保護 OCI GoldenGate

Oracle Cloud Infrastructure GoldenGate 會根據業界頂尖的安全性最佳實務，提供安全且易於使用的資料複製解決方案。

職務

若要安全地使用 OCI GoldenGate，請瞭解您的安全性和規範責任。

一般而言，Oracle 提供雲端基礎架構和作業的安全性，例如雲端操作員存取控制和基礎架構安全修補。您必須負責安全地設定雲端資源。雲端安全性是您與 Oracle 之間的共同責任。

Oracle 的職責

Oracle 對下列安全需求負責：

• 實體安全性：Oracle 負責保護執行 Oracle Cloud Infrastructure 提供之所有服務的全球基礎架構。此基礎架構是由執行 Oracle Cloud Infrastructure 服務的硬體、軟體、網路及設施所組成。

• 加密和機密性：加密金鑰和加密密碼儲存在公事包和保存庫中，以保護您的資料並連線至安全資源。

• 網路流量：只有在連接埠 443 上透過 SSL 啟用對 OCI GoldenGate 部署主控台的加密存取。依照預設，只能從客戶專用網路的 OCI 專用端點存取 OCI GoldenGate 部署主控台。您可以設定公用端點，允許透過連接埠 443 上的 SSL 加密對 GoldenGate 部署主控台的公用存取。

您的職責

您的安全責任包括下列事項：

• 存取控制：儘可能限制權限。使用者只能被授予執行工作所需的存取權。

• OCI GoldenGate 部署主控台帳戶管理：直接在 Oracle Cloud 主控台內管理對 OCI GoldenGate 部署主控台的存取。帳戶和權限會直接在 OCI GoldenGate 部署主控台中管理。深入瞭解部署使用者。

• 網路流量：連線會指定來源和目標的網路連線。建立連線時，您可以設定 SSL 參數以確保連線安全且加密。深入瞭解連線。

• 網路加密：依照預設，所有與 OCI GoldenGate 的網路連線都會透過 SSL 與 Oracle 提供的憑證進行加密。請確定您提供的所有憑證或加密金鑰都是最新且有效的。

• 安全事件稽核：OCI GoldenGate 部署主控台會記錄安全事件。您可以從 OCI GoldenGate 部署備份存取並複查此日誌。請確定定期監督此日誌。深入瞭解部署備份。

• 修正：確定 OCI GoldenGate 部署是最新的。更新每月發行，您必須儘快升級至最新的部署修補程式層級，以防範漏洞。進一步瞭解修正部署。

• 透過負載平衡器或堡壘主機稽核遠端存取：確定已適當地啟用並設定非直接至 OCI GoldenGate 之任何遠端存取的稽核。深入瞭解。

建議

• 使用安全以外的角色建立其他 OCI GoldenGate 部署主控台使用者。

• 將 IAM 使用者和群組的最低必要權限存取權指派給 goldengate-family 中的資源類型。

• 為了將未授權使用者刪除或惡意刪除的資料遺失減至最低，Oracle 建議將 GOLDENGATE_DEPLOYMENT_DELETE 和 GOLDENGATE_CONNECTION_DELETE 權限授予最少可能的一組 IAM 使用者和群組。只將這些權限授予租用戶和區間管理員。

• OCI GoldenGate 只需要 USE 層級存取，才能從連線擷取資料。

範例

防止刪除部署

建立此原則以允許 ggs-users 群組在部署上執行所有動作，但將它們刪除除外：

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

如需有關建立原則的詳細資訊，請參閱 Oracle Cloud Infrastructure GoldenGate 原則。