Control de acceso en una base de datos de IA autónoma en una infraestructura de Exadata dedicada

Al configurar la base de datos de IA autónoma en una infraestructura de Exadata dedicada, debes asegurarte de que tus usuarios en la nube tienen acceso para utilizar y crear solo los tipos adecuados de recursos en la nube para realizar la tarea de su trabajo. Además, debe asegurarse de que solo las aplicaciones y el personal autorizados tienen acceso a las bases de datos de IA autónomas creadas en una infraestructura dedicada. De lo contrario, corre el riesgo de un consumo "desconectado" de los recursos de su infraestructura dedicada o del acceso inadecuado a los datos fundamentales.

Antes de empezar a crear y utilizar los recursos de la nube que proporcionan la característica de infraestructura dedicada, debe formular un plan del control del acceso y, a continuación, establecerlos mediante la creación de recursos de red e IAM adecuados (Identity and Access Management). En consecuencia, el control de acceso dentro de una base de datos de IA autónoma se implementa en varios niveles:

Control de acceso de usuario de la nube de Oracle
Control de acceso del cliente
Control de acceso de usuarios de la base de datos

Control de acceso de usuario de Oracle Cloud

Puede controlar qué acceso tienen los usuarios de la Oracle Cloud en su arrendamiento a los recursos de la nube que componen su despliegue de Autonomous AI Database en una infraestructura dedicada de Exadata

Utilice el servicio Identity and Access Management (IAM) para asegurarse de que sus usuarios en la nube tienen acceso para crear y utilizar solo los tipos adecuados de recursos de Autonomous AI Database para realizar las tareas del trabajo. Para establecer controles de acceso para los usuarios de la nube, debe definir políticas que otorguen a grupos específicos de usuarios derechos de acceso específicos a tipos de recurso específicos en compartimentos específicos.

El servicio IAM proporciona varios tipos de componentes para ayudarle a definir e implantar una estrategia segura de acceso de usuarios en la nube:

Compartimento: recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para la organización y el aislamiento de sus recursos en la nube.
Grupo: recopilación de usuarios que necesitan el mismo tipo de acceso a un determinado juego de recursos o compartimento.
Grupo dinámico: tipo de grupo especial que contiene recursos que coinciden con las reglas que defina. Por lo tanto, la afiliación puede cambiar de forma dinámica a medida que se crean o suprimen recursos coincidentes.
Política: grupo de sentencias que especifican quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que debe escribir una sentencia de política que otorgue a un grupo específico un tipo específico de acceso a un tipo específico de recurso dentro de un compartimento específico.

Sentencias de política y política

La herramienta principal que utiliza para definir un control de acceso para usuarios de la nube es la política, un recurso de la IAM (Identity and Access Management) que contiene instrucciones de política que especifican el acceso en términos de "quién", "qué", "qué" y "dónde".

El formato de una sentencia de política es:

Allow
  group <group-name>
  to <control-verb>
  <resource-type>
  in compartment <compartment-name>

group <group-name> especifica el "quién" proporcionando el nombre de un grupo de IAM existente, un recurso de de IAM al que se pueden asignar usuarios individuales en la nube.
para <control-verb> especifica el "cómo" utilizando uno de estos verbos predefinidos de control:
- inspect: capacidad para mostrar recursos del tipo determinado, sin acceso a información confidencial ni a metadatos especificados por los usuarios que puedan pertenecer a ese recurso.
- read: inspect, además de la capacidad de obtener metadatos especificados por un usuario y el propio recurso.
- use: read, además de la capacidad de trabajar con recursos existentes, pero no de crearlos ni suprimirlos. Además, "trabajar con" significa diferentes operaciones para diferentes tipos de recursos.
- manage: todos los permisos para el tipo de recurso, incluidas su creación y supresión.
En el contexto de la función de infraestructura dedicada, un administrador de conjuntos puede manage bases de datos con contenedores autónomas, mientras que un administrador de base de datos solo puede use para crear bases de datos autónomas de IA.
<tipo_recurso> especifica "qué" utilizando un tipo de recurso predefinido Los valores de tipo de recurso para los recursos de la infraestructura dedicada son:
- exadata-infrastructures
- autonomous-container-databases
- autonomous-databases
- copias de seguridad autónomas
Dado que el recurso de la infraestructura dedicada utiliza recursos de red, algunas de las instrucciones de política que crea harán referencia al valor del tipo de recurso virtual-network-family. Además, puede crear sentencias de política que hagan referencia al valor del tipo de recurso tag-namespaces si se utiliza el etiquetado en su arrendamiento.
en el compartimento <nombre_compartimento> especifica el "dónde" proporcionando el nombre de un compartimento de IAM existente, un recurso de de IAM en el que se crean los recursos. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para organizar y aislar los recursos en la nube.

