Share via

Linee guida per la sicurezza per i carichi di lavoro Oracle in Azure Macchine virtuali acceleratore di zona di destinazione

  • Articolo

Questo articolo descrive come eseguire in modo sicuro i carichi di lavoro Oracle in Azure Macchine virtuali acceleratore di zona di destinazione in ogni fase del ciclo di vita. L'articolo illustra componenti di progettazione specifici e fornisce suggerimenti mirati sulla sicurezza dell'infrastruttura distribuita come servizio (IaaS) di Azure per i carichi di lavoro Oracle.

Panoramica

La sicurezza è essenziale per qualsiasi architettura. Azure offre una gamma completa di strumenti che consentono di proteggere efficacemente il carico di lavoro Oracle. Lo scopo di questo articolo è fornire raccomandazioni sulla sicurezza per il piano di controllo di Azure correlato ai carichi di lavoro dell'applicazione Oracle distribuiti in Macchine virtuali. Per informazioni dettagliate e linee guida sull'implementazione relative alle misure di sicurezza all'interno di Oracle Database, vedere La guida alla sicurezza di Oracle Database.

La maggior parte dei database archivia i dati sensibili. L'implementazione della sicurezza solo a livello di database non è sufficiente per proteggere l'architettura in cui si distribuiscono questi carichi di lavoro. La difesa approfondita è un approccio completo alla sicurezza che implementa più livelli di meccanismi di difesa per proteggere i dati. Anziché basarsi su una singola misura di sicurezza a un livello specifico, ad esempio concentrandosi solo sui meccanismi di sicurezza di rete, la strategia di difesa avanzata usa una combinazione di diverse misure di sicurezza a livello per creare un comportamento di sicurezza affidabile. È possibile progettare l'approccio di difesa approfondito per i carichi di lavoro Oracle usando un framework di autenticazione e autorizzazione avanzato, la sicurezza di rete avanzata e la crittografia dei dati inattivi e dei dati in transito.

È possibile distribuire carichi di lavoro Oracle come modello cloud IaaS in Azure. Rivedere la matrice di responsabilità condivisa per una comprensione più chiara delle attività e delle responsabilità specifiche assegnate sia al provider di servizi cloud che al cliente. Per altre informazioni, vedere Responsabilità condivisa nel cloud.

È consigliabile valutare periodicamente i servizi e le tecnologie usati per garantire che le misure di sicurezza siano allineate al panorama delle minacce mutevole.

Usare la gestione centralizzata delle identità

La gestione delle identità è un framework fondamentale che regola l'accesso alle risorse importanti. La gestione delle identità diventa fondamentale quando si lavora con diversi tipi di personale, ad esempio interns temporanei, dipendenti part-time o dipendenti a tempo pieno. Il personale richiede diversi livelli di accesso che devono essere monitorati, mantenuti e revocati tempestivamente in base alle esigenze. Esistono quattro casi d'uso distinti per la gestione delle identità da considerare per i carichi di lavoro Oracle e ogni caso d'uso richiede una soluzione di gestione delle identità diversa.

  • Applicazioni Oracle: gli utenti possono accedere alle applicazioni Oracle senza dover immettere nuovamente le credenziali dopo l'autorizzazione tramite Single Sign-On (SSO). Usare l'integrazione di Microsoft Entra ID per accedere alle applicazioni Oracle. La tabella seguente elenca la strategia SSO supportata per ogni soluzione Oracle.

    Applicazione Oracle Collegamento al documento
    E-Business Suite (EBS) Abilitare l'accesso SSO per EBS R12.2
    JD Edwards (JDE) Configurare l'accesso Single Sign-On di JDE
    PeopleSoft Abilitare l'accesso Single Sign-On per Persone Soft
    Hyperion Documentazione del supporto Oracle #2144637.1
    Siebel Documentazione del supporto Oracle #2664515.1

  • Sicurezza a livello del sistema operativo: i carichi di lavoro Oracle possono essere eseguiti in varianti diverse del sistema operativo Linux o del sistema operativo Windows. Le organizzazioni possono migliorare la sicurezza delle macchine virtuali Windows e Linux in Azure integrandole con Microsoft Entra ID. Per altre informazioni, vedi:

  • Azure Key Vault per archiviare le credenziali: Key Vault è uno strumento potente per applicazioni e servizi cloud che è possibile usare per proteggere l'archiviazione dei segreti, ad esempio password e stringa di connessione di database. È possibile usare Key Vault per archiviare le credenziali per le macchine virtuali Windows e Linux in modo centralizzato e sicuro, indipendentemente dal sistema operativo.

