保護您的資料庫
確定資料庫伺服器、資料庫的網路存取,以及實際的資料都是安全的。
控制使用者和網路存取
企業規劃總監、安全規劃總監、資料規劃總監
使用密碼、專用子網路以及網路安全群組來控制使用者和網路存取。
- 確定用來認證資料庫的密碼是強大的。
- 將資料庫系統連附至專用子網路。
專用子網路沒有網際網路連線。您可以使用 NAT 閘道進行安全輸出流量,以及使用服務閘道連線至備份端點 (物件儲存)。
- 您可以使用網路安全群組或安全清單,只允許必要的網路存取您的資料庫系統。
限制刪除資料庫資源的權限
企業規劃總監、安全規劃總監、資料規劃總監
若要避免意外或惡意刪除資料庫,請將刪除權限 (
DATABASE_DELETE 和 DB_SYSTEM_DELETE ) 授與一組最少的使用者和群組。
資料庫使用者可以利用下列 IAM 原則敘述句來管理資料庫、資料庫系統以及資料庫本位目錄。但 where request.permission!='DB_SYSTEM_DELETE' 條件可確保資料庫使用者無法刪除資料庫。
Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'加密資料
企業規劃總監、安全規劃總監、資料規劃總監
在 Oracle Cloud Infrastructure 中建立的所有資料庫都會使用通透資料加密 (TDE) 加密。確定移轉的資料庫也經過加密。
定期循環使用 TDE 主要金鑰。建議的輪調期間為 90 天或以下。
使用資料庫安全工具
企業規劃總監、安全規劃總監、資料規劃總監
「Oracle Database Security Assessment Tool」提供 Oracle Cloud Infrastructure 中 Oracle 資料庫的自動化安全組態檢查。Oracle Audit Vault and Database Firewall (AVDF) 會監督資料庫稽核日誌並建立警示。
啟用資料安全
企業規劃總監、安全規劃總監、資料規劃總監
「資料安全」是 Oracle 雲和企業內部部署資料庫的統一控制中心。您可以使用「資料安全」來宣告資料庫和資料安全組態、偵測使用者帳戶的相關風險、識別現有的機密資料、實行控制項以保護資料,以及稽核使用者活動。
- 將「資料安全」稽核保留原則延長為一年。
- 遮罩資料尋找所識別的機密資料。
- 使用安全性評估,依 Center for Internet Security (CIS)、General Data Protection Regulatory (GDPR) 及 Department of Defense Library of Security Technical Implementation Guides (STIG) 識別建議的安全性控制。
- 設定「資料安全活動稽核」中主要事件的警示。
啟用自治式資料庫的專用端點
企業規劃總監、安全規劃總監、資料規劃總監
可能的話,請在 Oracle Autonomous Transaction Processing 使用專用端點。專用端點可用來排除共用自治式資料庫的公用存取權。在 Oracle Cloud Infrastructure 中使用 VCN 時,資料庫的所有流量都會維持為專用狀態,而不需要傳輸路由或使用服務閘道。
- 定義專用端點時,請使用專用專用子網路。
- 對於「專用端點網路安全群組」,請使用等於「資料庫監聽器連接埠」的「協定 TCP」和「目的地連接埠」定義無狀態傳入規則。將來源 CIDR 標籤限制為僅限子網路、或者若為內部部署、則限制為動態路由閘道 (DRG)、且具備允許的存取權。
- 若為「專用端點網路安全群組」,請使用 TCP 協定定義無狀態傳出規則。將目的地 CIDR 限制為僅限於子網路、或者若為內部部署 DRG、則限制為允許存取。