De beveiliging voor uw Oracle-workload optimaliseren

Beveiliging is cruciaal voor elke architectuur. Azure biedt een uitgebreide reeks hulpprogramma's om uw Oracle-workload effectief te beveiligen. In dit artikel worden beveiligingsaanbevelingen beschreven voor het Azure-besturingsvlak met betrekking tot workloads van Oracle-toepassingen die zijn geïmplementeerd op virtuele machines (VM's) in Azure. Zie De beveiligingshandleiding voor Oracle Database voor meer informatie over beveiligingsfuncties in Oracle Database.

In de meeste databases worden gevoelige gegevens opgeslagen. Beveiligingsmaatregelen alleen op databaseniveau zijn niet voldoende om de hele architectuur te beveiligen waarin deze workloads terechtkomen. Diepgaande verdediging is een uitgebreide beveiligingsbenadering waarin u verschillende lagen van verdedigingsmechanismen implementeert om gegevens te beveiligen. U vertrouwt niet op één beveiligingsmaatregel op een specifiek niveau, zoals netwerkbeveiligingsmechanismen. Gebruik de diepgaande verdedigingsstrategie om een combinatie van verschillende beveiligingsmaatregelen op laagniveau te gebruiken om een robuuste beveiligingspostuur te creëren.

U kunt een diepgaande verdedigingsbenadering voor Oracle-workloads ontwerpen met behulp van een sterk verificatie- en autorisatieframework, beveiligde netwerkbeveiliging en versleuteling van data-at-rest en data-in-transit. U kunt Oracle-workloads implementeren als een IaaS-cloudmodel (Infrastructure as a Service) in Azure. Ga opnieuw naar de gedeelde verantwoordelijkheidsmatrix om meer inzicht te krijgen in de specifieke taken en verantwoordelijkheden die zijn toegewezen aan de cloudprovider en de klant.

U moet regelmatig de services en technologieën evalueren die u gebruikt om ervoor te zorgen dat uw beveiligingsmaatregelen overeenkomen met het veranderende bedreigingslandschap.

Gecentraliseerd identiteitsbeheer gebruiken

Identiteitsbeheer is een fundamenteel framework dat de toegang tot belangrijke resources regelt. Identiteitsbeheer wordt essentieel wanneer u met verschillende medewerkers werkt, zoals tijdelijke stagiaires, parttimemedewerkers of fulltimemedewerkers. Deze personen vereisen verschillende toegangsniveaus die u moet controleren, onderhouden en zo nodig onmiddellijk intrekken.

Uw organisatie kan de beveiliging van Windows- en Linux-VM's in Azure verbeteren door te integreren met Microsoft Entra ID, een volledig beheerde service voor identiteits- en toegangsbeheer.

Workloads implementeren op Windows- of Linux-besturingssystemen

U kunt Microsoft Entra ID met eenmalige aanmelding (SSO) gebruiken om toegang te krijgen tot Oracle-toepassingen en Oracle-databases te implementeren op Linux-besturingssystemen en Windows-besturingssystemen. Integreer uw besturingssysteem met Microsoft Entra ID om de beveiligingsstatus te verbeteren.

Verbeter de beveiliging van uw Oracle-workloads op Azure IaaS door ervoor te zorgen dat u uw besturingssysteem beveiligt om beveiligingsproblemen te elimineren die aanvallers kunnen misbruiken om uw Oracle-database te beschadigen.

Zie Beveiligingsrichtlijnen voor Oracle-workloads in Azure Virtual Machines landingszoneversneller voor meer informatie over het verbeteren van de beveiliging van Oracle Database.

Aanbevelingen

• Gebruik SSH-sleutelparen (Secure Shell) voor toegang tot Linux-accounts in plaats van wachtwoorden.

• Schakel Met een wachtwoord beveiligde Linux-accounts uit en schakel ze alleen op aanvraag in voor een korte periode.

• Schakel aanmeldingstoegang uit voor bevoegde Linux-accounts, zoals hoofd- en Oracle-accounts, waardoor aanmeldingstoegang alleen tot persoonlijke accounts is toegestaan.

• Gebruik de sudo opdracht om toegang te verlenen aan bevoegde Linux-accounts, zoals hoofd- en Oracle-accounts, vanuit persoonlijke accounts in plaats van rechtstreeks aanmelden.

• Zorg ervoor dat u linux-audittraillogboeken vastlegt en sudo logboeken opent in Azure Monitor-logboeken met behulp van het Linux syslog-hulpprogramma.

• Pas alleen beveiligingspatches en patches en updates van het besturingssysteem regelmatig toe vanuit vertrouwde bronnen.

• Implementeer beperkingen om de toegang tot het besturingssysteem te beperken.

• Onbevoegde toegang tot servers beperken.

• Servertoegang op netwerkniveau beheren om de algehele beveiliging te verbeteren.

• Overweeg het gebruik van de Linux Firewall-daemon als extra beveiligingslaag naast Azure-netwerkbeveiligingsgroepen (NSG's).

• Zorg ervoor dat u de Linux-firewall-daemon zo configureert dat deze automatisch wordt uitgevoerd bij het opstarten.

• Scan netwerk luisterende poorten om mogelijke toegangspunten te bepalen. Gebruik de Linux-opdracht netstat –l om deze poorten weer te geven. Zorg ervoor dat Azure NSG's of de Linux Firewall-daemon de toegang tot deze poorten beheert.

• Stel aliassen in voor mogelijk destructieve Linux-opdrachten, zoals rm en mv, om af te dwingen dat ze worden uitgevoerd in de interactieve modus, zodat u ten minste één keer wordt gevraagd voordat een onomkeerbare opdracht wordt uitgevoerd. Ervaren gebruikers weten hoe ze de aliassen moeten verwijderen, indien nodig.

• Configureer de geïntegreerde systeemlogboeken van de Oracle-database om het Linux syslog-hulpprogramma te gebruiken om kopieën van de Oracle-auditlogboeken naar Azure Monitor-logboeken te verzenden.

Uw netwerktopologie ontwerpen

Netwerktopologie is het fundamentele onderdeel van een gelaagde beveiligingsbenadering voor Oracle-workloads in Azure.

Plaats alle cloudservices in één virtueel netwerk en gebruik Azure NSG's om het verkeer te controleren en te filteren. Voeg een firewall toe om het binnenkomende verkeer te beveiligen. Zorg ervoor dat u het subnet waar u de database implementeert, toewijdt en veilig scheidt van internet en het on-premises netwerk. Evalueer gebruikers die intern en extern toegang hebben tot de database om ervoor te zorgen dat uw netwerktopologie robuust en veilig is.

Zie Netwerktopologie en -connectiviteit voor Oracle op Azure Virtual Machines landingszoneversneller voor meer informatie over netwerktopologie.

Aanbevelingen

• Gebruik Azure NSG's om netwerkverkeer te filteren tussen Azure-resources in een virtueel Azure-netwerk en om verkeer tussen on-premises netwerken en Azure te filteren.

• Gebruik Azure Firewall of een virtueel netwerkapparaat (NVA) om uw omgeving te beveiligen.

• Beveilig de VM waarop de Oracle Database-workload zich bevindt tegen onbevoegde toegang met behulp van door Azure geleverde functies, zoals Microsoft Defender voor JIT-toegang (Just-In-Time) van cloud en Azure Bastion-functies.

• Gebruik SSH port forwarding voor X Windows System en Virtual Network Computing (VNC) hulpprogramma's om verbindingen via SSH te tunnelen. Zie een voorbeeld waarmee een VNC-client wordt geopend en een implementatie wordt getest voor meer informatie.

• Leid al het verkeer via een virtueel hubnetwerk door VM's in een toegewezen subnet te plaatsen dat is geïsoleerd van internet en het on-premises netwerk.

Versleuteling gebruiken om gegevens te beveiligen

Versleutel data-at-rest wanneer deze naar de opslag worden geschreven om de gegevens te beveiligen. Wanneer u gegevens versleutelt, kunnen onbevoegde gebruikers deze niet beschikbaar maken of wijzigen. Alleen geautoriseerde en geverifieerde gebruikers kunnen de gegevens bekijken of wijzigen. Microsoft Azure biedt verschillende oplossingen voor gegevensopslag, waaronder bestands-, schijf- en blobopslag, om aan verschillende behoeften te voldoen. Deze opslagoplossingen hebben versleutelingsfuncties om data-at-rest te beveiligen.

Versleutel gegevens die onderweg zijn om gegevens te beveiligen die van de ene locatie naar de andere worden verplaatst, meestal via een netwerkverbinding. U kunt verschillende methoden gebruiken om gegevens tijdens overdracht te versleutelen, afhankelijk van de aard van de verbinding. Azure biedt veel mechanismen voor het privé houden van gegevens tijdens de overdracht wanneer deze van de ene locatie naar de andere worden verplaatst.

Aanbevelingen

• Begrijpen hoe Microsoft data-at-rest versleutelt.

• Houd rekening met de functies van Oracle Advanced Security, waaronder TDE (Transparent Data Encryption) en het redaction van gegevens.

• Sleutels beheren met Oracle Key Vault. Als u Oracle TDE implementeert als een extra versleutelingslaag, moet u er rekening mee houden dat Oracle geen ondersteuning biedt voor Azure-oplossingen voor sleutelbeheer, zoals Azure Key Vault, of de sleutelbeheeroplossingen van andere cloudproviders. De standaardlocatie van Oracle Wallet bevindt zich in het bestandssysteem van de Oracle-database-VM. U kunt Oracle Key Vault echter gebruiken als oplossing voor sleutelbeheer in Azure. Zie Oracle Key Vault inrichten in Azure voor meer informatie.

• Begrijpen hoe Microsoft gegevens versleutelt die onderweg zijn.

• Overweeg het gebruik van de functie Oracle Native Network Encryption and Data Integrity. Zie Oracle Database Native Network Encryption and Data Integrity configureren voor meer informatie.

Audittrails voor Oracle Database integreren

Bewaking van toepassingslogboeken is essentieel voor het detecteren van beveiligingsbedreigingen op toepassingsniveau. Azure Sentinel is een cloudeigen SIEM-oplossing (Security Information and Event Management) die kan worden gebruikt om de beveiligingsgebeurtenissen van uw Oracle-workload te bewaken.

Zie Oracle Database Audit Connector voor Microsoft Sentinel voor meer informatie.

Aanbevelingen

• Gebruik de Microsoft Sentinel-oplossing voor Oracle Database-workloads. De auditconnector van Oracle Database maakt gebruik van een industriestandaard syslog-interface om auditrecords van Oracle Database op te halen en op te nemen in Azure Monitor-logboeken.

• Gebruik Azure Sentinel om controlerecords van toepassingen, de Azure-infrastructuur en gastbesturingssystemen te controleren.

Volgende stap

Workloads bewaken