Pokyny k zabezpečení pro úlohy Oracle v akcelerátoru cílových zón virtuálních počítačů Azure

Tento článek popisuje, jak bezpečně spouštět úlohy Oracle na akcelerátoru cílových zón Azure Virtual Machines v každé fázi jejich životního cyklu. Tento článek popisuje konkrétní součásti návrhu a poskytuje zaměřené návrhy na zabezpečení infrastruktury Azure jako služby (IaaS) pro úlohy Oracle.

Přehled

Zabezpečení je nezbytné pro jakoukoli architekturu. Azure nabízí komplexní řadu nástrojů, které vám pomůžou efektivně zabezpečit úlohy Oracle. Účelem tohoto článku je poskytnout doporučení zabezpečení pro řídicí rovinu Azure související s úlohami aplikací Oracle nasazenými na virtuálních počítačích. Podrobné informace a pokyny k implementaci týkající se bezpečnostních opatření v rámci Oracle Database najdete v průvodci zabezpečením Oracle Database.

Většina databází ukládá citlivá data. Implementace zabezpečení pouze na úrovni databáze nestačí k zabezpečení architektury, ve které tyto úlohy nasazujete. Hloubková ochrana je komplexní přístup k zabezpečení, který implementuje několik vrstev mechanismů ochrany k ochraně dat. Místo toho, abyste se museli spoléhat na jedno bezpečnostní opatření na konkrétní úrovni, jako je například zaměření pouze na mechanismy zabezpečení sítě, používá strategie hloubkové ochrany kombinaci různých opatření zabezpečení vrstvy k vytvoření robustního stavu zabezpečení. Pro úlohy Oracle můžete navrhovat podrobný přístup k ochraně pomocí architektury silného ověřování a autorizace, posíleného zabezpečení sítě a šifrování neaktivních uložených dat a přenášených dat.

Úlohy Oracle můžete nasadit jako cloudový model IaaS v Azure. Znovu se můžete vrátit k matici sdílené odpovědnosti, abyste lépe porozuměli konkrétním úkolům a zodpovědnostem přiřazeným poskytovateli cloudu i zákazníkovi. Další informace najdete v tématu Sdílená odpovědnost v cloudu.

Pravidelně byste měli posoudit služby a technologie, které používáte, abyste zajistili, že bezpečnostní opatření odpovídají měnícímu se prostředí hrozeb.

Použití centralizované správy identit

Správa identit je základní architektura, která řídí přístup k důležitým prostředkům. Správa identit je důležitá, když pracujete s různými typy pracovníků, jako jsou dočasné interny, zaměstnanci na částečný úvazek nebo zaměstnanci na plný úvazek. Tito pracovníci vyžadují různé úrovně přístupu, které je potřeba monitorovat, udržovat a podle potřeby okamžitě odvolat. Pro úlohy Oracle je potřeba vzít v úvahu čtyři různé případy použití správy identit a každý případ použití vyžaduje jiné řešení správy identit.

• Aplikace Oracle: Uživatelé mají přístup k aplikacím Oracle, aniž by museli znovu zadávat přihlašovací údaje po autorizaci prostřednictvím jednotného přihlašování (SSO). Pro přístup k aplikacím Oracle použijte integraci Microsoft Entra ID. Následující tabulka uvádí podporovanou strategii jednotného přihlašování pro každé řešení Oracle.

  Aplikace Oracle	Odkaz na dokument
  E-Business Suite (EBS)	Povolení jednotného přihlašování pro EBS R12.2
  JD Edwards (JDE)	Nastavení jednotného přihlašování k SADĚ
  Lidé Soft	Povolení jednotného přihlašování pro Lidé Soft
  Hyperion	Dokument podpory Oracle č. 2144637.1
  Siebel	Dokument podpory Oracle č. 2664515.1

• Zabezpečení na úrovni operačního systému: Úlohy Oracle se můžou spouštět na různých variantách operačního systému Linux nebo operačního systému Windows. Organizace můžou zlepšit zabezpečení svých virtuálních počítačů s Windows a Linuxem v Azure tím, že je integrují s Microsoft Entra ID. Další informace naleznete v tématu:

  • Přihlaste se k virtuálnímu počítači s Linuxem v Azure pomocí Id Microsoft Entra a OpenSSH.
    • Od července 2023 jsou oracle Linux (OL) a Red Hat Enterprise Linux (RHEL) 100% binární kompatibilní, což znamená, že všechny pokyny související s RHEL platí pro OL.
    • Od července 2023 přestala IBM opensourcový kód RHEL sdílet. Je možné, že ol a RHEL se v budoucnu rozbíhají, což zneplatní předchozí příkaz.
  • Přihlaste se k virtuálnímu počítači s Windows v Azure pomocí ID Microsoft Entra.

