Autonomous Database on Dedicated Exadata Infrastructure 中的安全功能
本文將說明 Autonomous Database on Dedicated Exadata Infrastructure 中的主要安全功能。
請注意,在本節中,「您」一詞廣泛用於代表組織中負責執行特定任務的任何管理員。在某些情況下,這是機組管理員,而其他則是資料庫管理員。
除了權限分析、網路加密、集中管理的使用者、安全應用程式角色、通透機密資料保護等 Oracle Database 的標準安全功能之外,專用 Autonomous Database 還新增 Database Vault、資料安全及其他進階安全功能,無須額外付費。
您可以查看以下所述的專用 Autonomous Database 主要安全功能的建置區塊。
秘訣:
在下列影像中,您可以按一下想要進一步探索的功能。圖 - 主要安全功能
相關主題
組態管理
Autonomous Database 建立在 Oracle Cloud Infrastructure 上,因此您和您的團隊不需要將大量時間和金錢用於管理整個自治式資料庫機組的組態。所有服務帳號 (例如 SYS 和系統) 會每隔 90 天輪換一次。請參閱 Configuration Management in Autonomous Database 以進一步探索。
系統會自動完成安全修補程式和更新,因此您不需要擔心安全性的更新。這些功能可保護您的高敏感性資料庫和資料,使其免於昂貴且可能遭受危害的安全漏洞和漏洞。如需詳細資訊,請參閱 Dedicated Autonomous Database 服務維護。
資料加密
Autonomous Database 會將所有資料以加密格式儲存在 Oracle Database 中。只有經過認證的使用者和應用程式才能在連線至資料庫時存取資料。
Autonomous Database 使用隨時開啟的加密功能來保護靜態和傳輸中的資料。儲存在 Oracle Cloud 中和網路通訊的所有資料預設都會加密。無法關閉加密。
如需有關資料加密和主要加密金鑰的詳細資訊,請參閱 Data Encryption in Dedicated Autonomous Database 。
稽核
Oracle Autonomous Database on Dedicated Exadata Infrastructure 提供健全的稽核功能,可讓您追蹤服務和特定資料庫的人員。完整的日誌資料可讓您稽核及監控資源的動作,協助您符合稽核需求,同時降低安全性與作業風險。
如需詳細資訊,請參閱 Auditing Capabilities in Dedicated Autonomous Database 。
存取控制
設定專用 Exadata 基礎架構功能時,您必須確保您的雲端使用者能夠存取使用權限,並只建立適當種類的雲端資源來執行他們的工作職責。此外,您必須確保只有獲得授權的人員與應用程式才能存取在專用基礎架構上建立的自治式資料庫。否則,您可能會面臨專屬基礎架構資源「失控」耗用風險,或無法存取關鍵任務資料。
保護資料的存取,以及包含資料的資料庫,包括數種不同類型的存取控制。如需詳細資訊,請參閱 Dedicated Autonomous Database 中的存取控制。
憑證管理
當從屬端嘗試透過 TCPS (安全 TCP) 資料庫連線服務連線至 Autonomous Database 時,Oracle Autonomous Database on Dedicated Exadata Infrastructure 會使用標準 TLS 1.2 和 TLS 1.3 憑證型認證來認證連線。不過,只有 Oracle Database 23ai 或更新版本支援 TLS 1.3。無論從屬端是嘗試透過 TCPS 或 TCP 資料庫連線服務連線,從屬端對資料庫的存取都會受到從屬端用來連線之資料庫使用者的存取權限限制。
Oracle 管理的自行簽署憑證
Autonomous Database 預設會使用自行簽署憑證。自行簽署的憑證是系統所產生的安全憑證。
佈建自治式 Exadata VM 叢集 (AVMC) 時,會自動產生 Oracle 管理的自行簽署憑證,並套用至在該 AVMC 中建立的所有資料庫。
自我簽署憑證會自動產生並與 AVMC 關聯。不過,您必須先下載 Autonomous Database 用戶端公事包,才能連線至資料庫。使用自行簽署憑證時,無法連線沒有公事包的資料庫。如需下載資料庫公事包的指示,請參考下載從屬端證明資料。
- 資料庫 SSL 憑證:資料庫從屬端連線的 SSL 憑證。
- ORDS SSL 憑證: Application Express (APEX) 應用程式的 SSL 憑證。
為了符合組織的安全性規範需求,您可以使用 Oracle Cloud Infrastructure (OCI) 主控台或 API 輪換 Oracle 管理的自行簽署憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。這稱為憑證循環。
對於新佈建的自治式 Exadata VM 叢集 (AVMC) 資源,Oracle 管理的自行簽署憑證在建立後會有 13 個月的有效性。使用主控台或 API 輪換 SSL 憑證會同時輪換伺服器端和用戶端憑證,並將其有效性重設為 13 個月。當 Oracle 管理的伺服器端或從屬端憑證未在到期前輪換時,Oracle 會自動輪換它們並產生新的公事包。
如果是資料庫 SSL 憑證,憑證輪換不會立即讓現有的憑證失效。
從憑證輪換開始算起的兩週內,您可以使用在憑證輪換之前或之後下載的 Autonomous Database 從屬端公事包連線至資料庫。
憑證輪換後的兩週後:
- 在憑證輪換前下載資料庫公事包已失效,因此無法用來連線至您的資料庫。
- 從憑證輪換在兩週內下載的資料庫公事包仍為作用中狀態,可用於連線至您的資料庫。
- 可以使用從憑證輪換兩週後下載的任何新資料庫公事包連線至您的資料庫。
讓我們以範例討論:
假設 SSL 憑證 (例如 C1) 即將到期,而您已在 2 月 1 日輪換此憑證。從 2 月 1 日起至 2 月 14 日止的兩週內,舊憑證 (C1) 仍可供使用。您可以繼續使用舊憑證 (C1) 或下載資料庫連線之循環憑證 (C2) 的新資料庫公事包。從 2 月 1 日起的 2 週後,也就是從 2 月 14 日起,舊的憑證 (C1) 會變成無效,且無法用於資料庫連線。您可以在這兩週內繼續使用下載的憑證循環後 (C2) 的資料庫公事包。您也可以下載新的資料庫公事包,然後在輪換兩週後開始將它用於您的資料庫連線。
您也可以兩週內從最近的輪換輪換資料庫 SSL 憑證。在此案例中,會立即停用舊憑證 (因為第一次輪換而導致無效)。下一個憑證 (由第一個輪換產生) 仍為作用中狀態,第三個憑證 (由第二個輪換產生) 將等待啟用從第二個輪換算起的 2 週。第一次循環之前下載的任何資料庫公事包在第二次循環之後很快就會變成無效。您可以使用第一次循環之後下載的任何資料庫公事包繼續連線至資料庫,直到第二次循環之後的兩週為止。從第二次輪換完成兩週後,您只能使用在第二次輪換之後下載的從屬端公事包 (亦即從第二次輪換或之後的兩週內下載的公事包) 連線至您的資料庫。
在上述範例中,如果您從 2 月 1 日兩週內再次輪換相同的憑證 (C1),則憑證會進行雙重輪換。在此情況下,舊的憑證 (第一次輪換前的憑證,亦即 C1) 會立即失效。第一次輪換 (C2) 所產生的憑證仍為作用中,而第二次輪換所產生的第三個憑證 (例如 C3) 將等待啟用第二次輪換後的兩週。從第二次輪換起的兩週後,第一個輪換 (C2) 所產生的憑證也會變成無效,且在第二次輪換之前下載的任何資料庫公事包都無法用於資料庫連線。您可以在這兩週內繼續使用下載的憑證循環後 (C3) 的資料庫公事包。您也可以下載新的資料庫公事包,然後在第二次輪換後的兩週後開始將它用於您的資料庫連線。
如果是 ORDS SSL 憑證,所有現有的應用程式連線都會因憑證輪換而遺失,建議您重新啟動 ORDS。當您旋轉 ORDS SSL 憑證時,不適用上述兩週的緩衝區期間。
自備憑證 (BYOC)
自備憑證 (BYOC) 可讓您將 CA 簽署的伺服器端憑證與 Autonomous Database 搭配使用。
若要自備憑證,您必須先使用建立憑證中所示的 Oracle Cloud Infrastructure (OCI) 憑證服務來建立憑證。這些憑證必須是 PEM 格式的簽署憑證,亦即其副檔名必須是 .pem、.cer 或 .crt。
建立 CA 簽署的伺服器端憑證之後,您必須將其與 AVMC 安裝,以便在其中建立的所有資料庫都能使用此憑證進行安全連線。您可以從 OCI 主控台的管理憑證對話方塊,建立 BYOC 憑證與 AVMC 的關聯。在此對話方塊中,選擇自備憑證,然後從選取清單中選取您先前建立的憑證。您也可以選擇指定具有憑證授權機構和 CA 組合的 CA 憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。
- 若要使用資料庫公事包連線至您的資料庫,您必須先使用 OCI 主控台,從資料庫詳細資訊頁面下載從屬端證明資料。如需相關指示,請參考下載用戶端憑證。
- 若要在沒有從屬端公事包的情況下連線資料庫,您必須確定:
- 在 AVMC 層級啟用單向 TLS 連線。這是是在佈建 AVMC 時,使用進階選項中的監聽器參數所定義的設定。請參考建立自治式 Exadata VM 叢集以取得相關指引。
- CA 簽署的伺服器端憑證是由已知的公用 CA 簽署,如此一來,用戶端作業系統預設便可信任它。
為了符合組織的安全性規範需求,您可以使用 Oracle Cloud Infrastructure (OCI) 主控台或 API 輪換 CA 簽署的伺服器端憑證。如需逐步指示,請參閱管理自治式 Exadata VM 叢集資源的安全憑證。
您必須在到期日之前輪換這些資料庫,若未提供有效的憑證,則此 AVMC 上的資料庫將無法連線到 TLS 連接埠。不過,您可以繼續存取非 TLS 連接埠上的資料庫,例如 1521。
憑證事件
| 事件 | 產生時間 |
|---|---|
| sslcertificateexpiry.reminder | 自治式 Exadata VM 叢集決定公事包將在六 (6) 週內到期。此事件每週最多報告一次。當連線使用即將到期的公事包時,便會觸發此事件。 |
| sslcertificate.expired | SSL 憑證已過期。與此自治式 Exadata VM 叢集相關的所有 Autonomous Database 公事包都將會到期。 |
| sslcertificaterotation.reminder | SSL 憑證超過 365 天,建議客戶輪換憑證。SSL 憑證經過 365 天後,此提醒為每週一次,直到循環為止。 |
| sslcertificate.rotated | SSL 憑證會以手動方式 (使用 Oracle Cloud Infrastructure 主控台或 API) 輪換,或在到期時自動輪換。 |
秘訣:
使用 OCI 通知服務訂閱這些事件,即可在發布時接收這些事件。如需進一步的詳細資訊,請參考建立訂閱。如需完整的 Autonomous Database 事件清單,請參閱 Events for Autonomous Database on Dedicated Exadata Infrastructure 。
資料保護
資料保護是任何資料庫中資料安全的重要層面。授權的資料庫帳戶是最常用的路徑之一,可存取資料庫中的機密應用程式資料。儘管具有權限的使用者 (例如 ADMIN 或 Oracle 操作員) 需要廣泛且無限制的存取才能協助資料庫維護,但相同的存取也會建立攻擊點以存取大量資料。
-
Oracle Database Vault 已預先設定,且可在 Autonomous Database 中使用。您可以使用其強大的安全控制功能,透過授權的資料庫使用者來限制對應用程式資料的存取,降低內部和外部威脅的風險,以及解決常見的合規性需求。
您可以部署控制項來封鎖對應用程式資料的授權帳戶存取,以及控制資料庫內部的機密作業。您可以設定信任的路徑,為授權的資料存取和資料庫變更新增額外的安全控制。透過權限與角色的程式實際執行分析,您可以實行最低權限並減少資料庫帳戶的攻擊設定檔,提升現有應用程式的安全。Database Vault 能以透明方式保護現有資料庫環境,避免昂貴且耗時的應用程式變更。
Oracle Database Vault 主要解決下列資料庫安全考量:-
管理應用程式資料的授權帳戶存取權:雖然資料庫管理員是最強大且值得信任的使用者,但此管理員並不需要存取資料庫中的應用程式資料。
Oracle Database Vault 範圍涵蓋應用程式綱要、機密表格和預存程序,可提供控制來防止侵入者和內部人員利用授權的帳戶存取機密應用程式資料。如需詳細資訊,請參閱 Oracle Database 19c Administrator's Guide 中的 How Oracle Database Vault Protects Privileged User Accounts 或 Oracle Database 23ai Administrator's Guide 。
-
應用程式資料存取的職責劃分:您可以自訂 Oracle Database Vault 職責劃分控制,資源有限的組織可以將多個 Oracle Database Vault 職責指定給相同的管理員,但請為每個職責劃分角色使用個別帳戶,在遭竊和利用任何一個帳戶時,將資料庫的損害降到最低。如需詳細資訊,請參閱 Oracle Database 19c Administrator's Guide 中的 How Oracle Database Vault Addresses Database Consolidation Concerns 或 Oracle Database 23ai Administrator's Guide 。
