專用 Exadata 基礎架構上的自治式 AI 資料庫安全性功能
本文描述 Autonomous AI Database on Dedicated Exadata Infrastructure 的主要安全性功能。
請注意,在本節中,「您」一詞廣泛用於代表組織中負責執行特定任務的任何管理員。在某些情況下,這是機組管理員,而其他則是資料庫管理員。
除了 Oracle AI Database 的標準安全功能 (例如權限分析、網路加密、集中管理的使用者、安全應用程式角色、透明機密資料保護等) 之外,專用的 Autonomous AI Database 還新增 Database Vault、Data Safe 及其他進階安全功能,無需額外付費。
您可以看到以下說明的專用 Autonomous AI Database 的主要安全功能建置區塊。
秘訣:
在下列影像中,您可以按一下想要進一步探索的功能。圖 - 主要安全功能
相關主題
組態管理
Autonomous AI Database 建立在 Oracle Cloud Infrastructure 上,提供標準的強化安全性組態,因此您和您的團隊不需要花費大量時間和金錢來管理整個 Autonomous AI Database 機組的組態。SYS 和系統等所有服務帳戶每隔 90 天會輪換一次。請參閱 Autonomous AI Database 中的組態管理,以進一步探索。
安全性修補程式和更新會自動完成,因此您不需要擔心是否會保持安全更新。這些功能可保護您的高敏感度資料庫和資料,使其免於昂貴且潛在的安全漏洞和資料外洩。如需詳細資訊,請參閱專用 Autonomous AI Database 的服務維護。
資料加密
Autonomous AI Database 將所有資料以加密格式儲存在 Oracle Database 中。只有經過認證的使用者和應用程式才能在連線至資料庫時存取資料。
Autonomous AI Database 使用一律開啟的加密功能,可保護靜態和傳輸中的資料。所有儲存在 Oracle Cloud 中的資料和與網路通訊預設都會加密。無法關閉加密功能。
如需有關資料加密和主要加密金鑰的詳細資訊,請參閱專用 Autonomous AI Database 中的資料加密。
稽核
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure 提供強大的稽核功能,可讓您追蹤誰在服務上執行哪些工作,以及在特定資料庫上執行哪些工作。全方位的日誌資料可讓您稽核及監控資源上的動作,這可協助您滿足稽核需求,同時降低安全性和操作風險。
如需詳細資訊,請參閱專用 Autonomous AI Database 中的稽核功能。
存取控制
設定專用 Exadata 基礎架構功能時,您必須確保雲端使用者能夠使用並只建立適當種類的雲端資源來執行工作職責。此外,您必須確保只有獲得授權的人員和應用程式才能存取在專用基礎架構上建立的 Autonomous AI Database 。否則,您將使用專屬基礎架構資源或不適當的存取關鍵任務資料,而面臨「失控」風險。
保護對資料的存取,以及由多種不同類型的存取控制所包含的資料庫。如需詳細資訊,請參閱專用 Autonomous AI Database 內的存取控制。
憑證管理
當從屬端嘗試透過 TCPS (安全 TCP) 資料庫連線服務連線至自治式 AI 資料庫時,專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 會使用標準 TLS 1.2 和 TLS 1.3 憑證型認證來認證連線。不過,只有 Oracle AI Database 23ai 或更新版本支援 TLS 1.3。無論從屬端是嘗試透過 TCPS 或 TCP 資料庫連線服務連線,從屬端對資料庫的存取都會受到從屬端用來連線之資料庫使用者的存取權限限制。
Oracle 管理的自行簽署憑證
Autonomous AI Database 預設會使用自行簽署憑證。自我簽署的憑證是系統產生的安全憑證。
佈建自治式 Exadata VM 叢集 (AVMC) 時,會自動產生 Oracle 管理的自行簽署憑證,並套用至在該 AVMC 中建立的所有資料庫。
自我簽署憑證會自動產生並與 AVMC 關聯。不過,您必須先下載 Autonomous AI Database 用戶端公事包,才能連線至資料庫。使用自行簽署憑證時,無法選擇在沒有公事包的情況下連線至資料庫。如需有關下載資料庫公事包的指示,請參閱下載從屬端證明資料。
- 資料庫 SSL 憑證:資料庫從屬端連線的 SSL 憑證。
- ORDS SSL 憑證: Application Express (APEX) 應用程式的 SSL 憑證。
