Control de acceso en una base de datos de IA autónoma en una infraestructura de Exadata dedicada

Al configurar la base de datos de IA autónoma en una infraestructura de Exadata dedicada, debe asegurarse del acceso de los usuarios en la nube para utilizar y crear solo los tipos adecuados de recursos en la nube para realizar la tarea de su trabajo. Además, debe asegurarse de que solo las aplicaciones y el personal autorizados tienen acceso a las base de datos de IA autónoma creadas en una infraestructura dedicada. De lo contrario, corre el riesgo de un consumo "sin control" de los recursos de la infraestructura dedicada o de un acceso inadecuado a los datos fundamentales.

Antes de empezar a crear y utilizar los recursos de la nube que proporcionan la característica de infraestructura dedicada, debe formular un plan del control del acceso y, a continuación, establecerlos mediante la creación de recursos de red e IAM adecuados (Identity and Access Management). En consecuencia, el control de acceso dentro de una base de datos de IA autónoma se implementa en varios niveles:
  • Control de acceso de usuario en la nube de Oracle
  • Control de acceso de cliente
  • Control de acceso de usuario de base de datos

Temas relacionados

Control de acceso de usuario de Oracle Cloud

Puede controlar qué acceso tienen los usuarios de la Oracle Cloud en su arrendamiento a los recursos de la nube que componen su despliegue de base de datos de IA autónoma en una infraestructura de Exadata dedicada

Utilice el servicio de gestión de identidad y acceso (IAM) para asegurarse del acceso de los usuarios en la nube para crear y utilizar solo los tipos adecuados de recursos de Autonomous AI Database para realizar las tareas del trabajo. Para establecer controles de acceso para los usuarios de la nube, debe definir políticas que otorguen a grupos específicos de usuarios derechos de acceso específicos a tipos de recurso específicos en compartimentos específicos.

El servicio IAM proporciona varios tipos de componentes para ayudarle a definir e implantar una estrategia segura de acceso de usuarios en la nube:

  • Compartimento: recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para la organización y el aislamiento de sus recursos en la nube.

  • Grupo: recopilación de usuarios que necesitan el mismo tipo de acceso a un determinado juego de recursos o compartimento.

  • Grupo dinámico: tipo de grupo especial que contiene recursos que coinciden con las reglas que defina. Por lo tanto, la afiliación puede cambiar de forma dinámica a medida que se crean o suprimen recursos coincidentes.

  • Política: grupo de sentencias que especifican quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que debe escribir una sentencia de política que otorgue a un grupo específico un tipo específico de acceso a un tipo específico de recurso dentro de un compartimento específico.

Sentencias Policy y Policy

La herramienta principal que se utiliza para definir el control de acceso para los usuarios de la nube es la política, un recurso de IAM (Identity and Access Management) que contiene sentencias de política que especifican el acceso en términos de "quién", "cómo", "qué" y "dónde".

El formato de una sentencia de política es:
Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

  • group <group-name> especifica el "quién" proporcionando el nombre de un grupo de IAM existente, un recurso de IAM al que se pueden asignar usuarios individuales de la nube.

  • to <control-verb> especifica "cómo" utilizando uno de estos verbos de control predefinidos:

    • inspect: capacidad para mostrar recursos del tipo determinado, sin acceso a información confidencial ni a metadatos especificados por el usuario que puedan formar parte de ese recurso.
    • read: inspect junto con la capacidad de obtener metadatos especificados por el usuario y el propio recurso.
    • use: read junto con la capacidad de trabajar con recursos existentes, pero no de crearlos ni suprimirlos. Además, "trabajar con" significa diferentes operaciones para diferentes tipos de recursos.
    • manage: todos los permisos para el tipo de recurso, incluidas la creación y la supresión.

    En el contexto de la función de infraestructura dedicada, un administrador de conjuntos puede manage bases de datos con contenedores autónomas, mientras que un administrador de base de datos solo puede use para crear base de datos de IA autónoma.