使用 Database Vault 之前,請先參閱 Oracle Database 19c Administrator's Guide 中的 What to Expect After You Enable Oracle Database Vault 或 Oracle Database 23ai Administrator's Guide ,瞭解設定和啟用 Database Vault 的影響。
如需有關如何在自治式資料庫中設定及啟用 Database Vault 的資訊,請參閱使用 Oracle Database Vault 管理資料庫使用者權限。秘訣:
若要試用設定 Database Vault 的程序,請執行 Oracle Autonomous Database Dedicated for Security Administrators Workshop 中的 Lab 1:Protect Data With Database Vault 。 -
- PAM 也可用來協助保護資料以供客戶授權使用,並協助保護資料免於未經授權的存取,包括防止 Oracle Cloud Operations 與支援職員存取客戶資料。Oracle 操作存取控制可確保 Oracle Cloud 操作和支援人員用於監控和分析效能的使用者帳戶無法存取 Autonomous Database 中的資料。請參閱授權的存取管理瞭解詳細資訊。
機密資料尋找和資料遮罩
-
Oracle Autonomous Database on Dedicated Exadata Infrastructure 支援與 Oracle Data Safe 服務整合,可協助您評估和保護資料庫。Oracle Data Safe 可協助您瞭解資料的敏感度、評估資料風險、遮罩機密資料、實作及監控安全控制、評估使用者安全、監控使用者活動,以及處理資料庫中的資料安全規範需求。
它在單一、容易使用的管理主控台中提供下列功能集:-
安全評估可協助您評估資料庫組態的安全性。
-
使用者評估可協助您評估資料庫使用者的安全性,並識別高風險使用者。
-
資料尋找可協助您尋找資料庫中的機密資料。「資料遮罩」可讓您遮罩機密資料,讓資料在非生產目的上安全無虞。
-
活動稽核可讓您稽核資料庫上的使用者活動,以監督資料庫使用狀況並發出異常資料庫活動的警示。
若要使用 Oracle Data Safe 識別並保護 Autonomous Database 的機密和受規範資料,您必須向「資料安全」註冊您的資料庫。在「資料安全」註冊資料庫之後,您可以從 Autonomous Database 的「詳細資訊」頁面直接前往「資料安全」主控台。如需有關註冊資料庫的詳細資訊,請參閱在資料安全註冊或取消註冊專用資料庫。
-
-
當應用程式在程式實際執行時發出的查詢傳回含有機密資訊 (例如信用卡號碼或個人 ID) 的結果集時,Oracle Data Redaction 可協助您遮罩機密詳細資訊,再將結果集傳回應用程式。您可以使用
DBMS_REDACTPL/SQL 套裝程式實行資料隱匿原則。請參閱 Oracle Database 19c PL/SQL Packages and Types Reference 中的 DBMS_REDACT 或 Oracle Database 23ai PL/SQL Packages and Types Reference 。
法規遵循認證
Autonomous Database on Dedicated Exadata Infrastructure 符合一系列國際和產業特定的規範標準,包括:
- FedRAMP 高階聯邦風險與授權管理計畫 (美國) 僅政府區域)
- HIPAA — 健康保險隱私與責任法案
- ISO/IEC 27001:2013 —國際標準組織 27001
- ISO/IEC 27017:2015 —基於 ISO/IEC 27002 雲端服務的資訊安全控制實務守則
- ISO/IEC 27018:2014 —作為 PII 處理器的公有雲中保護個人識別資訊 (PII) 的實務守則
- PCI DSS —「支付卡產業資料安全標準」是一組需求,旨在確保處理、儲存或傳輸信用卡資訊的所有公司都能維持安全的環境
- SOC 1 —系統與組織控制 1
- SOC 2 — 系統與組織控管 2
如需更多資訊和完整的認證清單,請參閱 Oracle Cloud Compliance 。