1. 为您的内部部署和 OCI 部署的数据库实施 Oracle Data Safe
  2. 为您的内部部署和 OCI 部署的数据库实施 Oracle Data Safe

为您的内部部署和 OCI 部署的数据库实施 Oracle Data Safe

此参考架构突出了将目标数据库连接到 Oracle Data Safe 的不同方式。它还介绍了提供到特定目标数据库的连接的安全部署所需采取的安全措施。

Oracle Data Safe 是一项完全集成的区域云服务,专注于数据安全。它提供一组完整的 Oracle Cloud Infrastructure 集成功能,可用于保护 Oracle 数据库中存储的敏感数据和受管制数据。

Oracle Data Safe 为在 Oracle Cloud 中运行的 Oracle Autonomous Database 和数据库提供基本的安全服务。数据安全还支持本地数据库、Oracle Exadata Cloud@Customer 和多云部署。所有 Oracle Database 客户都可以使用数据安全来评估配置和用户风险、监视和审计用户活动以及发现、分类和屏蔽敏感数据,从而降低数据泄露风险并简化合规性管理。

遵从性法律,例如欧盟 (EU) 通用数据保护条例 (GDPR) 和加州消费者隐私法案 (CCPA),要求公司保护其客户的隐私。要安全高效地运行各种托管数据库,需要有办法来管理这些数据的安全性。Oracle Data Safe 可帮助您了解数据敏感性,评估数据的风险,屏蔽敏感数据,实施和监视安全控制,评估用户安全性,监视用户活动,并满足数据安全合规性要求。

将数据库添加为目标后,Data Safe 会识别、分类风险并确定风险优先级,并提供全面的评估报告:
  • 安全参数
  • 正在使用的安全控制
  • 用户角色和权限
数据安全可帮助您满足各种合规性要求,例如识别敏感数据所在的位置、屏蔽敏感数据以供非生产使用、安全捕获审计数据等。
审计合规性标准是一组有助于加速遵守法规标准的审计策略。它们还有助于评估您是否遵守数据库合规性要求。在活动审计期间,可以启用两个审计合规性标准策略:
  • Internet 安全中心 (Center for Internet Security,CIS) 配置 - 适用于 Oracle Database 12。2 及更高版本。
  • 安全技术实施准则 (Security Technical Implementation Guidelines,STIG)- 适用于 Oracle Database 21c 及更高版本。

体系结构

此参考架构概述了数据安全连接到以下数据库的方式:
  • 部署在本地的数据库。
  • 在 OCI 裸金属数据库系统或虚拟机数据库系统上部署的数据库。

注意:

此参考架构仅讨论具有专用 IP 地址的数据库。要配置具有公共 IP 地址的数据库,建议从安全角度进行配置。

下图展示了体系结构。

下面是 datasafe-db-connecton-arch.png 的说明
插图 datasafe-db-connecton-arch.png 的说明

datasafe-db-connecton-arch-oracle.zip

上图中显示的内部部署连接器可以连接到多个数据库。这也适用于 FastConnect 或 VPN Connect 选项,因为这是网络层连接。

对于此处讨论的所有不同的数据安全部署,建议您在租户中部署登录区域。以下资源提供了有关安全性和合规性、登录区域概念以及如何使用 terraform 脚本在 Oracle Cloud Infrastructure 上部署登录区域的最佳实践:
  • Oracle Cloud Infrastructure 的最佳实践框架
  • 部署符合 Oracle Cloud CIS 基础基准的安全登录区域
  • 符合 OCI CIS 的登录区域

注意:

有关对这些资源的访问,请参阅下面的“浏览更多”主题。

部署在本地的数据库

要将目标数据库与内部部署的专用 IP 地址连接,请选择以下两个选项之一:
  • 内部部署连接器
  • 专用端点
使用内部部署连接器时,不需要 FastConnect 或 VPN 连接。

