Documentación de Oracle Cloud Infrastructure

Seguridad y autenticación en Oracle Autonomous Database

Oracle Autonomous Database almacena todos los datos en formato cifrado en la base de datos. Solo los usuarios y las aplicaciones autenticados pueden acceder a los datos cuando se conectan a la base de datos.

Nota

Oracle Autonomous Database soporta las funciones de seguridad estándar de Oracle Database, incluidos el análisis de privilegios, el cifrado de red, los usuarios gestionados centralmente, los roles de aplicación seguros, la protección transparente de datos confidenciales, entre otras. Además, Oracle Autonomous Database agrega Label Security, Database Vault, Data Safe y otras funciones de seguridad avanzadas sin costo adicional.
  • Gestión de la configuración
    Oracle Autonomous Database proporciona configuraciones de seguridad estándar y reforzadas que reducen el tiempo y dinero necesario para gestionar las configuraciones en sus bases de datos.
  • Cifrado de datos
    Oracle Autonomous Database utiliza un cifrado siempre activado que protege los datos estáticos y en tránsito. Los datos estáticos y en movimiento están cifrados por defecto. El cifrado no se puede desactivar.
  • Control de acceso a datos
    La protección del acceso a Oracle Autonomous Database y a sus datos utiliza varios tipos diferentes de control de acceso:
  • Visión general de la auditoría en Autonomous Database
    Oracle Autonomous Database proporciona capacidades de auditoría sólidas que le permiten realizar un seguimiento de quién hizo qué en el servicio y en bases de datos específicas. Los datos de log completos permiten auditar y supervisar acciones en los recursos, lo que le ayuda a satisfacer los requisitos de auditoría y a reducir el riesgo operativo y de seguridad.
  • Evaluación de la seguridad de la base de datos y sus datos
    Oracle Autonomous Database se integra con Oracle Data Safe para ayudarle a evaluar y proteger sus bases de datos.
  • Certificación de conformidad normativa
    Oracle Autonomous Database cumple un amplio juego de estándares de conformidad internacionales y específicos del sector.

Tema principal: Seguridad

Gestión de Configuración

Oracle Autonomous Database proporciona configuraciones de seguridad estándar y reforzadas que reducen el tiempo y dinero necesario para gestionar las configuraciones en sus bases de datos.

Los parches y las actualizaciones de seguridad se realizan automáticamente, por lo que no tendrá que preocuparse por mantener la seguridad actualizada. Estas capacidades protegen sus bases de datos y datos frente a vulnerabilidades e brechas de seguridad costosas y potencialmente desastrosas.

Cifrado de datos

Oracle Autonomous Database utiliza un cifrado siempre activado que protege los datos estáticos y en tránsito. Los datos estáticos y en movimiento están cifrados por defecto. El cifrado no se puede desactivar.

Cifrado de datos estáticos

Los datos estáticos se cifran mediante cifrado de datos transparente (TDE), una solución criptográfica que protege el procesamiento, la transmisión y el almacenamiento de datos. Mediante el cifrado de tablespace AES256, cada base de datos tiene su propia clave de cifrado, y cualquier copia de seguridad tiene sus propias claves de cifrado diferentes.

Por defecto, Oracle Autonomous Database crea y gestiona todas las claves de cifrado maestras que se utilizan para proteger los datos, almacenadas en un almacén de claves PKCS 12 seguro en los mismos sistemas en los que reside la base de datos. Si las políticas de seguridad de la compañía lo requieren, Oracle Autonomous Database puede utilizar las claves que cree y gestione en el servicio Oracle Cloud Infrastructure Vault. Para obtener más información, consulte Acerca de la gestión de claves de cifrado maestras en Autonomous Database.

Además, las claves gestionadas por el cliente se pueden rotar cuando sea necesario para cumplir las políticas de seguridad de la organización.

Nota: al clonar una base de datos, la nueva base de datos obtiene su propio nuevo juego de claves de cifrado.

