The availability of Bare Metal Solution is transitioning to a specialized, allowlist-only model. If you are an existing customer, please contact your Google account team to explore the value of migrating to new Oracle and Google Cloud strategic partnership offerings.

Google uses AI technology to translate content into your preferred language. AI translations can contain errors.

אבטחת עומסי עבודה ארגוניים בסביבת Bare Metal Solution

‫Bare Metal Solution מאפשרת לכם להעביר עומסי עבודה מסורתיים של ארגונים קרוב יותר ל- Google Cloud, ולכן שאלה נפוצה של אדריכלים ארגוניים ואדריכלי אבטחה היא "איך מאבטחים את עומסי העבודה?" המטרה של המדריך הזה היא לספק לכם את רכיבי העיצוב של האבטחה והתאימות שצריך לקחת בחשבון כשמתכננים להעביר את עומסי העבודה של הארגון, כמו מסדי נתונים של אורקל, אל Bare Metal Solution. בנוסף, נדון באמצעי הבקרה והתכונות של Google Cloud's security שמגנים על הנכסים של הארגון, ונספק קישורים לכמה מההמלצות של Oracle בנושא אבטחה.

אבטחה בסביבת Bare Metal Solution

סביבת Bare Metal Solution כוללת שרתים ייעודיים מסוג Bare Metal שמארחים בהרחבות אזוריות. כפי שרואים באיור 1, הרחבה אזורית היא מתקן לאחסון ואירוח שרתים (colocation facility) שנמצא בקרבת אזורים נבחרים שלGoogle Cloud ומחובר ל- Google Cloud באמצעות חיבור מנוהל בעל ביצועים גבוהים ורשת עם השהיה נמוכה.

איור 1: Bare Metal Solution – Regional Extension מחובר אלGoogle Cloud

תוסף אזורי שמקושר אל Google Cloud

בגלל הארכיטקטורה הזו, צריך לחשוב על דרכים לאבטח גם את השרתים של Bare Metal Solution וגם את הרכיבים שכלולים בתכנון. Google Cloud למזלנו, Google Cloud מספקת ומנהלת את הרכיבים הבאים של Bare Metal Solution:

תשתית ליבה, כולל מתקנים מאובטחים בסביבה מבוקרת ואספקת חשמל
אבטחה פיזית
תשתית רשת ואבטחה
יכולות ניטור החומרה
גישה לשירותים של Google Cloud
הקצאת הרשאות ותחזוקה של חומרה עם דיירות יחידה
רשת אחסון מקומית (SAN)
תמיכה חכמה: תמיכה באתר לפעילויות כמו החלפת חומרה

בסביבת Bare Metal Solution, האבטחה היא אחריות משותפת. החדשות הטובות הן שאפשר להשתמש בשיטות המומלצות שלכם לאבטחה ולהוסיף להן את האפשרויות המובנות ש-Bare Metal Solution מספקת. איור 2 מציג סיכום של רכיבי האבטחה שאתם צריכים לספק, ושל הרכיבים ש Google Cloud מספקת.

איור 2: סיכום של תחומי האחריות בנוגע לאבטחה – הלקוח ו-Google Cloud

סיכום תחומי האחריות בנושא אבטחה – לקוח ו- Google Cloud

תכנון האבטחה בסביבת Bare Metal Solution

כדי לתכנן את אסטרטגיית האבטחה של Bare Metal Solution, צריך להתייחס לשישה עקרונות אבטחה:

אבטחה פיזית
עמידה בדרישות
אבטחת רשת
אבטחת מידע
אבטחה תפעולית
אבטחת מסד נתונים

בואו נבחן כל אחד מהיסודות האלה של אבטחה בפירוט רב יותר.

אבטחה פיזית

הרכיבים הפיזיים של Bare Metal Solution נמצאים בהרחבה אזורית (מתקן לאחסון ואירוח שרתים (colocation facility)) שמנוהלת על ידי ספק. חיבור Partner Interconnect מהיר עם זמן אחזור נמוך מקשר את ההרחבה האזורית לאזור הקרוב ביותר Google Cloud.

הספק מנהל את ההרחבה האזורית ואת המתקנים שלה, כמו חשמל, קירור, אחסון וניהול אחסון. הספק גם שומר על תכונות אבטחה פיזית ובטיחותיות בהתאם לתקנים בתחום, כולל, בין היתר:

לכלובים יש קירות בטון או גגות רשת מאובטחים.
מצלמות וידאו בכל מתקן עוקבות אחרי הכלובים, המעברים והדלתות 24 שעות ביממה, 7 ימים בשבוע. למצלמות יש זווית צילום ברורה בתוך כל כלוב, בכל מעבר ובכל דלת כניסה ויציאה.
לכל הדלתות במתקן יש אזעקות כדי לוודא שהן סגורות כמו שצריך.
כל מי שנכנס לכלוב חייב לקבל אישור מראש מצוות התיאום של השלוחה האזורית, וגישה מתאימה מצוות האבטחה של השלוחה האזורית.
צוות התיאום של ההרחבה האזורית מנהל את כל הגישה באמצעות כרטיסים נפרדים לכל ביקור.
הכניסה למתקן מותרת רק לעובדים מורשים, שצריכים להשתמש במנעול ביומטרי כדי להיכנס ולענוד תג כדי לצאת.
כל המתלים נעולים. מערכת אלקטרונית לאחסון מפתחות מחלקת מפתחות למתלים ספציפיים לעובדים מורשים על בסיס מוגבל של 'צורך בשימוש'. הכספת למפתחות עוקבת גם אחרי הגישה למתלה.
צוות אבטחה של שירותי שרתים משותפים מנהל את הגישה ומפיק דוחות על סמך דרישות האישור לתאימות ל-PCI ול-ISO.
אמצעי האבטחה הפיזית האחרים עומדים בשיטות המומלצות בתחום ובדרישות הרגולטוריות הרלוונטיות.

תאימות

‫Bare Metal Solution עומד בדרישות תאימות מחמירות עם אישורים בתחום כמו ISO,‏ PCI DSS ו-HIPAA, וגם אישורים אזוריים במקרים הרלוונטיים. מידע נוסף על תאימות זמין במרכז המשאבים בנושא תאימות.

אבטחת רשת

אבטחת הרשת מוצעת בשתי שכבות, כמו שמוצג באיור 3:

חיבורי VLAN בשכבה 3 מחברים את הענן הווירטואלי הפרטי של Google למופע ייחודי של ניתוב וירטואלי והעברה (VRF) בנתבי הקצה של Bare Metal Solution.
בסביבת Bare Metal Solution, רשתות VLAN בשכבה 2 מספקות את האבטחה והבידוד שנדרשים לנתונים שלכם. אתם משתמשים ברשת משנה של לקוחות כדי להתחבר אל Google Cloud, וברשת משנה פרטית אופציונלית כדי לארח שירותים ואחסון משלכם.

איור 3: אבטחת רשת בסביבת Bare Metal Solution

אבטחת רשת בסביבת Bare Metal Solution

אם אתם משתמשים בממשקי API של Google Cloud בסביבת Bare Metal Solution כדי לגשת לשירותי Google Cloud , Google Cloud מוצפן העברת הנתונים כברירת מחדל בין Bare Metal Solution לבין השירות הספציפי בהתאם למדיניות ההצפנה שלנו. לדוגמה, אם משתמשים ב-Google Cloud CLI או בממשקי API כדי לגבות נתונים ב-Cloud Storage, העברת הנתונים מ-Bare Metal Solution ל-Cloud Storage מתבצעת באמצעות הצפנת נתונים כברירת מחדל.

אכיפת היקף מאובטח באמצעות גישה פרטית ל-Google

גישה פרטית ל-Google (שנקראת גם VPC Service Controls) מאפשרת להגדיר מתחמי אבטחה היקפית מסביב למידע רגיש בשירותים של Google Cloud , ומציעה את היתרונות הבאים:

מפחית את הסיכון לזליגת נתונים. זליגת מידע מתרחשת כשמישהו מורשה מחלץ מידע ממערכת מאובטחת שבה המידע נמצא, ומשתף אותו עם צד שלישי לא מורשה או מעביר אותו למערכת לא מאובטחת.
גישה פרטית לשירותים מתוך שרתים מקומיים. Google Cloud
אכיפה של בקרת גישה מבוססת-הקשר מהאינטרנט.
ניהול מדיניות אבטחה ממיקום מרכזי.

עם Bare Metal Solution, אתם יכולים להשתמש בשירותים מבוססי-ענן וניתנים להרחבה של Google Cloudבאמצעות Partner Interconnect. הפעלת גבולות גזרה שמבוססים על VPC Service Controls מבטיחה עוד יותר שהגישה לכל השירותים, כמו BigQuery ו-Cloud Storage, תתבצע בלי שיתבצעו פעולות של העברת נתונים לא מורשית לאינטרנט. Google Cloud

כדי להגדיר גישה פרטית ל-Google APIs, אפשר לעיין במאמר בנושא הגדרת גישה פרטית ל-Google למארחים מקומיים. איור 4 מציג דוגמה לגישה פרטית ל-Google:

איור 4: גישה פרטית ל-Google בסביבת Bare Metal Solution

גישה פרטית ל-Google בסביבת Bare Metal Solution

אבטחת מידע

כשמתכננים את אבטחת מידע בסביבת Bare Metal Solution, צריך לדעת איך נתונים מוצפנים מאוחסנים ואיך מאבטחים את האפליקציות שפועלות ב- Google Cloud או במרכז נתונים מקומי.

הצפנת האחסון

כברירת מחדל, נתונים במנוחה מוצפנים ב-Bare Metal Solution. הנה כמה עובדות על הצפנה במנוחה בסביבת Bare Metal Solution:

כדי להקצות אחסון, אנחנו יוצרים מכונה וירטואלית לאחסון (SVM) באשכול NetApp לכל לקוח, ומקשרים את ה-SVM לנפח נתונים שמור לפני שאנחנו מעבירים אותו ללקוח.
כשיוצרים נפח נתונים מוצפן, תהליך ההצפנה יוצר מפתח ייחודי להצפנת נתונים מסוג XTSAES-256. אנחנו אף פעם לא יוצרים מפתח מראש.
מכונות וירטואליות של SVM מספקות בידוד בסביבת Multi-tenancy. כל SVM מופיע כשרת עצמאי יחיד, מה שמאפשר לכמה SVM להתקיים באותו אשכול ומבטיח שלא יהיה זרימת נתונים בין ה-SVM.
אנחנו לא מציגים את המפתחות כטקסט פשוט. מנהל המפתחות המובנה של NetApp מאחסן, מנהל ומגן על המפתחות.
ל- Google Cloud ולספק אין גישה למפתחות שלכם.
ב-Netapp Storage Cluster כל הנתונים מוצפנים ונשמרים במצב לא פעיל, כולל מערכת ההפעלה ומחיצות האתחול.
אם תבחרו להפסיק להשתמש ב-Bare Metal Solution בסוף החוזה, נמחק את נפחי האחסון שלכם בצורה מוצפנת ונכניס אותם להסגר למשך 7 ימים לפני שנוכל לעשות בהם שימוש חוזר.

אבטחת אפליקציות

כשעובדים עם Bare Metal Solution, אפשר לאבטח את האפליקציות שפועלות ב- Google Cloud או בסביבה מקומית.

אפליקציות שפועלות ב- Google Cloud

‫Bare Metal Solution פועל בהרחבות אזוריות. נתיב הרשת היחיד אל ההרחבה האזורית או ממנה הוא דרך Partner Interconnect לאזור המשויך Google Cloudבאמצעות קבצים מצורפים של VLAN ספציפיים ללקוח.
כברירת מחדל, לשרתים של Bare Metal Solution אין גישה לאינטרנט. אם אתם צריכים גישה לאינטרנט לפעולות כמו תיקון או עדכונים, אתם יכולים ליצור מופע NAT. מידע נוסף זמין במאמר בנושא גישה לאינטרנט.
סשן BGP מספק ניתוב דינמי בין נתבי Cloud Router ברשת ה-VPC לבין הנתבים של ההרחבה האזורית. כתוצאה מכך, אם מציבים משאבים ב-VPC שמצורף לתוסף האזורי, למשאבים האלה יש גישה ישירה לשרתים של Bare Metal Solution. באופן דומה, למשאבים שפועלים ברשתות משנה שנוספו לאחרונה יש גם גישה לשרתים של Bare Metal Solution. אם אתם צריכים לאשר או לדחות גישה למשאבים ספציפיים, אתם יכולים להשתמש במדיניות חומת האש כדי להגביל את התנהגות ברירת המחדל שמאפשרת גישה לכל המשאבים של Bare Metal Solution.
כפי שמוצג באיור 5, משתמשים בקישור (peering) בין רשתות VPC שכנות כדי לאפשר למשאבים שפועלים ב-VPC אחר באותו פרויקט או בפרויקט אחר לגשת לשרתים של Bare Metal Solution. בנתבי Cloud Router העודפים, מוסיפים פרסום בהתאמה אישית שמפנה לטווח ה-CIDR של הרשת המקבילה.

