ميزات Oracle Database Security

المصادقة والتفويض

تبسيط إدارة المستخدمين من خلال تكوين تصديق المستخدم المركزي واعتماده. يمكن دمج Oracle Database بسلاسة مع خدمات هوية المؤسسة—بما في ذلك Microsoft Active Directory وMicrosoft Entra ID وإدارة الوصول والهوية للبنية التحتية من Oracle Cloud—باستخدام مجموعة متنوعة من أساليب المصادقة. يمكن تكوين التصديق متعدد العوامل باستخدام خدمات الهوية الخارجية أو واجهة برمجة تطبيقات RADIUS.

من خلال اعتماد استراتيجية مصادقة واعتماد قوية، يمكنك منع حسابات مستخدمي قاعدة البيانات المحتالة من البقاء نشطة بعد مغادرة الموظفين للمؤسسة، مما يقلل من خطر الوصول غير المصرح به إلى البيانات الحساسة.

جداول قواعد البيانات المتسلسلة

تساعد جداول بلوك تشين في Oracle Database على ضمان تكامل البيانات من خلال إنشاء سجلات مسلسلة للإدراج فحسب ومسلسلة تشفيرًا لا يمكن تغييرها أو حذفها، مما يوفر مسار تدقيق مضاد للتلاعب وحماية قوية ضد التغييرات غير المصرح بها—حتى تلك التي تتجاوز قاعدة البيانات.

من خلال الاستفادة من تقنية البلوك تشين، يمكنك إنشاء سجل ثابت للمعاملات لا يمكن تغييره أو حذفه. يوفر هذا حلاً قويًا عندما تكون سلامة البيانات وإمكانية التدقيق والسجلات المضادة للتلاعب أمرًا بالغ الأهمية، مثل التدقيق المالي وإمكانية تتبع سلسلة التوريد وأنظمة التصويت الآمنة.

التحكم في الوصول المستند إلى التعليمات البرمجية

حد الوصول إلى البيانات على منطق أعمال PL/SQL محدد مع التحكم في الوصول المستند إلى التعليمات البرمجية (CBAC). من خلال إرفاق أدوار قاعدة البيانات مباشرةً بوحدات برنامج PL/SQL، مثل الوظائف والإجراءات والحزم، يمكنك المساعدة في التأكد من تمكين هذه الأدوار فحسب أثناء تشغيل التعليمات البرمجية المحددة. يتم تنفيذ وحدة البرنامج بالامتيازات المطلوبة، بغض النظر عن امتيازات المستخدم المُستدعي، ودون الكشف عن تلك الامتيازات أو الكائنات الأساسية مباشرةً إلى المستخدم. من خلال تنفيذ CBAC، يمكنك تطبيق مبدأ أقل الامتيازات، ومنح الأذونات اللازمة فحسب لمنطق أعمال معين، بدلاً من المستخدمين أو المخططات الفردية.

DBMS_CRYPTO

يتم استخدام حزمة DBMS_CRYPTO PL/SQL لعمليات التشفير. توفر وظائف للتشفير وفك التشفير والتجزئة ويمكن دمجها باستخدام Oracle Key Vault لإدارة المفاتيح. تظهر DBMS_CRYPTO مُفيدة بشكل خاص عندما تحتاج إلى مزيد من التحكم في عمليات التشفير على مستوى العمود أو التطبيق أو عنصر البيانات الفردية. يختلف هذا عن تشفير البيانات الشفاف في بقاء البيانات مُشفرة حتى يتم استدعاء حزمة DBMS_CRYPTO لفك تشفير البيانات، وبالتالي؛ تأمينها من المستخدمين أصحاب الامتيازات الزائدة والمسؤولين المتلاعبين.

