Documentación de Oracle Cloud Infrastructure

Protección de Database

Recomendaciones de seguridad

En esta sección se muestran las recomendaciones de seguridad para gestionar las instancias de Oracle Cloud Infrastructure Database. Las recomendaciones para configurar de forma segura las bases de datos de Oracle están disponibles en Oracle Database Security Guide. En esta documentación, "sistema de base de datos" hace referencia a los despliegues de Oracle Database mediante el servicio de base de datos base, Exadata Database Service en infraestructura dedicada y Autonomous Database en una infraestructura de Exadata dedicada. (Tenga en cuenta que puede que algunos temas no se apliquen a Autonomous Database en situaciones en las que Oracle gestiona la funcionalidad descrita).

Control de acceso a las bases de datos

  • Los usuarios se autentican en la base de datos con su contraseña. Oracle recomienda que estas contraseñas sean seguras. Para obtener instrucciones sobre la selección de contraseñas de bases de datos de Oracle, consulte Guidelines for Securing Passwords. Además, la base de datos de Oracle proporciona un script PL/SQL para verificar la complejidad de la contraseña de la base de datos. Este script se encuentra en $ORACLE_HOME/rdbms/admin/UTLPWDMG.SQL. Para obtener instrucciones sobre la ejecución del script UTLPWDMG.SQL para verificar la complejidad de la contraseña, consulte Enforcing Password Complexity Verification.
  • Además de la contraseña de la base de datos, puede utilizar los grupos de seguridad de red de VCN o las listas de seguridad para aplicar el control de acceso de red a las instancias de base de datos. Oracle recomienda configurar los grupos de seguridad de red de VCN o las listas de seguridad para permitir el acceso con el mínimo de privilegios mínimos a las bases de datos de clientes en Oracle Cloud Infrastructure Database.

  • Los sistemas de base de datos creados en una subred pública pueden enviar tráfico saliente directamente a Internet. Los sistemas de base de datos creados en una subred privada no tienen conectividad a Internet, y el tráfico de Internet (salida y entrada) no puede acceder a la instancia directamente. Si intenta definir una ruta a un sistema de base de datos dentro de una subred privada mediante un gateway de Internet, la ruta se ignora.

    Para realizar parches y copias de seguridad del sistema operativo para un sistema de base de datos en una subred privada, puede utilizar un gateway de servicio o un gateway de NAT para conectarse a sus puntos finales de aplicación de parches o copias de seguridad.

    En una red virtual en la nube (VCN), puede utilizar reglas de seguridad junto con una subred privada para restringir el acceso a un sistema de base de datos. En despliegues de varios niveles, se pueden utilizar una subred privada y reglas de seguridad de VCN para restringir el acceso al sistema de base de datos desde los niveles de aplicación.

Durabilidad de los datos

  • Oracle recomienda otorgar permisos para suprimir bases de datos (DATABASE_DELETE, DB_SYSTEM_DELETE) al mínimo posible de usuarios y grupos de IAM. Esto minimiza la pérdida de datos debido a supresiones involuntarias por un usuario autorizado o debido a supresiones maliciosas. Otorgue permisos DELETE solo a los administradores de arrendamiento y compartimento.
  • Puede utilizar RMAN para realizar copias de seguridad periódicas de las bases de datos de Database, donde las copias de seguridad cifradas se almacenan en el almacenamiento local (volúmenes en bloque, por ejemplo) o en Oracle Cloud Infrastructure Object Storage. RMAN cifra cada copia de seguridad de una base de datos con una clave de cifrado única. En el modo transparente, la clave de cifrado se almacena en Oracle Wallet. Las copias de seguridad de RMAN de Object Storage requieren que se configure el gateway de Internet (IGW) y los grupos de seguridad de red de VCN o las listas de seguridad para permitir el acceso seguro a Object Storage. Para obtener información sobre la configuración de VCN para realizar copias de seguridad de bases de datos con hardware dedicado, consulte Copia de seguridad de una base de datos en el almacenamiento de objetos mediante RMAN. Para obtener información sobre cómo realizar copias de seguridad y bases de datos de Exadata, consulte Gestión de copias de seguridad de base de datos Exadata con bkup_api.

Cifrado de base de datos y gestión de claves

  • Todas las bases de datos creadas en Oracle Cloud Infrastructure se cifran utilizando el cifrado de datos transparente (TDE). Tenga en cuenta que si migra una base de datos no cifrada desde la ubicación local a Oracle Cloud Infrastructure mediante RMAN, la base de datos migrada no se cifrará. Oracle necesita cifrar dichas bases de datos después de migrarlas a la nube.

    Para obtener más información sobre cómo cifrar la base de datos con un tiempo de inactividad mínimo durante la migración, consulte el documento técnico de Arquitectura de máxima disponibilidad de Oracle Converting to Transparent Data Encryption with Oracle Data Guard using Fast Offline Conversion.

    Tenga en cuenta que los sistemas de base de datos de máquina virtual utilizan el almacenamiento de bloques de Oracle Cloud Infrastructure en lugar del almacenamiento local. El almacenamiento de bloques está cifrado por defecto.

  • Los tablespaces creados por el usuario se cifran por defecto en Oracle Cloud Infrastructure Database. En estas bases de datos, el parámetro ENCRYPT_NEW_TABLESPACES se establece en CLOUD_ONLY, donde los tablespaces creados en una base de datos de Database Cloud Service (DBCS) se cifran de forma transparente con el algoritmo AES128 a menos que se especifique un algoritmo diferente.
  • El administrador de Database crea una instancia local de Oracle Wallet en una instancia de base de datos creada recientemente e inicializa la clave maestra de cifrado de datos transparente (TDE). A continuación, Oracle Wallet se configura para que sea de apertura automática. Sin embargo, un cliente puede elegir definir una contraseña para Oracle Wallet. En ese caso, Oracle recomienda definir una contraseña segura (ocho caracteres o más, con al menos una letra mayúscula, una letra minúscula, un número y un símbolo especial).
  • Oracle recomienda rotar periódicamente la clave maestra de TDE. El período de rotación recomendado es de 90 días o menos. Puede rotar la clave maestra de TDE mediante comandos de base de datos nativa ("administrar gestión de claves" en 12c, por ejemplo) o dbaascli. Todas las versiones anteriores de la clave maestra de TDE se conservan en Oracle Wallet.
  • Oracle Key Vault (OKV) es una aplicación de gestión de claves que se utiliza para gestionar claves maestras de cifrado de datos transparente de Oracle. OKV puede almacenar, rotar y auditar accesos a las claves maestras de TDE. Para obtener instrucciones sobre la instalación y configuración de OKV en Oracle Cloud Infrastructure, consulte Managing Oracle Database Encryption Keys in Oracle Cloud Infrastructure with Oracle Key Vault.

Parches de bases de datos

La aplicación de parches de seguridad de bases de datos de Oracle (actualizaciones de parches críticos de Oracle) es necesaria para mitigar los problemas conocidos de seguridad y Oracle recomienda mantener los parches actualizados. Los juegos de parches y las actualizaciones de juegos de parches (PSU) se lanzan trimestralmente. Estas versiones de parches contienen correcciones de seguridad y correcciones de bugs críticos de alto impacto/poco riesgo adicionales.

Para obtener información sobre los últimos problemas conocidos de seguridad y las correcciones disponibles, consulte Critical Patch Updates, Security Alerts and Bulletins. Si la aplicación no admite los parches más recientes y necesita utilizar un sistema de base de datos con parches anteriores, puede aprovisionar un sistema de base de datos con una versión anterior de la edición de Oracle Database que está utilizando. Además de revisar las actualizaciones de parches críticos y las alertas de seguridad de Oracle Database, Oracle recomienda analizar y aplicar parches al sistema operativo aprovisionado con el sistema de base de datos.

Para obtener información sobre la aplicación de parches a instancias de Oracle Cloud Infrastructure Database, consulte Actualización de un sistema de base de datos y Aplicación de parches a bases de datos de Oracle Grid Infrastructure y Oracle mediante dbaascli.

Comprobación de la configuración de seguridad de bases de datos

  • Oracle Database Security Assessment Tool (DBSAT) proporciona comprobaciones automáticas de la configuración de seguridad de las bases de datos de Oracle en Oracle Cloud Infrastructure. DBSAT realiza comprobaciones de seguridad para el análisis de privilegios de usuario, controles de autorización de base de datos, políticas de auditoría, configuración de listener de base de datos, permisos de archivos del sistema operativo y datos confidenciales almacenados. Las imágenes de base de datos de Oracle en Oracle Cloud Infrastructure Database se analizan con DBSAT antes del aprovisionamiento. Después del aprovisionamiento, Oracle recomienda explorar periódicamente las bases de datos con DBSAT y corregir los problemas que se encuentren. DBSAT está disponible de manera gratuita para los clientes de Oracle.

Auditoría de seguridad de bases de datos

Oracle Audit Vault and Database Firewall (AVDF) supervisa los logs de auditoría de bases de datos y crea alertas. Para obtener instrucciones sobre la instalación y la configuración de AVDF en Oracle Cloud Infrastructure, consulte Deploying Oracle Audit Vault and Database Firewall in Oracle Cloud Infrastructure.

Seguridad de los datos

Oracle recomienda utilizar el servicio Data Safe para mejorar la seguridad de los despliegues de base de datos. Oracle Data Safe es un centro de control unificado para las bases de datos de Oracle que le ayuda a comprender la confidencialidad de los datos, evaluar los riesgos para los datos, enmascarar los datos confidenciales, implementar y supervisar los controles de seguridad, evaluar la seguridad del usuario, supervisar la actividad del usuario y abordar los requisitos de conformidad con la seguridad de los datos. Consulte Introducción para obtener información completa.

Copias de seguridad de base de datos

Oracle recomienda utilizar copias de seguridad gestionadas (copias de seguridad creadas con la API o la consola de Oracle Cloud Infrastructure) siempre que sea posible. Al utilizar copias de seguridad gestionadas, Oracle gestiona el usuario y las credenciales del almacén de objetos y rota estas credenciales cada 3 días. Oracle Cloud Infrastructure cifra todas las copias de seguridad gestionadas en el almacén de objetos. Oracle utiliza por defecto la función de cifrado transparente de bases de datos para cifrar las copias de seguridad.

Si no utiliza copias de seguridad gestionadas, Oracle recomienda que cambie las contraseñas del almacén de objetos en intervalos regulares.

Ejemplos de política de seguridad

Evitar la supresión de instancias de bases de datos

La siguiente política de ejemplo permite al grupo DBUsers realizar todas las acciones de gestión excepto suprimir bases de datos y artefactos.

Allow group DBUsers to manage db-systems in tenancy
 where request.permission!='DB_SYSTEM_DELETE' 
Allow group DBUsers to manage databases in tenancy
 where request.permission!='DATABASE_DELETE' 
Allow group DBUsers to manage db-homes in tenancy
 where request.permission!='DB_HOME_DELETE'