專用 Exadata 基礎架構上的自治式 AI 資料庫安全性功能
本文描述專用 Exadata 基礎架構上的自治式 AI 資料庫主要安全性功能。
請注意,在本節中,「您」一詞大致上是用來表示貴組織中負責執行特定任務的任何管理員。在某些情況下,即運輸隊伍管理員,其他情況下則為資料庫管理員。
除了 Oracle AI Database 的標準安全功能 (例如權限分析、網路加密、集中管理的使用者、安全應用程式角色、透明機密資料保護等) 之外,專用自治式 AI 資料庫還新增 Database Vault、資料安全和其他進階安全功能,無需額外付費。
您可以看到下述專用自治式 AI 資料庫的主要安全功能建置區塊。
adbd-security-features.svg 圖解描述
組態管理
Autonomous AI Database 建置在 Oracle Cloud Infrastructure 上,提供標準的強化安全性組態,因此您和您的團隊不需要將大量時間和金錢用於管理整個自治式 AI 資料庫機組的組態。SYS 和系統等所有服務帳戶每隔 90 天會輪換一次。請參閱自治式 AI 資料庫中的組態管理以進一步瞭解。
安全性修補程式和更新會自動完成,因此您不需要擔心是否會保持安全更新。這些功能可保護您的高敏感度資料庫和資料,使其免於昂貴且潛在的安全漏洞和資料外洩。如需詳細資訊,請參閱專用自治式 AI 資料庫的服務維護。
資料 加密
自治式 AI 資料庫會將所有資料以加密格式儲存在 Oracle Database 中。只有經過認證的使用者和應用程式才能在連線至資料庫時存取資料。
自主 AI 資料庫使用隨時開啟的加密功能來保護靜態和傳輸中的資料。所有儲存在 Oracle Cloud 中的資料和與網路通訊預設都會加密。無法關閉加密功能。
如需有關資料加密和主要加密金鑰的詳細資訊,請參閱專用自治式 AI 資料庫中的資料加密。
稽核
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 提供強大的稽核功能,可讓您追蹤誰在服務上執行哪些工作,以及在特定資料庫上執行哪些工作。全方位的日誌資料可讓您稽核及監控資源上的動作,這可協助您滿足稽核需求,同時降低安全性和操作風險。
如需詳細資訊,請參閱專用自治式 AI 資料庫中的稽核功能。
存取控制
設定專用 Exadata 基礎架構功能時,您必須確保雲端使用者能夠使用並只建立適當種類的雲端資源來執行工作職責。此外,您必須確保只有獲得授權的人員和應用程式,才能存取在專用基礎架構上建立的自治式 AI 資料庫。否則,您將有使用專用基礎架構資源的「失控」風險,或無法存取關鍵任務資料的風險。
保護對資料的存取,以及由多種不同類型的存取控制所包含的資料庫。如需詳細資訊,請參考專用自治式 AI 資料庫內的存取控制。
憑證管理
當從屬端嘗試透過 TCPS (安全 TCP) 資料庫連線服務連線至自治式 AI 資料庫時,專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 會使用標準 TLS 1.2 和 TLS 1.3 憑證型認證來認證連線。不過,只有 Oracle AI Database 23ai 或更新版本支援 TLS 1.3。無論從屬端是嘗試透過 TCPS 或 TCP 資料庫連線服務連線,從屬端對資料庫的存取都會受到從屬端用來連線之資料庫使用者的存取權限限制。
Oracle 管理的自行簽署憑證
自治式 AI 資料庫預設會使用自行簽署憑證。自我簽署的憑證是系統產生的安全憑證。
憑證產生
佈建自治式 Exadata VM 叢集 (AVMC) 時,會自動產生 Oracle 管理的自行簽署憑證,並套用至在該 AVMC 中建立的所有資料庫。
憑證管理
自我簽署憑證會自動產生並與 AVMC 關聯。不過,您必須先下載自治式 AI 資料庫從屬端公事包,再連線至您的資料庫。使用自行簽署憑證時,無法選擇在沒有公事包的情況下連線至資料庫。如需有關下載資料庫公事包的指示,請參閱下載從屬端證明資料。
視需求而定,下列其中一個憑證類型會與您的 AVMC 相關聯:
-
資料庫 SSL 憑證:資料庫從屬端連線適用的 SSL 憑證。
-
ORDS SSL 憑證: Application Express (APEX) 應用程式的 SSL 憑證。
憑證輪換
為了滿足組織的安全性規範需求,您可以使用 Oracle Cloud Infrastructure (OCI) 主控台或 API 輪換 Oracle 管理的自行簽署憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。這稱為憑證旋轉。
對於新佈建的自治式 Exadata VM 叢集 (AVMC) 資源,Oracle 管理的自行簽署憑證自建立起,有效期為 13 個月。使用主控台或 API 輪換 SSL 憑證會輪換伺服器端和用戶端憑證,並將其有效性重設為 13 個月。當 Oracle 管理的伺服器端或從屬端憑證在到期前未輪換時,Oracle 會自動輪換這些憑證並產生新的公事包。
如果是資料庫 SSL 憑證,憑證循環並不會立即讓現有的憑證失效。
在憑證輪換後的兩週內,您可以使用在憑證輪換之前或之後下載的自治式 AI 資料庫從屬端公事包連線至您的資料庫。
憑證輪換後的兩週後:
-
資料庫公事包在憑證輪換前下載已失效,無法用來連線至您的資料庫。
-
資料庫公事包在兩週內下載的憑證輪換仍然有效,可用來連線至您的資料庫。
-
兩週後從憑證輪換下載的所有新資料庫公事包都可用來連線至您的資料庫。
讓我們與範例討論:
假設 SSL 憑證 (例如 C1) 即將到期,而您已於 2 月 1 日輪換此憑證。從 2 月 1 日起的兩週內,到 2 月 14 日為止,舊憑證 (C1) 仍可供使用。您可以繼續使用舊憑證 (C1),或為您的資料庫連線下載循環憑證 (C2) 的新資料庫公事包。從 2 月 1 日起 2 週後,也就是從 2 月 14 日起,舊憑證 (C1) 將變成無效,無法用於資料庫連線。您可以在這兩週內繼續使用您下載的憑證輪換 (C2) 資料庫公事包。您也可以下載新的資料庫公事包,然後在循環兩週後開始在您的資料庫連線使用它。
您也可以從資料庫 SSL 憑證的最近循環在兩週內循環。在此情況下,會立即停用舊憑證 (因首次輪換而導致失效)。下一個憑證 (由第一個輪換所產生) 仍為作用中,而第三個憑證 (由第二個輪換所產生) 將等待從第二個輪換起的兩週啟用。第一次輪換之前下載的所有資料庫公事包在第二次輪換之後很快就會變成無效。您可以繼續使用第一次輪換後下載的任何資料庫公事包連線至資料庫,直到第二次輪換後兩週為止。在完成第二輪換後的兩週後,您只能使用第二次輪換後下載的從屬端公事包連線至您的資料庫,亦即從第二次輪換或之後的兩週內下載的公事包。
在上述範例中,如果您從 2 月 1 日在兩週內再次輪換相同的憑證 (C1),則憑證會進行雙倍輪換。在此情況下,舊憑證 (第一次旋轉前的憑證,即 C1) 會立即失效。第一次輪換 (C2) 所產生的憑證仍然有效,而第二次輪換所產生的第三個憑證 (如 C3) 將等待第二次輪換後的兩週啟用。在第二次循環之後的兩週,第一個循環 (C2) 所產生的憑證也會變成無效,且在第二次循環之前下載的任何資料庫公事包都無法用於資料庫連線。您可以在這兩週內繼續使用您下載的憑證輪換 (C3) 資料庫公事包。您也可以下載新的資料庫公事包,然後在第二次輪換後的兩週後開始在您的資料庫連線使用它。
如果是 ORDS SSL 憑證,所有現有的應用程式連線都會隨著憑證循環而遺失,建議您重新啟動 ORDS。當您輪換 ORDS SSL 憑證時,不適用上述兩週的緩衝區期間。
自備認證 (BYOC)
自備憑證 (BYOC) 可讓您將 CA 簽署的伺服器端憑證與自治式 AI 資料庫搭配使用。
憑證產生
若要使用自己的憑證,您必須先使用 Oracle Cloud Infrastructure (OCI) 憑證服務建立憑證,如建立憑證中所示。這些憑證必須已簽署,且必須採用 PEM 格式,亦即,其副檔名必須僅為 .pem、.cer 或 .crt。
憑證 安裝
建立 CA 簽署的伺服器端憑證之後,您必須將它與 AVMC 一起安裝,以便在其中建立的所有資料庫都可以使用此憑證進行安全連線。您可以從 OCI 主控台的管理憑證對話方塊,將 BYOC 憑證與 AVMC 建立關聯。在此對話方塊中,選擇自備憑證,然後從選取清單中選取您先前建立的憑證。您也可以選擇指定具備憑證授權機構和 CA 組合的 CA 憑證。不過,如果您要為 ORDS SSL 憑證選取 CA 組合,則組合只能包含屬於憑證鏈的憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。
憑證管理
您可以連線到與 CA 簽署伺服器端關聯的自治式 AI 資料庫,無論是否有自治式 AI 資料庫從屬端公事包。
-
若要使用資料庫公事包連線至您的資料庫,您必須先使用 OCI 主控台,從資料庫詳細資訊頁面下載從屬端證明資料。如需指示,請參考下載用戶端憑證。
-
若要在沒有從屬端公事包的情況下連線資料庫,您必須確定:
-
