專用 Exadata 基礎架構上的 Autonomous Database 內的存取控制

Oracle Cloud 使用者存取控制

您可以控制租用戶中 Oracle Cloud 使用者對構成 Autonomous Database on Dedicated Exadata Infrastructure 部署的雲端資源有哪些存取權。

您可以使用 Identity and Access Management (IAM) 服務來確保您的雲端使用者只能建立及使用適當種類的 Autonomous Database 資源來執行工作職責。若要將存取控制納入雲端使用者，您可以定義原則，將特定使用者群組的特定存取權限授予特定區間中的特定資源種類。

IAM 服務提供數種元件，協助您定義和實作安全的雲端使用者存取策略：

區間：相關資源的集合。區間是 Oracle Cloud Infrastructure 的基本元件，可用來組織及隔離您的雲端資源。
群組：一組使用者，所有使用者都需要一組特定資源或區間的相同類型存取權。
動態群組：特殊類型的群組，其中包含符合您定義之規則的資源。因此，建立或刪除相符的資源時，成員可以動態變更。
原則：指定誰可以存取哪些資源以及如何存取的敘述句群組。存取權是在群組和區間層級授予，這表示您撰寫原則陳述式，讓特定群組對特定區間內的特定資源類型存取特定類型。

原則和原則敘述句

您用來定義雲端使用者存取控制的主要工具是原則、IAM (識別與存取管理) 資源，其中包含原則敘述句，可指定「誰」、「如何」、「什麼」以及「何處」等存取。

原則敘述句的格式為：

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

group <group-name> 指定「Who」，方法是提供可指派個別雲端使用者的現有 IAM 群組名稱。
to <control-verb> 使用下列其中一個預先定義的控制動詞來指定「如何」：
- inspect ：可列出指定類型的資源，但無法存取可能屬於該資源的任何機密資訊或使用者指定的描述資料。
- read ：inspect 加上取得使用者指定的描述資料和實際資源本身的功能。
- use ：read 加上使用現有資源的功能，但無法建立或刪除這些資源。此外，「處理」代表不同資源類型的不同作業。
- manage ：資源類型的所有權限，包括建立和刪除。
在專用基礎架構功能的相關資訊環境中，機組管理員可以 manage 自治式容器資料庫，而資料庫管理員則只能 use 建立自治式資料庫。
<resource-type> 使用預先定義的資源類型指定「什麼」。專用基礎架構資源的資源類型值為：
- exadata-infrastructures
- autonomous-container-databases
- autonomous-databases
- autonomous-backups
因為專用基礎架構資源使用網路資源，所以您建立的某些原則敘述句會參照 virtual-network-family 資源類型值。此外，如果您的租用戶使用標記功能，您可以建立參照 tag-namespaces 資源類型值的原則敘述句。
in compartment <compartment-name> 提供現有 IAM 區間的名稱，也就是建立資源的 IAM 資源，以指定「位置」。區間是 Oracle Cloud Infrastructure 的基礎元件，可用於組織和隔離雲端資源。

如需 Autonomous Database 的原則詳細資訊，請參閱 IAM Policies for Autonomous Database on Dedicated Exadata Infrastructure 。

如需有關 IAM 服務及其元件如何運作以及如何使用它們的資訊，請參閱 Oracle Cloud Infrastructure Identity and Access Management 簡介。如需有關 IAM 常見問題的快速解答，請參閱身分識別與存取管理常見問題。

規劃和建立存取控制時的最佳做法

針對專屬基礎架構功能規劃和建立存取控制時，請考量這些最佳做法。

建立僅包含專用子網路的個別 VCN。幾乎每一種情況，都是在專用的基礎架構所建立，且對公司敏感的自主資料庫，通常只能從公司的專用網路存取。即使與合作夥伴、供應商、消費者及客戶共用的資料也可透過受規範的安全管道提供給他們使用。

因此，您提供給這類資料庫的網路存取應該是貴公司的專用存取。您可以建立使用專用子網路和 IPSec VPN 或 FastConnect 連線至您公司的專用網路的 VCN，以確保達到此目的。如需有關設定這類組態的資訊，請參閱 Oracle Cloud Infrastructure 文件中的 Scenario B：Private Subnets with a VPN 。

如需有關保護資料庫網路連線的其他資訊，請參閱 Oracle Cloud Infrastructure 文件中的保護網路的方式。
至少建立兩個子網路。您至少應建立兩個子網路：一個用於自治式 Exadata VM 叢集和自治式容器資料庫資源，另一個用於與 Autonomous Database 用戶端和應用程式關聯的資源。
至少建立兩個區間。您至少應建立兩個區間：一個用於 Exadata 基礎架構、自治式 Exadata VM 叢集及自治式容器資料庫資源，另一個用於 Autonomous Database 資源。
請至少建立兩個群組。您至少應建立兩個群組：一個用於機組管理員，一個用於資料庫管理員。

從屬端存取控制

用戶端存取控制是透過控制網路存取控制和用戶端連線，在 Autonomous Database 中實作。

網路存取控制

當您設定並設定 Oracle Autonomous Database 的專用部署時，可以定義自治式資料庫的網路存取控制。這麼做取決於您的專用部署是在 Oracle Public Cloud 或 Exadata Cloud@Customer 上：

在 Oracle Public Cloud 上，您可以使用網路服務的元件來定義網路存取控制。您所建立的虛擬雲端網路 (VCN) 包含自治式資料庫可供網路存取的專用子網路。此外，您可以建立安全規則，以允許子網路中特定類型的流量輸入或輸出 IP 位址。

如需建立這些資源的詳細資訊，請執行 Oracle Autonomous Database Dedicated for Fleet Administrators 中的 Lab 1：Prepare Private Network for OCI Implementation 。
在 Exadata Cloud@Customer 上，您可以透過在資料中心內指定從屬端網路並將其記錄在 Exadata 基礎架構資源內的 VM 叢集網路資源，來定義網路存取控制。

零信任封包路由 (ZPR)

適用於：僅限 Oracle Public Cloud

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) 透過您為資源 (例如自治式 Exadata VM 叢集 (AVMC) 編寫的意圖式安全原則，保護機密資料免於未經授權的存取。

安全性屬性是 ZPR 用來識別與組織資源的標籤。ZPR 在每次要求存取時都強制實施網路層級的策略，而不管潛在的網路架構變更或配置錯誤。ZPR 建立在現有的網路安全群組 (NSG) 和安全控制清單 (SCL) 規則上。若要讓封包到達目標，必須傳送所有 NSG 和 SCL 規則和 ZPR 原則。如果任何 NSG、SCL 或 ZPR 規則或原則不允許流量，就會捨棄要求。

您可以使用 ZPR 來保護網路，只需三個步驟：

建立 ZPR 使用者自建物件，即安全屬性命名空間和安全屬性。
撰寫 ZPR 原則以使用安全性屬性來連線資源。ZPR 使用 ZPR 政策語言 (ZPL) 並強制限制存取已定義的資源。身為專用 Exadata 基礎架構上的 Autonomous Database 客戶，您可以在您的租用戶中撰寫 ZPL 式原則，以確保只有授權的使用者和資源能夠存取 AVMC 的資料。
指定資源的安全屬性以啟用 ZPR 原則。

附註：

透過 Oracle Cloud Infrastructure 主控台、API 或 CLI 指派描述、標記、安全性屬性或易記名稱給雲端資源時，請避免輸入機密資訊。

如需詳細資訊，請參閱 Zero Trust Packet Routing 入門。

您有下列選項可將 ZPR 安全性屬性套用至 AVMC：

佈建 AVMC 時，請套用安全屬性。請參閱建立自治式 Exadata VM 叢集以瞭解詳細資訊。
將安全屬性套用至現有的 AVMC 資源。如需詳細資訊，請參閱設定 AVMC 的零信任封包路由 (ZPR) 。

先決條件是必須定義下列 IAM 原則，才能順利將 ZPR 安全屬性新增至 AVMC：

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

Access Control Lists (ACLs) - 存取控制清單 (ACL)

為了提高安全性，您可以在 Oracle Public Cloud 和 Exadata Cloud@Customer 專用部署中啟用存取控制清單 (ACL)。ACL 僅允許具有特定 IP 位址的從屬端連線至資料庫，為您的資料庫提供額外的保護。您可以個別新增 IP 位址，也可以在 CIDR 區塊中新增 IP 位址。同時支援 IPv4 和 IPv6 型 IP / CIDR。這可讓您限制 Autonomous Database 對特定應用程式或用戶端的網路存取，以制定精細的存取控制原則。

您可以選擇在資料庫佈建期間或之後隨時建立 ACL。也可以隨時編輯 ACL。若啟用 IP 位址清單空白的 ACL，會導致資料庫無法存取。請參閱 Set Access Control List for a Dedicated Autonomous Database 瞭解詳細資訊。

請注意以下關於使用 ACL 搭配 Autonomous Database ：

Autonomous Database 服務主控台不受 ACL 規則約束。
Oracle Application Express (APEX)、RESTful 服務、SQL Developer Web 和 Performance Hub 不受 ACL 規範。
建立 Autonomous Database 時，如果設定 ACL 失敗，則佈建資料庫也會失敗。
資料庫為「可用」狀態時，才允許更新 ACL。
回復資料庫並不會覆寫現有的 ACL。
複製資料庫 (完整和描述資料) 將會與來源資料庫具有相同的存取控制設定值。您可以視需要進行變更。
備份不受 ACL 規則影響。
進行 ACL 更新時，允許執行所有自治式容器資料庫 (CDB) 作業，但不允許執行 Autonomous Database 作業。

Web 應用程式防火牆 (WAF)

對於「存取控制清單」以外的進階網路控制，Oracle Autonomous Database 支援使用 Web 應用程式防火牆 (WAF)。WAF 可保護應用程式免於惡意和非必要網際網路流量的危害。WAF 可以保護任何連結網際網路的端點，為客戶的所有應用系統強制實施一致的規則。WAF 可讓您建立及管理網際網路威脅的規則，包括「跨網站命令檔 (XSS)」、「SQL 資料隱碼」以及其他 OWASP 定義的漏洞。存取規則可以根據地理位置或要求的簽名來限制。請參閱 Web 應用程式防火牆原則入門，瞭解如何設定 WAF 的步驟。

從屬端連線控制

Oracle Autonomous Database 使用標準 TLS 1.2 和 TLS 1.3 憑證型認證實行從屬端連線控制，以認證從屬端連線。不過，只有 Oracle Database 23ai 或更新版本支援 TLS 1.3。

Autonomous Database 預設會使用自行簽署的憑證。不過，您可以從 Oracle Cloud Infrastructure (OCI) 主控台安裝 CA 簽署的伺服器端憑證。若要自備憑證，您必須先使用 Oracle Cloud Infrastructure (OCI) 憑證服務建立憑證，如建立憑證所示。這些憑證必須是 PEM 格式的簽署憑證，亦即其副檔名必須是 .pem、.cer 或 .crt。如需詳細資訊，請參閱 Certificate Management in Dedicated Autonomous Database 。

資料庫使用者存取控制

Oracle Autonomous Database 會設定您建立的資料庫，以使用 Oracle Database 的標準使用者管理功能。它會建立一個管理使用者帳戶 ADMIN，供您用來建立其他使用者帳戶以及提供帳戶的存取控制。

標準使用者管理提供一組完善的功能和控制項，例如系統和物件權限、角色、使用者設定檔以及密碼制定原則，可讓您在大多數情況下定義和實行安全的資料庫使用者存取策略。如需詳細指示，請參閱建立及管理資料庫使用者。

For basic information about standard user management, see User Accounts in Oracle Database Concepts. For detailed information and guidance, see Managing Security for Oracle Database Users in Oracle Database 19c Security Guide or Oracle Database 23ai Security Guide.

如果您的資料庫使用者存取策略需求的控制項多於標準使用者管理所提供的控制項，您可以將自治式資料庫設定為使用下列任一工具來滿足更嚴格的需求。

工具	描述
Database Vault	Oracle Database Vault 已預先設定，且可在 Autonomous Database 中使用。您可以使用其強大的安全控制功能，透過授權的資料庫使用者來限制對應用程式資料的存取，降低內部和外部威脅的風險，以及解決常見的合規性需求。如需詳細資訊，請參閱 Security Features of Autonomous Database 中的資料保護。
Oracle Cloud Infrastructure Identity and Access Management (IAM)	您可以將 Autonomous Database 設定為使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 認證和授權，讓 IAM 使用者能夠使用 IAM 證明資料存取 Autonomous Database 。請參閱使用 Autonomous Database 進行識別與存取管理 (IAM) 認證，以在您的資料庫使用此選項。
Azure OAuth2 存取權杖	您可以透過 Azure `oAuth2` 存取權杖的協助，集中管理 Microsoft Azure Active Directory (Azure AD) 服務中的 Oracle Autonomous Database 使用者。此類型的整合可讓 Azure AD 使用者存取 Oracle Autonomous Database 執行處理。Azure AD 使用者和應用程式可以使用 Azure AD 單一登入 (SSO) 證明資料登入，以取得要傳送至資料庫的 Azure AD `OAuth2` 存取權杖。如需有關將 Microsoft Azure Active Directory 與資料庫整合的詳細資訊，請參閱 Authenticate and Authorize Microsoft Azure Active Directory Users for Autonomous Database 。
Microsoft Active Directory (CMU-AD)	如果您使用 Microsoft Active Directory 作為使用者儲存區域，則可以將 Autonomous Database 設定為認證並授權 Microsoft Active Directory 使用者。無論您是使用標準使用者管理、Database Vault、Real Application Security 或虛擬專用資料庫，這項整合可讓您合併使用者儲存區域，同時仍實行嚴格的資料庫使用者存取策略。如需有關將 Microsoft Active Directory 與資料庫整合的詳細資訊，請參閱 Microsoft Active Directory with Autonomous Database 。
Kerberos	Kerberos 是受信任的第三方認證系統，依賴共用的密碼。它假設協力廠商是安全的，並且提供單一登入功能、集中式密碼儲存、資料庫連結驗證，以及增強的 PC 安全性。此動作會透過 Kerberos 認證伺服器來進行。 Autonomous Database 對 Kerberos 的支援提供單一登入和集中式認證 Oracle 使用者的優點。如需詳細資訊，請參閱 Authenticate Autonomous Database Users with Kerberos 。
Kerberos 與 CMU-AD	Kerberos 認證可以在 CMU-AD 上設定，為 Microsoft Active Directory 使用者提供 CMU-AD Kerberos 認證。若要為 Microsoft Active Directory 使用者提供 CMU-AD Kerberos 認證，您可以在啟用外部認證的同時，將 `type` 設定為 `CMU`，以在 CMU-AD 上啟用 Kerberos 認證，如啟用 Autonomous Database 上的 Kerberos 認證中所述。
Real Application Security 和虛擬專用資料庫	Oracle Real Application Security (RAS) 提供宣告式模型，可讓安全原則不僅涵蓋受保護的業務物件，還包括具有在這些業務物件上操作權限的主要項目 (使用者和角色)。RAS 比之前的 Oracle Virtual Private Database 更安全、可擴展且符合成本效益。使用 Oracle RAS 時，會在應用程式層以及資料庫中認證應用程式使用者。不論資料存取路徑為何，系統都會根據資料庫中的一般使用者原生階段作業，在資料庫核心中強制實行資料安全原則。指派給使用者的權限，可控制可以在資料庫物件的資料列與資料欄執行的作業類型 (選取、插入、更新以及刪除)。如需有關 Oracle RAS 的詳細資訊，請參閱 Oracle Database 19c Real Application Security Administrator's and Developer's Guide 中的 Introducing Oracle Database Real Application Security 或 Oracle Database 23ai Real Application Security Administrator's and Developer's Guide 。 Oracle Autonomous Database 也支援 Oracle Virtual Private Database (VPD)，這是 Oracle RAS 的前身。如果您已經熟悉並使用 Oracle VPD，可以設定自治式資料庫並將其使用。如需有關「虛擬專用資料庫」的詳細資訊，請參閱 Oracle Database 19c Security Guide 中的 Using Oracle Virtual Private Database to Control Data Access 或 Oracle Database 23ai Security Guide 。

權限存取管理 (PAM)

Oracle Access Control 中記載了 Oracle 對其產品和服務之使用者存取和權限管理的安全性狀態。

Autonomous Database on Dedicated Exadata Infrastructure 旨在隔離並保護客戶服務和資料庫資料，避免未經授權的存取。Autonomous Database 可分隔客戶與 Oracle 之間的職責。客戶控制對資料庫綱要的存取。Oracle 控制對 Oracle 管理的基礎架構和軟體元件的存取。

Autonomous Database on Dedicated Exadata Infrastructure 旨在協助保護資料以供客戶授權使用，並協助保護資料免於未經授權的存取，其中包括防止 Oracle Cloud Ops 員工存取客戶資料。為防止未經授權存取 Exadata 基礎架構、自主 VM 及 Oracle 資料庫資料所設計的安全措施如下：

Oracle Database 資料受到 Oracle 透明資料加密 (TDE) 金鑰保護。
客戶控制對 TDE 加密金鑰的存取，並可以選擇將這類金鑰儲存在外部 Oracle Key Vault 金鑰管理系統中。
Oracle Database Vault 已預先設定，以防止有權限的使用者存取 Autonomous Database 中的客戶資料。
客戶可以選擇透過「操作員存取控制」服務註冊來核准操作員存取。
所有操作員存取均基於 FIPS 140-2 等級 3 硬體多重因素認證 (使用 Oracle 核准的裝置實作的硬體 YubiKey 實作)。
所有操作員動作都會記錄在命令層次，而且可以近乎即時地傳送至 OCI 日誌記錄服務或客戶 SIEM。
Oracle Operations Access Control 可確保 Oracle Cloud 作業與支援人員用來監視與分析效能的使用者帳戶，無法存取 Autonomous Database 中的資料。Oracle Cloud 營運和支援人員無法存取您 Autonomous Database 中的資料。當您建立自治式容器資料庫時，專用 Exadata 基礎架構上的 Autonomous Database 會啟用並設定 Oracle Database Vault 的作業控制功能，以封鎖一般使用者存取在容器資料庫中建立之 Autonomous Database 中的資料。
您可以在 Autonomous Database 中輸入此 SQL 敘述句，以確認「作業控制」為作用中：
```
SELECT * FROM DBA_DV_STATUS;
```
APPLICATION CONTROL 的狀態表示「作業控制」為作用中。

附註：
「作業控制」先前稱為「應用程式控制」。

PAM 也使用 Database Vault 來實行資料保護，如 Security Features of Autonomous Database 中所述。