原文链接:https://blog.pythian.com/what-is-oracle-data-safe-and-why-should-you-use-it/
作者:by Roy Salazar
Data Safe 是一项 Oracle 云基础设施 (OCI) 安全服务,从 11.2.0.4 版本开始,它提供了一组功能来保护 Oracle 数据库中的敏感和受监管数据,适用于标准版和企业版。
OCI 可以在数据库级别评估您的安全配置,提供最佳实践建议,类似于工具 DBSAT(数据库安全评估工具),但 Data Safe 还提供数据屏蔽(无需额外许可证)和审计等功能 - 所有这些都易于配置在 OCI 控制台中。它还可以安排定期自动运行,您可以设置基线、比较报告、检查评估历史记录以及下载 Excel 或 PDF 格式的建议。
这一关键的 Oracle 云工具可帮助您查找敏感数据,并遵守影响 Oracle 数据库中存储的信息的法规,无论是在本地还是云中,无论是在 Oracle 公有云 (OCI) 中,还是在第三方云供应商(如 AWS EC2 和 Microsoft Azure)中。包含数据保险箱,OCI 目标无需额外费用,非 OCI 目标将按月收费。
为什么保护敏感数据如此重要?
敏感数据是您希望避免公开的信息,因为它是私有的,并且发布它可能会导致伤害,例如身份盗用、欺诈、抢劫、业务中断、声誉风险和其他几种滥用,因此政府周围的world 已经制定了强制性法规,根据您的业务领域,这些法规可能要求您遵守。例如,自 2018 年 5 月起实施的欧盟通用数据保护条例 (GDPR)、2018 年加州消费者隐私法案 (CCPA),以及在过去五年中更新了许多行业标准,包括国际标准化组织 ( ISO) 27701 于 2019 年。
支付卡行业数据安全标准 (PCI DSS) 等其他标准详细说明了组织必须使用的具体控制措施,而其他标准则应用允许定制的概括。还有一些特定领域的合规性,例如健康保险流通与责任法案 (HIPAA),它涵盖了需要保护和保护患者医疗数据以及保护健康信息的实体。
尽管这些法律条文众多且种类繁多,但几乎所有法律都包含一组类似的保护敏感数据的要求。
最后但并非最不重要的一点是,行业报告称三分之一的攻击是由内部参与者(或“坏演员”)执行的,其中一半是在数据库上,所以现在你应该担心谁可以看到并改变你的环境,用于生产和非生产。
敏感数据种类示例:
您需要考虑的关键问题
安全和用户评估
- 您的数据库是否安全配置?
- 您是否有任何可能对您的数据库构成风险的高特权帐户?
- 您的配置策略是否存在差距?
- 你怎样才能最好地弥补这些差距?
敏感数据恢复
- 您拥有哪些类型的敏感数据?
- 您的数据库中存储了多少敏感数据?
- 您的敏感数据位于何处?
数据保护
如何在不暴露敏感数据的情况下有效地支持非生产环境和分析?
审计
- 您如何管理从各个服务器收集的审计数据?
- 您如何集中审计数据以简化报告和事件关联?
- 如何提醒您注意不当的用户活动?
自动化
您需要投入多少时间和精力才能通过手工完成以上所有项目?
现在,将 Data Safe 视为解决上述所有问题的解决方案,帮助您评估、保护和改善您的信息安全,提供快速可靠的服务,为您提供报告,如果需要,还可以设置带有警报的审计规则和还可以将您环境的真实数据转换为编辑或人工数据。这对于非生产、性能测试、分析和您的生命开发周期非常重要。
1、按照 3 个简单的步骤从您的 Oracle 云基础设施控制台开始使用 Data Safe
从导航菜单中,选择 Oracle Database,然后单击 Data Safe,您将看到“Enable Data Safe”按钮。您必须属于您的租户的管理员组或已定义的组,该组至少具有 Oracle Data Safe 的“管理”权限并且可以在租户内“检查组”
2、您将看到的下一个屏幕是选择要配置为由 Data Safe 评估的目标数据库类型。配置过程将由向导引导,选项有:
- 自治数据库(ATP、ADW)
- Oracle 云数据库(数据库系统:裸机、虚拟机、Exadata)
- 本地数据库(您的非云数据库,此选项有成本)
- 计算数据库(可以是 OCI 或非 Oracle 云,如 AWS 或 Azure)
3、使用向导注册目标时,它将指导您为 Data Safe 配置 OCI 连接,以便能够从您的数据库中读取数据,您可以使用 OCI 安全列表或 OCI 网络安全组,在启动向导之前,任一选项必须已经存在,因此您可以选择使用它,向导将添加所需的入口和出口规则,以便数据安全能够与目标通信。
在完成 Data Safe 的设置之前,您必须首先在数据库中执行两个重要步骤:
- 创建数据安全所需的服务帐户(用户 DataSafe_Admin,仅具有连接和资源等最低权限)以连接并执行提取其所需元数据所需的查询,用户“DataSafe_Admin”。不要使用 SYSTEM 或 SYSAUX 作为其默认表空间,因为您将无法屏蔽数据。
- 使用脚本“datasafe_privileges.sql”授予所需的角色(或者如果在自治数据库中则运行包“DS_TARGET_UTIL.GRANT_ROLE”)——该脚本由 OCI 数据安全注册向导提供(并且可以从该向导下载)。
- (可选)仅当您启用了 Database Vault 并希望使用数据屏蔽功能时,作为 DV_Owner 授予用户授权 ADMIN 用户“Oracle System”权限和角色“Management Real”,也以 ADMIN 用户身份连接并向 DS$ADMIN 用户授予“无限表空间”。
完成注册步骤后,Data Safe 将自动运行安全评估。
有关更多详细信息,请参阅“管理 Oracle 数据安全”手册:
https://www.modb.pro/doc/64785
作为参考,以下是从 Data Safe 到各种不同类型的目标数据库的连接方法的总结:
如果您的数据库具有公共 IP 地址,或者可以通过 Internet 网关从 Internet 访问,Data Safe 将 IP 称为“公共端点”。如果您的数据库在私有子网中有私有 IP 地址,则 Data Safe 将该 IP 称为“私有端点”。对于这种类型的目标,需要以下连接资源之一(您无需为数据库创建公共 IP 地址):
- Oracle 数据安全专用端点
- Oracle Data Safe On-Premises 连接器
3、完成注册后,最后一步是导航到 Data Safe 控制台并继续使用其模块并利用其所有功能。
转到:Oracle 数据库,然后是数据安全,然后单击“安全中心”
注意:
如果您是 OCI 上任何云数据库的付费订阅者,您可以免费使用这些数据库的 Data Safe。
每个目标数据库每月最多可以免费存储 100 万条审计记录。如果超出此限制,您可能会产生额外费用。
Oracle 已建立一些限制以防止滥用,请在此处找到更多信息:
https://docs.oracle.com/en/cloud/paas/data-safe/udscs/service-limits.html
在安全中心,您会发现:
- 安全评估:这是一种评估功能,可生成目标数据库安全性报告,它显示了从“高风险”到“低”和“评估”分类的几个项目 ,它还提供了风险的简要说明和参考安全标准或法规与建议相对应。
- 用户评估:这是基于您的目标数据库用户和架构的报告,根据上次更改密码的时间、上次用户登录的时间、个人资料、帐户状态、数据库版本等对风险进行分类。
- 数据发现:这是一个能够找到可能包含敏感数据的潜在模式、表和列的模块。它提供有关敏感数据在何处找到的详细报告,以便您可以查看并在需要时采取任何措施,例如,只需查看谁可以访问这些表或添加一些审计策略,或者在用户访问或更改此类重要数据时发出警报.
- 数据屏蔽:此模块可以与数据发现提供的敏感数据模型一起使用,并帮助您屏蔽或更改所有私有数据(例如,在从生产刷新的非生产环境的情况下,请注意,与本地环境不同,对于 OCI 目标,使用数据屏蔽功能不需要额外的许可证或高级安全选项)。
活动审计:是在目标数据库上启用审计策略的模块,请注意,12.2 之前版本的数据库不支持审计策略的配置和检索。配置允许您为您认为合适的事件设置警报。 - 警报:此空间显示基于活动审计模块产生的警报。
- 设置:显示数据安全的默认设置,包括全球付费使用(如果需要超过 100 万条审计记录,您可以允许额外收费,或者您可以禁用并停止审计以避免额外费用)。审计数据可以保留用于取证和合规目的,在线即时可用审计报告的保留期可以为 1 到 12 个月,或存档长达 82 个月,这些数据不是立即可用的,但可以在需要时在线检索。
以下是安全评估报告的一小部分示例供您参考(这是生成和下载的 .xls 格式的报告的一部分)。此示例来自开发/测试环境:
以下示例显示了用户评估输出的一部分(从图像中删除了一些信息):
结论
Oracle Data Safe 是一个强大的云工具,应该成为您所有 Oracle 数据库的数据安全策略的一部分。它对于确保遵守法规非常有价值。如果您将它用于基于 OCI 的目标,那么您可以完全免费运行它。与提供的价值相比,在本地(或针对第三方云数据库)运行它的成本较低,并且如果要手动执行相同的工作,则可以节省时间和精力。在 OCI 控制台中,数据安全的设置和执行非常简单且自动化。
如果仍不确定是否继续在您的租约中使用 Data Safe,请使用以下链接或二维码免费试用:
