计划
| 序列 | 涉及的主题 |
|---|---|
| 1 |
实现 Oracle 数据库的不可变性和零数据丢失 IM- 2:使用适用于 Oracle 云数据库的恢复服务。 |
| 2 |
配置不可变存储桶并启用最低权限的 IAM 主体 IM- 1:为非结构化数据配置不可变存储桶。 ZT- 1:仅为 IAM 专用恢复帐户配置了安全权限的专用配置存储桶。 |
| 3 |
启用与网络弹性威胁相关的威胁检测 TD- 1:Cloud Guard 验证存储桶规则(公共/专用)和存储桶日志记录。 |
| 4 |
开始测试将数据移动到不可变存储桶中 IM- 3:使用 OCI CLI 脚本将 OCI FSS 复制到不可变对象存储。 BR- 1:将 OCI 定制映像备份到不可变存储桶。 |
使用自治恢复服务保护数据库
为新的开发和测试数据库启动试点。示例问题包括但不限于:
- 需要哪些数据库平台和软件版本?
- 您的数据库是否使用 OCI for DNS?如果未调查 DNS 条件转发。
- 您是否需要提高现有 OCI 限制?
- 是否已启用安全列表以允许数据库连接到自治恢复服务?
- 是否已启用所有必需的 IAM 策略语句来授权服务?
下图显示了连接到 Oracle Database Zero Data Loss Autonomous Recovery Service 的 OCI 恢复子网示例:
现在,您的数据库已受到保护,请重点使用以下建议来保护您的非结构化数据(引导、块、文件系统等):
- 创建嵌套区间结构或创建新的 OCI 租户以用作 Vault 空间或安全还原空间。
- 测试保留策略后,创建对象存储桶、添加保留规则并锁定规则。
- 验证 IAM 策略是否限制组成员资格,并仅向备份或存储管理员提供访问权限。如果需要,还可以使用其他 IAM 域。
- 确保 Oracle Cloud Guard 和 OCI 安全区域确保您的存储桶无法公开,并且没有人可以禁用您的备份和恢复服务。安全区域策略禁止在 OCI Object Storage 中创建公用存储桶。例如,您可以设置安全区域策略来防止任何人创建公用存储桶或修改现有存储桶并将其设为公共存储桶。
备份到不可变 Vault
提供开源和商业工具,支持跨平台复制、同步和移动数据。查看迁移数据博客的作业的合适工具部分。有多种工具和技术可以将数据复制到不可变 Vault 存储桶中。
在网络弹性试点中,您可以部署一个体系结构,在该体系结构中,您可以使用位于 Immutable Vault 中的编排服务器。Orchestration Server 发现要备份的资源并将备份作业发送到 OCI 队列服务。然后,工作人员节点会监听备份作业并立即开始处理任务。在此模型中,您可以从生产环境中复制数据,然后将数据上载到不可变的 Vault 存储桶中。
按域列出的严重控制汇总
| 域 | 涉及的主题 |
|---|---|
| 不可变性 | IM- 1:为非结构化数据配置不可变存储桶。
IM- 2:用于 Oracle 云数据库的恢复服务。 IM- 3:如果使用 OCI File Storage ,请将 OCI File Storage 复制到不可变对象存储。 |
| 零信任 | ZT- 1:仅为 IAM 专用恢复帐户配置了安全权限的专用配置存储桶。利用 OAG 确定对不可变存储桶的有效权限。 |
| 备份和恢复 | BR- 1:将 OCI 定制映像备份到不可变存储桶。 |
| 威胁检测 | TD- 1:Cloud Guard 存储桶规则(公共/专用)。存储桶日志记录。已启用威胁检测器规则。 |