Documentación de Oracle Cloud Infrastructure

Guía de seguridad para sistemas Oracle Exadata Database Service on Cloud@Customer

En esta guía se describe la seguridad de un sistema Oracle Exadata Database Service on Cloud@Customer. Incluye información sobre las mejores prácticas para proteger el sistema Oracle Exadata Database Service on Cloud@Customer.

Configuraciones de seguridad y funciones activadas por defecto

Responsabilidades

Exadata Cloud at Customer está gestionado conjuntamente por el cliente y Oracle. El despliegue de Exadata Cloud at Customer se divide en dos áreas principales de responsabilidades:
  • Servicios accesibles al cliente:
    Componentes a los que puede acceder el cliente como parte de su suscripción a Exadata Cloud at Customer:
    • Máquinas virtuales (VM) accesibles al cliente
    • Servicios de base de datos accesibles al cliente
  • Infraestructura gestionada por Oracle:
    • Unidades de distribución de energía (PDU)
    • Conmutadores de gestión fuera de banda (OOB) » Conmutadores InfiniBand
    • Servidores Exadata Storage Server
    • Servidores de base de datos de Exadata físicos

Los clientes controlan y supervisan el acceso a los servicios del cliente, incluido el acceso de red a sus VM (a través de firewalls y VLAN de capa 2 implementados en la VM del cliente), la autenticación para acceder a la VM y la autenticación para acceder a las bases de datos que se ejecutan en las VM. Oracle controla y supervisa el acceso a los componentes de infraestructura gestionados por Oracle. El personal de Oracle no está autorizado para acceder a los servicios del cliente, incluidas las VM y las bases de datos del mismo.

Los clientes acceden a las bases de datos de Oracle que se ejecutan en Exadata Cloud at Customer a través de una conexión de capa 2 (VLAN etiquetada) que va desde el equipo del cliente hasta las bases de datos que se ejecutan en la VM del cliente que utiliza métodos de conexión estándar de Oracle Database, como Oracle Net en el puerto 1521. Los clientes acceden a la VM que ejecuta las bases de datos de Oracle a través de métodos estándar de Oracle Linux, como el SSH basado en token en el puerto 22.

Principios rectores seguidos para los valores por defecto de la configuración de seguridad

  • Defensa en profundidad

    Exadata Cloud at Customer ofrece una serie de controles para garantizar la confidencialidad, la integridad y la responsabilidad en todo el servicio.

    En primer lugar, Exadata Cloud at Customer se crea a partir de la imagen del sistema operativo reforzada que proporciona Exadata Database Machine. Para obtener más información, consulte Visión general de la seguridad de Oracle Exadata Database Machine. Esto protege el entorno operativo principal mediante la restricción de la imagen de instalación a únicamente los paquetes de software necesarios, la desactivación de los servicios innecesarios y la implementación de parámetros de configuración seguros en todo el sistema.

    Además de heredar toda la resistencia de la desarrollada plataforma de Exadata Database Machine, como Exadata Cloud at Customer aprovisiona sistemas a los clientes, también se implementan opciones seguras adicionales de configuración por defecto en las instancias de servicio. Por ejemplo, todos los tablespaces de base de datos requieren cifrado de datos transparente (TDE), implementación de contraseñas seguras para los usuarios y superusuarios iniciales de la base de datos y reglas de eventos y auditorías mejoradas.

    Exadata Cloud at Customer también constituye un despliegue y un servicio completos, por lo que está sujeto a auditorías externas estándar del sector, como PCI, HIPPA e ISO27001. Estos requisitos de auditoría externa imponen funciones de servicio adicionales de valor añadido, como análisis antivirus, alertas automatizadas sobre cambios inesperados en el sistema y exploraciones diarias en busca de vulnerabilidades en todos los sistemas de infraestructura de la flota gestionados por Oracle.

  • Privilegios mínimos

    Para garantizar que los procesos solo tengan acceso a los privilegios que necesiten, los estándares de codificación segura de Oracle requieren el paradigma de los privilegios mínimos.

    Cada proceso y daemon se debe ejecutar con un usuario normal sin privilegios a menos que pueda demostrar un requisito de un nivel superior de privilegios. Esto ayuda a contener cualquier problema imprevisto o vulnerabilidad en un espacio de usuario sin privilegios y a no poner en peligro todo un sistema.

    Este principio también se aplica a los miembros del equipo de operaciones de Oracle que utilizan cuentas con nombre individuales para acceder a la infraestructura de Oracle Exadata Cloud at Customer con fines de mantenimiento o solución de problemas. El acceso auditado a niveles superiores de privilegio solo lo utilizarán cuando sea necesario para resolver un problema. La mayoría de los problemas se resuelven mediante automatización, por lo que también empleamos los privilegios mínimos al no permitir que los operadores humanos accedan a un sistema a menos que la automatización no sea capaz de resolver el problema.

  • Auditoría y responsabilidad

    Cuando es necesario, se permite el acceso al sistema, pero se lleva a cabo un registro y un seguimiento de todos los accesos y las acciones con fines de responsabilidad.

    Esto garantiza que tanto Oracle como los clientes sepan lo que se hizo en el sistema y cuándo tuvo lugar. Estos hechos no solo garantizan que sigamos cumpliendo con las necesidades de generación de informes de las auditorías externas, sino que también pueden ayudar a comparar algún cambio con un cambio en el comportamiento percibido en la aplicación.

    Las funciones de auditoría se proporcionan en todos los componentes de infraestructura para garantizar que se capturan todas las acciones. Además, los clientes también tienen la capacidad de configurar las auditorías para adaptarlas a su configuración de VM de invitado y base de datos, y pueden optar por integrarlas con otros sistemas de auditoría empresarial.

  • Automatización de las operaciones en la nube

    Al eliminar las operaciones manuales necesarias para aprovisionar, aplicar parches, mantener, solucionar problemas y configurar los sistemas, se reduce la oportunidad de que se produzcan errores y se garantiza una configuración segura.

    El servicio está diseñado para ser seguro. Además, gracias a la automatización de todo el aprovisionamiento, la configuración y la mayoría de las demás tareas operativas, resulta posible evitar que se omitan configuraciones y garantizar que todas las rutas necesarias al sistema estén bien cerradas.

Funciones de seguridad

  • Imagen de sistema operativo reforzada
    • Instalación mínima de paquetes:

      Solo se instalan los paquetes necesarios para ejecutar un sistema eficaz. Al instalar un juego de paquetes más pequeño, la superficie de ataque del sistema operativo se reduce y el sistema continúa siendo más seguro.

    • Configuración segura:

      Durante la instalación, se definen muchos parámetros de configuración que no son por defecto para mejorar la estrategia de seguridad del sistema y su contenido. Por ejemplo, SSH se configura para recibir únicamente en determinadas interfaces de red, sendmail se configura para aceptar solo conexiones de host local y muchas otras restricciones similares se implementan durante la instalación.

    • Ejecución de únicamente los servicios necesarios:

      Cualquier servicio que se pueda instalar en el sistema, pero que no sea necesario para el funcionamiento normal, se encuentra desactivado por defecto. Por ejemplo, aunque NFS es un servicio que suelen configurar los clientes para diversos fines de la aplicación, este se encuentra desactivado por defecto porque no es necesario para las operaciones normales de la base de datos. Los clientes pueden optar por configurar los servicios de manera opcional según sus necesidades.

  • Superficie de ataque minimizada

    Como parte de la imagen reforzada, la superficie de ataque se ve reducida al desactivar los servicios.

  • Funciones de seguridad adicionales activadas (contraseñas de grub, inicio seguro)
    • Aprovechando las capacidades de imágenes de Exadata, Exadata Cloud at Customer goza de las funciones integradas en la imagen base, como las contraseñas de grub y el inicio seguro, además de muchas otras.
    • A través de la personalización, puede que los clientes deseen mejorar aún más su estrategia de seguridad con configuraciones adicionales que se detallan más adelante en este capítulo.
  • Métodos de acceso seguro
    • Acceso a servidores de base de datos mediante SSH con cifrados criptográficos potentes. Los cifrados débiles están desactivados por defecto.
    • Acceso a bases de datos a través de conexiones cifradas de Oracle Net. Por defecto, nuestros servicios están disponibles utilizando canales cifrados y un cliente de Oracle Net configurado por defecto utilizará sesiones cifradas.
    • Acceso a diagnósticos a través de la interfaz web de MS de Exadata (https).
  • Auditoría y registro

    Por defecto, las auditorías están activadas para las operaciones administrativas y esos registros de auditoría se comunican a los sistemas internos de OCI para llevar a cabo revisiones y enviar alertas automatizadas cuando es necesario.

  • Consideraciones de tiempo de despliegue
    • Contenido y confidencialidad de la descarga del archivo de cartera: la descarga del archivo de cartera que obtienen los clientes para permitir que se produzca el despliegue contiene información confidencial y se debe manipular adecuadamente para garantizar la protección del contenido. El contenido de la descarga del archivo de cartera no se necesita una vez completado el despliegue, por lo que se debe destruir para garantizar que no se produzca ninguna filtración de información.
    • Servidor del plano de control (CPS):
      • Entre los requisitos del despliegue para el CPS se incluye permitir el acceso HTTPS saliente para que el CPS pueda conectarse a Oracle y activar la administración, la supervisión y el mantenimiento remotos. Obtenga más información en la Guía de despliegue.
      • Entre las responsabilidades del cliente se incluye proporcionar seguridad física al equipo de Exadata Cloud at Customer en su centro de datos. Aunque Exadata Cloud at Customer emplea muchas funciones de seguridad de software, la seguridad física del cliente debe abordar los riesgos del servidor físico para garantizar la seguridad del contenido de los servidores.

Usuarios fijos por defecto de VM de invitado

Varias cuentas de usuario gestionan regularmente los componentes de Oracle Exadata Cloud at Customer. En todas las máquinas de Exadata Cloud at Customer, Oracle utiliza únicamente la conexión basada en SSH y también la recomienda. Ningún usuario o proceso de Oracle utiliza un sistema de autenticación basado en contraseña.

A continuación, se describen los distintos tipos de usuarios que se crean por defecto.

  • Usuarios por defecto: sin privilegios de conexión

    Esta lista de usuarios consta de usuarios por defecto del sistema operativo junto con algunos usuarios especializados como exawatch y dbmsvc. Estos usuarios no se deben modificar. Además, estos usuarios no pueden conectarse al sistema, ya que todos están definidos en /bin/false.

    • exawatch:

      El usuario exawatch se encarga de recopilar y archivar estadísticas del sistema tanto en los servidores de base de datos como en los servidores de almacenamiento.

    • dbmsvc:

      Este usuario se utiliza para Management Server en el servicio de nodos de base de datos del sistema Oracle Exadata.

    Usuarios NOLOGIN
    bin:x:1:1:bin:/bin:/bin/false
daemon:x:2:2:daemon:/sbin:/bin/false
adm:x:3:4:adm:/dev/null:/bin/false
mail:x:8:12:mail:/var/spool/mail:/bin/false
nobody:x:99:99:Nobody:/:/bin/false
systemd-network:x:192:192:systemd Network Management:/:/bin/false
dbus:x:81:81:System message bus:/:/bin/false
rpm:x:37:37::/var/lib/rpm:/bin/false
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/bin/false
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/bin/false
nscd:x:28:28:NSCD Daemon:/:/bin/false
saslauth:x:999:76:Saslauthd user:/run/saslauthd:/bin/false
mailnull:x:47:47::/var/spool/mqueue:/bin/false
smmsp:x:51:51::/var/spool/mqueue:/bin/false
chrony:x:998:997::/var/lib/chrony:/bin/false
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false
uucp:x:10:14:Uucp user:/var/spool/uucp:/bin/false
nslcd:x:65:55:LDAP Client User:/:/bin/false
tcpdump:x:72:72::/:/bin/false
exawatch:x:1010:510::/:/bin/false
sssd:x:997:508:User for sssd:/:/bin/false
tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/bin/false
dbmsvc:x:12137:11137::/home/dbmsvc:/bin/false
  • Usuarios por defecto con acceso de shell restringido

    Estos usuarios se utilizan para realizar una tarea definida con una conexión de shell restringida. Estos usuarios no deben modificarse, ya que la tarea definida fallará en caso de que se modifiquen o supriman los usuarios.

    dbmmonitor: el usuario dbmmonitor se utiliza para la utilidad DBMCLI. Para obtener más información, consulte Uso de la utilidad DBMCLI.

    Usuarios de shell restringido
    dbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash
  • Usuarios por defecto con permisos de conexión

    Estos usuarios con privilegios se utilizan para realizar la mayoría de las tareas del sistema. Estos usuarios nunca se deben modificar ni suprimir, ya que eso tendría un impacto significativo en el sistema en ejecución.

    Las claves SSH las utiliza el personal del cliente y la automatización en la nube para la conexión.

    El método UpdateVmCluster puede agregar claves SSH agregadas por el cliente, o bien por clientes que acceden directamente a la VM del cliente y gestionan claves SSH dentro de la VM del cliente. Los clientes son responsables de agregar comentarios a las claves para que sean identificables. Cuando un cliente agrega la clave SSH mediante el método UpdateVmCluster, la clave solo se agrega al archivo authorized_keys del usuario opc.

    Las claves de automatización en la nube son temporales, específicas de una determinada tarea de automatización en la nube, por ejemplo, el cambio de tamaño de la memoria del cluster de VM, y únicas. Las claves de acceso a la automatización en la nube se pueden identificar mediante los siguientes comentarios: OEDA_PUB, EXACLOUD_KEY, ControlPlane. Las claves de automatización en la nube se eliminan una vez completada la tarea de automatización en la nube, por lo que los archivos authorized_keys de las cuentas root, opc, oracle y grid solo deben contener claves de automatización en la nube mientras se ejecutan las acciones de automatización en la nube.

    Usuarios con privilegios
    root:x:0:0:root:/root:/bin/bash
oracle:x:1001:1001::/home/oracle:/bin/bash
grid:x:1000:1001::/home/grid:/bin/bash
opc:x:2000:2000::/home/opc:/bin/bash
dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bash
    • root: requisito de Linux, utilizado con moderación para ejecutar comandos locales con privilegios. root también se utiliza para algunos procesos como Oracle Trace File Analyzer Agent y ExaWatcher.
    • grid: posee la instalación del software de Oracle Grid Infrastructure y ejecuta los procesos de Grid Infrastructure.
    • oracle: posee la instalación del software de base de datos de Oracle y ejecuta los procesos de Oracle Database.
    • opc:
      • Se utiliza en la automatización de Oracle Cloud para tareas de automatización.
      • Tiene la capacidad de ejecutar determinados comandos con privilegios sin autenticación adicional (para soportar funciones de automatización).
      • Ejecuta el agente local, también conocido como “Agente de DCS”, que realiza operaciones del ciclo de vida para el software de Oracle Database y Oracle Grid Infrastructure (aplicación de parches, creación de bases de datos, etc.).
    • dbmadmin:
      • El usuario dbmadmin se utiliza para la utilidad de interfaz de línea de comandos de Oracle Exadata Database Machine (DBMCLI).
      • El usuario dbmadmin se debe utilizar para ejecutar todos los servicios en el servidor de base de datos. Para obtener más información, consulte Uso de la utilidad DBMCLI.

Grupos fijos por defecto de VM de invitado

Los siguientes grupos se crean por defecto en la máquina virtual de invitado.

Oracle Linux 7
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-network:x:192:
dbus:x:81:
ssh_keys:x:998:
sshd:x:74:
rpm:x:37:
rpc:x:32:
unbound:x:997:
nscd:x:28:
tss:x:59:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
chrony:x:996:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
uucp:x:14:
tcpdump:x:72:
exawatch:x:510:
cgred:x:509:
fuse:x:508:
screen:x:84:
sssd:x:507:
printadmin:x:506:
docker:x:505:
dbmsvc:x:2001:
dbmadmin:x:2002:
dbmmonitor:x:2003:
dbmusers:x:2004:
floppy:x:19:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:
Oracle Linux 8
root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
users:x:100:
nobody:x:2001:
utmp:x:22:
utempter:x:35:
dbus:x:81:
input:x:999:
kvm:x:36:
render:x:998:
systemd-journal:x:190:
systemd-coredump:x:997:
systemd-resolve:x:193:
tss:x:59:
ssh_keys:x:996:
sshd:x:74:
unbound:x:995:
nscd:x:28:
rpc:x:32:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
chrony:x:994:
tcpdump:x:72:
cgred:x:993:
fapolicyd:x:992:
printadmin:x:991:
polkitd:x:990:
sssd:x:989:
rpm:x:37:
screen:x:84:
dnsmasq:x:988:
exawatch:x:510:
dbmsvc:x:2002:
dbmadmin:x:2003:
dbmmonitor:x:2004:
dbmusers:x:2005:
uucp:x:14:
floppy:x:19:
mausers:x:2006:
secscan:x:1009:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

Configuración de seguridad por defecto de VM de invitado

Además de todas las funciones de Exadata explicadas en Funciones de seguridad de Oracle Exadata Database Machine, también se aplica la siguiente configuración de seguridad.

  • Despliegue de base de datos personalizado con parámetros que no son por defecto.
    El comando host_access_control sirve para configurar la configuración de seguridad de Exadata:
    • Implementación de políticas de complejidad y caducidad de las contraseñas.
    • Definición de políticas de timeout de sesión y bloqueo de cuentas.
    • Restricción del acceso raíz remoto.
    • Restricción del acceso de red a determinadas cuentas.
    • Implementación de banner de advertencia de conexión.
  • account-disable: desactiva una cuenta de usuario cuando se cumplen determinadas condiciones configuradas.
  • pam-auth: varios valores de PAM para cambios de contraseñas y autenticación de contraseñas.
  • rootssh: ajusta el valor PermitRootLogin en /etc/ssh/sshd_config, que permite o deniega al usuario root conectarse mediante SSH..
    • Por defecto, PermitRootLogin está definido en without-password.
    • Se recomienda dejar este valor para permitir que funcione el subjuego de automatización en la nube que utiliza esta ruta de acceso (por ejemplo, aplicación de parches en el sistema operativo de la VM del cliente). La definición de PermitRootLogin en no desactivará este subjuego de la funcionalidad de automatización en la nube.
  • session-limit: define el parámetro * hard maxlogins en /etc/security/limits.conf, que es el número máximo de conexiones de todos los usuarios. Este límite no se aplica a un usuario con uid=0.

