保護 OCI GoldenGate
職務
若要安全地使用 OCI GoldenGate ,請瞭解您的安全性與規範職責。
一般而言,Oracle 提供雲端基礎架構和作業的安全性,例如雲端操作員存取控制和基礎架構安全修補。您必須負責安全地設定雲端資源。雲端安全性是您與 Oracle 之間的共同責任。
Oracle 對下列安全需求負責:
- 實體安全性:Oracle 負責保護執行 Oracle Cloud Infrastructure 提供之所有服務的全球基礎架構。此基礎架構是由執行 Oracle Cloud Infrastructure 服務的硬體、軟體、網路及設施所組成。
- 加密和機密性:加密金鑰和加密密碼儲存在公事包和保存庫中,以保護您的資料並連線至安全資源。
- 網路流量:對 OCI GoldenGate 部署主控台的加密存取僅透過連接埠 443 上的 SSL 啟用。依照預設,只能從客戶專用網路的 OCI 專用端點存取 OCI GoldenGate 部署主控台。您可以設定公用端點,允許在連接埠 443 上透過 SSL 對 GoldenGate Deployment Console 進行加密的公用存取。
您的安全責任包括下列事項:
- 存取控制:儘可能限制權限。使用者只能被授予執行工作所需的存取權。
- OCI GoldenGate 部署主控台帳戶管理:直接在 Oracle Cloud 主控台內管理對 OCI GoldenGate 部署主控台的存取。帳戶和權限會直接在 OCI GoldenGate 部署主控台中管理。深入瞭解部署使用者。
- 網路流量:連線會指定來源和目標的網路連線。建立連線時,您可以設定 SSL 參數以確保連線安全且加密。進一步瞭解連線。
- 網路加密:預設情況下,所有與 OCI GoldenGate 的網路連線都會透過 SSL 與 Oracle 提供的憑證加密。請確定您提供的所有憑證或加密金鑰都是最新且有效的。
- 安全事件稽核: OCI GoldenGate 部署主控台會記錄安全事件。您可以從 OCI GoldenGate 部署備份存取和複查此日誌。請確定定期監督此日誌。進一步瞭解部署備份。
- 修補:確定 OCI GoldenGate 部署是最新的。更新每月發行,您必須儘快升級至最新的部署修補程式層級,以防範漏洞。進一步瞭解修正部署。
- 透過負載平衡器或堡壘主機進行遠端存取稽核:確定已適當地啟用並設定未直接對 OCI GoldenGate 進行任何遠端存取的稽核。深入瞭解。
建議
- 建立角色不是「安全」的其他 OCI GoldenGate 部署主控台使用者。
- 將 IAM 使用者和群組的最低必要權限存取權指派給
goldengate-family中的資源類型。 - 為了將未授權使用者或惡意刪除的資料遺失減至最少,Oracle 建議將
GOLDENGATE_DEPLOYMENT_DELETE和GOLDENGATE_CONNECTION_DELETE權限授予最少可能的一組 IAM 使用者和群組。只將這些權限授予租用戶和區間管理員。 - OCI GoldenGate 只需要
USE層級存取,才能從連線擷取資料。
範例
防止刪除部署
建立此原則以允許 ggs-users 群組在部署上執行所有動作,但將它們刪除除外:
Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'如需有關建立原則的詳細資訊,請參閱 Oracle Cloud Infrastructure GoldenGate 原則。