איור 5: קישור בין רשתות VPC שכנות (peering) וסביבת Bare Metal Solution
כפי שמוצג באיור 6, משתמשים בארכיטקטורה של VPC משותף כדי לאפשר למשאבים מפרויקטים שונים לגשת לשרתים של Bare Metal Solution. במקרה כזה, צריך ליצור קובצי מצורפים של VLAN בפרויקט המארח כדי שכל המשאבים יוכלו לגשת לשרתים שמצורפים ל-VPC המשותף.

איור 6: VPC משותף וסביבת Bare Metal Solution
אפשר לגבות את מסדי הנתונים באמצעות Oracle Recovery Manager ‏(RMAN) או פתרונות גיבוי כמו Actifio. במדריך הזה של Actifio מוסבר איך לשלב את Actifio באופן מקורי עם RMAN. אתם יכולים לאחסן נתוני גיבוי ב-Cloud Storage ולבחור רמות שונות של Cloud Storage כדי לעמוד בדרישות שלכם לגבי יעד זמן השחזור (RTO) ויעד נקודת השחזור (RPO).

אפליקציות שפועלות בשרתים מקומיים

כמו שצוין קודם, נתיב הרשת היחיד אל או מתוסף אזורי של Bare Metal Solution הוא דרך Partner Interconnect לאזור המשויך. Google Cloudכדי להתחבר לשרתי Bare Metal Solution מהסביבה המקומית, צריך לחבר את מרכז הנתונים המקומי ל-Google Cloud באמצעות Dedicated Interconnect,‏ Partner Interconnect או Cloud VPN. למידע נוסף על אפשרויות החיבור האלה, קראו את המאמר בחירת מוצרים של Network Connectivity.
כדי להפעיל מסלולים לרשת המקומית, צריך לשנות את נתבי Cloud המיותרים באמצעות פרסום מותאם אישית שמפנה לטווח ה-CIDR של רשת המשנה המקומית. משתמשים בכללי חומת אש כדי לאשר או לחסום גישה לשרתים.

אבטחה תפעולית

בקטע 'אבטחה פיזית' במדריך הזה למדתם שאנחנו מגבילים מאוד את הגישה לתשתית של Bare Metal Solution בתוך הרחבה אזורית. אנחנו מספקים גישה לעובדים מורשים באופן זמני, מוגבל ועל בסיס הצורך בשימוש. אנחנו מבצעים ביקורת ביומני הגישה, מנתחים אותם כדי לזהות אנומליות ומשתמשים במעקב והתראות מסביב לשעון כדי למנוע גישה לא מורשית.

יש כמה אפשרויות לאבטחה תפעולית. אחד הפתרונות שמשתלבים באופן טבעי עם Google Cloud הוא המוצר Bindplane של Blue Medora. ‫Bindplane משתלב עם סוכני Google Cloud Observability ומאפשר לכם לתעד מדדים ויומנים מתשתית Bare Metal Solution, כולל יומנים של מסד נתונים של Oracle ושל אפליקציות Oracle.

‫Prometheus הוא פתרון קוד פתוח לניטור שבו אפשר להשתמש כדי לנטר את התשתית של Bare Metal Solution ואת מסדי הנתונים של Oracle שפועלים על גביה. אפשר להפנות את נתיבי הביקורת של מסד הנתונים והמערכת אל Prometheus, שפועל כתצוגת נתונים מאוחדת לניטור ולשליחת התראות על פעילות חשודה.

Oracle Enterprise Manager פופולרי בקרב משתמשים בסביבה מקומית. אתם יכולים להשתמש ב-OEM בסביבת Bare Metal Solution כדי לבצע משימות של מעקב והתראות באותו אופן שבו אתם מבצעים אותן במרכז הנתונים המקומי.

אבטחת מסד נתונים

עיצבנו את Bare Metal Solution כך שיהיה דומה ככל האפשר לסביבה המקומית שלכם, כדי שתוכלו להשתמש בו עם מינימום מאמץ וזמן למידה. כתוצאה מכך, אתם יכולים להעביר בקלות את התכונות, שיטות העבודה והתהליכים הקיימים במסד הנתונים של אורקל שקשורים לאבטחה אל Bare Metal Solution. אתם יכולים להוסיף לאמצעי האבטחה שלכם את תכונות האבטחה ש-Google Cloud מספקת.

כדי לאבטח את מסד הנתונים, כדאי לבדוק את אמצעי הבקרה של Oracle שצריך להפעיל. היא כוללת אימות משתמשים, הרשאה ובקרת גישה, ביקורת והצפנה.

אימות משתמשים

אם משתמשים באימות בסיסי, כדאי להטמיע מדיניות סיסמאות, למשל סיסמאות מורכבות וארוכות.
כדי לחזק את מערכת האימות, אפשר להשתמש באישור TLS, ב-Kerberos או ב-RADIUS.
משתמשים באימות מבוסס-פרוקסי כדי להפעיל אימות וביקורת ברמת מסד הנתונים. השיטה הזו שימושית אם אתם בוחרים לא למפות משתמשי אפליקציות למשתמשי מסד נתונים ומפעילים אימות ברמת האפליקציה.

המלצות נוספות בנושא אימות מופיעות במאמר הגדרת אימות במדריך האבטחה של Oracle Database.

הרשאה ובקרת גישה

ניהול ההרשאות מתבצע באמצעות הרשאות לאובייקטים, הרשאות מערכת ותפקידים שמוגדרים במסד הנתונים. אפשר גם להשתמש בתכונות מתקדמות ומאובטחות יותר כמו Database Vault.
ניהול משתמשים וקבוצות באמצעות משתמשים שמנוהלים באופן מרכזי (CMU). בעזרת CMU, תוכלו להשתמש בתשתית הקיימת של Active Directory כדי לרכז את הניהול של משתמשי מסדי נתונים וההרשאות שלהם במספר מסדי נתונים של Oracle.

מידע נוסף על CMU זמין במאמר הגדרת משתמשים שמנוהלים באופן מרכזי באמצעות Microsoft Active Directory במדריך האבטחה של Oracle Database.
כדי להפריד בין תפקידים ולשלוט בגישה של משתמשים עם הרשאות גבוהות, אפשר להשתמש ב-Database Vault.

מידע נוסף על Database Vault זמין במדריך האדמין של Oracle Database Vault.
אפשר להשתמש בכלים ובטכניקות נוספים, כמו ניתוח הרשאות והסרת פרטים מזהים מנתונים.
- כלי ניתוח ההרשאות עוזר לכם לעקוב באופן פעיל אחרי השימוש בהרשאות ובתפקידים על ידי משתמשי הקצה. מידע נוסף על ניתוח הרשאות זמין במאמר Performing Privilege Analysis to Find Privilege Use במדריך האבטחה של Oracle Database.
- הסרת נתונים רגישים מסירה נתונים רגישים מעמודות ומאפשרת גישה רק למשתמשים שנדרשת להם גישה. מידע נוסף על החרגת נתונים זמין במאמר Using Oracle Data Redaction במדריך Oracle Database Advanced Security Guide.
משתמשים ב-Virtual Private Database‏ (VPD) וב-Oracle Label Security‏ (OLS) כדי ליצור גישה לנתונים ברמת גרנולריות גבוהה על ידי שינוי דינמי של שאילתות משתמשים. הכלים האלה לא כוללים שורות שמסוננות על ידי מדיניות VPD, ומנהלים תוויות של שורות ומשתמשים כדי לזהות אם למשתמש צריכה להיות גישה לשורה מסוימת.
- פרטים נוספים על VPD זמינים במאמר Using Oracle Virtual Private Database to Control Data Access במדריך האבטחה של Oracle Database.
- פרטים נוספים על OLS זמינים במדריך למנהל של Oracle Label Security.
כדאי להקפיד על העיקרון של הרשאות מינימליות ולהקצות הרשאות תפקיד מפורטות לקבוצות ולמשתמשים.

ביצוע בקרה

כדאי להשתמש בביקורת מאוחדת, תכונה ששולחת את כל נתוני הביקורת ליומן ביקורת מאוחד. התכונה הזו הושקה בגרסה 12c כדי להחליף את הביקורת המסורתית על מסדי נתונים. היא יוצרת קובץ מרכזי של נתוני מעקב לכל אירועי הביקורת שקשורים למסד הנתונים, ומשפרת את הביצועים של דוח הביקורת.
מפעילים ביקורת מפורטת (FGA) כדי להרחיב את היכולות של ביקורת מסורתית. התכונה הזו מתעדת נתוני ביקורת רק כשמשתמש ניגש לעמודה מסוימת או עומד בתנאי מסוים.
אפשר להשתמש בחומת האש של מסד הנתונים של כספת הביקורת (AVDF) כדי לנהל מדיניות ביקורת ואירועים שתועדו. אחד מתרחישי השימוש העיקריים ב-ADVF הוא מניעת תקיפות של הזרקת SQL. אתם מגדירים את חומת האש של מסד הנתונים כדי לעקוב אחרי כל הצהרות ה-SQL שמונפקות למסד הנתונים לאורך מחזור החיים המלא של האפליקציה. מסד הנתונים יוצר קבוצה של אשכולות מהימנים, ואז חוסם כל הצהרת SQL שלא מוכרת לחומת האש של מסד הנתונים.

מידע נוסף זמין במאמר בנושא מעקב אחרי פעילות במסד נתונים באמצעות ביקורת במדריך האבטחה של Oracle Database ובמדריך בנושא Audit Vault ו-Database Firewall.

הצפנה של נתונים במנוחה ובתנועה

ב-Bare Metal Solution, נתוני המשתמשים מוצפנים אוטומטית במנוחה באמצעות מפתח ייחודי של AES 256 ביט לכל נפח נתונים. עם זאת, אפשר גם להפעיל הצפנת נתונים שקופה (TDE) כדי לקבל יותר שליטה במחזור החיים של מפתח ההצפנה.
כדי לאבטח את הנתונים בין הלקוח למסד הנתונים, אפשר להשתמש בהצפנה מקורית של הרשת או בהצפנה שמבוססת על Transport Layer Security‏ (TLS).
כשמשתמשים במפתחות הצפנה בניהול הלקוח (CMEK) לנתוני מסד נתונים של Oracle, צריך להשתמש באפשרות האבטחה המתקדמת (ASO) כדי להפעיל הצפנה, סכומי ביקורת קריפטוגרפיים של הרשת (שונים מסכום הביקורת של היומן במהלך קריאה וכתיבה) ושירותי אימות בין המערכות הראשיות למערכות הגיבוי ב-Data Guard.

פרטים נוספים על אפשרויות הצפנה מופיעים במאמר Using Transparent Data Encryption במדריך בנושא אבטחה מתקדמת של מסד הנתונים של Oracle.

ההצעות שציינו לגבי אבטחת Oracle Database ב-Bare Metal Solution לא אמורות להיות רשימה מקיפה. מומלץ מאוד לפעול לפי השיטות המומלצות וההמלצות של Oracle, ולהטמיע אמצעי בקרה מתאימים לצרכים הספציפיים של העסק ולדרישות האבטחה.

סיכום

‫Bare Metal Solution הוא שער הכניסה שלכם לעולם של Google Cloud. היא מאפשרת לכם להעביר ולהפעיל את עומסי העבודה הקריטיים כמו שהם, קרוב יותר לענן, בזמן שאתם מחליטים, מתכננים ומעצבים את העתיד שלכם בענן. בנוסף לשיטות המומלצות, לכלים ולטכניקות שמופיעים במדריך הזה, Bare Metal Solution מספקת פלטפורמה מאובטחת, חזקה ויציבה להרצת עומסי עבודה קריטיים.

חשוב לזכור שהמאמץ הזה לא צריך לבוא על חשבון האבטחה. כשנרשמים ל-Bare Metal Solution, מקבלים שרתים מסוג Bare Metal עם כמה שכבות של אבטחה מובנית, כולל השכבה הפיזית, שכבת האחסון ושכבת הרשת. לכן, שירות Bare Metal Solution משלב אבטחה בכל שלב בתשתית כדי לענות על הצרכים הקריטיים שלכם לביצועים מאובטחים בהיקף גדול.

מסקנות עיקריות:

האבטחה היא אחריות משותפת.
פועלים לפי העיקרון של הרשאות מינימליות.
פועלים לפי עקרון הפרדת תפקידים.
כדי למנוע זליגת נתונים, אפשר לגשת לשירותים דרך restricted.googleapis.com. Google Cloud
כדי לצמצם את הסיכון להוצאת נתונים, לגישה לא מורשית ולשלוט במדיניות האבטחה באופן מרכזי, צריך להפעיל את גישה פרטית ל-Google בפרויקט.
פועלים לפי השיטות המומלצות שנקבעו על ידי Oracle לאבטחת מסד נתונים של Oracle.