Seguridad y autenticación en Oracle Autonomous Database

El control de acceso de cliente para una instancia de Autonomous Database se aplica mediante políticas de control de acceso de red, protocolos de conexión de cliente y derechos de acceso del usuario de base de datos que el cliente utiliza para conectarse.

Oracle Autonomous Database se configura con una cuenta administrativa, ADMIN, que se utiliza para crear y gestionar otras cuentas de base de datos. Oracle Autonomous Database proporciona un sólido conjunto de funciones y controles, incluidos privilegios y roles de sistema y objeto. Los perfiles de usuario permiten personalizar las políticas de contraseñas para definir e implantar una estrategia de acceso de usuario de base de datos segura.

Para obtener información básica sobre la gestión de usuarios estándar, consulte la sección sobre cuentas de usuario en Oracle Database Concepts. Para obtener información y orientación detalladas, consulte Gestión de seguridad para usuarios de la instancia de Oracle Database en la Guía de seguridad de Oracle Database.

Si la estrategia de acceso de usuario de base de Datos requiere más controles que los proporcionados por la gestión de usuario estándar, puede configurar Oracle Autonomous Database para que utilice Database Vault a fin que cumpla requisitos más rigurosos.

Los servicios de gestión de identidad y acceso (IAM) se utilizan para controlar los privilegios de los usuarios de Oracle Cloud especificando las acciones que estos usuarios pueden realizar en Oracle Autonomous Database.

El servicio IAM proporciona varios tipos de componentes para ayudarle a definir e implantar una estrategia segura de acceso de usuarios en la nube:

• Compartimento: recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para la organización y el aislamiento de sus recursos en la nube.

• Grupo: recopilación de usuarios que necesitan el mismo tipo de acceso a un determinado juego de recursos o compartimento.

• Grupo dinámico: tipo de grupo especial que contiene recursos que coinciden con las reglas que defina. Por lo tanto, la afiliación puede cambiar de forma dinámica a medida que se crean o suprimen recursos coincidentes.

• Política: grupo de sentencias que especifican quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que debe escribir una sentencia de política que otorgue a un grupo específico un tipo específico de acceso a un tipo específico de recurso dentro de un compartimento específico.

Entre ellos, la política es la principal herramienta que se utiliza para controlar el acceso porque proporciona los datos de "quién", "cómo", "qué" y "dónde" de una restricción de acceso único. Una sentencia de política tiene este formato:

El formato de una sentencia de política es:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name> especifica "quién" proporcionando el nombre de un grupo de IAM existente.

• to <control-verb> especifica "cómo" utilizando uno de estos verbos de control predefinidos:

  • inspect: capacidad para mostrar recursos del tipo determinado, sin acceso a información confidencial ni a metadatos especificados por el usuario que puedan formar parte de ese recurso.
  • read: inspect junto con la capacidad de obtener metadatos especificados por el usuario y el propio recurso.
  • use: read junto con la capacidad de trabajar con recursos existentes, pero no de crearlos ni suprimirlos. Además, "trabajar con" significa diferentes operaciones para diferentes tipos de recursos.
  • manage: todos los permisos para el tipo de recurso, incluidas la creación y la supresión.

• <resource-type> especifica "qué" utilizando un tipo de recurso predefinido. Los valores de tipo de recurso para el recurso de infraestructura son:

  • autonomous-databases
  • autonomous-backups

  Puede crear sentencias de política que hagan referencia al valor del tipo de recurso tag-namespaces si se utiliza el etiquetado en su arrendamiento.

• in compartment <compartment-name> especifica "dónde" proporcionando el nombre de un compartimento de IAM existente.

Para obtener información sobre cómo funcionan el servicio IAM y sus componentes, y cómo utilizarlos, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management. Para obtener respuestas rápidas a preguntas comunes sobre IAM, consulte Preguntas frecuentes de Identity and Access Management.

Solo los usuarios autorizados pueden acceder a una instancia de Autonomous Database.

Los operadores de Oracle Cloud no tienen autorización para acceder a su instancia de Autonomous Database. Cuando se necesita acceso a la base de datos para solucionar o mitigar un problema, puede permitir que un operador en la nube acceda a una base de datos durante un tiempo limitado.

Para permitir que un operador en la nube acceda a la base de datos, ejecute el procedimiento DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS. Esto significa que si presenta una solicitud de servicio a los servicios de soporte de Oracle Cloud o se pone en contacto con su representante de soporte y los operadores de Oracle Cloud necesitan acceder a su base de datos, también debe activar el acceso del operador ejecutando DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS.

Cada acceso a la base de datos por parte de los operadores de Oracle Cloud se registra con un ID de solicitud y un motivo.

Consulte Gestión del acceso de operador de Oracle Cloud y Visualización de acciones de operaciones de Oracle Cloud Infrastructure para obtener más información.

Autonomous Database es un servicio totalmente gestionado y Oracle utiliza sus propios arrendamientos de Oracle Cloud Infrastructure para ejecutar el servicio Autonomous Database.

Los operadores de Oracle Cloud no tienen acceso a arrendamientos de clientes y los operadores de la nube no pueden acceder a la red.

Todas las acciones de Oracle Cloud realizadas por los usuarios de los recursos que componen el despliegue de Oracle Autonomous Database se registran mediante el servicio Audit, independientemente de la interfaz utilizada: consola de la Oracle Cloud Infrastructure, API REST, interfaz de línea de comandos (CLI), kits de desarrollo de software (SDK), etc.

Puede utilizar el servicio Audit para realizar diagnósticos, realizar un seguimiento del uso de recursos, supervisar la conformidad y recopilar eventos relacionados con la seguridad. Para obtener más información sobre el servicio Audit, consulte Visión general de auditoría en la Documentación de Oracle Cloud Infrastructure.

Además, cuando los usuarios realizan operaciones en su instancia de Oracle Autonomous Database, la base de datos publica eventos en el servicio Oracle Cloud Events. El servicio Oracle Cloud Events le permite crear reglas para capturar estos eventos y realizar acciones.

Para obtener más información sobre cómo funciona el servicio Events y cómo configurar las reglas y acciones que utiliza, consulte Visión general de Events. Para ver las listas de las operaciones de Oracle Autonomous Database que generan eventos, consulte Tipos de eventos de Autonomous Database.

Oracle Autonomous Database configura las bases de datos autónomas que crea para utilizar la función de auditoría unificada de Oracle Database.

Esta función captura los registros de auditoría de los siguientes orígenes y los recopila en una sola pista de auditoría en un formato uniforme:

• Registros de auditoría (incluidos los registros de auditoría SYS) de las políticas de auditoría unificadas y configuración de AUDIT
• Registros de auditoría detallados del paquete PL/SQL DBMS_FGA
• Registros de auditoría de Oracle Database Real Application Security
• Registros de auditoría de Oracle Recovery Manager
• Registros de auditoría de Oracle Database Vault
• Registros de auditoría de Oracle Label Security
• Registros de Oracle Data Mining
• Oracle Data Pump
• Carga directa de Oracle SQL*Loader

La información de auditoría se retiene durante un máximo de 14 días, tras los cuales se depura automáticamente. Para conservar la información de auditoría durante más tiempo y para analizar e informar fácilmente sobre la actividad de la base de datos, utilice Oracle Data Safe (incluido con su suscripción a Oracle Autonomous Database).

Consulte Acerca de la auditoría de Autonomous Database para obtener más información.