部可用性域网络。因此,一个可用性域出现故障不太可能影响该区域中的其他可用性域。

  • 容错域

    容错域是可用性域内的一组硬件和基础设施。每个可用性域都具有三个具有独立电源和硬件的容错域。在多个容错域之间分配资源时,您的应用可以容忍容错域内的物理服务器故障、系统维护和电源故障。

  • 虚拟云技术网络 (VCN) 和子网

    VCN 是您可以在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统数据中心网络一样,VCN 允许您完全控制网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后进行更改。您可以将 VCN 细分为多个子网,这些子网可以限定为某个区域或某个可用性域。每个子网由一系列不与 VCN 中的其他子网重叠的连续地址组成。您可以在创建子网后更改子网的大小。子网可以是公共子网,也可以是专用子网。

  • 负载平衡器

    Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。通过负载平衡器,您可以访问不同的应用。

  • 服务网关

    通过服务网关,您可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量将通过 Oracle 网络结构传输,而不会通过互联网。

  • Cloud Guard

    您可以使用 Oracle Cloud Guard 在 Oracle Cloud Infrastructure 中监视和维护资源的安全性。Cloud Guard 使用您可以定义的检测器配方来检查您的资源是否存在安全漏洞,并监视操作员和用户是否有风险活动;例如,当您的租户中有未在数据安全中注册的数据库时,Cloud Guard 可以通知您。检测到任何错误配置或不安全活动时,Cloud Guard 会根据您可以配置的响应器配方建议更正操作,并协助您执行这些操作。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 提供了一种在您的数据中心与 Oracle Cloud Infrastructure 之间创建专用私有连接的简便方式。与基于互联网的连接相比,FastConnect 提供了更高的带宽选项和更可靠的网络体验;例如,如果您租户中有未在数据安全中注册的数据库,Cloud Guard 可以通知您。

  • 自治事务处理
    自治事务处理提供自治驱动、自我保护和自我修复的数据库服务,可以即时扩展以满足各种应用的需求:关键任务事务处理、混合事务处理和分析、IoT、JSON 文档等。创建 Autonomous Database 时,您可以将其部署到以下三种 Exadata 基础设施之一:
    • 共享;一个简单而灵活的选择。Oracle 可自主运行数据库生命周期的各个方面,包括数据库放置、备份和更新。
    • 专用于公有云;公有云的私有云。仅针对单个租户提供完全专用的计算、存储、网络和数据库服务,可实现高级别的安全隔离和监管。
    • Dedicated on Cloud@Customer ;Autonomous Database on Dedicated Infrastructure running on Exadata Database Machine system on your data center,以及用于将其连接到 Oracle Cloud 的网络配置。
  • Exadata 数据库系统

    借助 Exadata Cloud Service,您可以充分利用云端 Exadata 的强大功能。您可以预配灵活的 X8M 系统,以便随着需求的增长将数据库计算服务器和存储服务器添加到系统中。X8M 系统提供 RoCE(RDMA over Converged Ethernet,基于融合以太网的 RDMA)网络,支持高带宽和低延迟、持久性内存 (PMEM) 模块以及智能 Exadata 软件。您可以使用等效于四分之一机架 X8 系统的配置来预配 X8M 或 X9M 系统,然后在预配后随时添加数据库和存储服务器。

推荐

在为多云环境和 ODSA 实施 Oracle Data Safe 时,请使用以下建议作为起点。您的要求可能与此处描述的体系结构不同。
  • 安全

    使用 Oracle Cloud Guard 主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用您可以定义的检测器配方来检查资源是否存在安全漏洞,并监视操作员和用户是否有风险活动。当检测到任何错误配置或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方建议更正操作,并协助您执行这些操作。

    对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与 Oracle 定义的基于优秀实践的安全策略配方关联的区间。例如,不能从公共 Internet 访问安全区域中的资源,并且必须使用客户管理的密钥对其进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。

  • Cloud Guard

    克隆和定制 Oracle 提供的默认配方,以创建定制检测器和响应器配方。通过这些配方,您可以指定生成警告的安全违规类型以及允许对它们执行哪些操作。例如,您可能希望检测可见性设置为公共的对象存储桶。

    在租户级别应用 Cloud Guard,以涵盖最广泛的范围,并减轻维护多个配置的管理负担。

    还可以使用“托管列表”功能将某些配置应用于检测器。

  • 网络安全组 (NSG)

    您可以使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。我们建议使用 NSG 而非安全列表,因为 NSG 使您能够将 VCN 的子网体系结构与应用的安全要求分开。

  • 负载平衡器带宽

    创建负载平衡器时,您可以选择提供固定带宽的预定义配置,也可以指定在其中设置带宽范围的定制(灵活)配置,并让服务根据流量模式自动缩放带宽。使用任一方法,您可以在创建负载平衡器后随时更改配置。

了解更多

详细了解如何将 Oracle Data Safe 连接到在多云和混合云环境中运行的 Oracle 数据库。

查看以下其他资源:

确认

作者Jacco Steur

贡献者:魏寒

更改日志

此日志列出了重大更改: