為您的內部部署資料庫實行 Oracle Data Safe
架構
有多個選項可用來建立資料庫與 Oracle Data Safe 之間的連線,包括使用 Oracle Cloud Infrastructure FastConnect、VPN Connect 或使用資料安全的內部部署連線器 (此處所示)。在大多數情況下,如果您沒有 FastConnect,則應使用內部部署連線器。如果您對於適用於哪個選項有任何問題,請洽詢客戶團隊。
下圖說明此參考架構。
data-safe-connection-managers.png 圖解描述
data-safe-connection-managers-oracle.zip
架構包含下列元件:
- 租用戶
租用戶是 Oracle 在您註冊 Oracle Cloud Infrastructure 時,於 Oracle Cloud 內設定的安全且隔離的分割區。您可以在租用戶內的 Oracle Cloud 中建立、組織及管理您的資源。
當您訂閱 Oracle Data Safe 時,Oracle 會視需要在 OCI 中自動為您建立租用戶。
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
您可以在 OCI 主控台中啟用 Oracle Data Safe。每個要使用的區域都必須啟用 Oracle Data Safe。
- Oracle Data Safe
Oracle Data Safe 是整合至 Oracle Cloud Infrastructure 之 Oracle 資料庫的統一控制中心。它可協助您瞭解資料的機密性、評估資料風險、遮罩資料、實行和監督安全控制、評估使用者安全、監督使用者活動,以及滿足資料安全規範需求。資料安全支援 Oracle Cloud Infrastructure FastConnect、IPSec VPN 和內部部署連線器,將您的內部部署位置連線至 Oracle Cloud。
「Oracle Data Safe 主控台」是 Oracle Data Safe 的主要使用者介面。開啟 Oracle Data Safe 時,會顯示一個可讓您監督系統活動的儀表板。側邊頁籤可讓您存取主要功能。頂端頁籤可讓您存取已註冊的目標資料庫、程式庫、報表、警示及工作。您可以在右上角存取使用者安全性和資料保留設定值的連結。
- 內部部署連線器
內部部署連線器安裝在企業內部部署資料中心內的 Linux 主機上,並在 Linux 主機與 Oracle Data Safe 之間建立「傳輸層安全 (TLS)」連線。TLS 連線是使用 TLS 加密協定的 TCPS 連線。Oracle Data Safe 的內部部署連線器支援版本 1.2 的 TLS 協定,並在連接埠 443 (標準 HTTPS 連接埠) 上建立通道。如果需要,內部部署連線器可以透過 HTTPS 代理主機伺服器運作。
- 可用性網域
可用性網域是區域內獨立的獨立資料中心。每個可用性網域中的實體資源都會與其他可用性網域中的資源隔離,以提供容錯。可用性網域不會共用基礎設施 (例如電力或散熱冷卻系統) 或內部可用性網域網路。因此,一個可用網域發生故障並不會影響該區域中的其他可用網域。
- 身分識別與存取管理 (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) 可讓您控制能夠存取 Oracle Cloud Infrastructure 中您資源的人員,以及可對這些資源執行的作業。
Oracle Data Safe 使用 OCI 中的所有共用服務,包括 IAM。您可以使用 IAM 服務來設定 Oracle Data Safe 的使用者存取權。
- Oracle Cloud Infrastructure 主控台
OCI 主控台是一個簡單且直覺式的 Web 式使用者介面,可用來存取和管理 Oracle Cloud Infrastructure。您也可以透過 OCI 主控台存取 Oracle Data Safe 主控台。
建議
- VCN
建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和各個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
- 安全清單
您可以使用安全清單來定義套用至整個子網路的傳入和傳出規則。
- 網路安全群組 (NSG)
您可以使用 NSG 來定義一組套用至特定 VNIC 的傳入和傳出規則。建議您使用 NSG 而不要使用安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用程式的安全需求分開。
- 雲端保全
複製並自訂 Oracle 提供的預設方法,以建立自訂偵測器和回應器方法。這些處方可讓您指定哪些類型的安全違規會產生警告,以及允許對它們執行哪些動作。例如,您可能想要偵測可見性設為公用的物件儲存的儲存桶。
在租用戶層次套用雲端保全、以涵蓋最廣泛的範圍、並減少維護多個組態的管理間接成本。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 安全區域
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則方法關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據 security-zone 處方中的原則驗證作業,並拒絕違反任何原則的作業。
- HA/DR
在生產環境中,Oracle 建議您在兩部 Linux 主機上安裝相同的內部部署連線器,以獲得高可用性。如果其中一個主機因系統失敗或維護而停止運作,Oracle Data Safe 連線會自動容錯移轉至在其他主機上執行的內部部署連線器,進行中的 Oracle Data Safe 作業則不受影響。
- 安全
僅開啟特定連接埠以允許與連線管理程式通訊。您可以控制從主機機器到雲端「連線管理程式」IP 位址 (監聽連接埠 443) 的外送流量。雲端「連線管理程式」的位址為
accesspoint.datasafe.REGIONNAME。oci.oraclecloud.com。例如,針對阿什本區域,位址是accesspoint.datasafe.us-ashburn-1。oci.oraclecloud.com。若要取得雲端連線管理程式的 IP 位址,請使用 DNS 查詢。
注意事項
實行 Oracle Data Safe 時,請考慮下列事項:
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您輕鬆建立資料中心與 OCI 之間的專用專用連線。相較於網際網路連線,Oracle Cloud Infrastructure FastConnect 提供高寬度選項,以及更可靠、一致的網路體驗。您可以使用 FastConnect (如果有的話)。
- 內部部署連線器
Oracle Data Safe 的內部部署連線器支援版本 1.2 的 TLS 協定。若要使用內部部署連線器,您必須允許從網路在連接埠 443 輸出流量。如果需要,內部部署連線器可以透過代理主機伺服器運作。