Para obtener más información sobre las políticas de la base de datos de IA autónoma, consulte Políticas de IAM para la base de datos de IA autónoma en una infraestructura de Exadata dedicada.

Para obtener información sobre cómo funcionan el servicio IAM y sus componentes, y cómo utilizarlos, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management. Para obtener respuestas rápidas a preguntas comunes sobre IAM, consulte Preguntas frecuentes de Identity and Access Management.

Mejores prácticas al planificar e implantar controles de acceso

Al planificar e implantar controles de acceso para la función de infraestructura dedicada, debe tener en cuenta estas mejores prácticas.

Cree una VCN independiente que contenga solo subredes privadas. En casi todos los casos, las bases de datos de IA autónomas creadas en una infraestructura dedicada albergan datos sensibles a la empresa y a los que normalmente solo se puede acceder desde la red privada de la empresa. Incluso los datos compartidos con socios, proveedores, consumidores y clientes se ponen a su disposición a través de canales regulados y seguros.

Por lo tanto, el acceso de red que proporcione a dichas bases de datos debe ser privado de su compañía. Para ello, cree una VCN que utilice subredes privadas y FastConnect o una VPN con IPSec para la conexión a la red privada de su compañía. Para obtener información sobre la definición de esta configuración, consulte Escenario B: subredes privadas con una VPN en la Documentación de Oracle Cloud Infrastructure.

Para obtener información adicional sobre la protección del conectividad de red a las bases de datos, consulte Formas de proteger la red en la documentación de Oracle Cloud Infrastructure.
Cree al menos dos subredes. You should create at least two subnets: one for Autonomous Exadata VM Cluster and Autonomous Container Database resources and one for resources associated with clients and applications of Autonomous AI Database.
Cree al menos dos compartimentos. Debe crear al menos dos compartimentos: uno para las infraestructuras de Exadata, el cluster Exadata de VM autónomo y los recursos de base de datos de contenedores autónoma, y el otro para las bases de datos de IA autónoma.
Cree al menos dos grupos. Debe crear al menos dos grupos: uno para los administradores de conjunto y otro para los administradores de base de datos.

Control de acceso de cliente

El control de acceso de cliente se implementa en la base de datos de IA autónoma mediante el control del control de acceso de red y las conexiones de cliente.

Control de acceso de red

El control de acceso a la red a las bases de datos de IA autónomas se define al configurar y configurar el despliegue dedicado de Oracle Autonomous AI Database en una infraestructura de Exadata dedicada. La forma de hacerlo depende de si su despliegue dedicado está en Oracle Public Cloud o en Exadata Cloud@Customer:

En Oracle Public Cloud, puede definir el control de acceso de red mediante componentes del servicio Networking. Puede crear una red virtual en la nube (VCN) que contenga subredes privadas en las que se pueda acceder a las bases de datos de IA autónomas desde la red. Además, puede crear reglas de seguridad para permitir un tipo concreto de tráfico que entra o sale de las direcciones IP de una subred.

Para obtener información detallada sobre la creación a estos recursos, realice el laboratorio 1 sobre la elaboración de una Red Privada para la implementación de OCI de Oracle Autonomous AI Database Dedicated for Fleet Administrators.
En Exadata Cloud@Customer, puede definir controles de acceso de red especificando una red de cliente dentro del centro de datos y registrándola en un recurso de red de cluster de VM dentro del recurso de infraestructura de Exadata.

Zero Trust Packet Routing (ZPR)

SE APLICA A: Aplicable Solo Oracle Public Cloud

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protege los datos confidenciales frente a accesos no autorizados mediante políticas de seguridad basadas en intenciones que escribe para recursos, como un cluster de VM de Exadata autónomo (AVMC) al que asigna atributos de seguridad.

Los atributos de seguridad son etiquetas que ZPR utiliza para identificar y organizar recursos. ZPR aplica la política en el nivel de red cada vez que se solicita acceso, independientemente de los posibles cambios o configuraciones incorrectas de la arquitectura de red. ZPR se basa en las reglas existentes de grupo de seguridad de red (NSG) y lista de control de seguridad (SCL). Para que un paquete alcance un destino, debe aprobar todas las reglas NSG y SCL y la política ZPR. La solicitud se borra si alguna regla o política NSG, SCL o ZPR no permite el tráfico.

Puede proteger las redes con ZPR en tres pasos:

Cree artefactos ZPR, es decir, espacios de nombres de atributos de seguridad y atributos de seguridad.
Escriba políticas de ZPR para conectar recursos mediante atributos de seguridad. ZPR utiliza un lenguaje de políticas ZPR (ZPL) y aplica restricciones en el acceso a los recursos definidos. Como cliente de base de datos de IA autónoma en infraestructura de Exadata dedicada, puede escribir políticas basadas en ZPL en su arrendamiento para garantizar que solo los usuarios y recursos autorizados accedan a los datos de los AVMC.
Asigne atributos de seguridad a recursos para activar las políticas de ZPR.

Nota: Evite introducir información confidencial al asignar descripciones, etiquetas o atributos de seguridad, o nombres fáciles de entender a recursos en el cloud mediante la Consola, la API o CLI de la Oracle Cloud Infrastructure.

Consulte Introducción al enrutamiento de paquetes de confianza cero para obtener más información.

Tiene las siguientes opciones para aplicar atributos de seguridad ZPR a un AVMC:

Aplicar atributos de seguridad al aprovisionar un AVMC. Consulte Creación de un clúster de VM de Exadata autónomo para más información
Aplicar atributos de seguridad a un recurso de AVMC existente. Consulte Configure Zero Trust Packet Routing (ZPR) for an AVMC para obtener más información.

Como requisito, se deben definir las siguientes políticas de IAM para agregar atributos de seguridad ZPR a un AVMC correctamente:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

listas de control de acceso (ACL)

Para mayor seguridad, puede activar listas de control de acceso (ACL) en despliegues dedicados tanto de Oracle Public Cloud como de Exadata Cloud@Customer. Una ACL proporciona protección adicional a la base, ya que solo permite que el cliente con direcciones IP específicas se conecte a la base. Puede agregar las direcciones IP de forma individual o en bloques de CIDR. Se admiten las IP/CIDR basadas en IPv4 e IPv6. Esto le permite formular una política del control del acceso detallada limitando su acceso a la red de la base de datos de IA autónoma a aplicaciones o clientes específicos.

Opcionalmente, puede crear una ACL durante el aprovisionamiento de la base de datos o en cualquier momento posterior. También puede editar una ACL en cualquier momento. La activación de una ACL con una lista vacía de direcciones IP hace que la base de datos sea inaccesible. Consulte Definición de la lista para una base de datos de IA autónoma dedicada para obtener detalles.

