Azure Sanal Makineler giriş bölgesi hızlandırıcısı üzerinde Oracle iş yükleri için güvenlik yönergeleri

Bu makalede, Azure Sanal Makineler giriş bölgesi hızlandırıcısında Oracle iş yüklerinin yaşam döngülerinin her aşamasında güvenli bir şekilde nasıl çalıştırıldığı açıklanmaktadır. Makalede belirli tasarım bileşenleri ele alınmaktadır ve Oracle iş yükleri için hizmet olarak Azure altyapısı (IaaS) güvenliği hakkında odaklanmış öneriler sağlanmaktadır.

Genel bakış

Güvenlik, tüm mimariler için gereklidir. Azure, Oracle iş yükünüzün güvenliğini etkili bir şekilde sağlamanıza yardımcı olacak kapsamlı bir araç yelpazesi sunar. Bu makalenin amacı, Sanal Makineler dağıtılan Oracle uygulama iş yükleriyle ilgili Azure denetim düzlemi için güvenlik önerileri sağlamaktır. Oracle Database içindeki güvenlik önlemleriyle ilgili ayrıntılı bilgi ve uygulama yönergeleri için bkz . Oracle Veritabanı güvenlik kılavuzu.

Çoğu veritabanı hassas verileri depolar. Yalnızca veritabanı düzeyinde güvenlik uygulamak, bu iş yüklerini dağıttığınız mimarinin güvenliğini sağlamak için yeterli değildir. Derinlemesine savunma, verileri korumak için birden çok savunma mekanizması katmanı uygulayan kapsamlı bir güvenlik yaklaşımıdır. Derinlemesine savunma stratejisi, yalnızca ağ güvenlik mekanizmalarına odaklanmak gibi belirli bir düzeyde tek bir güvenlik önlemine güvenmek yerine, güçlü bir güvenlik duruşu oluşturmak için farklı katman güvenlik önlemlerinin bir bileşimini kullanır. Güçlü bir kimlik doğrulama ve yetkilendirme çerçevesi, sağlamlaştırılmış ağ güvenliği ve bekleyen verilerin ve aktarımdaki verilerin şifrelenmesini kullanarak Oracle iş yükleri için derinlemesine savunma yaklaşımının mimarisini oluşturabilirsiniz.

Oracle iş yüklerini Azure'da IaaS bulut modeli olarak dağıtabilirsiniz. Hem bulut sağlayıcısına hem de müşteriye atanan belirli görevleri ve sorumlulukları daha net anlamak için paylaşılan sorumluluk matrisini yeniden ziyaret edin. Daha fazla bilgi için bkz . Bulutta paylaşılan sorumluluk.

Güvenlik önlemlerinizin değişen tehdit ortamıyla uyumlu olduğundan emin olmak için kullandığınız hizmetleri ve teknolojileri düzenli aralıklarla değerlendirmeniz gerekir.

Merkezi kimlik yönetimini kullanma

Kimlik yönetimi, önemli kaynaklara erişimi yöneten temel bir çerçevedir. Geçici stajyerler, yarı zamanlı çalışanlar veya tam zamanlı çalışanlar gibi farklı personel türleriyle çalıştığınızda kimlik yönetimi kritik hale gelir. Bu personel, izlenmesi, korunması ve gerektiğinde derhal iptal edilmesi gereken farklı erişim düzeylerine ihtiyaç duyar. Oracle iş yükleriniz için dikkate almanız gereken dört farklı kimlik yönetimi kullanım örneği vardır ve her kullanım örneği için farklı bir kimlik yönetimi çözümü gerekir.

• Oracle uygulamaları: Kullanıcılar, çoklu oturum açma (SSO) aracılığıyla yetkilendirildikten sonra kimlik bilgilerini yeniden girmeden Oracle uygulamalarına erişebilir. Oracle uygulamalarına erişmek için Microsoft Entra ID tümleştirmesini kullanın. Aşağıdaki tabloda her Oracle çözümü için desteklenen SSO stratejisi listelenmektedir.

  Oracle uygulaması	Belgeye bağlantı
  E-Business Suite (EBS)	EBS R12.2 için SSO'yu etkinleştirme
  JD Edwards (JDE)	JDE SSO'sını ayarlama
  PeopleSoft	PeopleSoft için SSO'nun etkinleştirilmesi
  Hyperion	Oracle destek belgesi #2144637.1
  Siebel	Oracle destek belgesi #2664515.1

• İşletim sistemi (işletim sistemi) düzeyinde güvenlik: Oracle iş yükleri Linux işletim sisteminin veya Windows işletim sisteminin farklı değişkenlerinde çalıştırılabilir. Kuruluşlar, Windows ve Linux sanal makinelerini (VM) Microsoft Entra Id ile tümleştirerek Azure'da güvenliklerini geliştirebilir. Daha fazla bilgi için bkz.

  • Microsoft Entra ID ve OpenSSH kullanarak Azure'da bir Linux VM'de oturum açın.
    • Temmuz 2023 itibarıyla Oracle Linux (OL) ve Red Hat Enterprise Linux (RHEL) %100 ikili uyumlu olduğundan RHEL ile ilgili tüm yönergeler OL için geçerlidir.
    • Temmuz 2023 itibarıyla IBM, RHEL kaynak kodunu açıkça paylaşmayı durdurdu. OL ve RHEL gelecekte farklı olabilir ve bu da önceki deyimi geçersiz kılacaktır.
  • Microsoft Entra Id kullanarak Azure'da bir Windows VM'sinde oturum açın.

• Kimlik bilgilerini depolamak için Azure Key Vault: Key Vault, parolalar ve veritabanı bağlantı dizesi gibi gizli dizilerin güvenliğini sağlamak için kullanabileceğiniz bulut uygulamaları ve hizmetleri için güçlü bir araçtır. Hem Windows hem de Linux VM'lerinin kimlik bilgilerini işletim sisteminden bağımsız olarak merkezi ve güvenli bir şekilde depolamak için Key Vault'u kullanabilirsiniz.

  • Key Vault kullanarak kimlik bilgilerini kod veya yapılandırma dosyalarınızın içinde düz metin olarak depolama gereğini önleyebilirsiniz. Uygulamanıza ek bir güvenlik katmanı ekleyen ve VM'lerinize yetkisiz erişimi önlemeye yardımcı olan çalışma zamanında Key Vault'tan kimlik bilgilerini alabilirsiniz. Key Vault, Sanal Makineler gibi diğer Azure hizmetleriyle sorunsuz bir şekilde tümleştirilir ve Microsoft Entra Id kullanarak Key Vault'a erişimi denetleyebilirsiniz. Bu işlem yalnızca yetkili kullanıcıların ve uygulamaların depolanan kimlik bilgilerine erişebilmesini sağlar.

• Sağlamlaştırılmış işletim sistemi görüntüleri: Azure'da Windows veya Linux için İnternet Güvenliği Merkezi (CIS) sağlamlaştırılmış görüntüsünün birden çok avantajı vardır. CIS karşılaştırmaları , BT sistemlerinin ve verilerinin güvenliğini sağlamaya yönelik en iyi yöntemler olarak küresel olarak kabul edilir. Bu görüntüler, CIS'nin güvenlik önerilerini karşılamak için önceden yapılandırılmıştır ve bu da işletim sistemini sağlamlaştırmada zaman ve çaba tasarrufu sağlayabilir. Sağlamlaştırılmış işletim sistemi görüntüleri, kuruluşların güvenlik duruşlarını geliştirmelerine ve Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Çevre Birimi Bileşen Bağlantısı (PCI) gibi güvenlik çerçevelerine uymalarına yardımcı olabilir.

İşletim sistemini sağlamlaştırma

Oracle veritabanına saldırmak için kötüye kullanılabilecek güvenlik açıklarını ortadan kaldırmak için işletim sisteminin sağlamlaştırıldığından emin olun.

• Parolalar yerine Linux hesabı erişimi için Secure Shell (SSH) anahtar çiftlerini kullanın.
• Parola korumalı Linux hesaplarını devre dışı bırakın ve yalnızca kısa bir süre için istek üzerine etkinleştirin.
• Ayrıcalıklı Linux hesapları (kök veya Oracle) için oturum açma erişimini devre dışı bırakın. Bu, yalnızca kişiselleştirilmiş hesaplara oturum açma erişimi sağlar.
• Doğrudan oturum açma erişimi yerine, kişiselleştirilmiş hesaplardan ayrıcalıklı Linux hesaplarına erişim vermek için sudo kullanın.
• Linux SYSLOG yardımcı programını kullanarak Azure İzleyici Günlükleri'nde Linux denetim izi günlüklerini ve sudo erişim günlüklerini yakalayın.
• Yalnızca güvenilir kaynaklardan düzenli olarak güvenlik yamaları ve işletim sistemi düzeltme ekleri veya güncelleştirmeler uygulayın.
• İşletim sistemine erişimi sınırlamak için kısıtlamalar uygulayın.
• Sunucuya yetkisiz erişimi kısıtlayın.
• Genel güvenliği artırmak için ağ düzeyinde sunucu erişimini denetleyin.
• Azure ağ güvenlik gruplarına (NSG) ek olarak yerel koruma için Linux güvenlik duvarı daemon'unu kullanmayı göz önünde bulundurun.
• Linux güvenlik duvarı daemon'ını başlangıçta otomatik olarak çalışacak şekilde yapılandırın.
• Olası erişim noktalarını anlamak için dinlenmekte olan ağ bağlantı noktalarını tarayın ve bu bağlantı noktalarına erişimi Azure NSG'lerinin veya Linux güvenlik duvarı daemon'unun denetleyildiğinden emin olun. Bağlantı noktalarını bulmak için Linux komutunu netstat –l kullanın.
• Geri alınamaz bir komut gerçekleştirilmeden önce en az bir kez istenmesi için bunları etkileşimli moda zorlamak için ve mvgibi rm zararlı olabilecek Linux komutlarını diğer adla kullanın. İleri düzey kullanıcılar gerekirse bir unalias komutu çalıştırabilir.
• Oracle veritabanı birleşik sistem günlüklerini, Linux SYSLOG yardımcı programını kullanarak Oracle denetim günlüklerinin kopyalarını Azure İzleyici Günlüklerine gönderecek şekilde yapılandırın.

Ağ güvenliğini kullanma

Ağ güvenliği, Azure'da Oracle iş yükleri için katmanlı güvenlik yaklaşımının temel bileşenidir.

• NSG'leri kullanma: Azure sanal ağındaki Azure kaynakları arasındaki ağ trafiğini filtrelemek için Azure NSG kullanabilirsiniz. NSG, Azure kaynaklarına gelen ağ trafiğine veya Azure kaynaklarından giden ağ trafiğine izin veren veya reddeden güvenlik kuralları içerir. NSG'ler, IP adresi aralıklarını ve belirli bağlantı noktalarını kullanarak şirket içi ağlardan Azure'a ve Azure'dan gelen trafiği filtreleyebilir. Daha fazla bilgi için bkz . Ağ güvenlik grubu.

  Aşağıdaki tabloda Oracle veritabanı VM'leri için gelen bağlantı noktası atamaları listelenir:

  Protokol	Bağlantı noktası numarası	Service name	Yorum
  TCP	22	SSH	Linux VM'leri için yönetim bağlantı noktası
  TCP	1521	Oracle TNS dinleyicisi	Güvenlik veya bağlantı yükü dengeleme amacıyla sık kullanılan diğer bağlantı noktası numaraları
  TCP	3389	RDP	Windows VM'leri için yönetim bağlantı noktası

• VM'nize nasıl bağlanılacağına karar verin: Oracle veritabanı iş yükünün bulunduğu VM'nin yetkisiz erişime karşı güvenliği sağlanmalıdır. Yönetim kullanıcıları için gereken yüksek izinler nedeniyle yönetim erişimi hassastır. Azure'da, yetkili kullanıcıların VM'yi güvenli bir şekilde yönetmek için kullanabileceği çeşitli mekanizmaları vardır.

  • Bulut için Microsoft Defender'nin tam zamanında (JIT) erişimi, VM'nizdeki yönetim bağlantı noktalarına erişmek için zaman sınırlı fırsatlar sağlamak için Azure'ın ağ güvenlik mekanizmalarını akıllı bir şekilde kullanır.
  • Azure Bastion , Azure'da dağıttığınız bir hizmet olarak platform (PaaS) çözümüdür. Azure Bastion bir atlama kutusu barındırıyor.

Oracle veritabanı VM'nizin yönetimini güvenli bir şekilde sağlamak için her iki çözümü de kullanabilirsiniz. İsterseniz, gelişmiş çok katmanlı bir yaklaşım için her iki çözümü de birleştirebilirsiniz.

Genel olarak, JIT erişimi SSH veya RDP için yönetim bağlantı noktalarının kullanılabilir olduğu zamanları kısıtlayarak risklere maruz kalma süresini en aza indirir ancak ortadan kaldırmaz. JIT, elde edilen bir JIT penceresi sırasında diğer oturumlar tarafından erişim olasılığını açık bırakır. Bu tür tailgaters yine de kullanıma sunulan SSH veya RDP bağlantı noktalarını geçmelidir, bu nedenle maruz kalma riski küçüktür. Ancak bu tür maruz kalmalar, açık İnternet'ten erişimi engellemek için JIT erişimini daha az makul hale getirebilir.

Azure Bastion, açık İnternet'ten erişimi önlemeye yardımcı olan sağlamlaştırılmış bir atlama kutusudur. Ancak Azure Bastion'da göz önünde bulundurmanız gereken çok sayıda sınırlama vardır.

• X-Windows ve Sanal Ağ ing Computing (VNC) kullanın: Oracle veritabanı yazılımı genellikle X-Windows kullanmanızı gerektirir çünkü Azure'daki Linux VM ile masaüstü veya dizüstü bilgisayarınız arasındaki bağlantı güvenlik duvarları ve Azure NSG'ler arasında geçiş yapamayabilir. Bu nedenle, SSH aracılığıyla X-Windows veya VNC bağlantılarına tünel açmak için SSH bağlantı noktası iletmeyi kullanmalısınız. parametresini -L 5901:localhost:5901 kullanan bir örnek için bkz . VNC istemcisi açma ve dağıtımınızı test edin.

• Bulutlar arası bağlantı seçenekleri: Azure'da çalışan Oracle veritabanı iş yükleri ile Oracle Bulut Altyapısı'ndaki (OCI) iş yükleri arasında bağlantıyı etkinleştirin. Azure'daki belirli bölgeler ile OCI arasındaki Azure veya OCI bağlantısını kullanarak uygulamalar arasında özel bağlantılar veya işlem hatları oluşturabilirsiniz. Daha fazla bilgi için bkz . Azure ile Oracle Bulut Altyapısı arasında doğrudan bağlantı kurma. Bu makale, Azure veya OCI bağlantısının her iki tarafında güvenlik duvarı oluşturulmasını kapsamaz. Bu, genellikle bulutlar arasında herhangi bir giriş veya çıkış için bir gereksinimdir. Bu yaklaşım, Microsoft Sıfır Güven ağ önerilerini devreye alır.

Azure ilke tabanlı güvenlik

Sanal Makineler giriş bölgesi hızlandırıcısında Oracle iş yükleri için belirli yerleşik Azure ilke tanımları yoktur. Ancak Azure İlkesi VM'ler, depolama ve ağ dahil olmak üzere Azure'da herhangi bir Oracle çözümü tarafından kullanılan temel kaynaklar için kapsamlı bir kapsam sunar. Daha fazla bilgi için bkz. yerleşik ilke tanımlarını Azure İlkesi.

Ayrıca, kuruluşunuzun açığı kapatma gereksinimlerini karşılamak için özel ilkeler oluşturabilirsiniz. Örneğin, depolama şifrelemesini zorunlu kılmak, NSG kurallarını yönetmek veya bir Oracle VM'sine genel IP adresi atamasını yasaklama amacıyla özel Oracle ilkeleri kullanın.

Verileri depolamak için şifreleme kullanma

• Aktarımdaki verileri şifreleme: Bir konumdan diğerine ve genellikle bir ağ bağlantısı üzerinden taşınan verilerin durumu için geçerlidir. Aktarımdaki veriler, bağlantının yapısına bağlı olarak çeşitli yollarla şifrelenebilir. Varsayılan olarak, Azure veri merkezlerinin içindeki aktarımdaki veriler için veri şifrelemeyi el ile etkinleştirmeniz gerekir. Azure belgelerinde daha fazla bilgi için bkz . Aktarımdaki verilerin şifrelenmesini sağlama.

  • Oracle yerel ağ şifrelemesi ve veri bütünlüğü özelliklerini kullanmanızı öneririz. Daha fazla bilgi için bkz . Oracle veritabanı yerel ağ şifrelemesini ve veri bütünlüğünü yapılandırma.

• Bekleyen verileri şifreleme: Bekleyen verileri depolama alanına yazılırken de korumanız gerekir. Gizli veriler, kullanım sırasında depolama medyası kaldırıldığında veya erişildiğinde kullanıma sunuluyor veya değiştirilebilir. Bu nedenle veriler yalnızca yetkili ve kimliği doğrulanmış kullanıcıların görüntüleyebilmesini veya değiştirebilmesini sağlamak için şifrelenmelidir. Azure bekleyen üç şifreleme katmanı sağlar.

  • Depolama hizmeti tarafı şifrelemesi ile herhangi bir Azure Depolama cihazında kalıcı hale getirildiğinde tüm veriler en düşük düzeyde şifrelenir. Hizmet tarafı şifrelemesi, bir Azure kiracısı depolamayı kullanmayı bitirdiğinde depolama medyasını silmenin veya yok etmenin gerekli olmamasını sağlar. Platform tarafından yönetilen anahtar atılırsa bekleyen her zaman şifrelenmiş veriler kalıcı olarak kaybolabilir. Hizmet tarafı şifrelemesi, depolamadan tüm verileri silmeye çalışmaktan daha hızlı ve daha güvenlidir.
  • Azure ayrıca, platform tarafından yönetilen iki ayrı anahtar kullanan Depolama altyapısı şifrelemesini kullanarak Depolama altyapısı içinde depolanan verileri çift şifreleme fırsatı sunar.
  • Ayrıca Azure disk şifrelemesi, konuk işletim sistemi (Windows için BitLocker ve Linux için DM-CRYPT) içinde yönetilen bekleyen şifreleme verileridir.

Depolama altyapısı, bekleyen şifrelemede en fazla üç olası veri katmanına sahiptir. Oracle Advanced Security seçeneğiniz varsa Oracle veritabanı, saydam veri şifrelemesi (TDE) ile veritabanı dosyalarını şifreleyebilir ve bekleyen başka bir şifreleme düzeyi sağlayabilir.

Oracle Advanced Security seçeneği, dinamik veri maskeleme biçimi olan veri yeniden oluşturma adlı bir özellik de sunar. Veritabanı verileri aldığında, depolanan veri değerini değiştirmeden veri değerini maskeler.

Bekleyen bu birden çok şifreleme katmanı, derinlemesine savunma tanımını temsil eden bir katmandır. Bazı nedenlerden dolayı bekleyen şifreleme biçimlerinden biri tehlikeye atılırsa, verileri korumak için başka şifreleme katmanları da vardır.

• Anahtarları yönetme: Oracle TDE'yi başka bir şifreleme katmanı olarak uygularsanız, Oracle'ın Azure veya diğer bulut sağlayıcıları tarafından sağlanan Key Vault gibi yerel anahtar yönetimi çözümlerini desteklemediğini unutmayın. Bunun yerine, Oracle cüzdan için varsayılan konum Oracle veritabanı VM'sinin dosya sistemi içindedir.

Daha fazla bilgi için Azure anahtar yönetimi çözümü olarak Oracle Key Vault'un nasıl kullanılacağını öğrenmek için bkz. Azure'da Oracle Key Vault sağlama.

Denetim izlerini tümleştirme

Uygulama günlüğü izleme, uygulama düzeyinde güvenlik tehditlerini algılamak için gereklidir. Oracle Veritabanı iş yükleri için Microsoft Sentinel çözümünü kullanın. Oracle Veritabanı denetim bağlayıcısı, endüstri standardı bir SYSLOG arabirimi kullanarak tüm Oracle veritabanı denetim kayıtlarını alır ve Azure İzleyici Günlüklerine alır. Bu işlem, bu kayıtların Azure altyapı denetim kayıtları ve konuk işletim sistemi (Linux veya Windows) denetim kayıtlarıyla birlikte gözden geçirilmesine izin verir. Microsoft Sentinel çözümü, Linux veya Windows VM üzerinde çalışan Oracle iş yükünüz için oluşturulmuş buluta özel bir güvenlik bilgileri ve olay yönetimi (SIEM) çözümüdür. Daha fazla bilgi için bkz . Microsoft Sentinel için Oracle veritabanı denetim bağlayıcısı.

Sonraki adım

Azure'da Oracle iş yüklerine yönelik kapasite gereksinimlerini planlamayı anlamak için bkz . Oracle iş yüklerini Azure giriş bölgelerine geçirmek için kapasite planlaması.