Funciones de seguridad en Autonomous AI Database on Dedicated Exadata Infrastructure
En este artículo se describen las funciones de seguridad clave de Autonomous AI Database on Dedicated Exadata Infrastructure.
Tenga en cuenta que a lo largo de esta sección, el término "usted" se utiliza ampliamente para referirse a cualquier administrador de su organización que tenga la responsabilidad de realizar ciertas tareas. En algunos casos, ese es el administrador del conjunto, en otros es el administrador de la base de datos.
Junto con las funciones de seguridad estándar de Oracle AI Database, como el análisis de privilegios, el cifrado de red, los usuarios gestionados de forma centralizada, los roles de aplicación seguros, la protección de datos confidenciales transparentes y otros, una base de datos de IA autónoma dedicada agrega Database Vault, Data Safe y otras funciones de seguridad avanzadas sin costo adicional.
Puede ver los bloques de creación de las funciones de seguridad clave de una base de datos de IA autónoma dedicada que se muestran a continuación.
Sugerencia:
En la siguiente imagen, puede hacer clic en la función que desea explorar más a fondo.Figura: Funciones clave de seguridad
Gestión de la configuración
Built on Oracle Cloud Infrastructure, Autonomous AI Database provides standard, hardened security configurations so you and your team don't need to spend huge amounts of time and money managing configurations across your Autonomous AI Database fleet. Todas las cuentas de servicio, como SYS y System, se rotan cada 90 días. Consulte Gestión de la configuración en Autonomous AI Database para explorar más a fondo.
Los parches y las actualizaciones de seguridad se realizan automáticamente, por lo que no tendrá que preocuparse por mantener la seguridad actualizada. Estas capacidades protegen sus bases de datos y datos altamente confidenciales ante vulnerabilidades e infracciones en materia de seguridad costosas y potencialmente desastrosa. Consulte Mantenimiento del servicio de una base de datos de IA autónoma dedicada para obtener más información.
Cifrado de datos
Autonomous AI Database almacena todos los datos en formato cifrado en Oracle Database. Solo los usuarios y las aplicaciones autenticados pueden acceder a los datos cuando se conectan a la base de datos.
Autonomous AI Database utiliza un cifrado siempre activo que protege los datos estáticos y en tránsito. Por defecto, se cifran todos los datos almacenados y la comunicación de red con Oracle Cloud. El cifrado no se puede desactivar.
Consulte Cifrado de datos en una base de datos de IA autónoma dedicada para obtener más información sobre el cifrado de datos y las claves de cifrado maestras.
Realizar auditorías
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure proporciona sólidas capacidades de auditoría que le permiten realizar un seguimiento a quién hizo qué en el servicio y en bases del dato específicas. Los datos de log completos permiten auditar y supervisar acciones en los recursos, lo que le ayuda a satisfacer los requisitos de auditoría y a reducir el riesgo operativo y de seguridad.
Consulte Auditoría de capacidades en una base de datos de IA autónoma dedicada para obtener más información.
Control de Acceso
Al configurar la función Infraestructura de Exadata dedicada, debe asegurarse de que el usuario de la nube tiene acceso para utilizar y crear solo los tipos adecuados de recursos en la nube para realizar sus tareas. Además, debe asegurarse de que solo el personal y las aplicaciones autorizados tengan acceso a las base de datos de IA autónoma creadas en la infraestructura dedicada. De lo contrario, corre el riesgo de un consumo "sin control" de los recursos de la infraestructura dedicada o de un acceso inadecuado a los datos fundamentales.
La protección del acceso a los datos y a las bases de datos que los contienen incluye varios tipos diferentes de control de acceso. Consulte Control de acceso en una base de datos de IA autónoma dedicada para obtener más información.
Gestión de Certificados
Cuando un cliente intenta conectarse a una base de datos de IA autónoma mediante un servicio de conexión de base de datos TCPS (TCP seguro), Oracle Autonomous AI Database on Dedicated Exadata Infrastructure utiliza la autenticación basada en certificados TLS 1.2 y TLS 1.3 estándar para autenticar la conexión. Sin embargo, TLS 1.3 solo se admite en Oracle AI Database 23ai o posterior. Independientemente de si el cliente intenta conectarse a través de un servicio TCPS o TCP, el acceso del cliente a la base del usuario está restringido por los derechos de acceso del usuario que el cliente utiliza para conectarse.