  • <resource-type> especifica "qué" utilizando un tipo de recurso predefinido. Los valores de tipo de recurso para los recursos de la infraestructura dedicada son:

    • exadata-infrastructures
    • autonomous-container-databases
    • autonomous-databases
    • autonomous-backups

    Dado que los recursos de la infraestructura dedicada utilizan recursos de red, algunas de las sentencias de política que crea harán referencia al valor de tipo de recurso virtual-network-family. Además, puede crear sentencias de política que hagan referencia al valor de tipo de recurso tag-namespaces si se utiliza el etiquetado en su arrendamiento.

  • in compartment <compartment-name> especifica el "dónde" proporcionando el nombre de un compartimento de IAM existente, un recurso de IAM en el que se crean los recursos. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para organizar y aislar los recursos en la nube.

Para obtener más información sobre las políticas de Autonomous AI Database, consulte Políticas de IAM para Autonomous AI Database en una infraestructura de Exadata dedicada.

Para obtener información sobre cómo funcionan el servicio IAM y sus componentes, y cómo utilizarlos, consulte Visión general de Oracle Cloud Infrastructure Identity and Access Management. Para obtener respuestas rápidas a preguntas comunes sobre IAM, consulte Preguntas frecuentes de Identity and Access Management.

Mejores prácticas al planificar e implantar controles de acceso

Al planificar e implantar controles de acceso para la función de infraestructura dedicada, debe tener en cuenta estas mejores prácticas.

  • Cree una VCN independiente que contenga solo subredes privadas. En casi todos los casos, las base de datos de IA autónoma creadas en una infraestructura dedicada albergan datos sensibles a la empresa y a los que normalmente solo se puede acceder desde la red privada de la empresa. Incluso los datos compartidos con socios, proveedores, consumidores y clientes se ponen a su disposición a través de canales regulados y seguros.

    Por lo tanto, el acceso de red que proporcione a dichas bases de datos debe ser privado de su compañía. Para ello, cree una VCN que utilice subredes privadas y FastConnect o una VPN con IPSec para la conexión a la red privada de su compañía. Para obtener información sobre la definición de esta configuración, consulte Escenario B: subredes privadas con una VPN en la Documentación de Oracle Cloud Infrastructure.

    Para obtener más información sobre la protección de la conectividad de red a las bases de datos, consulte Formas de proteger la red en la Documentación de Oracle Cloud Infrastructure.

  • Cree al menos dos subredes. You should create at least two subnets: one for Autonomous Exadata VM Cluster and Autonomous Container Database resources and one for resources associated with clients and applications of Autonomous AI Database.

  • Cree al menos dos compartimentos. Debe crear al menos dos compartimentos: uno para las infraestructuras de Exadata, el clúster de máquina virtual de Exadata autónomo y los recursos de base de datos de contenedores autónoma, y el otro para las bases de datos de IA autónoma.

  • Cree al menos dos grupos. Debe crear al menos dos grupos: uno para los administradores de conjunto y otro para los administradores de base de datos.

Control de acceso de cliente

El control de acceso de cliente se implementa en la base de datos de IA autónoma mediante el control del control de acceso de red y las conexiones de cliente.

Control de acceso de red

El control de acceso a la red se define en base de datos de IA autónoma al configurar y configurar el despliegue dedicado de Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. La forma de hacerlo depende de si el despliegue dedicado está en Oracle Public Cloud o en Exadata Cloud@Customer:

  • En Oracle Public Cloud, el control de acceso a la red se define mediante componentes del servicio Networking. Cree una red virtual en la nube (VCN) que contenga subredes privadas en las que se pueda acceder a la red a las base de datos de IA autónoma. Además, puede crear reglas de seguridad para permitir un tipo concreto de tráfico que entra o sale de las direcciones IP de una subred.

    Para obtener información detallada sobre la creación a partir de estos recursos, realice el laboratorio 1 sobre la elaboración de una Red Privada para la implementación de OCI de Oracle Autonomous AI Database Dedicated for Fleet Administrators.

  • En Exadata Cloud@Customer, defina los controles de acceso de red especificando una red de cliente en el centro de datos y registrándola en un recurso de red de cluster de VM en el recurso de infraestructura de Exadata.