    El valor por defecto es * hard maxlogins 10 y este es el valor seguro y recomendado.

  • ssh-macs: especifica los algoritmos disponibles del código de autenticación de mensajes (MAC).
    • El algoritmo MAC se utiliza en la versión de protocolo 2 para la protección de la integridad de los datos.
    • Los valores predeterminados son hmac-sha1, hmac-sha2-256, hmac-sha2-512 tanto para el servidor como el cliente.
    • Valores recomendados seguros: hmac-sha2-256, hmac-sha2-512 tanto para el servidor como el cliente.
  • password-aging: define o muestra la caducidad actual de las contraseñas para las cuentas de usuario interactivas.
    • -M: número máximo de días que se puede utilizar una contraseña.
    • -m: número mínimo de días permitidos entre cambios de contraseña.
    • -W: número de días de advertencia proporcionados antes de que caduque una contraseña.
    • Los valores por defecto son -M 99999, -m 0, -W 7.
    • --strict_compliance_only -M 60, -m 1, -W 7.
    • Valores recomendados seguros: -M 60, -m 1, -W 7.

Procesos por defecto de VM de invitado

  • Agente de VM de invitado de Exadata Cloud at Customer: agente en la nube para gestionar las operaciones del ciclo de vida de la base de datos
    • Se ejecuta con el usuario opc.
    • La tabla de procesos lo muestra ejecutándose como un proceso Java con nombres jar, dbcs-agent-VersionNumber-SNAPSHOT.jar y dbcs-admin-VersionNumver-SNAPSHOT.jar.
  • Agente de Oracle Trace File Analyzer: Oracle Trace File Analyzer (TFA) proporciona una serie de herramientas de diagnóstico en un solo paquete, lo que facilita la recopilación de información de diagnóstico sobre Oracle Database y Oracle Clusterware, que, a su vez, ayuda a resolver problemas al trabajar con los Servicios de Soporte Oracle.
    • Se ejecuta con el usuario root.
    • Se ejecuta como el daemon initd, /etc/init.d/init.tfa.
    • Las tablas de procesos muestran una aplicación Java, oracle.rat.tfa.TFAMain.

  • ExaWatcher:

    • Se ejecuta con los usuarios root y exawatch.
    • Se ejecuta como un script en segundo plano, ExaWatcher.sh, y todos sus procesos secundarios se ejecutan como un proceso Perl.
    • En la tabla de procesos se muestra como varias aplicaciones Perl.
  • Oracle Database y Oracle Grid Infrastructure (Oracle Clusterware):
    • Se ejecuta con los usuarios dbmsvc y grid.
    • La tabla de procesos muestra las siguientes aplicaciones:
      • oraagent.bin, apx_* y ams_* con el usuario grid.
      • dbrsMain y aplicaciones Java, derbyclient.jar y weblogic.Server, con el usuario oracle.
  • Management Server (MS): parte del software de imagen de Exadata para gestionar y supervisar las funciones de imagen.
    • Se ejecuta con el usuario dbmadmin.
    • La tabla de procesos lo muestra ejecutándose como un proceso Java.

Seguridad de red de VM de invitado

Tabla 7-27 Matriz de puertos por defecto para servicios de VM de invitado

Tipo de interfaz Nombre de interfaz Puerto Proceso en ejecución

Puente en VLAN de cliente

bondeth0

22

sshd

1521

De manera opcional, los clientes pueden asignar un puerto de listener de SCAN (TCP/IP) en el rango entre 1024 y 8999. El valor por defecto es 1521.

Listener TNS de Oracle

5000

Recopilador Oracle Trace File Analyzer

7879

Servidor de gestión de Jetty

bondeth0:1

1521

De manera opcional, los clientes pueden asignar un puerto de listener de SCAN (TCP/IP) en el rango entre 1024 y 8999. El valor por defecto es 1521.

Listener TNS de Oracle

bondeth0:2

1521

De manera opcional, los clientes pueden asignar un puerto de listener de SCAN (TCP/IP) en el rango entre 1024 y 8999. El valor por defecto es 1521.