    • È possibile evitare la necessità di archiviare le credenziali in testo normale all'interno del codice o dei file di configurazione usando Key Vault. È possibile recuperare le credenziali dall'insieme di credenziali delle chiavi in fase di esecuzione, che aggiunge un ulteriore livello di sicurezza all'applicazione e consente di impedire l'accesso non autorizzato alle macchine virtuali. Key Vault si integra perfettamente con altri servizi di Azure, ad esempio Macchine virtuali, ed è possibile controllare l'accesso all'insieme di credenziali delle chiavi usando Azure Active Directory (Azure AD). Questo processo garantisce che solo gli utenti e le applicazioni autorizzati possano accedere alle credenziali archiviate.

  • Immagini del sistema operativo con protezione avanzata: un'immagine con protezione avanzata del Centro per la sicurezza Internet (CIS) per Windows o Linux in Azure offre diversi vantaggi. I benchmark CIS vengono riconosciuti a livello globale come procedure consigliate per proteggere i sistemi e i dati IT. Queste immagini sono preconfigurate per soddisfare le raccomandazioni sulla sicurezza di CIS, che possono risparmiare tempo e impegno nella protezione avanzata del sistema operativo. Le immagini del sistema operativo con protezione avanzata possono aiutare le organizzazioni a migliorare il comportamento di sicurezza e a rispettare i framework di sicurezza, ad esempio National Institute of Standards and Technology (NIST) e Peripheral Component Interconnect (PCI).

Rafforzare la protezione del sistema operativo

Assicurarsi che il sistema operativo sia avanzato per eliminare le vulnerabilità che potrebbero essere sfruttate per attaccare il database Oracle.

  • Usare coppie di chiavi Secure Shell (SSH) per l'accesso all'account Linux anziché le password.
  • Disabilitare gli account Linux protetti da password e abilitarli solo su richiesta per un breve periodo.
  • Disabilitare l'accesso di accesso per gli account Linux con privilegi (radice o Oracle), che consente l'accesso solo agli account personalizzati.
  • Anziché l'accesso diretto, usare sudo per concedere l'accesso agli account Linux con privilegi da account personalizzati.
  • Acquisire i log di audit trail di Linux e i log di accesso sudo nei log di Monitoraggio di Azure usando l'utilità LINUX SYSLOG.
  • Applicare patch di sicurezza e patch del sistema operativo o aggiornamenti regolarmente solo da origini attendibili.
  • Implementare restrizioni per limitare l'accesso al sistema operativo.
  • Limitare l'accesso non autorizzato al server.
  • Controllare l'accesso al server a livello di rete per migliorare la sicurezza generale.
  • Prendere in considerazione l'uso del daemon del firewall Linux per la protezione locale, oltre ai gruppi di sicurezza di rete di Azure.
  • Configurare il daemon del firewall Linux per l'esecuzione automatica all'avvio.
  • Analizzare le porte di rete in ascolto per comprendere i potenziali punti di accesso e assicurarsi che i gruppi di sicurezza di rete di Azure o il daemon firewall Linux controllino l'accesso a tali porte. Usare il comando netstat –l Linux per trovare le porte.
  • Aliasre comandi Linux potenzialmente distruttivi, ad esempio rm e mv, per forzarli in modalità interattiva in modo che venga richiesto almeno una volta prima che venga eseguito un comando irreversibile. Gli utenti avanzati possono eseguire un comando unalias, se necessario.
  • Configurare i log di sistema unificati del database Oracle per inviare copie dei log di controllo Oracle ai log di Monitoraggio di Azure usando l'utilità SYSLOG Linux.

Usare la sicurezza di rete

La sicurezza di rete è il componente fondamentale di un approccio di sicurezza a più livelli per i carichi di lavoro Oracle in Azure.

  • Usare gruppi di sicurezza di rete: è possibile usare un gruppo di sicurezza di rete di Azure per filtrare il traffico di rete tra le risorse di Azure in una rete virtuale di Azure. Un gruppo di sicurezza di rete contiene regole di sicurezza che consentono o negano il traffico di rete in ingresso verso le risorse di Azure o il traffico di rete in uscita dalle risorse di Azure. I gruppi di sicurezza di rete possono filtrare il traffico tra reti locali da e verso Azure usando intervalli di indirizzi IP e porte specifiche. Per altre informazioni, vedere Gruppo di sicurezza di rete.

