Exadata: Hướng Dẫn Kiểm Tra Tính Tương Thích của Các Agent Bảo Mật và Agent Bên Thứ Ba Trên Exadata
- Người viết: info@mps-asia.com lúc
- Blog Công nghệ
Giới Thiệu
Oracle Database là hệ quản trị cơ sở dữ liệu đa mô hình hàng đầu thế giới. Hiệu suất, khả năng mở rộng và độ tin cậy của nó được tăng cường đáng kể trong Exadata, một hệ thống được lắp ráp và tích hợp sẵn để giảm bớt độ phức tạp và tăng tốc triển khai ứng dụng. Nhờ hiệu suất và độ tin cậy này, Exadata là nền tảng mà nhiều tổ chức sử dụng để chạy các tác vụ quan trọng nhất của họ. Điều này đi kèm với dữ liệu nhạy cảm, cần được bảo vệ theo tiêu chuẩn tổ chức.
Mô hình trách nhiệm chia sẻ của Exadata, cả tại chỗ và trên đám mây, cung cấp cho khách hàng quyền truy cập đặc quyền (ví dụ: root, SYS) vào các máy ảo và cơ sở dữ liệu. Khách hàng có thể sử dụng các quyền này để bảo mật máy ảo và cơ sở dữ liệu, đáp ứng các yêu cầu chính sách và quy định địa phương. Điều này bao gồm nhưng không giới hạn ở việc cài đặt các agent, chuyển tiếp nhật ký kiểm toán hệ điều hành và cơ sở dữ liệu đến hệ thống quản lý sự kiện thông tin bảo mật (SIEM) của khách hàng, và kiểm soát truy cập và quản lý danh tính cho máy ảo và cơ sở dữ liệu thông qua các công cụ tương thích với hệ điều hành Exadata Compute VM và cơ sở dữ liệu Oracle.
Các agent bảo mật bên thứ ba, được gọi là agent bảo mật trong bài viết này, có thể có tác động lớn nhất đến hoạt động của Exadata. Hầu hết các agent bảo mật này chạy ở cấp độ root trên hệ điều hành Linux, là cấp độ đặc quyền cao nhất, cho phép các agent này nhìn thấy tất cả các quá trình đang chạy trên hệ điều hành, bao gồm cả các quá trình được Exadata và cơ sở dữ liệu sử dụng. Ngoài việc xem các quá trình, các agent bảo mật tiên tiến hơn sử dụng phân tích mẫu để phát hiện các hoạt động độc hại như ransomware và ngăn chặn hoạt động xảy ra hoặc lan rộng. Điều này hoạt động tốt cho các thiết bị đầu cuối người dùng và máy chủ đa năng nhưng đôi khi có thể ảnh hưởng đến các hệ thống kỹ thuật như Exadata. Các ảnh hưởng này bao gồm suy giảm hiệu suất, lỗi kernel, khóa file, phá vỡ các nâng cấp Exadata, và chặn ksplice từ việc áp dụng các bản vá kernel.
Nên sử dụng thử nghiệm có mục tiêu khi triển khai bất kỳ agent bảo mật nào cài đặt các module kernel riêng và/hoặc được xây dựng bên ngoài hoặc chạy ở chế độ root. Cũng nên tạo các runbook để hiểu cách vô hiệu hóa bất kỳ agent bên thứ ba nào trên Exadata trong các hoạt động bảo trì.
Các Phương Pháp Kiểm Tra
Tái Tạo Tải Công Việc Thực Tế
Các kịch bản tùy chỉnh tái tạo các tải công việc thực tế mà cơ sở dữ liệu gặp phải có thể được sử dụng để đại diện chính xác cách cơ sở dữ liệu sẽ hoạt động trong một kịch bản thực tế. Điều này có thể bao gồm việc tái tạo các mẫu truy vấn, mẫu truy cập dữ liệu, và mức độ đồng thời thấy trong môi trường sản xuất.
Oracle cung cấp một cách để làm điều này với Oracle Real Application Testing (RAT). Oracle RAT giúp bạn đánh giá kỹ lưỡng tác động của một agent bảo mật lên một ứng dụng thực tế trong môi trường thử nghiệm trước khi triển khai thay đổi trong sản xuất. Để kiểm tra tải công việc của bạn, trước tiên bạn sử dụng RAT để thu thập tải công việc. Trong quá trình này, tất cả các yêu cầu của client bên ngoài được chuyển hướng đến máy chủ Oracle và được lưu trữ vào các file “capture” nhỏ gọn trên hệ thống file của máy chủ cơ sở dữ liệu trong khi tiêu tốn rất ít tài nguyên. Sau đó, các file “capture” này có thể được phát lại trên một hệ thống thử nghiệm đang chạy agent bảo mật.
Đo Lường Hiệu Suất (Benchmarking)
Các chuẩn đo lường hiệu suất cũng có thể được sử dụng để đo lường hiệu suất của các hoạt động hoặc tính năng cơ sở dữ liệu cụ thể. Các chuẩn đo lường này bao gồm các truy vấn hoặc tải công việc được xác định trước mô phỏng các hoạt động cơ sở dữ liệu thông thường. Ví dụ bao gồm các chuẩn đo lường OLTP (Xử Lý Giao Dịch Trực Tuyến) như TPC-C và các chuẩn đo lường OLAP (Xử Lý Phân Tích Trực Tuyến) cho hỗ trợ quyết định, như TPC-DS.
Có nhiều công cụ đo lường hiệu suất khác nhau để giúp đo lường hiệu suất cơ sở dữ liệu. Các công cụ này tạo tải và đo lường thời gian phản hồi, sử dụng CPU, thông lượng và hiệu suất I/O. Một số công cụ đo lường hiệu suất là HammerDB, Swingbench và Benchmark Factory® for Databases.
Bạn có thể chọn các chuẩn đo lường phù hợp nhất với tải công việc của bạn đang chạy trên Exadata, chạy các chuẩn đo lường này mà không có agent và sau đó lại chạy với agent được cài đặt, và đánh giá sự khác biệt. Điều này sẽ cho phép bạn đánh giá tác động của agent có thể có.
Kết Luận
Hướng dẫn này cung cấp một cái nhìn tổng quan ở mức cao để đánh giá tác động của các agent bên thứ ba lên môi trường Exadata của bạn. Các nhà cung cấp agent bên thứ ba cũng có thể theo phương pháp này để xác định xem agent của họ có hoạt động trên Exadata hay không, và với Oracle Cloud Infrastructure cung cấp Exadata, điều đó dễ dàng hơn bao giờ hết.
Cuối cùng, trong khi cài đặt các agent bên thứ ba được phép, Oracle sẽ không cung cấp hỗ trợ kỹ thuật cho phần mềm không phải của Oracle. Điều này bao gồm cài đặt, thử nghiệm, chứng nhận và giải quyết lỗi. Nhà cung cấp phần mềm tùy chỉnh/bên thứ ba chịu trách nhiệm cung cấp hỗ trợ kỹ thuật cho nó. Oracle khuyến nghị rằng tất cả phần mềm không phải của Oracle phải được thử nghiệm, xác nhận và chứng nhận bởi nhà cung cấp để sử dụng trong môi trường Oracle Linux và/hoặc Exadata, và thử nghiệm kỹ lưỡng được thực hiện trong môi trường mục tiêu bởi khách hàng