Listener TNS de Oracle

Puente en VLAN de copia de seguridad

bondeth1

7879

Servidor de gestión de Jetty

Oracle Clusterware que se ejecuta en cada nodo de cluster se comunica a través de estas interfaces.

clib0/clre0

1525

Listener TNS de Oracle

3260

iSCSI de Synology DSM

5054

Oracle Grid Interprocess Communication

7879

Servidor de gestión de Jetty

Puerto dinámico: 9000-65500

Los puertos están controlados por el rango efímero configurado en el sistema operativo y son dinámicos.

Servicio de supervisión del sistema (osysmond)

Puerto dinámico: 9000-65500

Los puertos están controlados por el rango efímero configurado en el sistema operativo y son dinámicos.

Servicio registrador de cluster (ologgerd)

clib1/clre1

5054

Oracle Grid Interprocess Communication

7879

Servidor de gestión de Jetty

Los nodos de cluster utilizan estas interfaces para acceder a las celdas de almacenamiento (discos ASM).

Sin embargo, el IP/puertos 7060/7070 conectados a las interfaces de almacenamiento se utilizan para acceder al agente de DBCS desde el servidor del plano de control.

stib0/stre0

7060

dbcs-admin

7070

dbcs-agent

stib1/stre1

7060

dbcs-admin

7070

dbcs-agent

Servidor de plano de control a domU

eth0

22

sshd

Loopback

lo

22

sshd

2016

Oracle Grid Infrastructure

6100

Oracle Notification Service (ONS), parte de Oracle Grid Infrastructure

7879

Servidor de gestión de Jetty

Puerto dinámico 9000-65500

Oracle Trace File Analyzer
Nota

El listener TNS abre puertos dinámicos después del contacto inicial con puertos conocidos (1521, 1525).

Reglas de iptables por defecto para VM de invitado:

Las iptables por defecto están configuradas para aceptar (ACCEPT) las conexiones en cadenas de entrada, reenvío y salida.
#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination

Procedimientos adicionales para actualizar la estrategia de seguridad

Responsabilidades del cliente

Tabla 7-28 Responsabilidades

  Oracle Cloud Platform Instancias de cliente/inquilino

Supervisión

Operaciones de Oracle Cloud

Cliente

Operaciones de Oracle Cloud

Cliente

Infraestructura, plano de control, fallos de hardware, disponibilidad, capacidad

Proporcionar acceso de red para soportar la supervisión y la recopilación de logs de infraestructura de Oracle

Disponibilidad de infraestructura para soportar la supervisión por parte del cliente de los servicios del cliente

Supervisión del sistema operativo, las bases de datos y las aplicaciones del cliente

Gestión y resolución de incidentes

Gestión y solución de incidentes

Piezas de recambio y envío de servicios de campo

Ayuda de diagnóstico in situ, por ejemplo, solución de problemas de red

Soporte para cualquier incidente relacionado con la plataforma subyacente

Gestión y resolución de incidentes de las aplicaciones del cliente

Gestión de parches

Aplicación proactiva de parches de hardware, pila de control de IaaS/PaaS

Proporcionar acceso de red para soportar la prestación de los parches

Ubicación temporal de los parches disponibles, por ejemplo, el juego de parches de Oracle Database

Aplicación de parches en instancias de inquilino

Pruebas

Copia de seguridad y restauración

Copia de seguridad y recuperación del plano de control y la infraestructura, recreación de VM del cliente

Proporcionar acceso de red para soportar la prestación de automatización en la nube

Proporcionar VM en ejecución y a las que pueda acceder el cliente

Instantáneas/copia de seguridad y recuperación de datos de IaaS y PaaS del cliente con capacidad nativa de Oracle o de terceros

Soporte en la nube

Respuesta y resolución de solicitudes de servicio relacionadas con problemas de la infraestructura o la suscripción

 Enviar solicitudes de servicio a través de MOS Respuesta y resolución de solicitudes de servicio Enviar solicitudes de servicio a través del portal de soporte

Activación de funciones de seguridad adicionales

Uso de Oracle Key Vault como almacén de claves de TDE externo para las bases de datos de Exadata Cloud at Customer

Oracle soporta clientes que utilizan Oracle Key Vault (OKV) como almacén de claves externo para las bases de datos que se ejecutan en Exadata Cloud at Customer. Las instrucciones para migrar claves maestras de TDE a OKV se publican en el documento 2823650.1 (Migration of File based TDE to OKV for Exadata Database Service en Cloud at Customer Gen2) de My Oracle Support. Oracle no soporta módulos de seguridad de hardware (HSM) de terceros con Exadata Cloud at Customer.

Modificación de los requisitos de complejidad de las contraseñas mediante host_access_control

Tabla 7-29 host_access_control password-aging

Opción Descripción

-s, --status

Muestra la caducidad de la contraseña del usuario actual.