使用专用端点时,需要在 Oracle Cloud Infrastructure 与非 Oracle 云环境之间设置现有的 FastConnect 或 VPN 连接。然后,您需要在 Oracle Cloud Infrastructure 中创建有权访问数据库的 VCN 专用端点。

以下资源介绍了此体系结构和文档中的设置:
  • 目标数据库的连接选项
  • Oracle Data Safe 专用端点
  • Oracle Data Safe 内部部署连接器
  • 创建 Oracle Data Safe 专用端点
  • 创建 Oracle Data Safe 内部部署连接器

注意:

有关对这些资源的访问,请参阅下面的“浏览更多”主题。

数据库部署在 OCI 裸金属数据库系统或 OCI 虚拟机数据库系统上

要将目标数据库与位于 OCI 裸金属数据库系统或 OCI 虚拟机数据库系统上的专用 IP 地址连接,请选择以下两个选项之一:
  • 内部部署连接器
  • 专用端点

您可以在需要特定数据库的情况下使用此解决方案,例如 OCI Oracle EBS 部署或 Oracle EBS FORM 部署。可以使用连接器连接到此类数据库,或者使用带专用端点的 FastConnect 或 VPN 连接。

以下资源介绍了此体系结构和文档中的设置:
  • 目标数据库的连接选项
  • Oracle Data Safe 专用端点
  • 创建 Oracle Data Safe 专用端点
  • 多云服务模式

注意:

有关对这些资源的访问,请参阅下面的“浏览更多”主题。
此体系结构包括以下组件:
  • 租户

    Oracle Autonomous Transaction Processing 是针对事务处理负载优化的自我驱动、自我保护的自我修复数据库服务。您不需要配置或管理任何硬件,也不需要安装任何软件。Oracle Cloud Infrastructure 处理数据库创建以及数据库备份、打补丁、升级和优化。

  • 区域

    Oracle Cloud Infrastructure 区域是一个本地化地理区域,其中包含一个或多个数据中心(称为可用性域)。地区独立于其他地区,广阔的距离可以分隔它们(在各国甚至大陆)。

  • 区间

    区间是 Oracle Cloud Infrastructure 租户内的跨区域逻辑分区。使用区间组织 Oracle Cloud 中的资源、控制对资源的访问并设置使用限额。要控制对给定区间中资源的访问,您可以定义策略来指定谁可以访问资源以及他们可以执行哪些操作。

  • 可用性域

    可用性域是一个区域中的独立独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共享基础设施,例如电源或冷却,也不共享内部可用性域网络。因此,一个可用性域出现故障不会影响区域中的其他可用性域。

  • 容错域

    故障域是可用性域内的一组硬件和基础设施。每个可用性域都有三个具有独立电源和硬件的容错域。在多个容错域之间分配资源时,您的应用可以承受容错域中的物理服务器故障、系统维护和电源故障。

  • 虚拟云网络 (VCN) 和子网

    VCN 是在 Oracle Cloud Infrastructure 区域中设置的可定制软件定义网络。与传统数据中心网络一样,VCNs 允许您完全控制您的网络环境。一个 VCN 可以具有多个不重叠的 CIDR 块,创建 VCN 后您可以更改这些块。您可以将 VCN 细分到子网中,子网可以限定到某个区域或可用性域。每个子网都包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。可以在创建子网后更改子网的大小。子网可以是公共子网,也可以是专用子网。

  • 负载平衡器

    Oracle Cloud Infrastructure Load Balancing 服务可提供从单个入口点到后端多个服务器的自动流量分配。负载平衡器提供对不同应用的访问。

  • 服务网关

    通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage。从 VCN 到 Oracle 服务的流量将通过 Oracle 网络结构传输,并且从不通过互联网传输。

  • 云卫士

    您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用可以定义的检测器配方来检查资源是否存在安全弱点,以及监视操作员和用户是否存在有风险的活动。检测到任何配置错误或不安全活动时,Cloud Guard 将根据您可以配置的响应器配方建议更正操作并协助采取这些操作。

