欢迎访问深圳敏捷云计算科技有限公司!
这种参考架构突出了将Exadata和自治数据库连接到甲骨文数据安全的不同方式。它还描述了您需要采取的安全措施,以确保与特定目标数据库的连接安全部署。
甲骨文数据安全是一项完全集成的、专注于数据安全的区域性云服务。它为保护甲骨文数据库中的敏感和受规管数据提供了一个完整且集成的甲骨文云基础设施(OCI)功能集。
甲骨文数据安全为甲骨文自治数据库和在OCI中运行的数据库提供必要的安全服务。数据安全还支持本地数据库、甲骨文Exadata Cloud@Customer和多云部署。所有甲骨文数据库客户都可以通过使用数据安全来评估配置和用户风险、监控和审计用户活动、发现、分类和掩盖敏感数据,从而降低数据泄露的风险并简化合规性。
例如欧盟通用数据保护条例(GDPR)和加利福尼亚消费者隐私法案(CCPA)等合规法律要求公司保护客户的隐私。安全高效地运行多种托管数据库,管理这些数据的安全至关重要。甲骨文数据安全帮助您了解数据敏感性,评估对数据的风险,掩盖敏感数据,实施和监控安全控制,评估用户安全,监控用户活动,并应对数据安全合规要求。
在将数据库作为目标添加之后,数据安全识别、分类和优先考虑风险,并提供以下方面的全面评估报告:
数据安全有助于满足各种合规要求,例如识别敏感数据的位置、掩盖非生产用途的敏感数据、安全地捕获审计数据等。审计合规标准代表一组审计政策,有助于加速符合监管标准。它们还有助于评估您是否遵守数据库合规要求。在活动审计期间,可以启用以下两个审计合规标准政策来跟踪管理员活动:
除此之外,数据库还包含敏感和个人数据。以下不同的数据隐私法律和标准适用:
这些隐私法律要求您保护个人数据。数据掩码,也称为静态数据掩码,是将敏感数据永久替换为虚构的、看起来逼真的数据的过程。数据安全可以基于超过150个预定义的敏感数据类型发现和分类敏感数据。这也可以通过自定义数据类型进行扩展。
这种参考架构概述了以下目标数据库以及数据安全连接到这些数据库的方式:
这种参考架构仅讨论具有私有IP地址的数据库。从安全角度来看,不建议配置具有公共IP地址的数据库。
甲骨文Exadata数据库服务在甲骨文云基础设施(OCI)数据中心提供Exadata数据库机作为服务。
Exadata Cloud@Customer是一种托管服务,提供托管在本地数据中心的Exadata数据库服务。
Exadata数据库服务无需连接到本地网络,因为它部署在OCI上,因此可以直接使用私有端点。设置必要的连接后,可以使用向导将数据库配置为数据安全中的目标。
连接Exadata Cloud@Customer目标数据库有两个选项:
请注意,如图所示,一个出站的、持久的、安全的自动化隧道连接本地数据中心中的CPS基础设施和OCI区域中的甲骨文管理的管理员VCN,用于向VM集群发送云自动化命令。这是CPS基础设施的出站隧道,不能用于数据安全连接。有关更多信息,请参阅下方的“Exadata Cloud@Customer架构”链接。
Exadata Cloud@Customer环境由甲骨文通过甲骨文操作员访问控制(OpCtl)支持。OpCtl是一个OCI特权访问管理(PAM)服务,为客户提供了一种技术机制,以更好地控制甲骨文员工如何访问他们的Exadata Cloud@Customer(ExaC@C)基础设施。关于此的详细阅读,请参阅下方的甲骨文操作员访问控制链接。以下资源详细描述了架构和设置:
注意:请参阅下方的探索更多主题以获取这些资源的访问权限。
共享基础设施上的自治数据库可与数据安全一起使用。自治数据库可以通过向导注册,也可以通过从自治数据库详情页面单击一次进行注册。连接专用区域Cloud@Customer的自治数据库的步骤在数据安全文档的这一部分进行了讨论。
这些架构具有以下组件:
甲骨文自治事务处理是一种自驾、自保护、自修复的数据库服务,专为事务处理工作负载优化。您无需配置或管理任何硬件,也无需安装任何软件。甲骨文云基础设施负责创建数据库,以及备份、打补丁、升级和调优数据库。
甲骨文云基础设施区域是一个包含一个或多个数据中心的地理区域,这些数据中心称为可用性域。区域彼此独立,它们之间可能相隔很远(横跨国家甚至大洲)。
分区是甲骨文云基础设施租户内的跨区域逻辑分区。使用分区来组织甲骨文云中的资源,控制对资源的访问,并设置使用配额。要控制对给定分区中资源的访问,您需要定义策略,指定谁可以访问这些资源以及他们可以执行的操作。
可用性域是区域内的独立、独立的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,这提供了容错能力。可用性域不共享基础设施,如电力或冷却系统,或内部可用性域网络。因此,一个可用性域的故障不太可能影响该区域内其他可用性域。
故障域是可用性域内的硬件和基础设施分组。每个可用性域有三个独立的电力和硬件的故障域。当您在多个故障域中分配资源时,您的应用程序可以承受物理服务器故障、系统维护和故障域内的电力故障。
VCN是您在甲骨文云基础设施区域设置的可定制的、软件定义的网络。与传统数据中心网络一样,VCN让您完全控制您的网络环境。VCN可以拥有多个不重叠的CIDR块,您可以在创建VCN后更改它们。您可以将VCN划分为子网,这些子网可以限定在一个区域或一个可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。
甲骨文云基础设施负载均衡服务提供从单一入口点到后端多个服务器的自动流量分配。负载均衡器为不同的应用程序提供访问。
对于每个子网,您可以创建安全规则,指定必须允许进出子网的流量的来源、目的地和类型。
NAT网关使VCN中的私有资源能够访问互联网上的主机,而不会将这些资源暴露给传入的互联网连接。
服务网关提供从VCN到其他服务(如甲骨文云基础设施对象存储)的访问。从VCN到甲骨文服务的流量通过甲骨文网络结构传输,从不经过互联网。
您可以使用甲骨文云守卫来监控和维护甲骨文云基础设施中资源的安全。云守卫使用您可以定义的检测器配方来检查资源的安全弱点,并监控操作员和用户的风险活动。当检测到任何配置错误或不安全活动时,云守卫会推荐纠正措施,并根据您可以配置的响应者配方协助采取这些措施。
安全区域通过实施诸如加密数据和防止对网络的公共访问等政策,从一开始就确保遵循甲骨文的安全最佳实践,适用于整个分区。安全区域与同名的分区相关联,并包括适用于该分区及其子分区的安全区域政策或“配方”。您不能将标准分区添加或移动到安全区域分区。
对象存储提供对大量结构化和非结构化数据的快速访问,包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全地存储数据,然后直接从互联网或云平台内检索数据。您可以无缝地扩展存储,而不会经历性能下降或服务可靠性下降。对于您需要快速、立即和频繁访问的“热”存储,使用标准存储。对于您长时间保留并很少或几乎不访问的“冷”存储,使用归档存储。
甲骨文云基础设施FastConnect提供了一种简便的方法,用于创建您的数据中心与甲骨文云基础设施之间的专用、私有连接。FastConnect提供比基于互联网的连接更高的带宽选项和更可靠的网络体验。
LPG允许您在同一区域内将一个VCN与另一个VCN对等连接。对等连接意味着VCN使用私有IP地址通信,流量不通过互联网或通过您的本地网络路由。
自治事务处理提供了一个自驾、自保护、自修复的数据库服务,可以即时扩展以满足各种应用的需求:关键任务事务处理、混合事务和分析、物联网、JSON文档等。创建自治数据库时,您可以将其部署到三种类型的Exadata基础设施之一:
甲骨文自治数据仓库是一种自驾、自保护、自修复的数据库服务,专为数据仓库工作负载优化。您无需配置或管理任何硬件,也无需安装任何软件。甲骨文云基础设施负责创建数据库,以及备份、打补丁、升级和调优数据库。
甲骨文自治事务处理是一种自驾、自保护、自修复的数据库服务,专为事务处理工作负载优化。您无需配置或管理任何硬件,也无需安装任何软件。甲骨文云基础设施负责创建数据库,以及备份、打补丁、升级和调优数据库。
Exadata数据库服务使您能够在云中利用Exadata的强大功能。您可以配置灵活的X8M系统,随着需求增长,向系统添加数据库计算服务器和存储服务器。X8M系统提供RoCE(通过汇聚以太网的RDMA)网络,用于高带宽和低延迟,持久内存(PMEM)模块,以及智能Exadata软件。您可以使用相当于X8四分之一机架系统的形状来配置X8M或X9M系统,并在配置后的任何时候添加数据库和存储服务器。
在为您的本地和OCI部署的数据库实施甲骨文数据安全时,使用以下建议作为起点。您的需求可能与此处描述的架构不同。
安全
主动使用甲骨文云守卫来监控和维护甲骨文云基础设施中资源的安全。云守卫使用您可以定义的检测器配方来检查资源的安全弱点,并监控操作员和用户的风险活动;例如,云守卫提供一个检测器配方,可以在数据库未在数据安全中注册时发出警报。
对于需要最高安全的资源,甲骨文建议您使用安全区域。安全区域是与基于最佳实践的甲骨文定义的安全策略配方相关联的分区。例如,安全区域中的资源不得从公共互联网访问,并且必须使用客户管理的密钥进行加密。在安全区域中创建和更新资源时,甲骨文云基础设施会根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
克隆并自定义甲骨文提供的默认配方,以创建自定义的检测器和响应者配方。这些配方使您能够指定哪种类型的安全违规会生成警告,以及允许对其执行的操作。例如,您可能希望检测将可见性设置为公共的对象存储桶。
在租户级别应用云守卫,以覆盖最广泛的范围并减少维护多个配置的管理负担。
您还可以使用托管列表功能对检测器应用某些配置。
您可以使用NSGs定义一组适用于特定VNICs的入站和出站规则。我们建议使用NSGs而不是安全列表,因为NSGs使您能够将VCN的子网架构与应用程序的安全要求分离。
创建负载均衡器时,您可以选择提供固定带宽的预定义形状,或指定一个自定义(灵活)形状,在该形状中设置带宽范围,并让服务根据流量模式自动调整带宽。无论采用哪种方法,创建负载均衡器后,您都可以随时更改形状。
作为Oracle的高级合作伙伴,Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持,Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务,您可以迅速开启并享受Oracle云的全方位服务,从而无缝融入云端世界。
Agilewing的AgileCDN服务,结合了OCI的云基础服务,提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络,确保了无论您的业务扩展到全球哪个角落,都能保持高效稳定的运行。
利用Oracle云的先进技术,Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案,使他们能够更加专注于核心业务,同时享受Oracle云的高性能和安全保障。
Oracle云服务,作为一个充满潜力的领域,以其高性能、安全性和全球统一的服务标准,为各类企业开启了新的机遇之门。通过Agilewing的专业服务,无论是个人用户还是企业,都能轻松步入这个充满技术革新和高效能的新时代。现在,就让Agilewing引领您开始探索Oracle云服务,打开一个全新的世界大门。
如您想咨询 Oracle 的相关业务,可联系搜索微信号:lhh1843812463 或 woshiwhw123
或者可以进入以下群组进行咨询:
微信公众号
微信技术交流社群:
