Protección de GoldenGate
En este tema se proporciona información y recomendaciones de seguridad para GoldenGate.
Oracle Cloud Infrastructure GoldenGate proporciona una solución de replicación de datos segura y fácil de usar de acuerdo con las mejores prácticas de seguridad líderes del sector.
Responsabilidades de seguridad
Para utilizar GoldenGate de forma segura, debe conocer sus responsabilidades en cuanto a seguridad y conformidad.
Oracle es responsable de los siguientes requisitos de seguridad:
- Seguridad física:Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.
- Encriptación y confidencialidad: las claves de cifrado y los secretos de GoldenGate se almacenan en carteras y almacenes para proteger los datos y conectarse a recursos seguros.
- Seguridad de la red: el acceso cifrado a la consola de despliegue GoldenGate se activa solo mediante SSL en el puerto 443. Por defecto, el acceso a la consola de despliegue GoldenGate solo está disponible desde un punto final privado de OCI desde la red privada del cliente. Se pueden configurar puntos finales públicos permitiendo el acceso público cifrado a la consola de despliegue GoldenGate a través de SSL en el puerto 443.
Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:
- Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.
- GoldenGate Gestión de cuentas de la consola de despliegue: el acceso a la consola de despliegue GoldenGate se gestiona en la consola de OCI. Las cuentas y los permisos se gestionan en la consola de despliegue GoldenGate. Obtenga más información sobre los usuarios del despliegue.
- Seguridad de red: puede configurar la conectividad de red a orígenes y destinos (registros de base de datos de OCI GoldenGate). Asegúrese de que estos registros de base de datos son seguros y están cifrados. Cada registro de base de datos GoldenGate de OCI se puede proteger mediante SSL configurando los parámetros SSL adecuados. Consulte Gestión de registros de base de datos.
- Cifrado de red: por defecto, toda la conectividad de red a OCI GoldenGate se cifra a través de SSL con certificados proporcionados por Oracle. Asegúrese de que todos los certificados o claves de cifrado que proporcione estén actualizados y sean válidos.
- Auditoría de eventos de seguridad: la consola de despliegue de OCI GoldenGate registra eventos de seguridad. Puede acceder y revisar este log desde la copia de seguridad del despliegue de OCI GoldenGate. Asegúrese de supervisar este log regularmente. Obtenga más información sobre las copias de seguridad de despliegue.
- Aplicación de parches: asegúrese de que los despliegues de GoldenGate de OCI estén actualizados. Las actualizaciones se publican mensualmente y debe cambiar de versión al nivel de parche más reciente del despliegue lo antes posible para evitar vulnerabilidades. Obtenga más información sobre la aplicación, de parches en despliegues.
- Auditoría de acceso remoto a través de Load Balancer o Bastion: asegúrese de que la auditoría de cualquier acceso remoto que no esté directamente en OCI GoldenGate esté activada y configurada correctamente. Consulte Registro de equilibradores de carga para obtener más información.
Políticas de IAM
Utilice políticas para limitar el acceso a GoldenGate.
Una política especifica quién puede acceder a los recursos de Oracle Cloud Infrastructure y cómo. Para obtener más información, consulte Funcionamiento de las políticas.
GoldenGate Recomendaciones de IAM:
- Asigne acceso con privilegio mínimo para usuarios y grupos de IAM a los tipos de recursos en
goldengate-family
. - Para minimizar la pérdida de datos debido a supresiones involuntarias por parte de un usuario autorizado o a supresiones maliciosas, Oracle recomienda asignar los permisos
GOLDENGATE_DEPLOYMENT_DELETE
yGOLDENGATE_DATABASE_REGISTRATION_DELETE
al conjunto mínimo posible de usuarios y grupos de IAM. Otorgue estos permisos solo a los administradores de arrendamiento y compartimento. - GoldenGate solo necesita acceso de nivel
USE
para capturar datos de registros de base de datos.
Políticas de ejemplo:
Cree esta política para permitir que el grupo ggs-users
realice todas las acciones en despliegues, excepto suprimirlos.
Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'
Para obtener más información sobre la creación de políticas GoldenGate, consulte Políticas de Oracle Cloud Infrastructure GoldenGate.