Cifrado de datos en tránsito

Los clientes (las aplicaciones y las herramientas) se conectan a Oracle Autonomous Database mediante protocolos soportados, incluidos SQL*Net, JDBC y ODBC.

servicios de conexión a base de datos de TCPS (TCP seguro) utilice el protocolo TLS 1.2 (Seguridad de Capa de Transporte) estándar del sector para las conexiones y el cifrado de datos de clave simétrica.

  • Con las conexiones mTLS, los usuarios de Oracle Autonomous Database descargan una cartera de conexión que contiene todos los archivos necesarios para que un cliente se conecte mediante TCPS. Distribuir esta cartera solo a los usuarios que necesiten y tengan acceso a la base de datos. La configuración del cliente utiliza la información de la cartera para realizar el cifrado de datos de clave simbólica.

  • Autonomous Database soporta por defecto conexiones TLS mutuas (mTLS). Tiene la opción de configurar una instancia de Autonomous Database para permitir ambas conexiones mTLS y TLS. Mediante conexiones TLS, algunos clientes, como los clientes del controlador JDBC Thin, no necesitan descargar una cartera si usted utiliza una cadena de conexión TLS y TLS está activado para la instancia de Autonomous Database.

Consulte Protección de conexiones a Autonomous Database para obtener más información.

Control de acceso a datos

En la protección del acceso a Oracle Autonomous Database y a sus datos se utilizan varios tipos diferentes de control de acceso:

  • Control de acceso de cliente
    El control de acceso de cliente para una instancia de Autonomous Database se aplica mediante políticas de control de acceso de red, mediante protocolos de conexión de cliente y por los derechos de acceso del usuario de base de datos que el cliente utiliza para conectarse.
  • Control de acceso de usuario de base de datos
    Oracle Autonomous Database se configura con una cuenta administrativa, ADMIN, que se utiliza para crear y gestionar otras cuentas de base de datos. Oracle Autonomous Database proporciona un sólido conjunto de funciones y controles, que incluyen privilegios y roles del sistema y de objeto. Los perfiles de usuario permiten personalizar las políticas de contraseñas para definir e implementar una estrategia de acceso de usuario de base de datos segura.
  • Control de acceso de usuario de Oracle Cloud
    Utiliza los servicios de Identity and Access Management (IAM) para controlar los privilegios de los usuarios de Oracle Cloud mediante la especificación de las acciones que estos pueden realizar en Oracle Autonomous Database.
  • Acceso autorizado en Autonomous Database
    Solo los usuarios autorizados pueden acceder a una instancia de Autonomous Database.
  • Servicio totalmente gestionado de Autonomous Database
    Autonomous Database es un servicio totalmente gestionado y Oracle utiliza sus propios arrendamientos de Oracle Cloud Infrastructure para ejecutar el servicio Autonomous Database.

Tema principal: Seguridad y autenticación en Oracle Autonomous Database

Control de acceso de cliente

El control de acceso de cliente para una instancia de Autonomous Database se aplica mediante políticas de control de acceso de red, mediante protocolos de conexión de cliente y mediante los derechos de acceso del usuario de base de datos que el cliente utiliza para conectarse.

Control de acceso de red

El control de acceso de red se define al configurar Oracle Autonomous Database. Hay dos opciones que tener en cuenta.

  • Listas de seguridad y puntos finales privados: esta es la opción recomendada. Cree su instancia de Oracle Autonomous Database en su red virtual en la nube (VCN) mediante puntos finales privados. El acceso a la base de datos se controla mediante listas de seguridad y grupos de seguridad de red, lo que permite especificar quién puede crear conexiones a la base de datos.

    Para obtener información detallada sobre la creación de estos recursos, consulte Configuración del acceso de red con puntos finales privados.