Certificado autofirmado gestionado por Oracle
Por defecto, Autonomous AI Database utiliza certificados autofirmados. Un certificado autofirmado es un certificado de seguridad generado por el sistema.
Los certificados autofirmados gestionados por Oracle se generan automáticamente al aprovisionar un cluster de VM de Exadata autónomo (AVMC) y se aplican a todas las bases de datos creadas en ese AVMC.
Los certificados autofirmados se generan y se asocian automáticamente con un AVMC. Sin embargo, debe descargar la cartera de cliente de Autonomous AI Database antes de conectarse a las bases de datos. Con certificados autofirmados, la conexión a bases de datos sin cartera no es una opción. Consulte Descarga de credenciales de cliente para obtener instrucciones sobre la descarga de una cartera para la base de datos.
- Certificado SSL de base de datos: certificado SSL para las conexiones de cliente de base de datos.
- Certificado SSL de ORDS: certificado SSL para las aplicaciones de Application Express (APEX).
Para satisfacer las necesidades de conformidad con la seguridad de su organización, puede rotar los certificados autofirmados gestionados por Oracle mediante la consola o la API de Oracle Cloud Infrastructure (OCI). Consulte Gestión de certificados de seguridad para un recurso de cluster de VM de Exadata autónomo para obtener instrucciones paso a paso. Esto se denomina rotación de certificados.
Para los recursos de cluster de VM de Exadata autónomo (AVMC) recién aprovisionados, los certificados autofirmados gestionados por Oracle tienen una validez de 13 meses desde su creación. Al rotar un certificado SSL mediante la consola o la API, se rotan tanto los certificados del servidor como los del cliente y se restablece su validez a 13 meses. Cuando un certificado de servidor o de cliente gestionado por Oracle no se rota antes de su caducidad, Oracle los rota automáticamente y genera nuevas carteras.
En el caso de los certificados SSL de base de datos, la rotación de certificados no invalida el certificado existente inmediatamente.
Dentro de dos semanas desde la rotación del certificado, puede conectarse a sus bases de datos mediante la cartera de cliente de base de datos de IA autónoma que ha descargado antes o después de la rotación del certificado.
Después de dos semanas desde la rotación del certificado:
- La cartera de base de datos descargada antes de la rotación del certificado se invalida y no se puede utilizar para conectarse a las bases de datos.
- La cartera de base de datos descargada en dos semanas de la rotación del certificado permanece activa y se puede utilizar para conectarse a las bases de datos.
- Cualquier cartera de base de datos nueva descargada después de dos semanas de la rotación del certificado se puede utilizar para conectarse a las bases de datos.
Analicemos esto con un ejemplo:
Considere que un certificado SSL, por ejemplo C1, debe caducar y rotó este certificado el 1 de febrero. Durante dos semanas desde el 1 de febrero, que hasta el 14 de febrero, el antiguo certificado (C1) todavía está disponible para su uso. Puede seguir utilizando el certificado antiguo (C1) o descargar una nueva cartera de base de datos para el certificado rotado (C2) para las conexiones de base de datos. Después de dos semanas desde el 1 de febrero, es decir, desde el 14 de febrero en adelante, el certificado antiguo (C1) se invalida y no se puede utilizar para conexiones de base de datos. Puede seguir utilizando la cartera de base de datos que ha descargado tras la rotación del certificado (C2) durante estas dos semanas. También puede descargar una nueva cartera de base de datos y empezar a utilizarla para las conexiones a la base de datos después de dos semanas desde la rotación.
También puede rotar un certificado SSL de base de datos en un plazo de dos semanas a partir de su rotación más reciente. En este escenario, el certificado antiguo (alrededor de ser invalidado debido a la primera rotación) se desactiva inmediatamente. El siguiente certificado (como resultado de la primera rotación) permanece activo, y un tercer certificado (como resultado de la segunda rotación) estará esperando la activación durante dos semanas desde la segunda rotación. Cualquier cartera de base de datos descargada antes de la primera rotación se invalida poco después de la segunda rotación. Puede seguir conectándose a la base de datos con cualquier cartera de base de datos descargada después de la primera rotación hasta dos semanas después de la segunda rotación. Tras la finalización de dos semanas desde la segunda rotación, solo puede conectarse a las bases de datos mediante una cartera de cliente descargada después de la segunda rotación, es decir, una cartera que se descargó en dos semanas desde la segunda rotación o más tarde.