• Azure Key Vault k ukládání přihlašovacích údajů: Key Vault je výkonný nástroj pro cloudové aplikace a služby, které můžete použít k zabezpečení úložiště tajných kódů, jako jsou hesla a databáze připojovací řetězec. Key Vault můžete použít k ukládání přihlašovacích údajů pro virtuální počítače s Windows i Linuxem centralizovaným a zabezpečeným způsobem bez ohledu na operační systém.

  • V kódu nebo konfiguračních souborech se můžete vyhnout nutnosti ukládat přihlašovací údaje ve formátu prostého textu pomocí služby Key Vault. Přihlašovací údaje můžete načíst ze služby Key Vault za běhu, což do aplikace přidá další vrstvu zabezpečení a pomáhá zabránit neoprávněnému přístupu k vašim virtuálním počítačům. Key Vault se bezproblémově integruje s jinými službami Azure, jako jsou virtuální počítače, a můžete řídit přístup ke službě Key Vault pomocí Azure Active Directory (Azure AD). Tento proces zajistí, že k uloženým přihlašovacím údajům budou mít přístup jenom autorizovaní uživatelé a aplikace.

• Posílené image operačního systému: Posílená image CIS (Center for Internet Security) pro Windows nebo Linux v Azure má několik výhod. Srovnávací testy CIS jsou globálně rozpoznány jako osvědčené postupy pro zabezpečení IT systémů a dat. Tyto image jsou předem nakonfigurované tak, aby splňovaly doporučení zabezpečení CIS, což může ušetřit čas a úsilí při posílení operačního systému. Posílené image operačního systému můžou organizacím pomoct zlepšit stav zabezpečení a dodržovat bezpečnostní architektury, jako je National Institute of Standards and Technology (NIST) a Propojení periferních komponent (PCI).

Posílení operačního systému

Ujistěte se, že je operační systém posílený, aby se eliminovaly ohrožení zabezpečení, která by mohla být zneužita k útoku na databázi Oracle.

• Místo hesel používejte páry klíčů SSH (Secure Shell) pro přístup k účtu Linuxu.
• Zakažte účty Linuxu chráněné heslem a povolte je jenom na krátkou dobu.
• Zakažte přihlašovací přístup pro privilegované účty Linuxu (root nebo Oracle), které umožňují přístup k přihlášení pouze k přizpůsobeným účtům.
• Místo přímého přístupu k přihlášení použijte sudo k udělení přístupu k privilegovaným účtům Linuxu z přizpůsobených účtů.
• Zachyťte protokoly protokolu auditu Linuxu a protokoly přístupu sudo v protokolech služby Azure Monitor pomocí nástroje SysLOG pro Linux.
• Používejte opravy zabezpečení a opravy operačního systému nebo aktualizace pravidelně jenom z důvěryhodných zdrojů.
• Implementujte omezení pro omezení přístupu k operačnímu systému.
• Omezte neoprávněný přístup k serveru.
• Řízení přístupu k serveru na úrovni sítě za účelem zvýšení celkového zabezpečení
• Zvažte použití démona brány firewall pro Linux pro místní ochranu kromě skupin zabezpečení sítě Azure (NSG).
• Nakonfigurujte démona brány firewall linuxu tak, aby se automaticky spouštěl při spuštění.
• Zkontrolujte naslouchané síťové porty, abyste porozuměli potenciálním přístupovým bodům, a ujistěte se, že přístup k těmto portům řídí skupiny zabezpečení sítě (NSG) Azure nebo démon brány firewall pro Linux. K vyhledání portů použijte příkaz netstat –l Pro Linux.
• Alias potenciálně destruktivní linuxové příkazy, například rm a mv, aby je vynutil do interaktivního režimu, abyste byli alespoň jednou vyzváni před provedením nevratného příkazu. Pokročilí uživatelé můžou v případě potřeby spustit příkaz unalias.
• Nakonfigurujte databázové jednotné systémové protokoly Oracle tak, aby odesílaly kopie protokolů auditu Oracle do protokolů služby Azure Monitor pomocí nástroje SYSLOG pro Linux.

Použití zabezpečení sítě

Zabezpečení sítě je základní součástí vrstveného přístupu zabezpečení pro úlohy Oracle v Azure.

