專用 Exadata 基礎架構上的自治式 AI 資料庫組態管理

專用 Exadata 基礎架構上的自治式 AI 資料庫是以 Oracle Cloud Infrastructure (OCI) 為基礎，提供標準的強化安全性組態，因此您和您的團隊不需要將大量時間和金錢用於管理整個自治式 AI 資料庫機組的組態。

安全性修補程式和更新會自動進行，因此您不需要擔心是否會保持安全更新。這些功能可保護您的高敏感度資料庫和資料，使其免於昂貴且潛在的安全漏洞和資料外洩。如需詳細資訊，請參閱自治式 AI 資料庫的服務維護。

自治式虛擬機器強化

自治式 AI 資料庫虛擬機器 (自治式 VM) 映像檔 (亦稱為從屬端 VM) 具備安全強化功能。如 Oracle Software Security Assurance 中所述，它們的配置是透過 Oracle 軟體開發和保證實務來保護。自治式 VM 設定適當的防毒和防惡意程式軟體，以偵測未經授權的軟體和惡意軟體。安裝在用戶端虛擬機器上的 Oracle 資產端點保護與組態管理軟體，可確保組態僅透過安全、已核准的程序進行變更。Linux 作業系統稽核日誌會收集並傳輸至中央 OCI 安全資訊與事件管理 (SIEM) 系統，以供 OCI 安全未預期事件偵測與回應團隊 (DART) 進行安全未預期事件偵測與稽核。日誌會保留自產生日期起 13 個月。

DART 負責管理 SIEM 儀表板、評估事件警示，以及在內部服務團隊上開設票證，對真實海報啟動補救措施。當安全性事件要求客戶更新時，DART 會與 Global Information Security 及服務團隊合作，以核發客戶更新。

所有 Oracle Autonomous VM 均符合 DISA STIG (Defense Information Systems Agency Security Technical Implementation Guide) 規範，並依據 Oracle Linux Security Technical Implementation Guide 加以強化，此指南可解決使用者存取控制、開放連接埠、不需要的套裝軟體以及常駐程式組態等問題。您可以在這裡找到完整的 Oracle Linux DISA STIG 控制項清單。

手動存取自治式 VM 僅限於公司經過徹底審查的核心雲端作業團隊。作業團隊成員必須透過公司提供的裝置在 Oracle Cloud 網路連附 (專用、安全的雲端網路) 上，才能存取 Exadata 基礎架構。系統會動態產生存取證明資料，以回應有效的支援回報項目。對用戶端 VM 進行的任何組態變更都會進行嚴格的內部安全複查和變更管理程序。所有工具、命令檔或軟體只有在經過核准的軟體週期與變更管理程序之後，才會安裝或修改。

與基礎架構和自治式 VM 的操作員存取控制服務整合，可進一步限制此存取，並傳送存取權限和通知給您。操作員動作會以近乎即時的方式登入，並傳送給客戶設定的 SIEM 和 Oracle 記錄服務以供客戶視需要下載。您可以將日誌下載至客戶 SIEM/ 儲存，或無限期將日誌封存至 OCI 物件儲存中。請參閱操作員存取控制服務瞭解詳細資訊。

OCI 安全架構進一步定義了 OCI 的獨特多層 Gen2 硬體和虛擬化安全性。如需詳細資訊，請參閱 Oracle Cloud Infrastructure Security Architecture 。

組態差異管理

自治式 AI 資料庫服務開發和自治式 VM 映像檔建置是 Oracle 企業安全實務的一部分。此導入是在此處發布的 Oracle Software Security Assurance 流程中仔細控制。

自治式 VM 映像檔組態透過程式碼控制，並在組態變更到生產環境版本之前，進行多個程式碼複查和品質保證 (QA) 週期。請參閱 Oracle Software Security Assurance 文件中的安全配置一節，以瞭解保護軟體配置的 Oracle 姿勢與標準實務。

Oracle 建置的代理程式、資產端點保護與組態管理 (AEP/CM) 軟體安裝在控制層伺服器上，以收集和傳輸基礎架構和自治式 VM 執行處理的 Linux 稽核日誌和 Linux Advanced Intrusion Detection Environment (AIDE) 日誌。這些日誌會傳輸至 OCI 中央 SIEM 進行稽核。SIEM 特定規則會竄改日誌檔、下載外部內容、停用安全工具，以及其他規則會產生警示，供 DART 依據「自治式虛擬機器強化」所述評估及回應。

自治式 VM 執行處理受到直接 ssh 存取保護，但經過核准的 Oracle 操作員與自動化除外。所有操作員活動都可透過「操作員存取控制」進行監督。

檔案完整性和入侵監督

自治式 VM 會設定檔案入侵和監控公用程式，以維護特定組建中檔案的計數和完整性。會標記檔案總和檢查中的檔案計數或變更。此外，也會收集 AIDE 和 HIDS 記錄並傳送至 OCI SIEM，並透過 Autonomous Virtual Machine Hardening 中說明的 DART 程序掃描是否有威脅。

部署到 AVMC 的所有軟體使用者自建物件 (包括工具) 都是透過採用總和檢查碼的安全變更管理方法進行部署，並使用 SSL 憑證進行數位簽署。這稱為憑證簽署的程式碼建置。

自治式 VM 漏洞掃描與回應

所有自治式 VM 映像檔都是使用 Oracle 的安全開發實務建立，如 Oracle Software Security Assurance 中所述。企業安全解決方案保證流程 (CSSAP) 是由 Oracle 的企業安全架構、全球資訊安全 (GIS) 以及 Oracle 的 IT 組織所開發的安全審查流程，以提供全面的資訊安全管理審查。GIS 和 CSSAP 與 OCI 服務團隊獨立運作，以保護客戶和 Oracle 的資訊和軟體資產。具有潛在安全性影響的每項服務功能都會進行 CSSAP 審核與核准程序。此外，品質保證 (QA) 測試週期使用適當的掃描工具來確保影像符合 STIG、符合服務安全準則，並準備進行 CSSAP 審查。

對 AVMC 的鑑識工具在漏洞管理中扮演著重要的角色。每個自治式 VM 主機的 Linux 稽核日誌會上傳至中央 OCI SIEM，其中警示規則會擷取並呈現潛在威脅。DART 會依照自治式虛擬機器強化中的說明回應這些警示。HIDS 和防毒記錄檔也同樣處理。Common Vulnerabilities and Exposures (CVE) 掃描器會將發現項目傳送到集中式自動化工具，其中已對漏洞發現項目進行分類，並且會開啟回報項目讓服務團隊按照發現項目的嚴重性按時間劃分來修補系統。分數大於 7 的所有 CVE 都必須在 30 天內修正。

您可以每季排定由 Hypervisor、Grid Infrastructure、儲存體和從屬端作業系統以及韌體組成的基礎架構修正程式組合。資料庫版本更新和版本更新修訂也可以每季個別排程。所有修正程式都使用雲端自動化工具和自治式雲端作業暫存及套用，因為特定修正程式更新需要。

軟體修補程式開發遵循 Oracle 的安全軟體開發實務、QA 測試和 CSSAP 審核 (必要)。修補程式開發人員、QA 測試人員、版本管理與修補作業之間的責任分離，可確保在修補程式執行客戶硬體之前，會有多人參與。

如果可能，會使用 Linux ksplice 之類的工具，在不停機的情況下，套用更新至執行中系統。如果更新需要重新啟動元件，Oracle 會以輪流方式執行元件重新啟動，以確保更新處理作業期間的服務可用性。您可以排定打補丁開始時間，以符合您的業務 SLA。可以個別排定基礎架構元件 (GI、OS) 和每個 DBMS 本位目錄的修正。

漏洞掃描與修正

專用 Exadata 基礎架構上的自治式 AI 資料庫會經常使用商業漏洞掃描工具執行外部和內部漏洞掃描 (包括尋找支援終端系統)。「雲端漏洞管理合規性標準」會調查並追蹤已識別的漏洞，以解決問題。它使用各種技術措施來評估和識別第三方和開放原始碼程式庫的更新。已實施經過驗證的部署到環境中的系統漏洞掃描，以及部署前系統映像檔掃描，以識別此類程式庫並判斷是否需要安全性修正。企業政策及業務單位程序規管該等計劃及每年評估該等計劃。

自治式 AI 資料庫使用一種機制來聚總來自多個來源的安全發現項目 (包括漏洞掃描)，並將發現項目指定給適當的服務團隊。此系統可讓服務團隊管理發現項目，並與回報系統整合，以自動將補救工作排入佇列，包括視需要通知和自動呈報。系統也總結了整個組織的補救工作，並推動日常的弱點管理工作。

Oracle Software Security Assurance (OSSA) 定義了 Oracle 在產品設計、建置、測試和維護過程中建置安全性的方法，無論是客戶內部部署還是透過 Oracle Cloud 提供。Oracle 企業安全政策 (包括處理威脅和弱點管理的政策) 會每年進行審查，並視需要更新。至少每年，獨立第三方進行系統滲透測試。

為了向所有 Oracle 客戶提供最佳安全性狀態，Oracle 會根據對客戶造成的潛在風險修正重大安全性漏洞。最嚴重風險的問題會先予以修正。一般而言，安全漏洞的修正順序如下：

• 主要程式碼行優先 - 這是為下個主要發行版本所開發的程式碼行。

• 對於每個弱點的受支援版本，建立重要修補程式更新修補程式，並在下一個修補程式集中套用修復程式，前提是該受支援版本計畫有另一個修補程式集。

透過持續整合 / 持續部署 (CI/CD) 工具實作修補程式和更新。除了在多個可用性網域之間存在相依性 (例如網域名稱服務的更新) 之外，變更會在每個區域和可用性網域中個別實行。「Oracle 修正與安全警示實行原則」需要部署「Oracle 重要修正程式更新與安全警示」更新與相關建議。此政策還包括使用以風險為基礎的方法修正非 Oracle 技術漏洞的需求。如需詳細資訊，請參閱重要修補程式更新與安全性警示程式。

Oracle 會排定並執行每月基礎架構安全性維護活動，以及每季維護。不過，這些安全修正程式只會在有重要安全更新的月份套用，包括針對 CVSS 分數大於或等於 7 的漏洞所做的修正。

• 在 Oracle 排定安全性維護之前佈建的所有 Exadata 基礎架構，都將有資格進行安全性維護。

• 每月安全性維護程序會更新資料庫伺服器，以修正重大安全性漏洞和產品問題。他們還會將儲存伺服器更新為可解決已知安全漏洞和產品問題的 Exadata 儲存軟體映像檔。

Oracle Cloud 安全測試原則

Oracle 會定期對 Oracle Cloud 基礎架構、平台和應用系統執行滲透與漏洞測試和安全評估，以驗證並提升 Oracle Cloud 服務的整體安全性。不過，Oracle 不會評估或測試您透過或介紹的任何元件 (包括非 Oracle 應用軟體、非 Oracle 資料庫或其他非 Oracle 軟體、程式碼或資料，若有可能適用)，包括透過 Oracle Cloud 服務的開發或建立 (以下稱「客戶元件」) 進行介紹。

Oracle 客戶安全測試原則描述安全測試活動，例如 Oracle 客戶可對其 Oracle 內部部署產品和 Oracle Cloud Services (「安全測試」) 執行的滲透測試和漏洞掃描。它統稱為「測試政策」，並包含在 Oracle Cloud Services 的服務規範中。此政策不處理或提供任何對客戶元件中包含的任何第三方材料進行測試的權利。只有具備提出服務維護要求之必要權限的 Oracle 帳戶，且已登入環境且受此等測試影響的客戶，才能進行任何漏洞或滲透測試。

除非您的 Oracle Cloud 服務協議中另有允許或限制，否則具有您自治式 AI 資料庫服務之系統層級存取權的服務管理員，可能會根據Oracle Cloud 安全測試中所述的限制，對自治式 AI 資料庫服務中所包含的客戶元件執行滲透與漏洞測試。

您也可以參閱安全測試常見問題，尋找關於安全測試問題的解答。

端點、惡意軟體及勒索軟體保護

自治式 VM 從屬端機器是以端點、惡意軟體及勒索軟體保護為基礎，如下所述：

• 定期安裝及更新適合的防毒及防惡意軟體工具。

• 用戶端網路上的 ssh / sftp 存取已關閉。

• 用戶端 VM 上的具名使用者帳號，僅限於需要的程序。

• 自治式 VM 嚴格遵守 DISA STIG 標準，可確保系統上不會開啟任何未使用的連接埠或常駐程式。

• Oracle 營運者存取是透過與客戶選擇的 OCI 區域中 Oracle 管理網路的安全輸出連線。

• Oracle 操作員動作可以透過「操作員存取控制」服務整合來控制和稽核。

安全性意外事件管理

安全事件偵測與回應團隊 (DART) 的安全分析師專屬團隊，負責管理安全事件儀表板 24/7，並處理警示以篩選真實狀況。如果偵測到真陽性，則會根據事件的嚴重度和影響來起始適當的回應。這包括進一步分析、根本原因評估，以及與服務團隊和客戶溝通的修正。

Oracle 的安全未預期事件回應原則概述於安全未預期事件回應中。

相關內容

自治式 AI 資料庫的安全功能