Oracle GoldenGate (OGG) 安全性
Oracle GoldenGate: Security Best Practices
从3方面:
- data storage
- data transmission
- data access
Credential Store
用来存储访问数据库的用户名和口令,实现形式为uto-login wallet,无需人工介入。最佳是在共享文件系统上实现,并被多个OGG实例共享。
命令形式为:
alter credentialstore add user xxx password xxx ...
Master Key and Wallet
Oracle GoldenGate wallet用来存储数据文件和传输加密的master key(用来加密encryption key)。
命令形式为:
create wallet ...
add masterkey ...
GoldenGate Trail Encryption
Extract时自动加密,Replicate时自动解密,算法从AES128, AES192或AES256中选择。
在参数文件中指定:
encrypttrail aes256
Data Transmission Encryption
在参数文件中指定:
rmthost 192.168.120.42, mgrport 7809, encrypt aes256
GGSCI Command Security
允许或拒绝用户指定某些命令,格式为:
command_name command_object OS_group OS_user {YES | NO}
Manager Access Rules
控制对于管理进程的连接访问,类似于网络防火墙规则,例如:
accessrule, prog server, ipaddr 192.168.120.42, pri 1, allow
Disk File Security
磁盘文件的权限是由操作系统控制的,最佳实践是赋予oracle用户管理员权限,赋予dba用户组组管理权限。
Oracle Key Vault
GoldenGate可以与Oracle Key Vault无缝集成,集中存储和管理Credential Store,Master Key和 Wallet文件。
Masking Sensitive Data with Oracle GoldenGate
Personally Identifiable Information (PII)
Sensitive Personal Information (SPI)
PII或SPI可以唯一确定个人,包括生日,地址,身份证,信用卡,驾照等。
在参数文件中,ENCRYPTTRAIL用以加密写到trail文件的数据。RMTHOST ENCRYPT用以加密传输的数据。
对trail文件的加密过程可参见
Oracle GoldenGate Security: Trail File Encryption
OGG Column Conversion Functions可对包含敏感数据的列进行脱敏。
Oracle GoldenGate Security Guide
以下部分文字适合于投标。
OGG有两种架构,即MA(Microservices Architecture)和CA(Classic Architecture)。
OGG的安全选项包括:
| 安全目标 | 安全特性 | 支持的数据库 | 支持的架构 | 描述 |
|---|---|---|---|---|
| Master Encryption Key | 使用Oracle Key Vault管理数据加密 | 所有数据库 | 传统和微服务架构 | 存储和管理加密trail文件的master key |
| trail或extract文件中的数据,网络传输中的数据 | 使用master key和wallet加密数据 | 仅NonStop平台不支持 | X | 加密文件中,跨data link和TCP/IP的数据,支持AES和Blowfish加密 |
| OGG进程登录数据库的用户名与口令 | Credential Store管理 | 仅NonStop平台不支持 | 微服务架构 | 用户信息存储在安全的wallet中 |
| 命令行和参数文件中指定的登录数据库的口令 | 口令加密 | 所有OGG支持的数据库和平台 | 传统架构 | 支持ASE和Blowfish算法 |
| GGSCI中的OGG命令 | 命令认证 | 所有OGG支持的数据库和平台 | X | 在安全的操作系统文件中存储命令权限 |
| 连接防火墙外不受信的OGG主机 | 可信连接 | 所有OGG支持的数据库和平台 | X | 支持ASE和Blowfish算法 |
| OGG Manager访问规则 | OGG Manager安全 | 所有OGG支持的数据库和平台 | 传统架构 | 可应用于GGSCI命令行接口,受控于Manager的进程间命令,到Replicat进程的连接等 |
| 选择适合你需要的cryptographic库 | CryptoEngine | 所有OGG支持的数据库和平台 | 传统和微服务架构 | 选择OGG使用的cryptographic库 |
| 微服务架构REST服务接口 | 认证 | 所有OGG支持的数据库和平台 | 微服务架构 | X |
| 通讯安全 | TLS和安全网络协议 | 所有OGG支持的数据库和平台 | 微服务架构 | X |
| 微服务架构REST用户授权 | 授权 | 所有OGG支持的数据库和平台 | 微服务架构 | X |
| 目标初始化Trail | 可信环境下的目标初始化Trail | 所有OGG支持的数据库和平台 | 微服务架构 | |
| 反向代理 | 反向代理仅使用一个端口 | 所有OGG支持的数据库和平台 | 微服务架构 | X |
以上安全特性的介绍和具体实现可参见这里
以上是OGG自身的安全性,另外OGG也可以与Oracle数据库安全解决方案结合。 详见白皮书
Oracle 数据库提供了纵深防御和万无一失的内外部安全性,可防范来自数据库内部和外部的攻击。Oracle 提供了许多业界领先的安全控制,包括特权用户控制、多因素授权、透明数据加密、审计、配置扫描和 SQL 监视,这些只是其中一小部分。
Oracle Advanced Security 透明数据加密 (TDE) 为 Oracle 数据库内的静态数据提供了高度优化的加密。TDE 可帮助用户满足合规性要求,同时它可以防止特权用户和未经授权的操作系统用户通过检查数据库文件的内容来直接访问敏感信息。此外,TDE 还可针对数据库存储介质和备份被盗、丢失或不当弃用的情况提供保护。为了保护 Oracle 数据库内的静态数据,Oracle Advanced Security TDE 在数据写入存储之前对其进行加密,在从存储读取该数据时自动对其进行解密,并且无需修改现有的应用程序。在 Oracle 数据库内部实施的访问控制(包括对象访问权限和角色)仍然有效。
TDE 提供强健的双层密钥管理架构,包括主加密密钥和单独的数据加密密钥。当前主密钥和既往主密钥存储在数据库之外的 Oracle Wallet 中,它们的轮换很容易,这便于满足合规性要求。
Oracle Database Vault 可阻止内部人员或已经失密的特权帐户在 Oracle 数据库内访问敏感数据和进行其它未经授权的操作。Oracle Database Vault 领域可阻止有人滥用 DBA 特权绕过惯常的权限授予。Oracle Database Vault 命令规则可强制实施特别的操作控制,阻止特权用户进行那些可能危及数据库安全性的操作。
存储在数据库中以及在各环境之间来回复制的敏感数据量持续增长,对这些数据进行安全保护的需求也在空前高涨。黑客们不断以数据库内部和外部特权帐户为攻击目标。Oracle 数据库安全解决方案和 Oracle GoldenGate 联手协作,可以为数据的保护和复制提供无与伦比的业界领先解决方案。Oracle GoldenGate 可以与 Oracle Advanced Security TDE 及 Oracle Database Vault 结合使用。Oracle Advanced Security TDE、Oracle Database Vault 和 Oracle GoldenGate 已经过多种软件程序的认证,包括 E-Business Suite、Oracle PeopleSoft Enterprise 及 Oracle JD Edwards Enterprise 等 Oracle 管理软件。