為了符合組織的安全性規範需求,您可以使用 Oracle Cloud Infrastructure (OCI) 主控台或 API 輪換 Oracle 管理的自行簽署憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。這稱為憑證循環。
對於新佈建的自治式 Exadata VM 叢集 (AVMC) 資源,Oracle 管理的自行簽署憑證在建立後會有 13 個月的有效性。使用主控台或 API 輪換 SSL 憑證會同時輪換伺服器端和用戶端憑證,並將其有效性重設為 13 個月。當 Oracle 管理的伺服器端或從屬端憑證未在到期前輪換時,Oracle 會自動輪換它們並產生新的公事包。
如果是資料庫 SSL 憑證,憑證輪換不會立即讓現有的憑證失效。
在憑證輪換後的兩週內,您可以使用在憑證輪換之前或之後下載的 Autonomous AI Database 用戶端公事包連線至資料庫。
憑證輪換後的兩週後:
- 在憑證輪換前下載資料庫公事包已失效,因此無法用來連線至您的資料庫。
- 從憑證輪換在兩週內下載的資料庫公事包仍為作用中狀態,可用於連線至您的資料庫。
- 可以使用從憑證輪換兩週後下載的任何新資料庫公事包連線至您的資料庫。
讓我們以範例討論:
假設 SSL 憑證 (例如 C1) 即將到期,而您已在 2 月 1 日輪換此憑證。從 2 月 1 日起至 2 月 14 日止的兩週內,舊憑證 (C1) 仍可供使用。您可以繼續使用舊憑證 (C1) 或下載資料庫連線之循環憑證 (C2) 的新資料庫公事包。從 2 月 1 日起的 2 週後,也就是從 2 月 14 日起,舊的憑證 (C1) 會變成無效,且無法用於資料庫連線。您可以在這兩週內繼續使用下載的憑證循環後 (C2) 的資料庫公事包。您也可以下載新的資料庫公事包,然後在輪換兩週後開始將它用於您的資料庫連線。
您也可以兩週內從最近的輪換輪換資料庫 SSL 憑證。在此案例中,會立即停用舊憑證 (因為第一次輪換而導致無效)。下一個憑證 (由第一個輪換產生) 仍為作用中狀態,第三個憑證 (由第二個輪換產生) 將等待啟用從第二個輪換算起的 2 週。第一次循環之前下載的任何資料庫公事包在第二次循環之後很快就會變成無效。您可以使用第一次循環之後下載的任何資料庫公事包繼續連線至資料庫,直到第二次循環之後的兩週為止。從第二次輪換完成兩週後,您只能使用在第二次輪換之後下載的從屬端公事包 (亦即從第二次輪換或之後的兩週內下載的公事包) 連線至您的資料庫。
在上述範例中,如果您從 2 月 1 日兩週內再次輪換相同的憑證 (C1),則憑證會進行雙重輪換。在此情況下,舊的憑證 (第一次輪換前的憑證,亦即 C1) 會立即失效。第一次輪換 (C2) 所產生的憑證仍為作用中,而第二次輪換所產生的第三個憑證 (例如 C3) 將等待啟用第二次輪換後的兩週。從第二次輪換起的兩週後,第一個輪換 (C2) 所產生的憑證也會變成無效,且在第二次輪換之前下載的任何資料庫公事包都無法用於資料庫連線。您可以在這兩週內繼續使用下載的憑證循環後 (C3) 的資料庫公事包。您也可以下載新的資料庫公事包,然後在第二次輪換後的兩週後開始將它用於您的資料庫連線。
如果是 ORDS SSL 憑證,所有現有的應用程式連線都會因憑證輪換而遺失,建議您重新啟動 ORDS。當您旋轉 ORDS SSL 憑證時,不適用上述兩週的緩衝區期間。
自備憑證 (BYOC)
自備憑證 (BYOC) 可讓您將 CA 簽署的伺服器端憑證搭配 Autonomous AI Database 使用。
若要自備憑證,您必須先使用建立憑證中所示的 Oracle Cloud Infrastructure (OCI) 憑證服務來建立憑證。這些憑證必須是 PEM 格式的簽署憑證,亦即其副檔名必須是 .pem、.cer 或 .crt。
建立 CA 簽署的伺服器端憑證之後,您必須將其與 AVMC 安裝,以便在其中建立的所有資料庫都能使用此憑證進行安全連線。您可以從 OCI 主控台的管理憑證對話方塊,建立 BYOC 憑證與 AVMC 的關聯。在此對話方塊中,選擇自備憑證,然後從選取清單中選取您先前建立的憑證。您也可以選擇指定具有憑證授權機構和 CA 組合的 CA 憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。
- 若要使用資料庫公事包連線至您的資料庫,您必須先使用 OCI 主控台,從資料庫詳細資訊頁面下載從屬端證明資料。如需相關指示,請參考下載用戶端憑證。
- 若要在沒有從屬端公事包的情況下連線資料庫,您必須確定:
- 在 AVMC 層級啟用單向 TLS 連線。這是是在佈建 AVMC 時,使用進階選項中的監聽器參數所定義的設定。請參考建立自治式 Exadata VM 叢集以取得相關指引。
- CA 簽署的伺服器端憑證是由已知的公用 CA 簽署,如此一來,用戶端作業系統預設便可信任它。
為了符合組織的安全性規範需求,您可以使用 Oracle Cloud Infrastructure (OCI) 主控台或 API 輪換 CA 簽署的伺服器端憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。
您必須在到期日之前輪換這些資料庫,若未提供有效的憑證,則此 AVMC 上的資料庫將無法連線到 TLS 連接埠。不過,您可以繼續存取非 TLS 連接埠上的資料庫,例如 1521。
憑證事件
| 事件 | 產生時間 |
|---|---|
| sslcertificateexpiry.reminder | 自治式 Exadata VM 叢集決定公事包將在六 (6) 週內到期。此事件每週最多報告一次。當連線使用即將到期的公事包時,便會觸發此事件。 |
| sslcertificate.expired | SSL 憑證到期。與此自治式 Exadata VM 叢集相關的所有自治式 AI 資料庫公事包都將到期。 |
| sslcertificaterotation.reminder | SSL 憑證超過 365 天,建議客戶輪換憑證。SSL 憑證經過 365 天後,此提醒為每週一次,直到循環為止。 |
| sslcertificate.rotated | SSL 憑證會以手動方式 (使用 Oracle Cloud Infrastructure 主控台或 API) 輪換,或在到期時自動輪換。 |
秘訣:
使用 OCI 通知服務訂閱這些事件,即可在發布時接收這些事件。如需進一步的詳細資訊,請參考建立訂閱。Refer to Events for Autonomous AI Database on Dedicated Exadata Infrastructure for a comprehensive list of Autonomous AI Database events.
資料保護
資料保護是任何資料庫中資料安全的重要層面。授權的資料庫帳戶是最常用的路徑之一,可存取資料庫中的機密應用程式資料。儘管具有權限的使用者 (例如 ADMIN 或 Oracle 操作員) 需要廣泛且無限制的存取才能協助資料庫維護,但相同的存取也會建立攻擊點以存取大量資料。
-
Oracle Database Vault 已預先設定並可在 Autonomous AI Database 中使用。您可以使用其強大的安全控制,依授權的資料庫使用者限制對應用程式資料的存取,降低內部和外部威脅的風險,並滿足常見的規範需求。
您可以部署控制項來封鎖對應用程式資料的授權帳戶存取,以及控制資料庫內部的機密作業。您可以設定信任的路徑,為授權的資料存取和資料庫變更新增額外的安全控制。透過權限與角色的程式實際執行分析,您可以實行最低權限並減少資料庫帳戶的攻擊設定檔,提升現有應用程式的安全。Database Vault 能以透明方式保護現有資料庫環境,避免昂貴且耗時的應用程式變更。
Oracle AI Database Vault 主要解決下列資料庫安全問題:-
管理應用程式資料的授權帳戶存取權:雖然資料庫管理員是最強大且值得信任的使用者,但此管理員並不需要存取資料庫中的應用程式資料。
Oracle AI Database Vault 在應用程式架構、敏感表格和預存程序方面的領域提供控制,可防止侵入者和內部人員使用特權帳戶來存取敏感應用程式資料。請參閱 Oracle Database 19c Administrator's Guide 或 Oracle Database 26ai Administrator's Guide 中的 Oracle AI Database Vault Protects Privileged User Accounts ,瞭解詳細資訊。
-
應用程式資料存取的職責劃分:您可以自訂 Oracle AI Database Vault 職責劃分控制,資源有限的組織可以將多個 Oracle AI Database Vault 職責指定給同一位管理員,但若有任何帳戶遭竊並利用,可為每個職責劃分角色使用個別帳戶,將對資料庫的損害降到最低。請參閱 Oracle Database 19c Administrator's Guide 或 Oracle Database 26ai Administrator's Guide 中的 How Oracle AI Database Vault Addresses Database Consolidation Concerns 瞭解詳細資訊。
在使用 Database Vault 之前,請先參閱 Oracle Database 19c Administrator's Guide 或 Oracle Database 26ai Administrator's Guide 中的 What to Expect After You Enable Oracle AI Database Vault ,瞭解設定和啟用 Database Vault 的影響。
如需有關如何在 Autonomous AI Database 中設定及啟用 Database Vault 的資訊,請參閱使用 Oracle AI Database Vault 來管理資料庫使用者權限。秘訣:
To try out the process of setting up Database Vault, run Lab 1: Protect Data With Database Vault in Oracle Autonomous AI Database Dedicated for Security Administrators Workshop. -
- PAM 也用於協助保護資料以供客戶授權使用,並協助保護資料免於未經授權的存取,包括防止 Oracle Cloud Operations 和支援人員存取客戶資料。Oracle Operations Access Control 可確保 Oracle Cloud 作業和支援人員用來監督和分析效能的使用者帳戶,無法存取 Autonomous AI Database 中的資料。請參閱授權的存取管理瞭解詳細資訊。
機密資料尋找和資料遮罩
-
專用 Exadata 基礎架構上的 Oracle Autonomous AI Database 支援與 Oracle Data Safe 服務的整合,可協助您評估和保護資料庫。Oracle Data Safe 可協助您瞭解資料的機密性、評估資料風險、遮罩機密資料、實行和監督安全控制、評估使用者安全、監督使用者活動,以及處理資料庫中的資料安全規範需求。
它在單一、容易使用的管理主控台中提供下列功能集:-
安全評估可協助您評估資料庫組態的安全性。
-
使用者評估可協助您評估資料庫使用者的安全性,並識別高風險使用者。
-
資料尋找可協助您尋找資料庫中的機密資料。「資料遮罩」可讓您遮罩機密資料,讓資料在非生產目的上安全無虞。
-
活動稽核可讓您稽核資料庫上的使用者活動,以監督資料庫使用狀況並發出異常資料庫活動的警示。
若要使用 Oracle Data Safe 識別並保護 Autonomous AI Database 的機密和受規範資料,您必須向「資料安全」註冊您的資料庫。在「資料安全」註冊資料庫之後,您可以從 Autonomous AI Database 的「詳細資訊」頁面直接前往「資料安全」主控台。如需有關註冊資料庫的詳細資訊,請參閱向資料安全註冊或取消註冊專用 Autonomous AI Database。
-
-
當應用程式在程式實際執行時發出的查詢傳回含有機密資訊 (例如信用卡號碼或個人 ID) 的結果集時,Oracle Data Redaction 可協助您在將結果集傳回應用程式之前,遮罩機密詳細資訊。您可以使用
DBMS_REDACTPL/SQL 套裝程式實行資料隱匿原則。請參閱 DBMS_REDACT (Oracle Database 19c PL/SQL Packages and Types Reference 或 Oracle Database 26ai PL/SQL Packages and Types Reference)。
法規遵循認證
專用 Exadata 基礎架構上的 Autonomous AI Database 符合一系列國際和產業特定的規範標準,包括:
- FedRAMP 高階聯邦風險與授權管理計畫 (美國) 僅政府區域)
- HIPAA — 健康保險隱私與責任法案
- ISO/IEC 27001:2013 —國際標準組織 27001
- ISO/IEC 27017:2015 —基於 ISO/IEC 27002 雲端服務的資訊安全控制實務守則
- ISO/IEC 27018:2014 —作為 PII 處理器的公有雲中保護個人識別資訊 (PII) 的實務守則
- PCI DSS —「支付卡產業資料安全標準」是一組需求,旨在確保處理、儲存或傳輸信用卡資訊的所有公司都能維持安全的環境
- SOC 1 —系統與組織控制 1
- SOC 2 — 系統與組織控管 2
如需更多資訊和完整的認證清單,請參閱 Oracle Cloud Compliance 。