    Nella tabella seguente sono elencate le assegnazioni delle porte in ingresso per le macchine virtuali di database Oracle:

    Protocollo Numero di porta Nome servizio Commento
    TCP 22 SSH Porta di gestione per macchine virtuali Linux
    TCP 1521 Listener TNS Oracle Altri numeri di porta usati frequentemente per scopi di sicurezza o bilanciamento del carico di connessione
    TCP 3389 RDP Porta di gestione per le macchine virtuali Windows

  • Decidere come connettersi alla macchina virtuale: la macchina virtuale in cui risiede il carico di lavoro del database Oracle deve essere protetta da accessi non autorizzati. L'accesso alla gestione è sensibile a causa delle autorizzazioni più elevate necessarie per gli utenti di gestione. In Azure, gli utenti autorizzati hanno diversi meccanismi disponibili per gestire in modo sicuro la macchina virtuale.

    • L'accesso JIT (Just-In-Time) di Microsoft Defender per il cloud usa in modo intelligente i meccanismi di sicurezza di rete di Azure per offrire opportunità limitate a tempo per accedere alle porte di gestione nella macchina virtuale.
    • Azure Bastion è una soluzione PaaS (Platform as a Service) distribuita in Azure. Azure Bastion ospita una jump box.

È possibile usare entrambe le soluzioni per proteggere la gestione della macchina virtuale del database Oracle. Se lo si desidera, è possibile combinare entrambe le soluzioni per un approccio avanzato a più livelli.

In generale, l'accesso JIT riduce al minimo ma non elimina l'esposizione ai rischi limitando i tempi in cui sono disponibili le porte di gestione per SSH o RDP. JIT lascia aperta la possibilità di accesso da parte di altre sessioni di tailgating durante una finestra JIT ottenuta. Tali porte da coda devono comunque interrompere le porte SSH o RDP esposte, quindi il rischio di esposizione è ridotto. Tuttavia, tali esposizioni possono rendere meno appetibile l'accesso JIT per bloccare l'accesso da Internet aperto.

Azure Bastion è essenzialmente una jump box con protezione avanzata che consente di impedire l'accesso da Internet aperto. Esistono tuttavia numerose limitazioni per Azure Bastion da considerare.

  • Usare X-Windows e Rete virtuale computing (VNC): il software di database Oracle richiede in genere l'uso di X-Windows perché la connettività tra la macchina virtuale Linux in Azure e il computer desktop o il portatile potrebbero attraversare firewall e gruppi di sicurezza di rete di Azure. Per questo motivo, è consigliabile usare il port forwarding SSH per eseguire il tunneling delle connessioni X-Windows o VNC tramite SSH. Per un esempio che usa il -L 5901:localhost:5901 parametro , vedere Aprire un client VNC e testare la distribuzione.

  • Opzioni di interconnessione tra cloud: abilitare la connettività tra carichi di lavoro del database Oracle eseguiti in Azure e carichi di lavoro in Oracle Cloud Infrastructure (OCI). È possibile creare collegamenti privati o pipeline tra applicazioni usando l'interconnessione di Azure o OCI tra aree specifiche in Azure e OCI. Per altre informazioni, vedere Configurare un'interconnessione diretta tra Azure e Oracle Cloud Infrastructure. Questo articolo non illustra la creazione di firewall su entrambi i lati dell'interconnessione OCI di Azure o OCI, che in genere è un requisito per qualsiasi ingresso o uscita tra cloud. Questo approccio usa le raccomandazioni di rete Microsoft Zero Trust.

Sicurezza basata su criteri di Azure

Non esistono definizioni di criteri di Azure predefinite specifiche per i carichi di lavoro Oracle in Macchine virtuali acceleratore di zona di destinazione. Tuttavia, Criteri di Azure offre una copertura completa per le risorse fondamentali usate da qualsiasi soluzione Oracle in Azure, incluse macchine virtuali, archiviazione e rete. Per altre informazioni, vedere Definizioni dei criteri predefiniti di Criteri di Azure.

È anche possibile creare criteri personalizzati per soddisfare i requisiti dell'organizzazione per colmare il divario. Ad esempio, usare criteri Oracle personalizzati per applicare la crittografia dell'archiviazione, gestire le regole del gruppo di sicurezza di rete o impedire l'assegnazione di un indirizzo IP pubblico a una macchina virtuale Oracle.