• Použití skupin zabezpečení sítě: Pomocí skupiny zabezpečení sítě Azure můžete filtrovat síťový provoz mezi prostředky Azure ve virtuální síti Azure. Skupina zabezpečení sítě obsahuje pravidla zabezpečení, která povolují nebo zakazují příchozí síťový provoz do prostředků Azure nebo odchozí síťový provoz z prostředků Azure. Skupiny zabezpečení sítě můžou filtrovat provoz mezi místními sítěmi do a z Azure pomocí rozsahů IP adres a konkrétních portů. Další informace naleznete v tématu Skupina zabezpečení sítě.

  V následující tabulce jsou uvedena přiřazení portů pro databázové virtuální počítače Oracle:

  Protokol	Číslo portu	Service name	Komentář
  TCP	22	SSH	Port pro správu virtuálních počítačů s Linuxem
  TCP	1521	Naslouchací proces Oracle TNS	Další čísla portů, která se často používají pro účely zabezpečení nebo vyrovnávání zatížení připojení
  TCP	3389	Protokol RDP	Port pro správu pro virtuální počítače s Windows

• Rozhodněte se, jak se připojit k virtuálnímu počítači: Virtuální počítač, na kterém se nachází databázové úlohy Oracle, musí být zabezpečen proti neoprávněnému přístupu. Přístup ke správě je citlivý z důvodu vyšších oprávnění potřebných pro uživatele správy. V Azure mají autorizovaní uživatelé k dispozici několik mechanismů pro bezpečnou správu virtuálního počítače.

  • Přístup k programu Microsoft Defender for Cloud za běhu (JIT) využívá inteligentní mechanismy zabezpečení sítě Azure k poskytování časově omezených příležitostí pro přístup k portům pro správu na vašem virtuálním počítači.
  • Azure Bastion je řešení typu platforma jako služba (PaaS), které nasazujete v Azure. Azure Bastion hostuje jump box.

K zabezpečení správy databázového virtuálního počítače Oracle můžete použít některé řešení. V případě potřeby můžete kombinovat obě řešení pro pokročilý přístup s více vrstvami.

Obecně platí, že přístup JIT minimalizuje, ale neodstraní rizika tím, že omezí dobu, kdy jsou dostupné porty pro správu SSH nebo RDP. JIT ponechá otevřenou možnost přístupu jinými relacemi, které se v průběhu získaného okna JIT vyhoví. Tyto tailgatery stále musí zalomit vystavené porty SSH nebo RDP, takže riziko expozice je malé. Díky těmto expozicím je ale přístup JIT méně patrný pro blokování přístupu z otevřeného internetu.

Azure Bastion je v podstatě posílený jump box, který pomáhá zabránit přístupu z otevřeného internetu. Pro azure Bastion ale existuje mnoho omezení, která byste měli zvážit.

• Použití prostředí X-Windows a VNC (Virtual Networking Computing): Databázový software Oracle obvykle vyžaduje použití X-Windows, protože připojení mezi virtuálním počítačem s Linuxem v Azure a stolním nebo přenosným počítačem může procházet přes brány firewall a skupiny zabezpečení sítě Azure. Z tohoto důvodu byste měli použít přesměrování portů SSH k tunelování připojení X-Windows nebo VNC přes SSH. Příklad, který používá parametr, najdete v -L 5901:localhost:5901 tématu Otevření klienta VNC a otestování nasazení.

• Možnosti propojení mezi cloudy: Umožňuje připojení mezi databázovými úlohami Oracle, které běží v Azure, a úlohami ve službě Oracle Cloud Infrastructure (OCI). Privátní propojení nebo kanály mezi aplikacemi můžete vytvářet pomocí propojení Azure nebo OCI mezi konkrétními oblastmi v Azure a OCI. Další informace najdete v tématu Nastavení přímého propojení mezi Azure a Oracle Cloud Infrastructure. Tento článek se nezabývá vytvářením bran firewall na obou stranách propojení Azure nebo OCI, což je obecně požadavek na jakýkoli příchozí nebo výchozí přenos dat napříč cloudy. Tento přístup využívá doporučení microsoftu nulová důvěra (Zero Trust) sítí.

Zabezpečení na základě zásad Azure

V akcelerátoru cílových zón virtuálních počítačů nejsou k dispozici žádné konkrétní předdefinované definice zásad Azure pro úlohy Oracle. Azure Policy ale nabízí komplexní pokrytí základních prostředků používaných jakýmkoli řešením Oracle v Azure, včetně virtuálních počítačů, úložišť a sítí. Další informace najdete v tématu Předdefinované definice zásad služby Azure Policy.

Můžete také vytvořit vlastní zásady, které řeší požadavky vaší organizace na překlenout mezeru. Pomocí vlastních zásad Oracle můžete například vynutit šifrování úložiště, spravovat pravidla NSG nebo zakázat přiřazení veřejné IP adresy k virtuálnímu počítači Oracle.

Použití šifrování k ukládání dat

• Šifrování přenášených dat: Platí pro stav dat, která se přesouvají z jednoho umístění do jiného a obvykle přes síťové připojení. Přenášená data se dají šifrovat několika způsoby v závislosti na povaze připojení. Ve výchozím nastavení je nutné ručně povolit šifrování dat pro přenášená data v datacentrech Azure. Další informace v dokumentaci k Azure najdete v tématu Šifrování přenášených dat.

  • Doporučujeme používat funkce nativního šifrování sítě a integrity dat Oracle. Další informace najdete v tématu Konfigurace nativního síťového šifrování a integrity dat databáze Oracle.

• Šifrování neaktivních uložených dat: Při zápisu do úložiště musíte také chránit neaktivní uložená data. Důvěrná data je možné zpřístupnit nebo změnit při odebrání nebo přístupu k médiím úložiště během používání. Proto by se data měla šifrovat, aby se zajistilo, že je můžou zobrazit nebo upravit jenom autorizovaní a ověření uživatelé. Azure poskytuje tři vrstvy šifrování neaktivních uložených dat.

  • Všechna data se šifrují na nejnižší úrovni, když se zachovají do libovolného zařízení Azure Storage s šifrováním na straně služby Storage. Šifrování na straně služby zajišťuje, že při použití úložiště není nutné vymazat nebo zničit médium úložiště. Při zahození klíče spravovaného platformou je možné trvale šifrovat neaktivní uložená data. Šifrování na straně služby je rychlejší a bezpečnější než pokus o odstranění všech dat z úložiště.
  • Azure také nabízí možnost dvojitého šifrování uložených dat v infrastruktuře úložiště pomocí šifrování infrastruktury úložiště, které používá dva samostatné klíče spravované platformou.
  • Šifrování disků Azure je šifrování neaktivních uložených dat spravované v rámci hostovaného operačního systému (BitLocker pro Windows a DM-CRYPT pro Linux).

Infrastruktura úložiště má až tři možné vrstvy šifrování neaktivních uložených dat. Pokud máte možnost Oracle Advanced Security, může databáze Oracle také šifrovat soubory databáze transparentním šifrováním dat (TDE) a poskytnout další úroveň šifrování neaktivních uložených dat.

Možnost Oracle Advanced Security také nabízí funkci nazvanou redaction data, což je forma dynamického maskování dat. Když databáze načte data, zamaskuje datnou hodnotu beze změny uložené hodnoty dat.

Tyto více vrstev šifrování neaktivních uložených dat představují velmi definici hloubkové ochrany. Pokud je z nějakého důvodu ohrožena jedna z forem šifrování neaktivních uložených dat, existují ještě další vrstvy šifrování, které chrání data.

• Správa klíčů: Pokud implementujete Transparentní šifrování dat Oracle jako jinou šifrovací vrstvu, je důležité si uvědomit, že Oracle nepodporuje nativní řešení pro správu klíčů, jako je Key Vault, poskytovaná Azure nebo jinými poskytovateli cloudu. Místo toho je výchozí umístění pro peněženku Oracle v systému souborů databázového virtuálního počítače Oracle.

Další informace najdete v tématu Zřizování služby Oracle Key Vault v Azure , kde se dozvíte, jak používat Oracle Key Vault jako řešení pro správu klíčů Azure.

Integrace tras auditu

Monitorování protokolů aplikací je nezbytné pro detekci bezpečnostních hrozeb na úrovni aplikace. Použijte řešení Microsoft Sentinel pro úlohy Oracle Database. Konektor pro audit databáze Oracle načte a ingestuje všechny záznamy auditu databáze Oracle do protokolů služby Azure Monitor pomocí standardního rozhraní SYSLOG. Tento proces umožňuje, aby se tyto záznamy kontrolovaly spolu se záznamy auditu infrastruktury Azure a záznamy auditu hostovaného operačního systému (Linux nebo Windows). Řešení Microsoft Sentinel je řešení pro správu událostí (SIEM) nativní pro cloud, které je vytvořené pro úlohy Oracle, které běží na virtuálním počítači s Linuxem nebo Windows. Další informace najdete v tématu Konektor pro audit databáze Oracle pro Microsoft Sentinel.

Další krok

Informace o plánování požadavků na kapacitu pro úlohy Oracle v Azure najdete v tématu Plánování kapacity pro migraci úloh Oracle do cílových zón Azure.