DbNest

تتيح لك DbNest معالجة تحديات الأمان والعزل في بيئات Oracle Database متعددة المستأجرين باستخدام ميزات Linux kernel لإنشاء بيئات تشغيل هرمية ومحفوظة في حاويات لقواعد بيانات الحاويات متعددة المؤسسات (CDB) وقواعد البيانات القابلة للتركيب (PDB)، مما يساعد في ضمان عزل موارد كل مستأجر عن غيرها.

من خلال نشر DbNest، يمكنك تحسين أمان وعزل بيئة قاعدة البيانات متعددة المستأجرين وتقليل خطر هجمات تصعيد الامتيازات والحركة الجانبية.

دور المطور

امنح فريق التطوير لديك المستوى المناسب من الوصول باستخدام DB_DEVELOPER_ROLE. يوفر هذا الدور مجموعة متوازنة من الامتيازات التي تتيح للمطورين إنشاء كائنات قاعدة البيانات وتعديلها ونشرها، مع الحد من تأثيرها المحتمل على عمليات قاعدة البيانات.

من خلال اعتماد هذا الدور، يمكنك تقليل مخاطر إجراء المطورين أصحاب الامتيازات الزائدة تغييرات تعرِّض أمان قاعدة بياناتك أو سلامتها إلى لخطر، مما يساعد في ضمان حصول فرق التطوير على وصول كافٍ لإنشاء التطبيقات واختبارها دون المساس بأمان النظام العام.

التدقيق الدقيق

تحتاج المؤسسات إلى رؤية دقيقة للوصول إلى البيانات الحساسة لتلبية متطلبات الأمان والتوافق. يتيح التدقيق الدقيق (FGA) تدقيقًا مستهدفًا مستند إلى الشروط على مستوى الصف والعمود في قاعدة البيانات ويتيح لك تحديد معالجات مُخصصة يمكنها تشغيل تنبيه حول النشاط المشبوه. يوفر هذا تدقيقًا مركزًا عالي القيمة يساعد في اكتشاف النشاط غير المصرح به بشأن البيانات الحساسة. تُحسِّن FGA من رؤية الأمان مع تقليل تأثير الأداء والنفقات الإضافية للتدقيق. تعزز الإمكانات الفريدة لـ FGA—مثل التدقيق المستند إلى القيمة (على سبيل المثال، التدقيق فحسب عندما يحدد شخص ما راتب موظف أعلى من حد معين) والمعالجات المخصصة—من أمان Oracle Database وتساعد العملاء على تلبية متطلبات التدقيق المتقدمة.

تدوير تدريجي لكلمة السر

تظهر كلمات السر من GManaging عبر تطبيقات وقواعد بيانات متعددة مُعقدة وغالبًا ما تؤدي إلى تعطل، حتى مع التخطيط الدقيق والمزامنة.

يتيح التدوير التدريجي لكلمات السر من Oracle للمسؤولين تغيير كلمات السر دون انقطاع الخدمة. تعمل كل من كلمات المرور القديمة والجديدة أثناء فترة الترحيل، مما يسمح لفِرق التطبيق بتحديث بيانات الاعتماد دون تعطل. يساعد هذا في ضمان الوصول المستمر ويساعد المؤسسات على تلبية متطلبات الامتثال للتناوب المنتظم لكلمات السر—مما يبسط الإدارة ويقلل من الانقطاعات المؤقتة.

الجداول الثابتة

يمكنك حماية جداول Oracle Database من التهديدات الداخلية وتلف البيانات العرضية باستخدام جداول ثابتة. تمنع هذه الجداول الملحقة فحسب التعديلات غير المصرح بها على البيانات من الداخل وتعديلات البيانات العرضية الناتجة عن الأخطاء البشرية، مما يساعد في ضمان بقاء بياناتك دقيقة ومُحدثة مع الحفاظ على سلامتها وأمانها. تفيد الجداول الثابتة في تلبية المتطلبات التي لا يمكن تغيير البيانات فيها بعد إدراجها.

