原文鏈接:https://blog.pythian.com/what-is-oracle-data-safe-and-why-should-you-use-it/
作者:by Roy Salazar
Data Safe 是一項 Oracle 云基礎設施 (OCI) 安全服務,從 11.2.0.4 版本開始,它提供了一組功能來保護 Oracle 數據庫中的敏感和受監管數據,適用于標準版和企業版。
OCI 可以在數據庫級別評估您的安全配置,提供最佳實踐建議,類似于工具 DBSAT(數據庫安全評估工具),但 Data Safe 還提供數據屏蔽(無需額外許可證)和審計等功能 - 所有這些都易于配置在 OCI 控制臺中。它還可以安排定期自動運行,您可以設置基線、比較報告、檢查評估歷史記錄以及下載 Excel 或 PDF 格式的建議。
這一關鍵的 Oracle 云工具可幫助您查找敏感數據,并遵守影響 Oracle 數據庫中存儲的信息的法規,無論是在本地還是云中,無論是在 Oracle 公有云 (OCI) 中,還是在第三方云供應商(如 AWS EC2 和 Microsoft Azure)中。包含數據保險箱,OCI 目標無需額外費用,非 OCI 目標將按月收費。
為什么保護敏感數據如此重要?
敏感數據是您希望避免公開的信息,因為它是私有的,并且發布它可能會導致傷害,例如身份盜用、欺詐、搶劫、業務中斷、聲譽風險和其他幾種濫用,因此政府周圍的world 已經制定了強制性法規,根據您的業務領域,這些法規可能要求您遵守。例如,自 2018 年 5 月起實施的歐盟通用數據保護條例 (GDPR)、2018 年加州消費者隱私法案 (CCPA),以及在過去五年中更新了許多行業標準,包括國際標準化組織 ( ISO) 27701 于 2019 年。
支付卡行業數據安全標準 (PCI DSS) 等其他標準詳細說明了組織必須使用的具體控制措施,而其他標準則應用允許定制的概括。還有一些特定領域的合規性,例如健康保險流通與責任法案 (HIPAA),它涵蓋了需要保護和保護患者醫療數據以及保護健康信息的實體。
盡管這些法律條文眾多且種類繁多,但幾乎所有法律都包含一組類似的保護敏感數據的要求。
最后但并非最不重要的一點是,行業報告稱三分之一的攻擊是由內部參與者(或“壞演員”)執行的,其中一半是在數據庫上,所以現在你應該擔心誰可以看到并改變你的環境,用于生產和非生產。
敏感數據種類示例:
您需要考慮的關鍵問題
安全和用戶評估
- 您的數據庫是否安全配置?
- 您是否有任何可能對您的數據庫構成風險的高特權帳戶?
- 您的配置策略是否存在差距?
- 你怎樣才能最好地彌補這些差距?
敏感數據恢復
- 您擁有哪些類型的敏感數據?
- 您的數據庫中存儲了多少敏感數據?
- 您的敏感數據位于何處?
數據保護
如何在不暴露敏感數據的情況下有效地支持非生產環境和分析?
審計
- 您如何管理從各個服務器收集的審計數據?
- 您如何集中審計數據以簡化報告和事件關聯?
- 如何提醒您注意不當的用戶活動?
自動化
您需要投入多少時間和精力才能通過手工完成以上所有項目?
現在,將 Data Safe 視為解決上述所有問題的解決方案,幫助您評估、保護和改善您的信息安全,提供快速可靠的服務,為您提供報告,如果需要,還可以設置帶有警報的審計規則和還可以將您環境的真實數據轉換為編輯或人工數據。這對于非生產、性能測試、分析和您的生命開發周期非常重要。
1、按照 3 個簡單的步驟從您的 Oracle 云基礎設施控制臺開始使用 Data Safe
從導航菜單中,選擇 Oracle Database,然后單擊 Data Safe,您將看到“Enable Data Safe”按鈕。您必須屬于您的租戶的管理員組或已定義的組,該組至少具有 Oracle Data Safe 的“管理”權限并且可以在租戶內“檢查組”
2、您將看到的下一個屏幕是選擇要配置為由 Data Safe 評估的目標數據庫類型。配置過程將由向導引導,選項有:
- 自治數據庫(ATP、ADW)
- Oracle 云數據庫(數據庫系統:裸機、虛擬機、Exadata)
- 本地數據庫(您的非云數據庫,此選項有成本)
- 計算數據庫(可以是 OCI 或非 Oracle 云,如 AWS 或 Azure)
3、使用向導注冊目標時,它將指導您為 Data Safe 配置 OCI 連接,以便能夠從您的數據庫中讀取數據,您可以使用 OCI 安全列表或 OCI 網絡安全組,在啟動向導之前,任一選項必須已經存在,因此您可以選擇使用它,向導將添加所需的入口和出口規則,以便數據安全能夠與目標通信。
在完成 Data Safe 的設置之前,您必須首先在數據庫中執行兩個重要步驟:
- 創建數據安全所需的服務帳戶(用戶 DataSafe_Admin,僅具有連接和資源等最低權限)以連接并執行提取其所需元數據所需的查詢,用戶“DataSafe_Admin”。不要使用 SYSTEM 或 SYSAUX 作為其默認表空間,因為您將無法屏蔽數據。
- 使用腳本“datasafe_privileges.sql”授予所需的角色(或者如果在自治數據庫中則運行包“DS_TARGET_UTIL.GRANT_ROLE”)——該腳本由 OCI 數據安全注冊向導提供(并且可以從該向導下載)。
- (可選)僅當您啟用了 Database Vault 并希望使用數據屏蔽功能時,作為 DV_Owner 授予用戶授權 ADMIN 用戶“Oracle System”權限和角色“Management Real”,也以 ADMIN 用戶身份連接并向 DS$ADMIN 用戶授予“無限表空間”。
完成注冊步驟后,Data Safe 將自動運行安全評估。
有關更多詳細信息,請參閱“管理 Oracle 數據安全”手冊:
http://www.sunline.cc/doc/64785
作為參考,以下是從 Data Safe 到各種不同類型的目標數據庫的連接方法的總結:
如果您的數據庫具有公共 IP 地址,或者可以通過 Internet 網關從 Internet 訪問,Data Safe 將 IP 稱為“公共端點”。如果您的數據庫在私有子網中有私有 IP 地址,則 Data Safe 將該 IP 稱為“私有端點”。對于這種類型的目標,需要以下連接資源之一(您無需為數據庫創建公共 IP 地址):
- Oracle 數據安全專用端點
- Oracle Data Safe On-Premises 連接器
3、完成注冊后,最后一步是導航到 Data Safe 控制臺并繼續使用其模塊并利用其所有功能。
轉到:Oracle 數據庫,然后是數據安全,然后單擊“安全中心”
注意:
如果您是 OCI 上任何云數據庫的付費訂閱者,您可以免費使用這些數據庫的 Data Safe。
每個目標數據庫每月最多可以免費存儲 100 萬條審計記錄。如果超出此限制,您可能會產生額外費用。
Oracle 已建立一些限制以防止濫用,請在此處找到更多信息:
https://docs.oracle.com/en/cloud/paas/data-safe/udscs/service-limits.html
在安全中心,您會發現:
- 安全評估:這是一種評估功能,可生成目標數據庫安全性報告,它顯示了從“高風險”到“低”和“評估”分類的幾個項目 ,它還提供了風險的簡要說明和參考安全標準或法規與建議相對應。
- 用戶評估:這是基于您的目標數據庫用戶和架構的報告,根據上次更改密碼的時間、上次用戶登錄的時間、個人資料、帳戶狀態、數據庫版本等對風險進行分類。
- 數據發現:這是一個能夠找到可能包含敏感數據的潛在模式、表和列的模塊。它提供有關敏感數據在何處找到的詳細報告,以便您可以查看并在需要時采取任何措施,例如,只需查看誰可以訪問這些表或添加一些審計策略,或者在用戶訪問或更改此類重要數據時發出警報.
- 數據屏蔽:此模塊可以與數據發現提供的敏感數據模型一起使用,并幫助您屏蔽或更改所有私有數據(例如,在從生產刷新的非生產環境的情況下,請注意,與本地環境不同,對于 OCI 目標,使用數據屏蔽功能不需要額外的許可證或高級安全選項)。
活動審計:是在目標數據庫上啟用審計策略的模塊,請注意,12.2 之前版本的數據庫不支持審計策略的配置和檢索。配置允許您為您認為合適的事件設置警報。 - 警報:此空間顯示基于活動審計模塊產生的警報。
- 設置:顯示數據安全的默認設置,包括全球付費使用(如果需要超過 100 萬條審計記錄,您可以允許額外收費,或者您可以禁用并停止審計以避免額外費用)。審計數據可以保留用于取證和合規目的,在線即時可用審計報告的保留期可以為 1 到 12 個月,或存檔長達 82 個月,這些數據不是立即可用的,但可以在需要時在線檢索。
以下是安全評估報告的一小部分示例供您參考(這是生成和下載的 .xls 格式的報告的一部分)。此示例來自開發/測試環境:
以下示例顯示了用戶評估輸出的一部分(從圖像中刪除了一些信息):
結論
Oracle Data Safe 是一個強大的云工具,應該成為您所有 Oracle 數據庫的數據安全策略的一部分。它對于確保遵守法規非常有價值。如果您將它用于基于 OCI 的目標,那么您可以完全免費運行它。與提供的價值相比,在本地(或針對第三方云數據庫)運行它的成本較低,并且如果要手動執行相同的工作,則可以節省時間和精力。在 OCI 控制臺中,數據安全的設置和執行非常簡單且自動化。
如果仍不確定是否繼續在您的租約中使用 Data Safe,請使用以下鏈接或二維碼免費試用:
