1.1、安全体系全景图
Oracle 12c 引入了多租户架构(Multitenant Architecture),安全体系随之大幅升级。整个安全架构可以分为以下层次:
|-----------|----------------------------------------------------|
| 安全层次 | 核心组件 |
| 身份认证层 | 用户名/密码、OS认证、LDAP/Kerberos、MFA多因素认证 |
| 权限控制层 | 系统权限、对象权限、角色、权限委托 |
| 数据保护层 | TDE透明加密、Data Redaction、Virtual Private Database |
| 审计追踪层 | Unified Auditing、细粒度审计(FGA)、SYS审计 |
| 网络安全层 | TLS/SSL加密、网络访问控制(ACL)、Connection Manager |
| 合规治理层 | Oracle Data Vault、Database Firewall、Label Security |
1.2、CDB 与 PDB 的安全边界
Oracle 12c 的多租户架构中,安全模型分为 CDB(容器数据库)和 PDB(可插拔数据库)两个层级。理解这一架构对安全管理至关重要。
- CDB 层面的安全控制:
- CDB$ROOT 中的公共用户(Common User)可以跨 PDB 执行操作
- 公共角色和权限在 CDB 级别定义和授予
- PDB 层面的安全控制:
- 本地用户(Local User)只能访问其所在 PDB 的对象
- 本地角色和权限在 PDB 级别独立管理
sql
-- 查看当前容器
SHOW CON_NAME;
-- 切换到 PDB
ALTER SESSION SET CONTAINER = orclpdb1;
-- 创建公共用户(需在 CDB$ROOT 中执行)
-- 必须以 C## 或 c## 开头
CREATE USER c##admin IDENTIFIED BY "Str0ngP@ss123"
CONTAINER = ALL;
-- 创建本地用户(需在 PDB 中执行)
ALTER SESSION SET CONTAINER = orclpdb1;
CREATE USER app_user IDENTIFIED BY "AppP@ss456"
CONTAINER = CURRENT;实例:多租户金融系统用户隔离方案
S --- Situation(场景):某科技公司采用 Oracle 12c 多租户架构,一个 CDB 下挂载了 5 个 PDB,分别服务于不同业务线。安全团队要求各业务线数据完全隔离,但需要一个统一的 DBA 账户可以管理所有 PDB。
T --- Task(任务):设计一套用户体系:统一管理员 + 各 PDB 独立的应用用户,确保跨 PDB 权限隔离。
A --- Action(行动):
1、在 CDB$ROOT 创建公共管理员 c##super_dba,授予 DBA 角色(CONTAINER=ALL)
2、在各 PDB 中创建本地应用用户,仅授予该 PDB 内的必要权限
3、使用 CONTAINER 子句严格控制权限范围
4、配置 Profile 限制公共用户的并发会话数
**R --- Result(结果):**实现了统一管理与数据隔离的平衡。公共 DBA 可以跨 PDB 运维,但各 PDB 应用用户只能访问自己的数据,审计日志清晰记录了所有跨容器操作。