  • FastConnect

    Oracle Cloud Infrastructure FastConnect 可以在您的数据中心与 Oracle Cloud Infrastructure 之间创建专用连接。与基于 Internet 的连接相比,FastConnect 提供更高的带宽选项和更可靠的网络体验。

  • 自治数据库

    Oracle Cloud Infrastructure 自治数据库是完全托管的预配置数据库环境,可用于事务处理和数据仓库负载。您不需要配置或管理任何硬件,也不需要安装任何软件。Oracle Cloud Infrastructure 处理数据库创建以及数据库备份、打补丁、升级和优化。

  • 自治事务处理

    Oracle Autonomous Transaction Processing 是针对事务处理负载优化的自我驱动、自我保护的自我修复数据库服务。您不需要配置或管理任何硬件,也不需要安装任何软件。Oracle Cloud Infrastructure 处理数据库创建以及数据库备份、打补丁、升级和优化。

  • Exadata DB 系统

    借助 Exadata Cloud Service,您可以在云中利用 Exadata 的强大功能。您可以预配灵活的 X8M 系统,以便随着需求的增长向系统添加数据库计算服务器和存储服务器。X8M 系统提供 RoCE(RDMA over Converged Ethernet,基于融合以太网的 RDMA)网络,可实现高带宽和低延迟、持久性内存 (PMEM) 模块和智能 Exadata 软件。您可以使用与四分之一机架 X8 系统等效的配置来预配 X8M 或 X9M 系统,然后在预配后随时添加数据库和存储服务器。

建议

在为您的内部部署和 OCI 部署的数据库实施 Oracle Data Safe 时,请使用以下建议作为起点。 您的要求可能不同于此处所述的体系结构。
  • VCN

    创建 VCN 时,根据您计划附加到 VCN 中子网的资源数,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

    选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure 中、您的内部部署数据中心或其他云提供商)不重叠的 CIDR 块。

    创建 VCN 后,您可以更改、添加和删除其 CIDR 块。

    设计子网时,请考虑您的流量流和安全要求。将特定层或角色内的所有资源附加到同一子网,该子网可以用作安全边界。

    使用区域子网。

  • 安全

    使用 Oracle Cloud Guard 主动监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用可以定义的检测器配方来检查资源是否存在安全弱点,以及监视操作员和用户是否存在有风险的活动。检测到任何配置错误或不安全活动时,Cloud Guard 将根据您可以定义的响应器配方建议更正操作并协助采取这些操作。

    对于需要最高安全性的资源,Oracle 建议使用安全区域。安全区域是与 Oracle 定义的基于最佳实践的安全策略配方关联的区间。例如,安全区域中的资源不能从公共 Internet 访问,并且必须使用客户管理的密钥对它们进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。

  • 云卫士

    克隆并定制 Oracle 提供的默认配方,以创建定制检测器和响应器配方。使用这些配方可以指定哪些类型的安全违规生成警告以及允许对其执行哪些操作。例如,您可能需要检测可见性设置为“公共”的对象存储桶。

    在租户级别应用 Cloud Guard,以涵盖最广泛的范围并减轻维护多个配置的管理负担。

    您还可以使用托管列表功能将某些配置应用于检测器。

  • 网络安全组 (NSG)

    您可以使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。我们建议使用 NSG,而非安全列表,因为您可以通过 NSG 将 VCN 的子网架构与应用的安全要求区分开来。

  • 负载平衡器带宽

    创建负载平衡器时,您可以选择提供固定带宽的预定义配置,或者指定一个定制(灵活)配置来设置带宽范围,并让服务根据流量模式自动扩展带宽。无论采用哪种方法,您都可以在创建负载平衡器后随时更改配置。

浏览更多

了解有关为您的内部部署数据库和 OCI 部署数据库实施 Oracle Data Safe 的更多信息。

查看以下其他资源:

确认

作者 :Jacco Steur