  • Puntos finales públicos y listas de control de acceso: crea tu instancia de Oracle Autonomous Database mediante puntos finales públicos que permitan el acceso desde cualquier cliente con credenciales de cliente. Puede controlar el acceso a la base de datos mediante listas de control de acceso de red (ACL), lo que le permite especificar direcciones IP, bloques CIDR o VCN que se pueden conectar a la base de datos. Es más fácil detectar y atacar IP públicas, por lo que se recomiendan puntos finales privados siempre que sea posible.

    Para obtener información detallada sobre la configuración de una ACL, consulte Configuración de listas de control de acceso para una instancia de Autonomous Database existente.

Control de conexión de cliente

Los clientes se conectan mediante una conexión de base de datos TCPS ( TCP seguro) mediante el estándar TLS 1.2 para proteger la conexión. Oracle Autonomous Database utiliza certificados firmados automáticamente. Puede rotar los certificados autofirmados desde la consola de Oracle Cloud Infrastructure para satisfacer las necesidades de conformidad con la seguridad de su organización. Consulte Rotación de carteras con rotación inmediata.

El acceso que el cliente tiene a la base de datos está restringido por los derechos de acceso del usuario de base de datos que el cliente utiliza para conectarse.

Tema principal: Control de acceso a datos

Control de acceso de usuario de base de datos

Oracle Autonomous Database se configura con una cuenta administrativa, ADMIN, que se utiliza para crear y gestionar otras cuentas de base de datos. Oracle Autonomous Database proporciona un sólido conjunto de funciones y controles, que incluyen privilegios y roles del sistema y de objeto. Los perfiles de usuario permiten personalizar las políticas de contraseñas para definir e implementar una estrategia de acceso de usuario de base de datos segura.

Para obtener información básica sobre la gestión de usuarios estándar, consulte la sección sobre cuentas de usuario en Oracle Database Concepts. Para obtener más información y orientación, consulte la sección sobre la gestión de seguridad para usuarios de Oracle Database en Oracle Database Security Guide.

Si la estrategia de acceso de usuario de base de datos requiere más controles de los que proporciona la gestión de usuarios estándar, puede configurar Oracle Autonomous Database para que utilice Database Vault a fin de cumplir requisitos más rigurosos.

Uso de Microsoft Active Directory para gestionar usuarios de base de datos

Si utiliza Microsoft Active Directory como repositorio de usuarios, puede configurar la base de datos para autenticar y autorizar usuarios de Microsoft Active Directory. Esta integración le permite consolidar el repositorio de usuarios mientras implanta una estrategia de acceso de usuario de base de datos rigurosa, independientemente de si utiliza la gestión de usuarios estándar o Database Vault.

Para obtener más información sobre la integración de Microsoft Active Directory con las bases de datos, consulte Uso de Microsoft Active Directory con Autonomous Database.

Database Vault

Oracle Database Vault incluye una configuración previa y está listo para su uso. Puede utilizar sus potentes controles de seguridad para restringir el acceso a los datos de aplicación por parte de usuarios de base de datos con privilegios, lo que reduce el riesgo de amenazas y cumple los requisitos comunes de conformidad.

Puede configurar controles para bloquear el acceso de cuentas con privilegios a los datos de aplicación y controlar las operaciones delicadas dentro de la base de datos. Puede configurar rutas de confianza para agregar controles de seguridad adicionales a los comandos de la base de datos, los objetos de base de datos y el acceso autorizados a los datos. Database Vault protege los entornos de base de datos existentes de forma transparente, eliminando cambios en la aplicación costosos que consumen mucho tiempo.

Antes de utilizar Database Vault, asegúrese de revisar Uso de Oracle Database Vault con Autonomous Database para comprender el impacto de configurar y activar Database Vault.

Para obtener información detallada sobre la implantación de funciones de Database Vault, consulte Oracle Database Vault Administrator's Guide.

Tema principal: Control de acceso a datos

Control de acceso de usuario de Oracle Cloud

Utilice los servicios de Identity and Access Management (IAM) para controlar los privilegios de los usuarios de Oracle Cloud mediante la especificación de las acciones que estos pueden realizar en Oracle Autonomous Database.

El servicio IAM proporciona varios tipos de componentes para ayudarle a definir e implantar una estrategia segura de acceso de usuarios en la nube:

  • Compartimento: recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para la organización y el aislamiento de sus recursos en la nube.

  • Grupo: recopilación de usuarios que necesitan el mismo tipo de acceso a un determinado juego de recursos o compartimento.

  • Grupo dinámico: tipo de grupo especial que contiene recursos que coinciden con las reglas que defina. Por lo tanto, la afiliación puede cambiar de forma dinámica a medida que se crean o suprimen recursos coincidentes.

  • Política: grupo de sentencias que especifican quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que debe escribir una sentencia de política que otorgue a un grupo específico un tipo específico de acceso a un tipo específico de recurso dentro de un compartimento específico.

Entre ellos, la política es la principal herramienta que se utiliza para controlar el acceso porque proporciona los datos de "quién", "cómo", "qué" y "dónde" de una restricción de acceso único. Una sentencia de política tiene este formato:

El formato de una sentencia de política es:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

  • group <group-name> especifica "quién" proporcionando el nombre de un grupo de IAM existente.

  • to <control-verb> especifica "cómo" utilizando uno de estos verbos de control predefinidos:

    • inspect: capacidad para mostrar recursos del tipo determinado, sin acceso a información confidencial ni a metadatos especificados por el usuario que puedan formar parte de ese recurso.
    • read: inspect junto con la capacidad de obtener metadatos especificados por el usuario y el propio recurso.
    • use: read junto con la capacidad de trabajar con recursos existentes, pero no de crearlos ni suprimirlos. Además, "trabajar con" significa diferentes operaciones para diferentes tipos de recursos.
    • manage: todos los permisos para el tipo de recurso, incluidas la creación y la supresión.

  • <resource-type> especifica "qué" utilizando un tipo de recurso predefinido. Los valores de tipo de recurso para los recursos de la infraestructura son:

    • autonomous-databases
    • autonomous-backups

    Puede crear sentencias de política que hagan referencia al valor de tipo de recurso tag-namespaces si se utiliza el etiquetado en su arrendamiento.

  • in compartment <compartment-name> especifica "dónde" proporcionando el nombre de un compartimento de IAM existente.

Para obtener información sobre cómo funcionan el servicio IAM y sus componentes, y cómo utilizarlos, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management. Para obtener respuestas rápidas a preguntas comunes sobre IAM, consulte Preguntas frecuentes de Identity and Access Management.

Tema principal: Control de acceso a datos

Acceso autorizado en Autonomous Database

Solo los usuarios autorizados pueden acceder a una instancia de Autonomous Database.

Los operadores de Oracle Cloud no tienen autorización para acceder a Autonomous Database. Cuando se necesita acceso a la base de datos para solucionar o mitigar un problema, puede permitir que un operador de nube acceda a una base de datos durante un tiempo limitado.

Puede permitir que un operador de nube acceda a la base de datos mediante la ejecución del procedimiento DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS. Esto significa que si presenta una solicitud de servicio con Oracle Cloud Support o si se pone en contacto con su representante de soporte y los operadores de Oracle Cloud necesitan acceder a la base de datos, también debe activar el acceso de operador ejecutando DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS.

Cada acceso a la base de datos por parte de los operadores de Oracle Cloud se registra con un ID de solicitud y un motivo.

Consulte Gestión del acceso de operador de Oracle Cloud y Visualización de acciones de operaciones de Oracle Cloud Infrastructure para obtener más información.

Tema principal: Control de acceso a datos

Autonomous Database servicio totalmente gestionado

Autonomous Database es un servicio totalmente gestionado y Oracle utiliza sus propios arrendamientos de Oracle Cloud Infrastructure para ejecutar el servicio Autonomous Database.

Los operadores de Oracle Cloud no tienen acceso a los arrendamientos de los clientes y los operadores en la nube no pueden acceder a la red.

Tema principal: Control de acceso a datos

Visión general de la auditoría en Autonomous Database

Oracle Autonomous Database proporciona sólidas capacidades de auditoría que le permiten realizar un seguimiento de quién hizo qué en el servicio y en bases de datos específicas. Los datos de log completos permiten auditar y supervisar acciones en los recursos, lo que le ayuda a satisfacer los requisitos de auditoría y a reducir el riesgo operativo y de seguridad.

  • Auditoría de actividades de nivel de servicio
    Todas las acciones que realizan los usuarios de Oracle Cloud en los recursos que componen el despliegue de Oracle Autonomous Database se registran mediante el servicio Audit, independientemente de la interfaz utilizada: consola de Oracle Cloud Infrastructure, API de REST, interfaz de línea de comandos (CLI), software Development Kits (SDK), etc.
  • Auditoría de la actividad de base de datos
    Oracle Autonomous Database configura las bases de datos autónomas que cree para utilizar la función de auditoría unificada de Oracle Database.

Tema principal: Seguridad y autenticación en Oracle Autonomous Database

Auditoría de actividades de nivel de servicio

Todas las acciones que realizan los usuarios de Oracle Cloud en los recursos que componen el despliegue de Oracle Autonomous Database se registran mediante el servicio Audit, independientemente de la interfaz utilizada: la consola de Oracle Cloud Infrastructure, la API de REST, la interfaz de línea de comandos (CLI), los kits de desarrollo de software (SDK), etc.

Puede utilizar el servicio Audit para realizar diagnósticos, realizar un seguimiento del uso de recursos, supervisar la conformidad y recopilar eventos relacionados con la seguridad. Para obtener más información sobre el servicio Audit, consulte Visión general de auditoría en la Documentación de Oracle Cloud Infrastructure.

Además, cuando los usuarios realizan operaciones en la instancia de Oracle Autonomous Database, la base de datos publica eventos en el servicio Oracle Cloud Events. El servicio Oracle Cloud Events permite crear reglas para capturar estos eventos y realizar acciones.

Para obtener más información sobre cómo funciona el servicio Events y cómo configurar las reglas y acciones que utiliza, consulte Visión general de Events. Para obtener listas de las operaciones de Oracle Autonomous Database que generan eventos, consulte Tipos de eventos de Autonomous Database.

Auditoría de la actividad de base de datos

Oracle Autonomous Database configura las bases de datos autónomas que crea para utilizar la función de auditoría unificada de Oracle Database.

Esta función captura los registros de auditoría de los siguientes orígenes y los recopila en una sola pista de auditoría en un formato uniforme:

  • Registros de auditoría (incluidos los registros de auditoría SYS) de las políticas de auditoría unificadas y configuración de AUDIT
  • Registros de auditoría detallados del paquete PL/SQL DBMS_FGA
  • Registros de auditoría de Oracle Database Real Application Security
  • Registros de auditoría de Oracle Recovery Manager
  • Registros de auditoría de Oracle Database Vault
  • Registros de auditoría de Oracle Label Security
  • Registros de Oracle Data Mining
  • Oracle Data Pump
  • Carga directa de Oracle SQL*Loader

La información de auditoría se conserva hasta 14 días, tras los cuales se depura automáticamente. Para conservar la información de auditoría durante más tiempo y analizar e informar fácilmente sobre la actividad de la base de datos, utilice Oracle Data Safe (incluido con su suscripción a Oracle Autonomous Database).

Consulte Acerca de la auditoría en Autonomous Database para obtener más información.

Evaluación de la seguridad de la base de datos y sus datos

Oracle Autonomous Database se integra con Oracle Data Safe para ayudarle a evaluar y proteger sus bases de datos.

Oracle Data Safe le ayuda a comprender la confidencialidad de los datos, evaluar riesgos para los datos, enmascarar datos confidenciales, implantar y supervisar controles de seguridad, evaluar la seguridad del usuario, supervisar la actividad del usuario y cumplir los requisitos de conformidad de la seguridad de los datos en las bases de datos.

Utilice Oracle Data Safe para identificar y proteger datos confidenciales y regulados de Oracle Autonomous Database registrando la base de datos con Data Safe. A continuación, utilice la consola de Data Safe directamente desde la página Detalles de la base de datos.

Para obtener más información sobre el uso de Data Safe, consulte Uso de funciones de Oracle Data Safe.

Certificación de conformidad normativa

Oracle Autonomous Database cumple un amplio conjunto de estándares de conformidad internacionales y específicos del sector.

Certification Descripción

C5

Catálogo de controles de conformidad de computación en la nube (C5)

ESTRELLA CSA

La Alianza de Seguridad en la Nube (CSA) Security Trust, Assurance and Risk (STAR)

Cyber Essentials (Reino Unido)

Cyber Essentials Plus (Reino Unido)

Oracle Cloud Infrastructure ha obtenido la certificación Cyber Essentials y Cyber Essentials Plus en las siguientes regiones:

  • Gobierno de Reino Unido zona sur (Londres)
  • Gobierno de Reino Unido zona oeste (Newport)

DESC (UAE)

Estándar de seguridad CSP del Centro de seguridad electrónica de Dubai

DoD IL4/IL5

Autorización de nivel de impacto 5 de DISA en estas regiones:

  • Departamento de defensa de EE. UU. zona este (Ashburn)
  • Departamento de defensa de EE. UU. zona norte (Chicago)
  • Departamento de defensa de EE. UU. zona oeste (Phoenix)

ENS High (España)

El Esquema Nacional de Seguridad con el nivel de acreditación Alto.

FedRAMP alto

Programa Federal de Gestión de Riesgos y Autorizaciones (Estados Unidos) solo regiones gubernamentales)

FSI (S. Corea)

El Instituto de Seguridad Financiera

HDS

El Código de Salud Pública de Francia exige a las organizaciones sanitarias que controlan, procesan o almacenan datos sanitarios o médicos que utilicen proveedores de servicios de infraestructura, alojamiento y plataforma acreditados y certificados por Hébergeur de Données de Santé (HDS)

HIPAA

Ley de portabilidad y responsabilidad de seguros de salud

HITRUST

La alianza Health Information Trust

IRAP (Australia)

Programa de Evaluadores Registrados de Infosec. Regiones de Sydney y Melbourne

ISMS (S. Corea)

Sistema de gestión de seguridad de la información

ISO/IEC 27001:2013

Organización Internacional de Normalización 27001

ISO/IEC 27017:2015

Código de buenas prácticas para controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube

ISO/IEC 27018:2014

Código de Buenas Prácticas para la Protección de Información de Identificación Personal (PII) en Nubes Públicas que Actúan como Procesadores PII

MeitY (India)

Ministerio de Electrónica y Tecnología de la Información

MTCS (Singapur)

Nivel 3 de Cloud Service (MTCS) de varias capas

PASF (UK OC4)

Las instalaciones seguras aseguradas por la policía (PASF) en estas regiones:

  • Gobierno de Reino Unido zona sur (Londres)
  • Gobierno de Reino Unido zona oeste (Newport)

PCI DSS

Las normas de seguridad de datos de la industria de tarjetas de pago son un juego de requisitos destinados a garantizar que todas las compañías que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro

SOC 1

Controles de sistema y organización 1

SOC 2

Controles de sistema y organización 2

Para obtener más información y una lista completa de certificaciones, consulte Conformidad de Oracle Cloud.