ملفات تعريف القفل

يمكنك تنفيذ عناصر تحكم أمان دقيقة لكل قاعدة بيانات PDB بملفات تعريف القفل، مما يسمح لمسؤولي قاعدة بيانات CDB بتقييد عمليات أو ميزات مُحددة. على سبيل المثال، يمكن لملف تعريف القفل منع مستخدمي قاعدة بيانات PDB من تنفيذ جمل SQL معينة أو منع تشغيل الإجراءات التي تصل إلى الشبكة.

قوائم التحكم في الوصول للشبكة

تتحكم قوائم التحكم في الوصول إلى الشبكة (ACL) في الوصول إلى الشبكة الخارجية من قاعدة البيانات من خلال حزم أدوات PL/SQL، مثل UTL_TCP وUTL_HTTP وUTL_SMTP وUTL_INADDR. حدد قواعد دقيقة تستند إلى أسماء المضيفين والمنافذ والامتيازات للتحكم في وصول المستخدم ومنع الاتصالات غير المصرح بها. يوفر هذا طبقة إضافية من الحماية ضد استبعاد البيانات.

تشفير الشبكة

يعد تشفير اتصالات قاعدة البيانات بين العملاء والخوادم أفضل ممارسات الأمان التي تساعد في ضمان الاتصال الآمن.

توفر Oracle Database طريقتين لتأمين البيانات أثناء نقلها: أمان طبقة النقل (TLS) وتشفير الشبكة الأصلية. يُعد TLS بروتوكول قياسي في المجال يوفر تشفيرًا قويًا ومصادقة وعدم تنصل. يتطلب هذا شهادات الخادم والتكوين من جانبي العميل والخادم، مما يجعله مثاليًا للبيئات ذات المتطلبات الصارمة للامتثال أو الأمان. على النقيض من ذلك، فإن تشفير الشبكة الأصلية أسهل في التنفيذ؛ إذ يتطلب معلمة من جانب الخادم فحسب ويعمل بشفافية لمعظم التطبيقات. يتفاوض على أقوى خوارزمية مدعومة تلقائيًا، دون الحاجة إلى شهادات أو تغييرات على العميل.

حافظة Oracle

تمثل الحافظة (أو مخزن المفاتيح) حاوية مُشفرة محمية بكلمة سر تُستخدم لتخزين بيانات اعتماد التصديق والتوقيع بأمان، مثل المفاتيح الخاصة والشهادات وبيانات اعتماد قاعدة البيانات. في بيئات Oracle Database، تتيح الحافظات الاتصال الآمن عبر الشبكة من خلال دعم TLS لكل من العملاء والخوادم، وتخزين المفاتيح الرئيسة الشفافة لتشفير البيانات (TDE)، وتسهيل التكامل مع الخدمات الخارجية، مثل Microsoft Active Directory. توفر الحافظات أيضًا مخزنًا آمنًا لكلمات السر الخارجية، مما يتيح للتطبيقات الاتصال بقاعدة البيانات دون تضمين بيانات الاعتماد في التعليمات البرمجية. على الرغم من أن الحافظات يمكنها الاحتفاظ بمفاتيح TDE الرئيسة، إلا أن Oracle توصي بإدارتها باستخدام Oracle Key Vault لتحسين الأمان وإدارة المفاتيح المركزية.

تحليل الامتيازات

تتلقى غالبًا التطبيقات والمستخدمون امتيازات كثيفة، خاصةً في البيئات المُعقدة أو القديمة. يجعل هذا من الصعب على المسؤولين إلغاء الوصول بأمان دون المخاطرة بالاضطرابات. يسجل تحليل الامتيازات ديناميكيًا الامتيازات والأدوار المستخدمة أثناء التشغيل. يتيح هذا للمسؤولين سحب الامتيازات غير الضرورية بثقة وفرض نموذج امتياز أقل، مما يقلل من سطح الهجوم.

