-->
这种参考架构强调了您可以如何连接多云环境和甲骨文数据库服务Azure到甲骨文数据安全。它还描述了您需要采取的安全措施,以安全地部署与特定目标的连接。
甲骨文数据安全为甲骨文自治数据库和在OCI中运行的数据库提供必要的安全服务。数据安全还支持本地数据库、甲骨文Exadata Cloud@Customer和多云甲骨文数据库部署。所有甲骨文数据库客户都可以通过使用数据安全来评估配置和用户风险、监控和审计用户活动、发现、分类和掩盖敏感数据,从而降低数据泄露的风险并简化合规性。
例如欧盟通用数据保护条例(GDPR)和加利福尼亚消费者隐私法案(CCPA)等合规法律要求公司保护客户的隐私。甲骨文数据安全帮助您了解数据敏感性,评估对数据的风险,掩盖敏感数据,实施和监控安全控制,评估用户安全,监控用户活动,并解决数据安全合规要求。
在添加数据库作为目标之后,数据安全识别、分类和优先考虑风险,并就以下方面提供全面的评估报告:
数据安全有助于满足各种合规要求,例如识别敏感数据的位置、掩盖非生产用途的敏感数据、安全地捕获审计数据等。审计合规标准代表一组审计策略,有助于加速符合监管标准。它们还有助于评估您是否遵守数据库合规要求。在活动审计期间,可以启用两个审计合规标准策略来跟踪管理员活动:
审计追踪管理员活动。除此之外,数据库还包含敏感和个人数据。以下不同的数据隐私法律和标准适用:
这种参考架构概述了以下目标数据库和这些数据安全连接场景:
对于这里讨论的所有不同的数据安全部署,在您的租户中建议部署一个登陆区。以下资源提供了安全和合规的最佳实践、登陆区概念以及使用terraform脚本在甲骨文云基础设施上部署登陆区的信息:
注意:请参阅下面的探索更多主题,以获取这些资源的访问权限。
当甲骨文数据库部署在多云环境中时,它们可以被视为部署在本地的数据库。可以使用私有端点或本地连接器。以下图表显示了部署在例如AWS和/或微软Azure上的数据库的连接选项。任何可以托管甲骨文数据库的云提供商都可以在此设置中使用。通过使用私有端点
数据安全使用数据库服务(ODSA)连接到微软Azure中的数据库
将数据安全连接到甲骨文数据库服务为Azure(ODSA)的一部分的数据库,其方式与连接到其他基于OCI的数据库相同。然而,在使用ODSA服务时,有一些细节需要考虑。以下图表展示了ODSA的架构:
由于数据库在单独的ODSA分区中设置,可能需要对策略进行一些调整以访问这些资源。
使用甲骨文数据库服务为微软Azure(ODSA),数据库资源位于与微软Azure账户链接的OCI租户内。在OCI中,数据库和基础设施资源维护在ODSA分区中。这个分区在注册过程中自动为ODSA资源创建。ODSA多云网络链接(请参见图表)和账户链接也将在注册过程中设置。
ODSA的先决条件之一是您的租户必须支持身份域。此外,还需要检查区域可用性。需要在这些区域中配置ODSA数据库资源。
有关ODSA的更多信息,请参见下面的探索更多主题中的多云服务模型。这种架构具有以下组件:
租户是甲骨文在您注册OCI时在甲骨文云中设置的安全且隔离的分区。您可以在您的租户内的甲骨文云中创建、组织和管理您的资源。租户与公司或组织同义。通常,一家公司会有一个租户,并在该租户内反映其组织结构。单个租户通常与单个订阅相关联,而单个订阅通常只有一个租户。
甲骨文云基础设施区域是一个包含一个或多个数据中心的地理区域,这些数据中心称为可用性域。区域彼此独立,它们之间可能相隔很远(横跨国家甚至大洲)。
分区是甲骨文云基础设施租户内的跨区域逻辑分区。使用分区来组织甲骨文云中的资源,控制对资源的访问,并设置使用配额。要控制对给定分区中资源的访问,您需要定义策略,指定谁可以访问这些资源以及他们可以执行的操作。
可用性域是区域内的独立、独立的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,这提供了容错能力。可用性域不共享基础设施,如电力或冷却系统,或内部可用性域网络。因此,一个可用性域的故障不太可能影响该区域内其他可用性域。
故障域是可用性域内的硬件和基础设施分组。每个可用性域有三个故障域,拥有独立的电力和硬件。通过在多个故障域中分配资源,您的应用程序可以承受物理服务器故障、系统维护和故障域内的电力故障。
VCN是您在甲骨文云基础设施区域设置的可定制的、软件定义的网络。与传统数据中心网络一样,VCN让您完全控制您的网络环境。VCN可以拥有多个不重叠的CIDR块,您可以在创建VCN后更改它们。您可以将VCN划分为子网,这些子网可以限定在一个区域或一个可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。
甲骨文云基础设施负载均衡服务提供从单一入口点到后端多个服务器的自动流量分配。负载均衡器为不同的应用程序提供访问。
服务网关提供从VCN到其他服务(如甲骨文云基础设施对象存储)的访问。从VCN到甲骨文服务的流量通过甲骨文网络结构传输,从不经过互联网。
您可以使用甲骨文云守卫来监控和维护甲骨文云基础设施中资源的安全。云守卫使用您可以定义的检测器配方来检查资源的安全弱点,并监控操作员和用户的风险活动;例如,当您的租户中有一个未在数据安全中注册的数据库时,云守卫可以通知您。当检测到任何配置错误或不安全活动时,云守卫会推荐纠正措施,并根据您可以配置的响应者配方协助采取这些措施。
甲骨文云基础设施FastConnect提供了一种简便的方法,用于创建您的数据中心与甲骨文云基础设施之间的专用、私有连接。FastConnect提供比基于互联网的连接更高的带宽选项和更可靠的网络体验;例如,如果您的租户中有一个未在数据安全中注册的数据库,云守卫可以通知您。
自治事务处理提供了一个自驾、自保护、自修复的数据库服务,可以即时扩展以满足各种应用的需求:关键任务事务处理、混合事务和分析、物联网、JSON文档等。创建自治数据库时,您可以将其部署到三种类型的Exadata基础设施之一:
Exadata云服务使您能够在云中利用Exadata的强大功能。您可以配置灵活的X8M系统,随着需求增长,向系统添加数据库计算服务器和存储服务器。X8M系统提供RoCE(通过汇聚以太网的RDMA)网络,用于高带宽和低延迟,持久内存(PMEM)模块,以及智能Exadata软件。您可以使用相当于X8四分之一机架系统的形状来配置X8M或X9M系统,并在配置后的任何时候添加数据库和存储服务器。
当实施多云环境和ODSA的甲骨文数据安全时,使用以下建议作为起点。您的需求可能与此处描述的架构不同。
主动使用甲骨文云守卫来监控和维护甲骨文云基础设施中资源的安全。云守卫使用您可以定义的检测器配方来检查资源的安全弱点,并监控操作员和用户的风险活动。当检测到任何配置错误或不安全活动时,云守卫会推荐纠正措施,并根据您可以定义的响应者配方协助采取这些措施。
对于需要最高安全的资源,甲骨文建议您使用安全区域。安全区域是一个与基于最佳实践的甲骨文定义的安全策略配方相关联的分区。例如,安全区域中的资源不得从公共互联网访问,并且必须使用客户管理的密钥进行加密。在安全区域中创建和更新资源时,甲骨文云基础设施会根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。
克隆并自定义甲骨文提供的默认配方,以创建自定义的检测器和响应者配方。这些配方使您能够指定哪种类型的安全违规会生成警告,以及允许对其执行的操作。例如,您可能希望检测将可见性设置为公共的对象存储桶。
在租户级别应用云守卫,以覆盖最广泛的范围并减少维护多个配置的管理负担。
您还可以使用托管列表功能对检测器应用某些配置。
您可以使用NSGs定义一组适用于特定VNICs的入站和出站规则。我们建议使用NSGs而不是安全列表,因为NSGs使您能够将VCN的子网架构与应用程序的安全要求分离。
创建负载均衡器时,您可以选择提供固定带宽的预定义形状,或指定一个自定义(灵活)形状,在该形状中设置带宽范围,并让服务根据流量模式自动调整带宽。无论采用哪种方法,创建负载均衡器后,您都可以随时更改形状。
作为Oracle的高级合作伙伴,Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持,Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务,您可以迅速开启并享受Oracle云的全方位服务,从而无缝融入云端世界。
Agilewing的AgileCDN服务,结合了OCI的云基础服务,提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络,确保了无论您的业务扩展到全球哪个角落,都能保持高效稳定的运行。
利用Oracle云的先进技术,Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案,使他们能够更加专注于核心业务,同时享受Oracle云的高性能和安全保障。
Oracle云服务,作为一个充满潜力的领域,以其高性能、安全性和全球统一的服务标准,为各类企业开启了新的机遇之门。通过Agilewing的专业服务,无论是个人用户还是企业,都能轻松步入这个充满技术革新和高效能的新时代。现在,就让Agilewing引领您开始探索Oracle云服务,打开一个全新的世界大门。
如您想咨询 Oracle 的相关业务,可联系搜索微信号:lhh1843812463 或 woshiwhw123
或者可以进入以下群组进行咨询:
微信公众号
微信技术交流社群: