你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
数据库包含的敏感数据需要超出数据库级保护的深度防御安全体系结构。 全面的安全策略通过多种防御机制保护 Oracle Database@Azure 工作负载,包括强身份验证、网络安全、数据加密和威胁监视。
本文提供有关 Oracle Database@Azure 部署的安全建议。 防御机制包括身份验证和授权框架、网络安全控制、静态数据和传输中的数据加密,以及通过 Azure Arc 和 Microsoft Defender for Cloud 集成威胁防护。
有关 Oracle 特定的安全指南,请参阅 Oracle Exadata Database@Azure 安全指南 和 Exadata 安全控制。
建立双平台安全治理
安全体系结构需要在 Azure 和 Oracle 云基础结构 (OCI) 平台之间进行协调,因为 Oracle Database@Azure在 Microsoft 数据中心内并置的 OCI 基础结构上运行。 Azure 控制基础结构预配和网络连接,而 OCI 管理数据库作和单个节点管理。
定义 Azure 和 OCI 平台之间的明确安全所有权边界。 Azure 管理底层基础结构的安全策略,包括虚拟网络、已启用 Azure Arc 的服务器和 Defender for Cloud 集成。 Oracle 控制数据库安全配置、透明数据加密和特定于 OCI 的安全功能。 这种分离可防止冲突,同时确保全面覆盖。
实现 Azure Arc 集成以实现统一的安全监视。 将 Oracle Database@Azure基础结构加入 已启用 Azure Arc 的服务器 ,以便通过 Defender for Cloud 实现集中式安全管理。 Azure Arc 集成提供安全可见性和威胁防护,而不会干扰 OCI 管理作或数据库性能。 有关详细的实施指南,请参阅 Oracle Database@Azure的 Azure Arc 连接设计。
跨平台协调安全策略,而不会发生冲突。 遵循已启用 Azure Arc 的服务器的 Azure Policy 最佳做法 ,同时维护 Oracle 的安全配置标准。 安全策略必须补充而不是替代现有的 Oracle 安全配置,以保持作完整性。
实现网络安全控制
网络安全通过 Azure 虚拟网络集成和网络安全组(NSG)提供防御前线。 Oracle Database@Azure通过子网委派集成到 Azure 虚拟网络中,而无需默认 Internet 访问。
使用 Oracle 特定的注意事项配置 NSG。 NSG 支持取决于网络功能配置。 在 Azure 委托的子网上使用 NSG 时,请查看在 Oracle(OCI)端配置的安全规则,以防止导致访问问题或操作中断的冲突。 有关完整的网络规划和 NSG 配置指南,请参阅 Oracle Database@Azure的网络拓扑和连接。
通过预定义的端口控件保护访问。 Oracle Database@Azure使用传输 控制协议(TCP)端口的预定义列表。 默认情况下,由于 OCI 中的 NSG 管理这些端口,因此无法从其他子网访问这些端口。 只有打开所需的端口才能确保安全通信遵循 最低特权原则。
根据需要通过安全通道启用出站 Internet 访问。 如果需要出站 Internet 访问,请配置网络地址转换(NAT),或使用 Azure 防火墙 或网络虚拟设备等代理。 有关详细信息,请参阅 Oracle Database@Azure的网络规划。
部署数据加密和密钥管理
数据保护需要静态加密和全面的密钥管理策略。 Oracle Database@Azure通过灵活的密钥管理选项提供内置加密功能。
使用默认透明数据加密进行即时保护。 Oracle Database@Azure 默认在数据库层通过透明数据加密实现静态数据加密。 此加密通过在 VM 群集文件系统中的钱包本地存储 Oracle 管理的加密密钥,并使用 AES-128 加密来保护容器数据库(CDB$ROOT)和可插入数据库。 更多信息,请参阅 管理表空间加密。
根据数据驻留要求选择适当的密钥管理平台。 在用于 Oracle 云集成的 OCI Vault 、用于本地样式部署的 Oracle Key Vault 或 用于 Azure 本机集成的 Azure Key Vault 之间进行选择。 选择密钥管理解决方案时,请考虑数据位置要求。
使用 OCI Vault 进行标准部署。 OCI Vault 提供与 Oracle Database@Azure 的内置集成,其密钥存储在 Azure 之外的 OCI 中。 此选项提供与 Oracle 自然集成的最简单实现路径。
在 Key Vault 中存储 Oracle 透明数据加密(TDE)主加密密钥。 为 Oracle Database@Azure实现 Azure 本机密钥管理时,请遵循使用 Key Vault 的 最佳做法 。 此选项将所有密钥保留在 Azure 边界内,并与 Azure 安全控制集成。
实施用于本地部署模式的 Oracle Key Vault。 当需要传统密钥管理方法并完全控制密钥管理基础结构时,请在 Azure 上部署 Oracle Key Vault。 Azure 上的 Oracle Key Vault 需要手动安装、数据库集成和高可用性配置。 有关部署指南,请参阅 Microsoft Azure 中创建 Oracle Key Vault 映像。
确保密钥管理基础结构的高可用性。 创建用于确保加密密钥可用性的多主节点 Oracle Key Vault 部署。 部署包含至少两个可用性区域或区域的四个节点的多主 Oracle Key Vault 群集,以实现可靠的高可用性。 有关详细信息,请参阅 Oracle Key Vault 多主群集概念。
注释
Oracle Key Vault 需要单独的许可和手动高可用性配置。
建立安全的备份加密做法。 默认情况下,数据库备份使用相同的主加密密钥进行加密。 将加密密钥和数据库备份存储在单独的环境中,以提高安全性并最大程度地降低数据泄露风险。 执行长期备份时,保留旧加密密钥以用于恢复操作。
启用 Defender for Cloud 集成
Defender for Cloud 通过 Azure Arc 集成,为 Oracle Database@Azure 提供全面的威胁防护和安全监控。 此安全层使用Microsoft的威胁智能和自动响应功能补充 Oracle 的本机安全控制。
在已启用 Azure Arc 的基础结构上部署 Defender for 服务器。 为已启用 Azure Arc 的 Oracle Database@Azure 基础结构上的 服务器启用 Microsoft Defender, 以实现全面的威胁防护。 此集成提供高级威胁检测、漏洞评估和自动事件响应功能。 有关 Defender for servers 功能,请参阅 Defender for servers 功能和优势。
配置安全基线和合规性监视。 使用 Microsoft云安全基准 来补充 Oracle 安全配置,而不会发生冲突。 要在整个混合 Oracle 部署中保持一致的安全态势,请遵循“建立安全基线”中的指导,实施安全基线。
实现自动威胁检测和响应。 通过使用 Defender 工作流自动化 和管理安全警报,建立警报关联过程。 在遵循 Oracle 数据库操作和维护窗口的情况下,为常见威胁场景配置自动响应剧本。
使用 Oracle 注意事项部署漏洞管理。 使用与 Oracle 维护时段保持一致的计划实施 Defender 漏洞评估 。 有关修正过程,请参阅 修正计算机漏洞发现 ,同时确保与 Oracle 网格基础结构修补程序的兼容性。
与安全信息和事件管理(SIEM)集成,实现全面的安全操作。 (可选)与 Microsoft Sentinel for SIEM 功能集成,以便跨 Azure 和 Oracle 平台关联安全事件,实现统一的威胁可见性。
管理加密密钥与操作安全性
操作安全需要严格的密钥管理、安全的代理部署和工作负载隔离策略。 这些做法在进行必要的监控和管理操作的同时保持安全完整性。
建立密钥轮换和生命周期管理过程。 使用客户管理的加密密钥时,实施严格的密钥轮换流程,以维护安全性和符合性标准。 定义轮换计划,尽可能自动化执行密钥管理作业,并维护所有关键生命周期事件的审计记录。
从用于试点部署的本地钱包开始。 在完成密钥管理平台决策时,使用存储在软件密钥存储中的钱包进行概念证明或试点部署。 基于所选密钥管理平台规划转换策略。
按平台规划过渡策略。 如果选择 OCI 保管库,则转换表示为一种动态操作,并且带来的中断最少。 如果选择 Oracle Key Vault,请遵循 Oracle 迁移过程手动将加密密钥迁移到 Oracle Key Vault 平台。
在考虑基础设施因素的情况下部署安全代理。 在 Oracle Database@Azure 上的某些位置安装非 Microsoft 或 Oracle 代理,这些位置的数据库或网格基础架构的补丁不会干扰代理的运作。 确保代理不会修改或破坏数据库作系统内核,以维护 Oracle 支持和系统稳定性。
实现安全边界的工作负荷隔离。 在单独的虚拟网络中部署 VM 群集,以实现工作负荷级别的安全隔离,尤其是在不同的团队访问同一基础结构上的多个数据库时。 这种隔离可防止环境之间的横向移动和维护明确的安全边界。 有关详细信息,请参阅 Oracle Database@Azure的资源组织。
Defender for Cloud 集成
请考虑以下建议,将 Defender for Cloud 与 Oracle Exadata Database@Azure集成:
启用全面的威胁防护。 在已启用 Azure Arc 的 Oracle Database@Azure 基础结构上部署 适用于服务器的 Microsoft Defender 。 有关详细信息,请参阅 Defender for servers 功能和优势。 (可选)与用于 SIEM 功能的 Microsoft Sentinel 集成。
配置安全基线和合规性。 使用 Microsoft云安全基准 来补充 Oracle 安全配置。 有关详细信息,请参阅 “建立安全基线”。
实现威胁检测工作流。 通过使用 Defender 工作流自动化 和管理安全警报,建立警报关联过程。 为威胁场景配置自动响应剧本。
部署漏洞管理。 在考虑 Oracle 维护时段计划的情况下实施 Defender 漏洞评估。 有关修正指南,请参阅 修正计算机漏洞发现。
后续步骤
通过以下补充指导领域实施 Oracle Database@Azure安全框架:
- Oracle Database@Azure的 Azure Arc 连接设计
- Oracle Database@Azure 的标识和访问管理
- Oracle Database@Azure 的网络拓扑和连接
- 管理和监视 Oracle Database@Azure
- Oracle Database@Azure的业务连续性和灾难恢复(BCDR)
有关Microsoft安全指南: