Documentación de Oracle Cloud Infrastructure

Mejores prácticas de seguridad

Oracle considera la seguridad en la nube su máxima prioridad, y las responsabilidades de seguridad se comparten entre Oracle y usted.

Oracle y sus responsabilidades

Oracle evalúa periódicamente las actualizaciones de parches críticos y las correcciones de alertas de seguridad, así como las correcciones pertinentes de terceros, a medida que estén disponibles, y aplica los parches relevantes de acuerdo con los procesos de gestión de cambios aplicables. Se aplican parches a las vulnerabilidades de seguridad con una frecuencia regular.

Debe hacer lo siguiente:

  • Realice un seguimiento de las vulnerabilidades y realice regularmente exploraciones de seguridad y evaluaciones de seguridad en los sistemas de base de datos HeatWave.
  • Leer y evaluar información relacionada con actualizaciones de parches críticos y alertas y boletines de seguridad. Consulte Alertas de seguridad.
  • Aplique actualizaciones de software críticas y medidas correctivas.
  • En caso de que necesite información adicional que no se aborde, envíe una solicitud de servicio dentro del sistema de soporte designado. Consulte Creación de una solicitud de soporte.

Funciones de seguridad

Oracle le proporciona diversas funciones, como el cifrado en tránsito, el enmascaramiento de datos y el plan de supresión para mantener sus datos seguros.

Tabla 3-1 Funciones de seguridad

Función Mejores prácticas
Control de acceso a la base de datos y gestión de cuentas Utilice las funciones de seguridad de MySQL para controlar el acceso y la gestión de su cuenta. Consulte Control de acceso y gestión de cuentas.
Servicio de auditoría de OCI Utilice OCI Audit Service para registrar automáticamente las llamadas a todos los puntos finales de la interfaz pública de programación de aplicaciones (API) soportados en todo el arrendamiento como eventos de log. Los eventos de log contienen detalles como el origen, el destino o la hora a la que se ha producido la actividad de API. Consulte Visualización de Logs de Servicio de Auditoría y Visión General de Auditoría.
Plugin de MySQL Enterprise Audit Utilice el plugin de auditoría de MySQL Enterprise para producir un archivo log que contenga un registro de auditoría de la actividad del servidor. El contenido del log incluye cuándo se conectan y desconectan los clientes, y qué acciones realizan mientras están conectados, como qué bases de datos y tablas acceden. Puede agregar estadísticas sobre el tiempo y el tamaño de cada consulta para detectar valores atípicos. Por defecto, los logs del plugin de auditoría están desactivados y debe definir filtros para activar el registro de todos los eventos auditables para todos los usuarios. Consulte Privilegios por defecto de MySQL y Plugin de auditoría de MySQL Enterprise.
Plugin authentication_oci Utilice el plugin authentication_oci de MySQL para asignar usuarios de MySQL a usuarios y grupos existentes definidos en el servicio de IAM. Consulte Autenticación mediante el plugin authentication_oci.
Plugin connection-control Por defecto, el servicio HeatWave soporta el plugin connection-control para proporcionar un disuasorio que ralentiza los ataques de fuerza bruta contra las cuentas de usuarios de MySQL. Consulte Plugins y componentes.
Cifrado inactivo Los datos estáticos siempre se cifran con claves gestionadas por Oracle o claves proporcionadas por el cliente. Consulte Seguridad de datos.
Cifrado en tránsito Para proteger los datos, puede utilizar un cifrado en curso para un determinado usuario. Consulte Seguridad de datos.
Enmascaramiento de datos Utilice el enmascaramiento de datos para proteger los datos confidenciales. Consulte Enmascaramiento de datos.
Plan de supresión Utilice el plan de supresión para proteger el sistema de base de datos contra las operaciones de supresión. Consulte Opción avanzada: Plan de supresión.
Gestión de identidad y acceso Como administrador de seguridad, asigne privilegios mínimos a los usuarios. Utilice las políticas de IAM para controlar el acceso y el uso de los recursos de MySQL. Consulte Políticas de IAM.
Certificado de Seguridad Un certificado de seguridad es un documento digital que confirma que su sujeto es el propietario de la clave pública del certificado. Puede dejar que el servicio HeatWave defina un certificado de seguridad o traer su propio certificado a Oracle Cloud Infrastructure. Consulte Opción avanzada: conexiones.
Componente validate_password HeatWave El servicio aplica contraseñas seguras con el componente validate_password. Asegúrese de que sus aplicaciones cumplan con los requisitos de contraseñas. Consulte Plugins y componentes.
Red virtual en la nube (VCN)
  • Configure los grupos de seguridad de red o las listas de seguridad de la VCN para restringir las direcciones IP públicas autorizadas a una única dirección IP o a un pequeño rango de direcciones IP. Consulte Creación de una red virtual en la nube.
  • Configure el sistema de base de datos MySQL para utilizar subredes privadas de su VCN. Para conectarse al sistema de base de datos MySQL desde una red externa, utilice una sesión de Bastion o una conexión VPN. Si se puede conectar al sistema de base de datos solo a través de Internet, restrinja las direcciones IP públicas autorizadas a una única dirección IP o a un pequeño rango de direcciones IP y utilice el cifrado en tránsito. Consulte Network Load Balancer.