Tenga en cuenta lo siguiente acerca del uso de una ACL con Autonomous AI Database:

La consola del servicio Autonomous AI Database no está sujeta a las reglas de la ACL.
Oracle Application Express (APEX), los servicios RESTful, SQL Developer Web y el hub de rendimiento no están sujetos a las ACL.
Al crear una base de Datos de IA autónoma, si falla una ACL, el aprovisionamiento de la base de Datos también falla.
La actualización de una ACL solo se permite si la base de datos tiene el estado Disponible.
La restauración de una base de datos no sobrescribe las ACL existentes.
La clonación de una base de datos, completa y con metadatos, tendrá la misma configuración de control de acceso que la base de datos de origen. Podrá realizar los cambios que sean necesarios.
La copia de seguridad no está sujeta a las reglas de la ACL.
Durante una actualización de ACL, se pueden realizar todas las operaciones de base de datos de contenedores autónoma (CDB), pero no se permiten las operaciones de base de datos de IA autónoma.

Web Application Firewall (WAF)

Para controles de red avanzados más allá de las listas de control de acceso, Oracle Autonomous AI Database en infraestructura de Exadata dedicada soporta el uso de Web Application Firewall (WAF). WAF protege las aplicaciones frente al tráfico de Internet no deseado y malicioso. WAF puede proteger cualquier punto final orientado a Internet, lo cual proporciona el cumplimiento de reglas consistente en las aplicaciones de un cliente. WAF permite crear y gestionar reglas para amenazas de Internet, incluidos los scripts de sitios (XSS), la inyección SQL y otras vulnerabilidades definidas por OWASP. Las reglas de acceso pueden establecer límites según la geografía o la firma de la solicitud. Consulte Introducción a las políticas de Web Application Firewall para obtener pasos sobre cómo configurar WAF.

Control de conexión de cliente

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implementa el control de conexión del cliente con autenticación basada en certificados TLS 1.2 y TLS 1.3 estándar para autenticar una conexión de cliente. Sin embargo, TLS 1.3 solo está soportado en Oracle Database 23ai o posterior.

Por defecto, Autonomous AI Database utiliza certificados autofirmados. Sin embargo, puede instalar el certificado del lado del servidor firmado por CA desde la consola de Oracle Cloud Infrastructure (OCI). Para traer su propio certificado, primero debe crear el certificado mediante el servicio de certificados de Oracle Cloud Infrastructure (OCI), como se muestra en Creación de un certificado. Estos certificados deben estar firmados y estar en el formato PEM, es decir, la extensión del archivo debe ser solo .pem, .cer o .crt. Para obtener más información, consulte Gestión de certificados en una base de datos de IA autónoma dedicada.

Control de Acceso de Usuario de Base de Datos

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure configura las bases de datos que crea para utilizar la función de gestión de usuarios estándar de Oracle AI Database. Crea una cuenta de usuario administrativo, ADMIN, que se utiliza para crear cuentas de usuario adicionales y para proporcionar controles de acceso para las cuentas.

La gestión de usuarios estándar proporciona un sólido juego de funciones y controles, como privilegios de sistema y objeto, roles, perfiles de usuario y políticas de contraseñas, que permiten definir e implantar una estrategia de acceso de usuario de base de datos segura en la mayoría de los casos. Consulte Creación y gestión de usuarios de base de datos para obtener instrucciones detalladas.

Para obtener información básica sobre la gestión de usuarios estándar, consulte la sección sobrecuentas de usuario en Oracle AI Database Concepts. Para obtener información y orientación detalladas, consulte Managing Security for Oracle Database Users en la Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide.

Si tu estrategia de acceso de usuario a la base de datos requiere más controles que los que proporciona la gestión de usuarios estándar, puedes configurar tus bases de datos de IA autónomas para que utilicen cualquiera de las siguientes herramientas para cumplir requisitos más rigurosos.

Herramienta	Descripción
Database Vault	Oracle Database Vault viene preconfigurado y listo para su uso en las bases de datos de IA autónomas. Puede utilizar sus avanzados controles de seguridad para restringir el acceso a los datos de aplicación por parte de usuarios de base de datos con privilegios, de ese modo se reduce el riesgo de amenazas internas y externas y se cumplen los requisitos comunes de conformidad. Consulte Protección de datos en Funciones de seguridad de la base de datos de IA autónoma para obtener más información.
Oracle Cloud Infrastructure Identity and Access Management (IAM)	Puede configurar la base de datos de IA autónoma para utilizar la autorización y la autenticación de Oracle Cloud Infrastructure Identity and Access Management (IAM) para permitir a los usuarios de la instancia de IAM acceder a una base de datos de IA autónoma con credenciales de la instancia de IAM. Consulte Uso de la autenticación de Identity and Access Management (IAM) con la base de datos de IA autónoma para utilizar esta opción con la base de datos.
Tokens de acceso a Azure OAuth2	Puede gestionar de forma centralizada los usuarios de Oracle Autonomous AI Database on Dedicated Exadata Infrastructure en un servicio de Microsoft Azure Active Directory (Azure AD) con la ayuda de tokens de acceso `oAuth2` de Azure. Este tipo de integración permite al usuario de Azure AD acceder a una instancia de Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. Los usuarios y la aplicaciones de Azure AD se pueden conectarse con credenciales de conexión única (SSO) de Azure AD para obtener un token `OAuth2` de acceso de Azure AD que enviar a la base de datos. Para obtener más información sobre la integración de Microsoft Azure Active Directory con sus bases de datos, consulte Autenticación y autorización de usuarios de Microsoft Azure Active Directory para bases de datos de IA autónomas.
Microsoft Active Directory (CMU-AD)	Si utiliza Microsoft Active Directory como repositorio de usuario, puede configurar las instancias de bases de datos autónomas de IA para autenticar y autorizar usuarios deMicrosoft Active Directory. Esta integración puede permitirle consolidar el Repositorio de Usuarios mientras implanta una Estrategia de Acceso de Usuario de Base de Datosa, independientemente de si utiliza el sistema de gestión de Usuarios estándar, Database Vault, Real Application Security o Virtual Private Database. Para obtener más información sobre cómo integrar Microsoft Active Directory con las bases de datos, consulte Microsoft Active Directory con Autonomous AI Database.
Kerberos	Kerberos es un sistema de autenticación de terceros de confianza que utiliza secretos compartidos. Presume que el tercero es seguro y proporciona capacidades de inicio de sesión único, almacenamiento centralizado de contraseñas, autenticación de enlaces de base de datos y seguridad de PC mejorada. Esto se realiza mediante un servidor de autenticación de Kerberos. El soporte de Autonomous AI Database para Kerberos proporciona las ventajas de una conexión única y una autenticación centralizada de los usuarios de Oracle. Para obtener más información, consulte Authenticate Autonomous AI Database Users with Kerberos.
Kerberos con CMU-AD	La autenticación de Kerberos se puede configurar sobre CMU-AD para proporcionar autenticación de Kerberos CMU-AD para usuarios de Microsoft Active Directory. Para proporcionar autenticación Kerberos CMU-AD para usuarios de Microsoft Active Directory, puede activar la autenticación Kerberos sobre CMU-AD configurando `type` en `CMU` mientras activa la autenticación externa, como se muestra en el ejemplo que se describe en Enable Kerberos Authentication on Autonomous AI Database.
Real Application Security y Virtual Private Database	Oracle Real Application Security (RAS) proporciona un modelo declarativo que activa políticas de seguridad que incluyen por completo no solo los objetos de negocio que se van a proteger, sino también los principales (usuarios y roles) que tienen permisos para operar en dichos objetos de negocio. RAS es más seguro, escalable y rentable que su predecesor, Oracle Virtual Private Database. Con Oracle RAS, los usuarios de aplicación se autentican en el nivel de aplicación y en la base de datos. Independientemente de la ruta de acceso a los datos, las políticas de seguridad de datos se aplican en el núcleo de la base de datos en función de la sesión nativa del usuario final en la base de datos. Los privilegios asignados al usuario controlan el tipo de operaciones (seleccionar, insertar, actualizar y suprimir) que se pueden realizar en filas y columnas de los objetos de base de datos. Para obtener más información sobre Oracle RAS, consulte la sección introducción a Oracle Database Real Application Security en Oracle Database 19c Real Application Security Administrator's and Developer's Guide u Oracle Database 26ai Real Application Security Administrator's and Developer's Guide. Oracle Autonomous AI Database en infraestructura de Exadata dedicada también soporta Oracle Virtual Private Database (VPD), el predecesor de Oracle RAS. Si ya estás familiarizado con Oracle VPD y lo utiliza, puedes configurarlo y utilizarlo con tus bases de datos de IA autónomas. Para obtener más información sobre Virtual Private Database, consulte Using Oracle Virtual Private Database to Control Data Access en Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide.

Gestión de acceso privilegiado (PAM)

La estrategia de seguridad de Oracle en torno al acceso de usuarios y la gestión de privilegios en sus productos y servicios se documenta en Oracle Access Control.

La base de datos de IA autónoma en una infraestructura de Exadata dedicada está diseñada para aislar y proteger los servicios al cliente y los datos de la base de datos contra el acceso no autorizado. Autonomous AI Database separa las tareas entre el cliente y Oracle. El cliente controla el acceso a los esquemas de base de datos. Oracle controla el acceso a los componentes de software e infraestructura gestionados por Oracle.

Autonomous AI Database on Dedicated Exadata Infrastructure está diseñado para ayudar a proteger los datos para uso autorizado por el cliente y para ayudar a proteger los datos del acceso no autorizado, lo que incluye la prevención del acceso a los datos del cliente por parte de los miembros del personal de Oracle Cloud Ops. Las medidas de seguridad diseñadas para protegerse contra el acceso no autorizado a los datos de la infraestructura de Exadata, las máquinas virtuales autónomas y la base de datos de Oracle incluyen lo siguiente:

Los datos de Oracle Database están protegidos por las claves de cifrado de datos transparente (TDE) de Oracle.
El cliente controla el acceso a las claves de cifrado de TDE y puede elegir almacenar dichas claves en un sistema de gestión de claves de Oracle Key Vault externo.
Oracle Database Vault está preconfigurado para evitar que los usuarios con privilegios accedan a los datos de los clientes en bases de datos de IA autónomas.
Los clientes pueden optar por aprobar el acceso de operador mediante la inscripción en el servicio Operator Access Control.
Todo el acceso del operador se basa en la autenticación multifactorial de hardware FIPS 140-2 nivel 3, implementada con una clave YubiKey de hardware implementada con dispositivos aprobados por Oracle.
Todas las acciones del operador se registran en el nivel de comando y se pueden enviar al servicio de registro de OCI o a un SIEM de cliente casi en tiempo real.
Oracle Operations Access Control garantiza que las cuentas de usuario que el personal de soporte y operaciones de Oracle Cloud utiliza para supervisar y analizar el rendimiento no puedan acceder a los datos de las bases de datos de IA autónomas. El personal de operaciones y soporte de Oracle Cloud no tiene acceso a los datos de sus bases de datos de IA autónomas. Al crear una base de datos de contenedores autónoma, la base de datos de IA autónoma en una infraestructura de Exadata dedicada activa y configura la función de control de operaciones de Oracle Database Vault para impedir que los usuarios comunes accedan a los datos de las bases de datos de IA autónomas creadas en la base de datos de contenedores.

Puede confirmar que el control de operaciones está activo introduciendo esta sentencia SQL en una base de datos de IA autónoma:
```
SELECT * FROM DBA_DV_STATUS;
```
El estado de APPLICATION CONTROL indica que el control de operaciones está activo.

Nota: Operations Control se conocía anteriormente como Application Control.

PAM también se implementa con Database Vault para la protección de datos, como se describe en Funciones de seguridad de la base de datos de IA autónoma.

Contenido relacionado

Funciones clave de seguridad