Usare la crittografia per archiviare i dati

  • Crittografare i dati in transito: si applica allo stato dei dati che passano da una posizione a un'altra e in genere attraverso una connessione di rete. I dati in transito possono essere crittografati in diversi modi, a seconda della natura della connessione. Per impostazione predefinita, è necessario abilitare manualmente la crittografia dei dati per i dati in transito all'interno dei data center di Azure. Per altre informazioni nella documentazione di Azure, vedere Crittografia dei dati in transito.

  • Crittografare i dati inattivi: è anche necessario proteggere i dati quando vengono scritti nell'archiviazione, mentre sono inattivi. I dati riservati possono essere esposti o modificati quando i supporti di archiviazione vengono rimossi o a cui si accede durante l'uso. Di conseguenza, i dati devono essere crittografati per garantire che solo gli utenti autorizzati e autenticati possano visualizzarli o modificarli. Azure offre tre livelli di crittografia dei dati inattivi.

    • Tutti i dati vengono crittografati al livello più basso quando vengono salvati in modo permanente in qualsiasi dispositivo Archiviazione di Azure con crittografia lato servizio Archiviazione. La crittografia lato servizio garantisce che non sia necessario cancellare o eliminare definitivamente i supporti di archiviazione quando un tenant di Azure viene eseguito usando l'archiviazione. I dati sempre crittografati inattivi possono andare persi in modo permanente se la chiave gestita dalla piattaforma viene eliminata. La crittografia lato servizio è più rapida e sicura rispetto al tentativo di eliminare tutti i dati dall'archiviazione.
    • Azure offre anche l'opportunità di crittografare due dati archiviati all'interno dell'infrastruttura Archiviazione usando la crittografia dell'infrastruttura Archiviazione, che usa due chiavi gestite dalla piattaforma separate.
    • La crittografia dischi di Azure è anche la crittografia dei dati inattivi gestita nel sistema operativo guest (BitLocker per Windows e DM-CRYPT per Linux).

L'infrastruttura Archiviazione ha fino a tre livelli possibili di crittografia dei dati inattivi. Se si dispone dell'opzione Oracle Advanced Security, il database Oracle può anche crittografare i file di database con Transparent Data Encryption (TDE) e fornire un altro livello di crittografia dei dati inattivi.

L'opzione Oracle Advanced Security offre anche una funzionalità denominata redaction dei dati, che è una forma di maschera dati dinamica. Quando il database recupera i dati, maschera il valore dei dati senza modificare il valore dei dati archiviati.

Questi più livelli di crittografia dei dati inattivi rappresentano la definizione molto approfondita della difesa. Se per qualche motivo una delle forme di crittografia dei dati inattivi viene compromessa, esistono ancora altri livelli di crittografia per proteggere i dati.

  • Gestire le chiavi: se si implementa Oracle TDE come un altro livello di crittografia, è importante notare che Oracle non supporta le soluzioni di gestione delle chiavi native, ad esempio Key Vault, fornite da Azure o da altri provider di servizi cloud. Il percorso predefinito per il portafoglio Oracle si trova invece nel file system della macchina virtuale del database Oracle.

Per altre informazioni, vedere Provisioning di Oracle Key Vault in Azure per informazioni su come usare Oracle Key Vault come soluzione di gestione delle chiavi di Azure.

Integrare audit trail

Il monitoraggio dei log applicazioni è essenziale per rilevare le minacce alla sicurezza a livello di applicazione. Usare la soluzione Microsoft Sentinel per i carichi di lavoro di Oracle Database. Il connettore di controllo di Oracle Database recupera e inserisce tutti i record di controllo del database Oracle nei log di Monitoraggio di Azure usando un'interfaccia SYSLOG standard del settore. Questo processo consente di esaminare tali record insieme ai record di controllo dell'infrastruttura di Azure e ai record di controllo del sistema operativo guest (Linux o Windows). La soluzione Microsoft Sentinel è una soluzione SIEM (Security Information and Event Management) nativa del cloud creata per il carico di lavoro Oracle in esecuzione in una macchina virtuale Linux o Windows. Per altre informazioni, vedere Connettore di controllo del database Oracle per Microsoft Sentinel.

Passaggio successivo

Per informazioni su come pianificare i requisiti di capacità per i carichi di lavoro Oracle in Azure, vedere Pianificazione della capacità per la migrazione dei carichi di lavoro Oracle alle zone di destinazione di Azure.