En el ejemplo anterior, si vuelve a rotar el mismo certificado (C1) dentro de dos semanas a partir del 1 de febrero, el certificado se somete a una doble rotación. En este caso, el certificado antiguo (certificado antes de la primera rotación, es decir, C1) se invalida inmediatamente. El certificado resultante de la primera rotación (C2) permanece activo y un tercer certificado resultante de la segunda rotación, por ejemplo, C3, estará a la espera de activación durante dos semanas desde la segunda rotación. Después de dos semanas desde la segunda rotación, el certificado resultante de la primera rotación (C2) también se invalida y las carteras de base de datos descargadas antes de la segunda rotación no se pueden utilizar para las conexiones de base de datos. Puede seguir utilizando la cartera de base de datos que ha descargado tras la rotación del certificado (C3) durante estas dos semanas. También puede descargar una nueva cartera de base de datos y empezar a utilizarla para las conexiones de base de datos después de dos semanas desde la segunda rotación.
En el caso de los certificados SSL de ORDS, se perderían todas las conexiones de aplicación existentes con la rotación del certificado y se recomienda reiniciar ORDS. El período de buffer de dos semanas descrito anteriormente no se aplica al rotar un certificado SSL de ORDS.
Traiga su propio certificado (BYOC)
Traiga su propio certificado (BYOC) le permite utilizar su certificado de servidor firmado por CA con sus base de datos de IA autónoma.
Para traer su propio certificado, primero debe crear el certificado mediante el servicio de certificado de Oracle Cloud Infrastructure (OCI), como se demuestra en Creación de un certificado. Estos certificados deben estar firmados y tener formato PEM, es decir, su extensión de archivo debe ser solo .pem, .cer o .crt.
Después de crear el certificado del servidor firmado por una CA, debe instalarlo con su AVMC para que las bases de datos creadas en él puedan utilizar este certificado para conexiones seguras. La asociación del certificado BYOC a un AVMC se facilita desde el cuadro de diálogo Gestionar certificados de la consola de OCI. En este cuadro de diálogo, seleccione Traiga su propio certificado y seleccione el certificado que habría creado anteriormente en la lista de selección. Opcionalmente, también puede especificar un certificado de CA con autoridad de certificación y grupo de autoridades de certificación. Consulte Gestión de certificados de seguridad para un recurso de cluster de VM de Exadata autónomo para obtener instrucciones paso a paso.
- Para conectarse a la base de datos mediante una cartera de base de datos, primero debe descargar las credenciales de cliente de la página Detalles de la base de datos mediante la consola de OCI. Consulte Descarga de credenciales de cliente para obtener instrucciones.
- Para conectarse a la base de datos sin una cartera de cliente, debe asegurarse de que:
- Las conexiones TLS unidireccionales están activadas en el nivel de AVMC. Esta es una configuración definida mediante el parámetro Listener en Opciones avanzadas al aprovisionar AVMC. Consulte Creación de un cluster de VM de Exadata autónomo para obtener instrucciones.
- El certificado del servidor firmado por una autoridad de certificación pública conocida firma el certificado del servidor, de modo que el sistema operativo del cliente confía en él por defecto.
Para satisfacer las necesidades de conformidad con la seguridad de su organización, puede rotar los certificados del servidor firmados por CA mediante la consola o la API de Oracle Cloud Infrastructure (OCI). Consulte Gestión de certificados de seguridad para un recurso de cluster de VM de Exadata autónomo para obtener instrucciones paso a paso.
Debe rotarlos antes de su fecha de caducidad; en caso contrario, no se podrá acceder a las bases de datos de este AVMC en los puertos TLS hasta que proporcione un certificado válido. Sin embargo, puede seguir accediendo a las bases de datos en un puerto que no sea TLS, como 1521.
Eventos de certificado
| Evento | Generado cuando |
|---|---|
| sslcertificateexpiry.reminder | Un cluster de VM de Exadata autónomo determina que una cartera caducará dentro de menos de seis (6) semanas. Este evento se notifica como máximo una vez por semana. Este evento se dispara cuando hay una conexión que utiliza la cartera que va a caducar. |
| sslcertificate.expired | El certificado SSL caduca. Todas las carteras de la base de datos de IA autónoma relacionadas con este cluster de VM de Exadata autónomo caducarán. |
| sslcertificaterotation.reminder | Un certificado SSL tiene más de 365 días de antigüedad y recomienda al cliente rotar el certificado. Una vez que un certificado SSL ha superado los 365 días, este recordatorio se produce una vez por semana hasta que se rota. |
| sslcertificate.rotated | El certificado SSL se rota manualmente (mediante la consola o la API de Oracle Cloud Infrastructure) o automáticamente tras su caducidad. |
Sugerencia:
Suscríbase a estos eventos utilizando el servicio OCI Notifications para recibirlos cada vez que se publiquen. Consulte Creación de una suscripción para obtener más información.Consulte Eventos de base de datos de IA autónoma en infraestructura de Exadata dedicada para obtener una lista completa de los eventos de base de datos de IA autónoma.
Protección de Datos
La protección de datos es un aspecto crítico de la seguridad de los datos en cualquier base de datos. Las cuentas de base de datos con privilegios son una de las vías más utilizadas para obtener acceso a datos de aplicaciones confidenciales en la base de datos. Si bien los usuarios con privilegios como ADMIN u operadores de Oracle necesitan un acceso amplio y sin restricciones para facilitar el mantenimiento de la base de datos, el mismo acceso también crea un punto de ataque para obtener acceso a grandes cantidades de datos.
-
Oracle Database Vault viene preconfigurado y listo para su uso en la base de datos de IA autónoma. Puede utilizar sus avanzados controles de seguridad para restringir el acceso a los datos de aplicación por parte de usuarios de base de datos con privilegios, de ese modo se reduce el riesgo de amenazas internas y externas y se cumplen los requisitos comunes de conformidad.
Puede desplegar controles para bloquear el acceso de cuentas con privilegios a los datos de aplicación y controlar las operaciones delicadas dentro de la base de datos. Puede configurar rutas de confianza para agregar controles de seguridad adicionales a los cambios autorizados en la base de datos y el acceso a los datos. Mediante el análisis en tiempo de ejecución de privilegios y roles, puede aumentar la seguridad de las aplicaciones existentes mediante la implantación de privilegios mínimos y la reducción del perfil de ataque de las cuentas de la base de datos. Database Vault protege los entornos de base de datos existentes de forma transparente, eliminando cambios en la aplicación costosos que consumen mucho tiempo.
Oracle AI Database Vault aborda principalmente los siguientes problemas de seguridad de la base de datos:-
Acceso de cuenta con privilegios administrativos a los datos de la aplicación: aunque el administrador de la base de datos es el usuario más potente y de confianza, este administrador no necesita acceso a los datos de la aplicación que residen en la base de datos.
Los dominios de Oracle AI Database Vault en torno a esquemas de aplicaciones, tablas confidenciales y procedimientos almacenados proporcionan controles para evitar que los intrusos y los usuarios internos exploten cuentas con privilegios para acceder a datos confidenciales de aplicaciones. Consulte How Oracle AI Database Vault Protects Privileged User Accounts en Oracle Database 19c Administrator's Guide u Oracle Database 26ai Administrator's Guide para obtener más información.
-
Separación de tareas para el acceso a los datos de la aplicación: la separación de los controles de tareas de Oracle AI Database Vault se puede personalizar y las organizaciones con recursos limitados pueden asignar varias responsabilidades de Oracle AI Database Vault al mismo administrador, pero utilizando cuentas independientes para cada rol de separación de funciones para minimizar el daño a la base de datos si se roba y se aprovecha cualquier cuenta. Consulte How Oracle AI Database Vault Addresses Database Consolidation Concerns en Oracle Database 19c Administrator's Guide o Oracle Database 26ai Administrator's Guide para obtener más información.
Antes de utilizar Database Vault, consulte Qué esperar después de activar Oracle AI Database Vault en la Guía del administrador de Oracle Database 19c o la Guía del administrador de Oracle Database 26ai para comprender el impacto de configurar y activar Database Vault.
Para obtener información sobre cómo configurar y activar Database Vault en su base de datos de IA autónoma, consulte Uso de Oracle AI Database Vault para gestionar privilegios de usuario de base de Datos.Sugerencia:
Para probar el proceso de configuración de Database Vault, ejecute el laboratorio 1 sobre protección de datos en Database Vault de Oracle Autonomous AI Database Dedicated for Security Administrators Workshop. -
- PAM también se utiliza para ayudar a proteger los datos para uso autorizado por el cliente y para ayudar a proteger los datos contra el acceso no autorizado, lo que incluye la prevención del acceso a los datos del cliente por parte de los miembros del personal de Operaciones de Oracle Cloud y Soporte. Oracle Operations Access Control garantiza que las cuentas de usuario que el personal de operaciones y soporte de Oracle Cloud utiliza para supervisar y analizar el rendimiento no puedan acceder a los datos de las bases de datos de IA autónomas. Consulte Gestión de acceso con privilegios para obtener más información.
Detección y enmascaramiento de datos confidenciales
-
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure admite la integración con Oracle Data Safe para ayudarle a evaluar y proteger sus bases de datos. Oracle Data Safe le ayuda a comprender la sensibilidad de las bases de datos, evaluar riesgos para las bases de datos, enmascarar datos confidenciales, implantar y supervisar controles del usuario, evaluar su seguridad, supervisar su actividad y satisfacer los requisitos del cumplimiento de la seguridad de las bases de datos.
Esta proporciona el siguiente conjunto de funciones en una única consola de gestión fácil de usar:-
Evaluación de seguridad le ayuda a evaluar la seguridad de la configuración de la base de datos.
-
Evaluación de usuario le ayuda a evaluar la seguridad de los usuarios de base de datos y a identificar a los usuarios de alto riesgo.
-
Detección de datos le ayuda a encontrar datos confidenciales en la base de datos. Enmascaramiento de datos le proporciona una manera de enmascarar datos confidenciales para que los datos estén seguros para fines que no sean de producción.
-
Auditación de actividad le permite auditar la actividad del usuario en la base de datos para que pueda supervisar el uso de la base de datos y recibir alertas sobre actividades inusuales de la base de datos.
Para utilizar Oracle Data Safe para identificar y proteger datos confidenciales y regulados de tu base de datos de IA autónoma, debes registrar tu base de datos con Data Safe. Después de registrar la base de datos con Data Safe, puede ir a la consola de Data Safe directamente desde la página Detalles de la base de datos de IA autónoma. Para obtener más información sobre el Registro de la Base de Datos, consulte Registro o anulación del registro en una base de Datos de IA autónoma dedicada con Data Safe.
-
-
Cuando una consulta emitida por una aplicación en tiempo de ejecución devuelve un juego de resultados con información confidencial, como números de tarjetas de crédito o ID personales, Oracle Data Redaction puede ayudarle a enmascarar los detalles confidenciales antes de devolver el juego de resultados a la aplicación. Puede implantar políticas para la ocultación de datos mediante el paquete PL/SQL
DBMS_REDACT. Consulte DBMS_REDACT en Oracle Database 19c PL/SQL Packages and Types Reference o Oracle Database 26ai PL/SQL Packages and Types Reference.
Certificación de conformidad normativa
La base de datos de IA autónoma en infraestructura de Exadata dedicada cumple un amplio conjunto de estándares de cumplimiento internacionales y específicos del sector, que incluyen:
- FedRAMP High - Programa federal de gestión de riesgos y autorizaciones (solo regiones del Gobierno de EE. UU.)
- HIPAA - Ley de portabilidad y responsabilidad de seguros de salud
- ISO/IEC 27001:2013 - International Organization for Standardization 27001
- ISO/IEC 27017:2015 - Código de buenas prácticas para controles de seguridad de la información basado en ISO/IEC 27002 para servicios en la nube
- ISO/IEC 27018:2014 - Código de buenas prácticas para la protección de información de identificación personal (PII) en nubes públicas que actúan como procesadores PII
- PCI DSS - las normas de seguridad de datos de la industria de tarjetas de pago son un juego de requisitos destinados a garantizar que todas las compañías que procesan, almacenan o transmiten información de tarjetas de crédito mantengan un entorno seguro.
- SOC 1 - System and Organization Controls 1
- SOC 2 - System and Organization Controls 2
Para obtener más información y una lista completa de certificaciones, consulte Conformidad de Oracle Cloud.