DataSafe

Data Safe는 Database에 대한 보안위험평가, DB User에 대한 보안위험평가, Activity Auditing, 비정상적인 활동에 대한 Alarm, 민감정보에 대한 파악 및 마스템등을 지원하는 데이터 보호를 위한 종합서비스를 제공한다.

 

Data Safe는 다음과 같은 서비스를 제공한다.

1. Security Assessment

2. User Assessment

3. Activity Auditing

4. Data Discovery

5. Data Masking

 

DataSafe를 사용하기 위해 DataSafe Service를 활성화한다.

 

> Prerequisites for Using Data Safe(PDB에서 작업)

1. Target Database에 DataSafe Service를 위한 Account생성
    create user DATASAFE$ADMIN identified by [password(14자이상)];

2. Target Database에 권한부여스크립트를 이용하여 Audit Collection과 Audit Setting roles을 부여
https://docs.oracle.com/en/cloud/paas/data-safe/admds/grant-roles-oracle-data-safe-service-account-your-target-database.html#GUID-C0F8336D-A262-46C9-8CB0-18EA34401AB4
    datasafe_privileges.sql
    &1: username: DATASAFE$ADMIN
    &2: type: grant or revoke
    &3: mode: audit_collection/audit_setting/data_discovery/masking/assessment/all
    &4: -VERBOSE will only show the actual grant/revoke commands. This is optional.
3. IAM에서  Data Safe 관리위한 Group에 다음의 정책생성
https://docs.oracle.com/en/cloud/paas/data-safe/admds/create-iam-policies-oracle-data-safe-users.html
    - DataSafe의 각 기능에 대한 권한을 분리하는 것도 가능하다.
    Allow group Data-Safe-Admins to manage data-safe-family in tenancy
    Allow group Data-Safe-Admins to inspect groups in tenancy

 

DataSafe Service를 사용할 Target Database를 등록해보자.

> Target Database로 등록할 수 있는 Databae Type

> Autonomous Database 등록

> Oracle Cloud Database 등록

Download Privilege Script를 통해서 DataSafe User에 권한부여

> Oracle Cloud Database (with a private IP address) 등록

DataSafe에 다음을 Target Database로 등록하려면 Private Endpoint가 필요하다.

- Oracle Database (with a private IP address)

- Oracle on-premise database

- Oracle database on a compute instance

 

Private Endpoint를 생성한다.

Target Database 등록 시 Private Endpoint를 Yes로 check한다.

 

> 참고

- Register Public Endpoint (Oracle DBCS) with Oracle Data Safe
https://medium.com/@harjulthakkar/register-public-endpoint-oracle-dbcs-with-oracle-data-safe-3d6846450bdf

- Register Private Endpoint (Oracle DBCS) with Oracle Data Safe

https://medium.com/@harjulthakkar/register-private-endpoint-oracle-dbcs-with-oracle-data-safe-f13bd92759b4

 

현재 Region에서의 Data Safe사용을 위한 Default Setting을 설정한다.

> Global Paid Usage Setting

Audit Data 수집이 무료구간을 넘어도 유로로 계속수집할 것인지를 설정한다.

 

> Global Audit Record Retention Policy

DataSafe에서 사용하는 저장소는 온라인 저장소(즉시 보고 및 분석에 사용 가능)와 오프라인 저장소(아카이브)로
구성된다.

온라인 보존 기간과 오프라인 보존 기간의 두 가지 Audit 데이터 보존 설정에 대한 Default설정을 수행한다.

- 온라인 보존 기간: 1개월 ~ 12개월

- 오프라인 보존 기간: 0개월 ~ 72개월(6년)

 

 

DataSafe를 사용하기 위한 기본준비가 되었으므로 DataSafe의 기능에 대해 하나씩 살표보자.

1. Security Assessment

Security Assessment는 사용자 계정, 권한 및 역할 부여, 권한 제어, 감사, 암호화 및 구성 매개 변수와 같은 영역을 검사하여 데이터베이스 구성을 종합적으로 평가하여 보안위험을 평가한다.

https://oracle-cloud.tistory.com/entry/DataSafe-Security-Assessment

2. User Assessment

User Assessment는 DB사용자의 권한 및 작업등을 토대로한 위험정도를 측정한다.

Security Assessment는 데이터베이스 구성과 관련된 위험을 분석하는 반면,  User Assessment는 데이터베이스에 대한 사용자 액세스에 내재된 위험 요소에만 집중한다.

https://oracle-cloud.tistory.com/entry/DataSafe-User-Assessment

 

3. Activity Auditing

Activity Auditing은 산업별 및 규정 준수 요구사항별 Audit 레코드를 수집 및 보존하고 오라클 데이터베이스의 사용자 활동을 모니터링한다.

https://oracle-cloud.tistory.com/entry/DataSafe-Activity-Auditing

4. Data Discovery & Data Masking

Data Safe의 Data Discovery기능과 Data Masking기능을 통해 중요정보를 보호할 수 있다. 

Data Discovery는 Sensitive Data Model을 생성하여 중요데이터를 식별할 수 있고

Data Masking에서는 이 Sensitive Data Model을 이용하여 중요정보를 다양한 방법으로 Masking할 수 있다.

https://oracle-cloud.tistory.com/entry/Data-Safe-Data-Masking

 

※ 참조

https://www.oracle.com/kr/security/database-security/data-safe/

https://docs.oracle.com/en-us/iaas/data-safe/index.html
https://docs.oracle.com/en/cloud/paas/data-safe/index.html

 

Livelabs - Get Started with Oracle Data Safe Fundamentals

https://apexapps.oracle.com/pls/apex/r/dbpm/livelabs/view-workshop?wid=598&clear=RR,180&session=100571729828235 

---

작성자: 손창호(primelyson@gmail.com) / Cloud Engineer, 정보시스템감리사, DAP, PIA

개인의 시간을 할애하여 작성된 글로서 글의 내용에 오류가 있을 수 있으며, 글 속의 의견은 개인적인 의견입니다.