数据安全一直是大家所关心的问题,您的数据库是否符合国内及国际的安全标准?这恐怕是每个DBA经常要考虑的问题。Oracle Database在早先的版本就向大家提供Database Vault,Audit Vault,Database Firewall等数据库安全产品。今天我们向大家介绍一款已经支持Oracle Database 20c的Oracle公有云服务Oracle Data Safe。
Oracle Data Safe是一款简单易用功能强大的公有云服务,主要包括数据库安全评估、用户风险评估、用户活动审计与报告、敏感数据探索与数据遮蔽这五个主要功能。
Oracle Database 20c发布的同时,Data Safe就对这个新版数据库提供了很好的支持。我们今天就将之前为大家演示所使用的Oracle Database 20c注册到Oracle Data Safe当中。
第1步:登录Oracle公有云
在OCI左侧的菜单中,可以看到如下图红框所示的Data Safe按钮。
成功登录之后,您可以看到目前已经被管理的数据库,您可以按下方红色框中的按钮,来到Data Safe的控制台。
进入控制台之后,按照下图操作,首先点击Targets,然后点击“Register”,填入数据库的IP,端口,Service name以及登录用户名及口令即可完成注册。
如我们刚才所提到的,Data Safe主要有5个功能,我们首先来看第一个:安全评估。它能够从用户账户、权限与角色、鉴权控制、FGA控制、审计、加密与数据库配置等方面,全面评估当前数据库系统的安全性,下面我们就一步一步操作,看看当前的DB20c数据库的安全情况,需要注意的是,这里提到的安全评估不是产品本身的安全性,而是用户在使用数据库时是否做了很好的安全配置,比如大家经常使用sys用户作为业务用户登录,这应该不是数据库软件本身的问题,而是使用的问题。
登录Data Safe,对指定数据库做安全评估,本次对我们之前创建的DB20c数据库进行评估,请按照下图1-4所示进行操作。
一般只需要十几秒到几十秒,就可以看到如下图所示的成功界面。
我们通过观察报告可以看出,当前的系统当中存在1个高风险,1个中等风险以及7个低风险配置。
您可以将报告进行展开,比如我们现在看看关于数据库加密的情况,如下图所示:找到1个加密的表空间和4个没有加密的表空间。
我们也可以展开数据库配置看看,在数据库配置的第2项是数据库备份,这里显示风险较高,因为Data Safe没有找到90天内的数据库备份。
用户评估可以评估用户的权限与角色分配,是否存在安全隐患,以及显示用户密码的安全情况,是否有及时更新密码。同时,在这里也会显示用户最近的登录情况。
为了演示方便,我们创建一个用户叫做henry,然后给这个用户DBA角色,这很显然不是一个很好的选择,我们看看Data Safe在做用户评估的时候,是否能发现这个存在隐患的配置。
按照下图中1-4的顺序操作,我们对DB20c这个数据库进行评估。
评估的过程会很快,一般在不到一分钟的时间就可以完成,通过观察发现,Data Safe已经找到了我们不合理的配置,并将这个风险评级设定为高风险。
您可以点击这个条目来查看里面具体的情况。您将看到该用户的配置信息及权限授予情况。
如果您使用的是运行在公共网络上的云端数据库,各个国家都对运行在公网上的数据有要求,比如消费者的个资是不允许存储在公共网络上的,现在系统那么复杂,您的数据库是否有曝露个资的安全疑虑呢?Data Safe内含国际标准的数据安全法案检查规则,可以帮您的数据库做数据安全扫描,看看是否有不合适的数据存在其中,并提供数据遮蔽技术,消除信息泄露的安全隐患。首先按照下图1-4操作,对DB20c数据库进行敏感数据扫描。
您可以根据自己的需要,创建一个模型或者选择之前创建好的模型,也可以上传你事先制作好的安全验证模型。因为我们是第一次使用这项技术,所以我选择创建一个新的模型。
接下来选择对您数据库中哪些schema进行扫描,我选择对所有的业务数据schema进行扫描。
接下来设置扫描规则,您可以设定哪些数据是“敏感”的,这里为大家提供丰富的选项和各国的数据安全要求。
接下来等待扫描完成,扫描所用的时间是根据您数据库大小以及之前选择的schema的多寡决定的。当扫描完成之后,点击下图右下角的“Continue”查看具体的报告。
下图是具体的检查报告,显示当前数据库中的敏感信息数量及分布情况,点击右下角的“Report”查看图形报告。
如果您想对发现的敏感数据进行脱敏,可以直接点击右下角的蓝色按钮,这将来到数据遮蔽的界面。
数据遮蔽的技术,大家一定不会陌生,因为在之前的数据库版本中,就已经向大家提供了。需要注意的是,数据遮蔽的动作将修改数据库中的数据,所以不要对核心生产库使用数据遮蔽的功能,可以将生产库的数据同步出来,在对外服务的公网数据库使用数据遮蔽技术。按照下图所示1-4步骤进行操作,对我们的DB20c数据库做数据遮蔽的动作。
根据需要,选择遮蔽的对象以及数据遮蔽的方法,比如使用随机名字,随机日期等等。
选择数据遮蔽开始的时间,我们选择立即开始。
确认无误后,选择提交数据遮蔽的动作,如下图所示,系统告知大家不要对生产库做数据遮蔽的动作。
根据需要遮蔽的数据量不同,所消耗的时间也不同。当您看到下图所示的界面,表示遮蔽的动作已经完成。可以点击右下角的“Report”,查看数据遮蔽报告。
数据库的审计动作,十多年前就为大家做过介绍,Oracle也有很多种解决方案,无论是数据库自带的,还是Oracle专门的数据库审计产品,我想大家都不会陌生。Data Safe也集成了数据库活动审计的功能,而且界面友好,操作方便。
如下图1-4所示,选择我们的DB20c作为审计对象。
选择DB20c数据库,然后设定审计策略。
等待retrieval状态变为下图所示完成状态,点击右下角的“continue”按钮。
可以点击下方DB20c,然后对审计粒度进行设定
启动审计收集动作,如下图所示:
当看到下图所示界面,表示审计设定完毕。
我们来到数据库中使用hr用户登录,然后创建一个表,再插入一条记录,看看是否能够被记录下来。
来到Reports,然后我们看看登录状态,如下图所示,看到了我们刚才HR用户的登录信息。
我们来到Database Schema Changes,我们看到,刚才创建表的动作已经被审计记录了。
如您上面所看到的Data Safe已经可以对Database 20c进行管理与监控,今天的内容就到这里,感谢您的关注。
相关文章:
官宣:Oracle Database 20c(预览版)云端上线
Oracle Database 20c:In-Memory增强
扫描下方QR Code即刻预约ADW演示
编辑:殷海英