مستخدمون أصحاب حق القراءة فحسب

مع مستخدمين أصحاب حق القراءة فحسب، يمكنك تعطيل إمكانيات الكتابة لمستخدم أو جلسة عمل أو إعادة تمكينها دون سحب الامتيازات وتسجيلها. يتيح لك مستخدمون أصحاب حق القراءة فحسب التحكم مؤقتًا في امتيازات المستخدم أو الجلسة للاختبار أو الإدارة أو تطوير التطبيق.

أمان التطبيقات الحقيقي

يلبي أمان التطبيقات الحقيقي الطلب على التحكم الدقيق في الوصول على دراية بالسياق في التطبيقات الحديثة المستندة إلى المؤسسات والذكاء الاصطناعي، تقصر فيه نماذج الأمان التقليدية. يوفر أمان التطبيقات الحقيقي إطار عمل تعريفي مفروض على قاعدة البيانات يجمع بين النشر الآمن للهوية مع التحكم في الوصول على مستوى الصفوف والأعمدة. من خلال الاستفادة من التحكم في الوصول المستند إلى السمات، يقيِّم أمان التطبيقات الحقيقي سمات المستخدم—مثل الدور أو القسم أو الموقع الجغرافي—أثناء التشغيل لتحديد حقوق الوصول. على سبيل المثال، يمكن للممرضات عرض السجلات الطبية للمرضى المعينين لوحدات الرعاية لديهم فحسب، بينما يمكن للأطباء الوصول إلى تفاصيل تشخيصية إضافية، لكن المجالات الحساسة، مثل سجل الصحة العقلية أو بيانات الصحة الإنجابية، تظل مخفية ما لم يسمح دورهم بذلك صراحة. من خلال تضمين منطق التحكم في الوصول مباشرةً في قاعدة البيانات، يقضي أمان التطبيقات الحقيقي على الاعتماد على رمز التطبيق، ويبسِّط التطوير، ويساعد المؤسسات في تلبية متطلبات الخصوصية والأمان والامتثال الصارمة على نطاق واسع.

امتيازات على مستوى المخطط

بشكل تقليدي، تم منح الامتيازات في Oracle Database على مستوى الكائن (على سبيل المثال، SELECT ON hr.employees) أو على مستوى أوسع مع امتيازات النظام (على سبيل المثال، SELECT ANY TABLE). إذا احتاج المستخدم إلى الوصول إلى جميع الجداول أو جميع الإجراءات في مخطط، فيجب على مسؤول قاعدة البيانات منح حق الوصول صراحةً إلى كل كائن على حدة—أو استخدام امتيازات نظام واسعة للغاية، مثل SELECT ANY TABLE، مما أدى إلى مخاطر أمنية.

تُحسِّن ميزة الامتيازات على مستوى المخطط من الأمان من خلال تبسيط الاعتماد لكائنات قاعدة البيانات، خاصةً في المخططات التي تضيف كائنات جديدة بشكل متكرر.

بدلاً من منح امتيازات نظام واسعة تنطبق على قاعدة البيانات بأكملها، يمكن لمسؤولي قواعد البيانات الآن منح الامتيازات على مستوى المخطط. ينطبق امتياز النظام على مستوى المخطط على كل من الكائنات الحالية والمستقبلية في المخطط. تعد الامتيازات على مستوى المخطط مُفيدة للتطبيقات التي تتطور بشكل متكرر وتحتاج إلى إضافة كائنات جديدة إلى مخططها دون منح امتيازات زائدة إلى المستخدمين.

