为内部部署数据库实施 Oracle Data Safe
体系结构
在您的数据库与 Oracle Data Safe 之间建立连接有多种选项,包括使用 Oracle Cloud Infrastructure FastConnect、VPN 连接或使用数据安全内部部署连接器(如下所示)。在大多数情况下,如果您没有 FastConnect,则应使用内部部署连接器。如果您不清楚哪个选项适合您,请联系您的客户团队。
下图说明了此参考体系结构。
插图 data-safe-connection-managers.png 的说明
data-safe-connection-managers-oracle.zip
该体系结构包含以下组件:
- 租户
租户是安全的隔离分区,Oracle 在您注册 Oracle Cloud Infrastructure 时在 Oracle Cloud 中设置该分区。您可以在租户中的 Oracle Cloud 中创建、组织和管理资源。
如果您订阅 Oracle Data Safe,Oracle 将在 OCI 中自动为您创建租户(如有必要)。
- 区域
Oracle Cloud Infrastructure 区域是一个本地化地理区域,包含一个或多个称为可用性域的数据中心。区域独立于其他区域,大片距离可以分开(跨国家甚至大陆)。
可以在 OCI Console 中启用 Oracle Data Safe。必须为要使用的每个区域启用 Oracle Data Safe。
- Oracle Data Safe
Oracle Data Safe 是集成到 Oracle Cloud Infrastructure 中的 Oracle 数据库的统一控制中心。它可帮助您了解数据的敏感性、评估数据风险、屏蔽数据、实施和监视安全控制、评估用户安全性、监视用户活动并满足数据安全合规性要求。数据安全支持 Oracle Cloud Infrastructure FastConnect、IPSec VPN 和内部部署连接器,可将您的内部部署位置连接到 Oracle Cloud。
Oracle Data Safe 控制台是 Oracle Data Safe 的主用户界面。打开 Oracle Data Safe 后,系统将显示一个仪表盘,您可以通过它监视系统活动。通过侧边选项卡可以访问主要功能。通过顶部选项卡可以访问已注册的目标数据库、库、报告、警报和作业。在右上角,您可以访问指向用户安全性和数据保留设置的链接。
- 内部部署连接器
内部部署连接器安装在内部部署数据中心的 Linux 主机上,并在 Linux 主机和 Oracle Data Safe 之间建立传输层安全 (Transport Layer Security, TLS) 连接。TLS 连接是使用 TLS 加密协议的 TCPS 连接。Oracle Data Safe 的内部部署连接器支持 TLS 协议版本 1.2,并在端口 443(标准 HTTPS 端口)上建立隧道。如果需要,内部部署连接器可以通过 HTTPS 代理服务器工作。
- 可用性域
可用性域是区域内的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共用电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不太可能影响区域中的其他可用性域。
- 身份和访问管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 允许您控制谁可以访问 Oracle Cloud Infrastructure 中的资源以及他们可以对这些资源执行的操作。
Oracle Data Safe 使用 OCI 中的所有共享服务,包括 IAM。可以使用 IAM 服务设置用户对 Oracle Data Safe 的访问权限。
- Oracle Cloud Infrastructure 控制台
OCI 控制台 是一个简单直观、基于 Web 的用户界面,可用于访问和管理 Oracle Cloud Infrastructure。您还可以通过 OCI 控制台 访问 Oracle Data Safe 控制台 。
建议
- VCN
创建 VCN 时,请根据您计划附加到 VCN 中的子网的资源数量确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。
选择与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure、内部部署数据中心或其他云提供商中)不重叠的 CIDR 块。
创建 VCN 后,可以更改、添加和删除其 CIDR 块。
设计子网时,请考虑您的流量和安全性要求。将特定层或角色中的所有资源连接到可充当安全边界的同一子网。
- 安全列表
使用安全列表定义应用于整个子网的入站和出站规则。
- 网络安全性组 (NSG)
可以使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。我们建议使用 NSG 而不是安全列表,因为 NSG 使您能够将 VCN 的子网体系结构与应用程序的安全要求分开。
- Cloud Guard
克隆和定制 Oracle 提供的默认配方,以创建定制检测器和响应器配方。通过这些配方,您可以指定哪些类型的安全违规生成警告以及允许对其执行哪些操作。例如,您可能需要检测可见性设置为公共的对象存储桶。
在租户级别应用 Cloud Guard 可覆盖最广的范围并减轻维护多个配置的管理负担。
还可以使用受管列表功能将某些配置应用于检测器。
- 安全区域
对于需要最大安全性的资源,Oracle 建议您使用安全区域。安全区域是与基于优秀实践的 Oracle 定义的安全策略配方关联的区间。例如,安全区域中的资源不能从公共互联网访问,必须使用客户管理的密钥进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 将根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
- HA/DR
在生产环境中,Oracle 建议您在两个 Linux 主机上安装相同的内部部署连接器,以实现高可用性。如果其中一个主机因系统故障或维护而停机,Oracle Data Safe 连接将自动故障转移到在其他主机上运行的内部部署连接器,并且正在进行的 Oracle Data Safe 操作不受影响。
- 安全性
仅打开特定端口以允许与连接管理器通信。您可以控制从主机到云连接管理器 IP 地址的传出通信,云连接管理器的 IP 地址在端口 443 上监听。云连接管理器的地址为
accesspoint.datasafe.REGIONNAME.oci.oraclecloud.com。例如,对于阿什本区域,地址为accesspoint.datasafe.us-ashburn-1.oci.oraclecloud.com。要获取云连接管理器的 IP 地址,请使用 DNS 查找。
考虑事项
在实施 Oracle Data Safe 时,请注意以下几点:
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供了一种在数据中心与 OCI 之间创建专用专用连接的方式。Oracle Cloud Infrastructure FastConnect 可提供更高的带宽选项,并提供比基于 Internet 的连接更可靠、更一致的网络体验。如果 FastConnect 可用,则应该使用它。
- 内部部署连接器
Oracle Data Safe 的内部部署连接器支持 TLS 协议版本 1.2。要使用内部部署连接器,必须允许网络中的端口 443 上的出站流量。如果需要,内部部署连接器可以通过代理服务器工作。