-u USER, --user=USER

Nombre de usuario interactivo válido.

--defaults

Define todos los valores de caducidad de las contraseñas en los valores por defecto de fábrica de Exadata* para todos los usuarios interactivos.

--secdefaults

Define todos los valores de caducidad de las contraseñas en los valores por defecto seguros de Exadata** para todos los usuarios interactivos.

--policy

Define todos los valores de caducidad de las contraseñas en la política de caducidad que define el comando password-policy (o /etc/login.defs) para todos los usuarios interactivos.

-M int, --maxdays=int

Número máximo de días que se puede utilizar una contraseña. Entrada limitada a entre 1 y 99999.

-m int, --mindays=int

Número mínimo de días permitidos entre cambios de contraseña. Entrada limitada a entre 0 y 99999; 0 para en cualquier momento.

-W int, --warndays=int

Número de días de advertencia proporcionados antes de que caduque una contraseña. Entrada limitada a entre 0 y 99999.

host_access_control password-policy

--PASS_MAX_DAYS integer (60)*

--PASS_MIN_DAYS integer ( 1)*

--PASS_MIN_LEN integer ( 8)*

--PASS_WARN_AGE integer ( 7)*

--defaults

--status

Tabla 7-30 host_access_control pam-auth

Opciones Descripción

-h, --help

Muestra este mensaje de ayuda y se cierra.

-d DENY, --deny=DENY

Número de intentos de conexión fallidos antes de que se bloquee una cuenta. La entrada está limitada a entre 1 y 10. (*El valor por defecto de fábrica de Exadata es 5)

-l LOCK_TIME, --lock=LOCK_TIME

Número de segundos (entero) que una cuenta se bloqueará debido a un único intento de conexión fallido. La entrada está limitada a entre 0 y 31557600 (un año) (*El valor por defecto de fábrica de Exadata es 600 [10 min])

-p list, --passwdqc=list

PARA SISTEMAS QUE SE EJECUTAN EN UNA VERSIÓN ANTERIOR A OL7

Juego de 5 valores separados por comas (N0,N1,N2,N3,N4) que definen la longitud mínima permitida para los diferentes tipos de contraseñas/frases de contraseña. Cada número subsiguiente no debe ser mayor que el anterior. La palabra clave "disabled" se puede utilizar para no permitir contraseñas de un tipo determinado, independientemente de su longitud. (Consulte la página del comando man pam_passwdqc para obtener una explicación).

Las contraseñas deben utilizar tres clases de caracteres. Las clases de caracteres para las contraseñas son los dígitos, las letras en minúscula, las letras en mayúscula y otros caracteres. La longitud mínima de las contraseñas es de 12 caracteres cuando se utilizan tres clases de caracteres.

La longitud mínima de las contraseñas es de 8 caracteres cuando se utilizan cuatro clases de caracteres. (*El valor por defecto de fábrica de Exadata es 5,5,5,5,5) (**El valor por defecto seguro de Exadata es disabled,disabled,16,12,8)

-q PWQUALITY, --pwquality=PWQUALITY

PARA SISTEMAS QUE SE EJECUTAN EN OL7 Y VERSIONES POSTERIORES

Entero, entre 6 y 40, que define la longitud mínima permitida para las contraseñas definida por los valores por defecto seguros de Exadata. Todas las clases son necesarias para los cambios de contraseña, así como para otras comprobaciones aplicadas a longitudes >7. Para las longitudes <8, no se utilizan los requisitos de clase.

(*El valor por defecto de fábrica de Exadata es: minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3 maxclassrepeat=4)

(**El valor por defecto seguro de Exadata es: minlen=15 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=8 maxrepeat=3 maxclassrepeat=4)

(Consulte la página del comando man pam_pwquality para obtener más información)

-r REMEMBER, --remember=REMEMBER

Las n últimas contraseñas que se deben recordar en el historial de cambios de contraseñas. El rango válido es un entero entre 0 y 1000.

(*El valor por defecto de fábrica de Exadata es 10)

--defaults

Define todos los valores de pam-auth en los valores por defecto de fábrica de Exadata*.

--secdefaults

Define todos los valores de pam-auth en los valores por defecto seguros de Exadata**.

-s, --status

Muestra la configuración actual de la autenticación de PAM.

Implementación o actualización de la configuración del firewall iptables en VM de invitado

Las reglas de firewall y configuración de iptables se almacenan en /etc/sysconfig/iptables.

man iptables: para obtener ayuda de iptables. Hay varios sitios web en línea que también tienen muchos tutoriales.

iptables --list: para obtener las reglas de iptables actuales.

