計畫
| 順序 | 涵蓋的主題 |
|---|---|
| 1 |
實現 Oracle 資料庫的不可變和零資料遺失 IM- 2:針對 Oracle 雲端資料庫使用復原服務。 |
| 2 |
設定不可變的儲存桶並啟用最低權限的 IAM 主體 IM- 1:非結構化資料的不可變儲存桶組態。 ZT- 1:僅針對 IAM 特殊復原帳戶設定安全權限的私有設定儲存桶。 |
| 3 |
啟用與網路復原威脅相關的威脅偵測 TD- 1:雲端保全 驗證儲存桶規則 (公用 / 專用) 和儲存桶日誌記錄。 |
| 4 |
開始測試將資料搬移至不可變的儲存桶 IM- 3:使用 OCI CLI 命令檔將 OCI FSS 複製到不可變的物件儲存。 BR- 1:將 OCI 自訂映像檔備份至不可變的儲存桶。 |
使用自治式復原服務保護資料庫
開始試驗新的開發和測試資料庫。範例問題包括但不限於:
- 需要哪些資料庫平台和軟體版本?
- 您的資料庫是否使用 OCI for DNS?如果不調查 DNS 條件式轉送。
- 您是否需要增加現有的 OCI 限制?
- 您是否啟用安全清單以允許您的資料庫連線至自治式復原服務?
- 您是否啟用所有必要的 IAM 原則敘述句來授權服務?
下圖顯示連線至 Oracle Database Zero Data Loss Autonomous Recovery Service 的 OCI 復原子網路範例:
現在,您的資料庫受到保護,著重於使用下列建議來保護非結構化資料 (開機、區塊、檔案系統等等):
- 建立巢狀區間結構或建立新的 OCI 租用戶,以作為您的保存庫內含項目或安全回復內含項目。
- 建立物件儲存的儲存桶、新增保留規則,然後在測試保留原則之後鎖定規則。
- 確認 IAM 原則會限制群組成員身分,且只提供備份或儲存體管理員的存取權。如有需要,您也可以使用其他 IAM 網域。
- 請確定 Oracle Cloud Guard 和 OCI 安全區域可確保您的儲存桶無法公開,而且任何人都無法停用您的備份和復原服務。安全區域原則禁止在 OCI 物件儲存中建立公用儲存桶。例如,您可以設定安全區域原則,防止任何人建立公用儲存桶或修改現有儲存的儲存桶並將其公開。
備份至不可變的 Vault
您可以使用開源和商業工具,跨平台複製、同步及移動資料。檢閱移轉資料部落格的工作的正確工具區段。有多種工具和技術可以將資料複製到「不可變的 Vault 儲存桶」。
在網路抗逆力試驗中,您可以部署一個架構,在該架構中使用位於不可變 Vault 中的協調伺服器。協調流程伺服器會尋找要備份的資源,並將備份工作傳送至 OCI 佇列服務。工作節點接著會監聽備份工作,並立即開始處理工作。在此模型中,您可以從 Production enclave 複製資料,然後將資料上傳到不可變 Vault 儲存桶。
依網域區分的重要控制項摘要
| 網域 | 涵蓋的主題 |
|---|---|
| 不可變更性 | IM- 1:非結構化資料的不可變儲存桶組態。
IM- 2:將復原服務用於 Oracle 雲端資料庫。 IM- 3:如果使用 OCI File Storage ,請將 OCI File Storage 複製到不可變的物件儲存中。 |
| 零信任 | ZT- 1:僅針對 IAM 特殊復原帳戶設定安全權限的私有設定儲存桶。運用 OAG 決定不可變儲存桶的有效權限。 |
| 備份與復原 | BR- 1:將 OCI 自訂映像檔備份至不可變的儲存桶。 |
| 威脅偵測 | TD- 1:雲端保全儲存桶規則 (公用 / 專用)。時段日誌記錄。已啟用威脅偵測器規則。 |