Oracle GoldenGate (OGG) 安全性
從3方面:
data storage
data transmission
data access
Credential Store
用來存儲訪問數(shù)據(jù)庫的用戶名和口令,實現(xiàn)形式為auto-login wallet,無需人工介入。最佳是在共享文件系統(tǒng)上實現(xiàn),并被多個OGG實例共享。
命令形式為:
Master Key and Wallet
Oracle GoldenGate wallet用來存儲數(shù)據(jù)文件和傳輸加密的master key(用來加密encryption key)。
命令形式為:
GoldenGate Trail Encryption
Extract時自動加密,Replicate時自動解密,算法從AES128, AES192或AES256中選擇。
在參數(shù)文件中指定:
Data Transmission Encryption
在參數(shù)文件中指定:
GGSCI Command Security
允許或拒絕用戶指定某些命令,格式為:
Manager Access Rules
控制對于管理進程的連接訪問,類似于網(wǎng)絡(luò)防火墻規(guī)則,例如:
Disk File Security
磁盤文件的權(quán)限是由操作系統(tǒng)控制的,最佳實踐是賦予oracle用戶管理員權(quán)限,賦予dba用戶組組管理權(quán)限。
Oracle Key Vault
GoldenGate可以與Oracle Key Vault無縫集成,集中存儲和管理Credential Store,Master Key和 Wallet文件。
Masking Sensitive Data with Oracle GoldenGate
Personally Identifiable Information (PII)
Sensitive Personal Information (SPI)
PII或SPI可以唯一確定個人,包括生日,地址,身份證,信用卡,駕照等。
在參數(shù)文件中,ENCRYPTTRAIL用以加密寫到trail文件的數(shù)據(jù)。RMTHOST ENCRYPT用以加密傳輸?shù)臄?shù)據(jù)。
對trail文件的加密過程可參見
Oracle GoldenGate Security: Trail File Encryption
OGG Column Conversion Functions可對包含敏感數(shù)據(jù)的列進行脫敏。
Oracle GoldenGate Security Guide
以下部分文字適合于投標(biāo)。
OGG有兩種架構(gòu),即MA(Microservices Architecture)和CA(Classic Architecture)。
OGG的安全選項包括:
安全目標(biāo) 安全特性 支持的數(shù)據(jù)庫 支持的架構(gòu) 描述
Master Encryption Key 使用Oracle Key Vault管理數(shù)據(jù)加密 所有數(shù)據(jù)庫 傳統(tǒng)和微服務(wù)架構(gòu) 存儲和管理加密trail文件的master key
trail或extract文件中的數(shù)據(jù),網(wǎng)絡(luò)傳輸中的數(shù)據(jù) 使用master key和wallet加密數(shù)據(jù) 僅NonStop平臺不支持 X 加密文件中,跨data link和TCP/IP的數(shù)據(jù),支持AES和Blowfish加密
OGG進程登錄數(shù)據(jù)庫的用戶名與口令 Credential Store管理 僅NonStop平臺不支持 微服務(wù)架構(gòu) 用戶信息存儲在安全的wallet中
命令行和參數(shù)文件中指定的登錄數(shù)據(jù)庫的口令 口令加密 所有OGG支持的數(shù)據(jù)庫和平臺 傳統(tǒng)架構(gòu) 支持ASE和Blowfish算法
GGSCI中的OGG命令 命令認證 所有OGG支持的數(shù)據(jù)庫和平臺 X 在安全的操作系統(tǒng)文件中存儲命令權(quán)限
連接防火墻外不受信的OGG主機 可信連接 所有OGG支持的數(shù)據(jù)庫和平臺 X 支持ASE和Blowfish算法
OGG Manager訪問規(guī)則 OGG Manager安全 所有OGG支持的數(shù)據(jù)庫和平臺 傳統(tǒng)架構(gòu) 可應(yīng)用于GGSCI命令行接口,受控于Manager的進程間命令,到Replicat進程的連接等
選擇適合你需要的cryptographic庫 CryptoEngine 所有OGG支持的數(shù)據(jù)庫和平臺 傳統(tǒng)和微服務(wù)架構(gòu) 選擇OGG使用的cryptographic庫
微服務(wù)架構(gòu)REST服務(wù)接口 認證 所有OGG支持的數(shù)據(jù)庫和平臺 微服務(wù)架構(gòu) X
通訊安全 TLS和安全網(wǎng)絡(luò)協(xié)議 所有OGG支持的數(shù)據(jù)庫和平臺 微服務(wù)架構(gòu) X
微服務(wù)架構(gòu)REST用戶授權(quán) 授權(quán) 所有OGG支持的數(shù)據(jù)庫和平臺 微服務(wù)架構(gòu) X
目標(biāo)初始化Trail 可信環(huán)境下的目標(biāo)初始化Trail 所有OGG支持的數(shù)據(jù)庫和平臺 微服務(wù)架構(gòu)
反向代理 反向代理僅使用一個端口 所有OGG支持的數(shù)據(jù)庫和平臺 微服務(wù)架構(gòu) X
以上安全特性的介紹和具體實現(xiàn)可參見這里
以上是OGG自身的安全性,另外OGG也可以與Oracle數(shù)據(jù)庫安全解決方案結(jié)合。 詳見白皮書
Oracle 數(shù)據(jù)庫提供了縱深防御和萬無一失的內(nèi)外部安全性,可防范來自數(shù)據(jù)庫內(nèi)部和外部的攻擊。Oracle 提供了許多業(yè)界領(lǐng)先的安全控制,包括特權(quán)用戶控制、多因素授權(quán)、透明數(shù)據(jù)加密、審計、配置掃描和 SQL 監(jiān)視,這些只是其中一小部分。
Oracle Advanced Security 透明數(shù)據(jù)加密 (TDE) 為 Oracle 數(shù)據(jù)庫內(nèi)的靜態(tài)數(shù)據(jù)提供了高度優(yōu)化的加密。TDE 可幫助用戶滿足合規(guī)性要求,同時它可以防止特權(quán)用戶和未經(jīng)授權(quán)的操作系統(tǒng)用戶通過檢查數(shù)據(jù)庫文件的內(nèi)容來直接訪問敏感信息。此外,TDE 還可針對數(shù)據(jù)庫存儲介質(zhì)和備份被盜、丟失或不當(dāng)棄用的情況提供保護。為了保護 Oracle 數(shù)據(jù)庫內(nèi)的靜態(tài)數(shù)據(jù),Oracle Advanced Security TDE 在數(shù)據(jù)寫入存儲之前對其進行加密,在從存儲讀取該數(shù)據(jù)時自動對其進行解密,并且無需修改現(xiàn)有的應(yīng)用程序。在 Oracle 數(shù)據(jù)庫內(nèi)部實施的訪問控制(包括對象訪問權(quán)限和角色)仍然有效。
TDE 提供強健的雙層密鑰管理架構(gòu),包括主加密密鑰和單獨的數(shù)據(jù)加密密鑰。當(dāng)前主密鑰和既往主密鑰存儲在數(shù)據(jù)庫之外的 Oracle Wallet 中,它們的輪換很容易,這便于滿足合規(guī)性要求。
Oracle Database Vault 可阻止內(nèi)部人員或已經(jīng)失密的特權(quán)帳戶在 Oracle 數(shù)據(jù)庫內(nèi)訪問敏感數(shù)據(jù)和進行其它未經(jīng)授權(quán)的操作。Oracle Database Vault 領(lǐng)域可阻止有人濫用 DBA 特權(quán)繞過慣常的權(quán)限授予。Oracle Database Vault 命令規(guī)則可強制實施特別的操作控制,阻止特權(quán)用戶進行那些可能危及數(shù)據(jù)庫安全性的操作。
存儲在數(shù)據(jù)庫中以及在各環(huán)境之間來回復(fù)制的敏感數(shù)據(jù)量持續(xù)增長,對這些數(shù)據(jù)進行安全保護的需求也在空前高漲。黑客們不斷以數(shù)據(jù)庫內(nèi)部和外部特權(quán)帳戶為攻擊目標(biāo)。Oracle 數(shù)據(jù)庫安全解決方案和 Oracle GoldenGate 聯(lián)手協(xié)作,可以為數(shù)據(jù)的保護和復(fù)制提供無與倫比的業(yè)界領(lǐng)先解決方案。Oracle GoldenGate 可以與 Oracle Advanced Security TDE 及 Oracle Database Vault 結(jié)合使用。Oracle Advanced Security TDE、Oracle Database Vault 和 Oracle GoldenGate 已經(jīng)過多種軟件程序的認證,包括 E-Business Suite、Oracle PeopleSoft Enterprise 及 Oracle JD Edwards Enterprise 等 Oracle 管理軟件。
————————————————
版權(quán)聲明:本文為CSDN博主「dingdingfish」的原創(chuàng)文章,遵循CC 4.0 BY-SA版權(quán)協(xié)議,轉(zhuǎn)載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/stevensxiao/article/details/107005206