Consulte la sección anterior "Seguridad de red de VM de invitado" para obtener más información sobre los puertos que pueden ser necesarios en la VM de invitado. Para configurar el firewall manualmente, cree comandos como en el siguiente ejemplo. Tenga en cuenta que es posible que se bloquee a sí mismo el acceso al sistema si bloquea los puertos mediante los que se conecta, por lo que se recomienda consultar un sistema de prueba y contratar a un administrador de iptables experimentado en caso de que sea posible.

  1. En el símbolo del sistema, introduzca el comando adecuado para cada puerto que se vaya a abrir, por ejemplo:
    # iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7002 -j ACCEPT

# iptables -A INPUT -m state --state NEW -m udp -p udp --dport 123 -j ACCEPT
  2. Guarde la configuración de iptables.
    # service iptables save

Cambio de contraseñas y actualización de claves autorizadas

Para cambiar una contraseña de usuario, se utiliza el comando password. Las contraseñas se deben cambiar 7 días antes de la fecha de caducidad. Las políticas de contraseñas se describen en la sección de la configuración de seguridad por defecto anterior.

Usuarios y contraseñas por defecto de Oracle Exadata: consulte la nota de My Oracle Support https://support.oracle.com/epmos/faces/DocContentDisplay?id=1291766.1. El resto de las cuentas que no se incluyen en esa nota se muestran a continuación.

Tabla 7-31 Cuentas de usuario

Nombre de Usuario y Contraseña Tipo de usuario Componente

opc - conexión basada en clave únicamente

Usuario del sistema operativo Servidores de base de datos de Oracle Exadata
exawatch (versión 19.1.0 y posteriores) - sin privilegios de conexión Usuario del sistema operativo

Servidores de base de datos de Oracle Exadata

Servidores Oracle Exadata Storage Server
SYS/We1come$ Usuario de Oracle Database Servidores de base de datos de Oracle Exadata
SYSTEM/We1come$ Usuario de Oracle Database Servidores de base de datos de Oracle Exadata

MSUser

Management Server (MS) utiliza esta cuenta para gestionar el ILOM y restablecerlo si detecta un bloqueo.

La contraseña de MSUser no se mantiene en ningún lugar. Cada vez que MS se inicia, suprime la cuenta de MSUser anterior y vuelve a crearla con una contraseña generada aleatoriamente.

No modifique esta cuenta. La cuenta es para uso de MS únicamente.

 Usuario de ILOM

ILOM del servidor de base de datos

ILOM de Oracle Exadata Storage Server

Atención a las acciones que pueden afectar a las conexiones de automatización en la nube relacionadas con el servicio

Por ejemplo, entre los procedimientos se incluirá asegurarse de que las claves autorizadas que se utilizan para las acciones de automatización en la nube permanezcan intactas.

Para obtener más información sobre los controles de acceso a la red física, incluidas directrices para la automatización en la nube de Oracle, consulte Controles de seguridad de Oracle Exadata Cloud at Customer Gen 2.

El acceso de la automatización en la nube de Oracle a la VM del cliente se controla mediante SSH basado en token. Las claves públicas para el acceso de la automatización en la nube de Oracle se almacenan en los archivos de claves autorizadas de los usuarios oracle, opc y root de la VM del cliente. Las claves privadas que utiliza la automatización se almacenan y protegen mediante el software de automatización en la nube de Oracle que se ejecuta en el hardware de Exadata Cloud at Customer en el centro de datos del cliente. Los controles de OCI Identity and Access Management (IAM) del cliente controlan si el cliente puede ejecutar la funcionalidad de automatización en la nube de Oracle en su VM y bases de datos y cómo hacerlo. El cliente puede controlar aún más el acceso a través de la red de gestión y las claves de la automatización en la nube de Oracle bloqueando el acceso de red (reglas de firewall, desactivación de la interfaz de red) y revocando las credenciales que utiliza la automatización en la nube de Oracle (elimine las claves públicas de los archivos de claves autorizadas). El cliente puede restaurar temporalmente el acceso de la automatización en la nube de Oracle para permitir que se utilice el subjuego de funciones necesarias para acceder a la VM y las bases de datos del cliente, como la aplicación de parches del sistema operativo de la VM del cliente. La automatización en la nube de Oracle no precisa de acceso de red a la VM del cliente para llevar a cabo la escala de OCPU, por lo que la funcionalidad de escala de OCPU funcionará con normalidad cuando los clientes bloqueen el acceso de red de la automatización en la nube de Oracle a la VM del cliente.

Configuración de canales cifrados para la conectividad del listener de base de datos (Oracle Net)

Para obtener más información, consulte Configuración de la integridad de datos y el cifrado de red nativo de Oracle Database.