أدوار التطبيقات الآمنة

تتطلب التطبيقات الحديثة أمانًا مدركًا للسياق لحماية البيانات الحساسة وتلبية متطلبات الامتثال. تمنع أدوار التطبيقات الآمنة من Oracle استخدام الامتيازات غير المصرح بها من خلال السماح بتنشيط الدور فحسب في ظل ظروف محددة بواسطة قاعدة البيانات يتم التحكم فيها. على عكس الأدوار التقليدية، لا يمكن إساءة استخدامها من خلال تسجيل الدخول المباشر أو الأدوات الخارجية. لا يمكن سوى لحزمة أو إجراء PL/SQL، ومع ربط المنطق بسياق التطبيق بشكل مثالي تمكين دور تطبيق آمن. توفر أدوار التطبيقات الآمنة فرضًا أقوى لسياسات الوصول، وتقليل سطح الهجوم، والمساعدة في الحفاظ على أمان مُتسق—كل ذلك دون الحاجة إلى تغييرات على منطق التطبيق.

حماية البيانات الحساسة الشفافة

تتيح حماية البيانات الحساسة الشفافة للمستخدمين تحديد البيانات الحساسة وتصنيفها بسرعة في جداول قاعدة البيانات، ثم تكوين سياسة لحماية هذه البيانات. يتم تطبيق السياسة على مستوى العمود، وتستهدف أنواع بيانات مُحددة، وتستخدم إعدادات Oracle Data Redaction أو Oracle Virtual Private Database لحماية المعلومات الحساسة، مثل أرقام بطاقات الائتمان أو أرقام الضمان الاجتماعي. تتيح هذه الميزة للمستخدمين إنشاء سياسات موحدة عبر عدة قواعد بيانات Oracle، والتي يمكن تعديلها حسب تغير لوائح الامتثال. توفر سياسات حماية البيانات الحساسة الشفافة تطبيقًا سهلاً عبر المؤسسات الكبيرة ومراجعة مبسطة وإنفاذًا مُتسقًا للسياسات—خاصةً في البيئات الحكومية ذات القيود الأمنية المماثلة.

التدقيق الموحد

تتبع إمكانات التدقيق الشاملة في Oracle Database استخدام الامتيازات وأنشطة المستخدمين أصحاب الامتيازات العالية والوصول إلى البيانات الحساسة والإجراءات التي يتم تنفيذها على كائنات قاعدة البيانات والتعديلات التي تم إجراؤها على إعدادات قاعدة البيانات. يوفر التدقيق الموحد إمكانات تدقيق شرطية وعلى مستوى العمود لتدقيق النشاط بشأن البيانات الحساسة في ظل ظروف معينة. يتم تخزين سجلات التدقيق في مسار غير قابل للعبث.

قاعدة البيانات الخاصة الظاهرية

تواجه المؤسسات غالبًا صعوبة في فرض الوصول الدقيق إلى البيانات، خاصةً عندما يحتاج مستخدمون مختلفون إلى طرق عرض مختلفة لنفس الجدول. تعتمد الأساليب التقليدية على منطق التطبيق المعقد أو طرق العرض الثابتة، والتي يصعب إدارتها وتدقيقها وتأمينها.

تعالج Oracle Virtual Private Database هذا من خلال فرض الأمان على مستوى الصفوف والأعمدة مباشرةً داخل قاعدة البيانات. تُلحق قاعدة البيانات الخاصة الظاهرية ديناميكيًا مسندات التصفية باستعلامات SQL، بناءً على هوية المستخدم أو سياق الجلسة. يساعد هذا في ضمان رؤية المستخدمين للبيانات المصرح لهم بالوصول إليها فحسب—بغض النظر عن طريقة اتصالهم. تتسم سياسات الأمان بالمركزية والشفافية للتطبيقات وفي تكيفها مع ظروف التشغيل، مما يساعد على ضمان التنفيذ المتسق. تحمي قاعدة البيانات الخاصة الافتراضية من تسرب البيانات وتدعم الامتثال التنظيمي وتبسط تطوير التطبيقات. تُعد قاعدة البيانات الخاصة الافتراضية حلاً قابلاً للتوسع ومدرك للسياق للتحكم في الوصول إلى البيانات. باستخدام قاعدة البيانات الخاصة الافتراضية، يتم فرض الأمان في مكان وجود البيانات.