在 AVMC 層次啟用單向 TLS 連線。這是使用進階選項中的監聽器參數在佈建 AVMC 時所定義的設定值。如需相關指引,請參閱建立自治式 Exadata VM 叢集。
-
CA 簽署的伺服器端憑證是由已知的公用 CA 簽署,因此依預設,用戶端作業系統會信任此憑證。
-
憑證輪換
為了滿足組織的安全性規範需求,您可以使用 Oracle Cloud Infrastructure (OCI) 主控台或 API 循環 CA 簽署的伺服器端憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。
您必須在到期日之前輪換它們,除非您提供有效的憑證,否則無法在 TLS 連接埠上連線此 AVMC 上的資料庫。不過,您可以繼續存取非 TLS 連接埠的資料庫,例如 1521。
憑證事件
下列事件是針對安全憑證管理所發佈:
| 事件 | 產生時間 |
|---|---|
| 繁體中文 (香港) | 自治式 Exadata VM 叢集決定公事包將於 6 (6) 週內到期。此活動每週最多報告一次。當有連線使用即將到期的公事包時,便會觸發此事件。 |
| sslcertificate. 過期 | SSL 憑證到期。與此自治式 Exadata VM 叢集相關的所有自治式 AI 資料庫公事包都將到期。 |
| sslcertificaterotation 終止 | SSL 憑證超過 365 天,並建議客戶輪換憑證。SSL 憑證在 365 天後,此提醒會每週一次,直到輪換為止。 |
| 已旋轉 SSL 憑證 | SSL 憑證會以手動方式 (使用 Oracle Cloud Infrastructure 主控台或 API) 循環,或在到期時自動循環。 |
提示:使用 OCI 通知服務訂閱這些事件,以在發布時接收這些事件。請參考建立訂閱以取得進一步明細。
如需完整的自治式 AI 資料庫事件清單,請參閱專用 Exadata 基礎架構上的自治式 AI 資料庫事件。
資料防護
資料保護是任何資料庫中資料安全的重要層面。授權的資料庫帳戶是存取資料庫中機密應用程式資料最常用的路徑之一。雖然 ADMIN 或 Oracle 營運商等授權使用者需要廣泛且不受限制的存取來協助進行資料庫維護,但相同的存取也會建立攻擊點,以存取大量資料。
自治式 AI 資料庫可讓您運用下列功能導入授權的存取管理 (PAM) :
-
Oracle Database Vault 已預先設定並可在自治式 AI 資料庫中使用。您可以使用其強大的安全控制,依授權的資料庫使用者限制對應用程式資料的存取,降低內部和外部威脅的風險,並滿足常見的規範需求。
您可以部署控制項來封鎖對應用程式資料的授權帳戶存取,並控制資料庫內的機密作業。您可以設定信任路徑,為授權的資料存取和資料庫變更新增其他安全控制。透過權限與角色的程式實際執行分析,您可以實行最低權限並減少資料庫帳戶的攻擊設定檔,進而提升現有應用程式的安全性。Database Vault 能以透明方式保護現有資料庫環境,消除昂貴且費時的應用程式變更。
Oracle AI Database Vault 主要解決下列資料庫安全問題:
-
應用程式資料的管理授權帳戶存取:雖然資料庫管理員是最強大且信任的使用者,但此管理員不需要存取資料庫內的應用程式資料。
Oracle AI Database Vault 在應用程式架構、敏感表格和預存程序方面的領域提供控制,可防止侵入者和內部人員使用特權帳戶來存取敏感應用程式資料。請參閱 Oracle Database 19c Administrator's Guide 或 Oracle Database 26ai Administrator's Guide 中的 How Oracle AI Database Vault Protects Privileged User Accounts ,瞭解詳細資訊。
-
應用程式資料存取的職責劃分:您可以自訂 Oracle AI Database Vault 職責劃分控制,資源有限的組織可以將多個 Oracle AI Database Vault 職責指定給同一位管理員,但若有任何帳戶遭竊並利用,可為每個職責劃分角色使用個別帳戶,將對資料庫的損害降到最低。請參閱 Oracle Database 19c Administrator's Guide 或 Oracle Database 26ai Administrator's Guide 中的 Oracle AI Database Vault 如何處理資料庫合併問題,瞭解詳細資訊。
在使用 Database Vault 之前,請先參閱 Oracle Database 19c Administrator's Guide 或 Oracle Database 26ai Administrator's Guide 中的 What to Expect After You Enable Oracle AI Database Vault ,瞭解設定和啟用 Database Vault 的影響。
如需有關如何在自治式 AI 資料庫中設定及啟用 Database Vault 的資訊,請參閱使用 Oracle AI Database Vault 來管理資料庫使用者權限。
提示:若要嘗試設定 Database Vault 的程序,請執行 Oracle Autonomous AI Database Dedicated for Security Administrators Workshop 中的 Lab 1:Protect Data With Database Vault 。
-
-
PAM 也用於協助保護資料以供客戶授權使用,並協助保護資料免於未經授權的存取,包括防止 Oracle Cloud Operations 和支援人員存取客戶資料。Oracle Operations Access Control 可確保 Oracle Cloud 作業和支援人員用來監督和分析效能的使用者帳戶無法存取「自治式 AI 資料庫」中的資料。請參閱授權的存取管理瞭解詳細資訊。
機密資料尋找和資料遮罩
識別機密資料 (例如信用卡號碼、SSN) 並視需要加以遮罩或隱匿,可強化資料保護和整體資料安全性。
-
專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 支援與 Oracle Data Safe 服務的整合,可協助您評估及保護資料庫。Oracle Data Safe 可協助您瞭解資料的機密性、評估資料風險、遮罩機密資料、實行和監督安全控制、評估使用者安全、監督使用者活動,以及處理資料庫中的資料安全規範需求。
它在單一且易於使用的管理主控台中提供下列功能集:
-
安全評估可協助您評估資料庫組態的安全。
-
使用者評估可協助您評估資料庫使用者的安全性,以及識別高風險使用者。
-
資料尋找可協助您尋找資料庫中的機密資料。「資料遮罩」可讓您遮罩機密資料,讓資料安全無虞,無法進行非生產。
-
活動稽核可讓您稽核資料庫上的使用者活動,以監督資料庫使用狀況,並發出異常資料庫活動的警示。
如需有關使用「資料安全」的詳細資訊,請參閱 Using Oracle Data Safe 中的 Oracle Data Safe Overview 。
若要使用 Oracle Data Safe 識別並保護自治式 AI 資料庫的機密和受規範資料,您必須向「資料安全」註冊您的資料庫。在「資料安全」註冊資料庫之後,您可以從自治式 AI 資料庫的「詳細資訊」頁面直接前往「資料安全」主控台。如需有關註冊資料庫的詳細資訊,請參閱在資料安全註冊或取消註冊專用自治式 AI 資料庫。
-
-
當應用程式在程式實際執行時發出的查詢傳回含有機密資訊 (例如信用卡號碼或個人 ID) 的結果集時,Oracle Data Redaction 可協助您在將結果集傳回應用程式之前遮罩機密詳細資訊。您可以使用
**DBMS_REDACT**PL/SQL 套裝程式實行資料隱匿原則。請參考 Oracle Database 19c PL/SQL Packages and Types Reference 中的 DBMS_REDACT 或 Oracle Database 26ai PL/SQL Packages and Types Reference 。
法規遵循認證
專用 Exadata 基礎架構上的自治式 AI 資料庫符合一系列國際和產業特定的規範標準,包括:
-
FedRAMP 高 - 聯邦風險與授權管理計畫 (美國) 僅限政府區域)
-
HIPAA - 健康保險可攜性與責任法案
-
ISO/IEC 27001:2013 - 國際標準組織 27001
-
ISO/IEC 27017:2015 - 以雲端服務 ISO/IEC 27002 為基礎的資訊安全控管實務準則
-
ISO/IEC 27018:2014 - 以 PII 處理器身分在公有雲中保護個人識別資訊 (PII) 的實務守則
-
PCI DSS - 支付卡產業資料安全標準是一組要求,旨在確保處理、儲存或傳輸信用卡資訊的所有公司都能維持安全的環境
-
SOC 1 - 系統與組織控制 1
-
SOC 2 - 系統與組織控制 2
如需更多認證和完整的清單,請參閱 Oracle Cloud Compliance 。請參閱合規性文件,以下載證明文件的副本。