Enrutamiento de paquetes de confianza cero (ZPR)

Se aplica a: Aplicable Oracle Public Cloud solo

El enrutamiento de paquetes de confianza cero (ZPR) de Oracle Cloud Infrastructure protege los datos confidenciales del acceso no autorizado mediante políticas de seguridad basadas en intenciones que escribe para los recursos, como un cluster de VM de Exadata autónomo (AVMC) al que asigna atributos de seguridad.

Los atributos de seguridad son etiquetas que ZPR utiliza para identificar y organizar recursos. ZPR aplica la política en el nivel de red cada vez que se solicita acceso, independientemente de posibles cambios en la arquitectura de red o configuraciones incorrectas. ZPR se basa en las reglas existentes de grupo de seguridad de red (NSG) y lista de control de seguridad (SCL). Para que un paquete alcance un destino, debe transferir todas las reglas de NSG y SCL y la política ZPR. La solicitud se borra si alguna regla o política de NSG, SCL o ZPR no permite el tráfico.

Puede proteger redes con ZPR en tres pasos:

  1. Cree artefactos ZPR, es decir, espacios de nombres de atributos de seguridad y atributos de seguridad.

  2. Escriba políticas de ZPR para conectar recursos mediante atributos de seguridad. ZPR utiliza un lenguaje de políticas ZPR (ZPL) y aplica restricciones en el acceso a los recursos definidos. Como cliente de una base de datos de IA autónoma en infraestructura de Exadata dedicada, puede escribir políticas basadas en ZPL en su arrendamiento para garantizar que solo los usuarios y los recursos autorizados accedan a los datos de los AVMC.

  3. Asigne atributos de seguridad a recursos para activar las políticas ZPR.

Note:

Evite introducir información confidencial al asignar descripciones, etiquetas, atributos de seguridad o nombres fáciles de recordar a los recursos en la nube mediante la consola de Oracle Cloud Infrastructure, la API o la CLI.

Consulte Getting Started with Zero Trust Packet Routing para obtener más información.

Tiene las siguientes opciones para aplicar atributos de seguridad ZPR a un AVMC:

Como requisito, se deben definir las siguientes políticas de IAM para agregar correctamente atributos de seguridad ZPR a AVMC:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy
allow group <group_name>
to manage autonomous-database-family
in tenancy
allow group <group_name>
to read security-attribute-namespaces
in tenancy
listas de control de acceso (ACL)

Para mayor seguridad, puede activar listas de control de acceso (ACL) en despliegues dedicados tanto de Oracle Public Cloud como de Exadata Cloud@Customer. Una ACL proporciona protección adicional a la base datos al permitir que solo el cliente con direcciones IP específicas se conecte a la base. Puede agregar las direcciones IP de forma individual o en bloques de CIDR. Se admiten tanto las IP/CIDR basadas en IPv4 como IPv6. Esto le permite formular una política del control del acceso detallado mediante la limitación del acceso a la red de la instancia de Autonomous AI Database a aplicaciones o clientes específicos.

Opcionalmente, puede crear una ACL durante el aprovisionamiento de la base de datos o en cualquier momento posterior. También puede editar una ACL en cualquier momento. La activación de una ACL con una lista vacía de direcciones IP hace que la base de datos sea inaccesible. Consulte Definición de la lista para una base de datos de IA autónoma dedicada para obtener detalles.

Tenga en cuenta lo siguiente acerca del uso de una ACL con Autonomous AI Database:
  • La consola de servicio Autonomous AI Database no está sujeta a las reglas de la ACL.
  • Oracle Application Express (APEX), los servicios RESTful, SQL Developer Web y el hub de rendimiento no están sujetos a las ACL.
  • Al crear una base de datos de IA autónoma, si falla en la definición de una ACL, también falla en el aprovisionamiento de la base de Datos.
  • La actualización de una ACL solo si la base de datos tiene el estado Disponible.
  • La restauración de una base de datos no sobrescribe las ACL existentes.
  • La clonación de una base de datos, completa y con metadatos, tendrá la misma configuración de control de acceso que la base de datos de origen. Podrá realizar los cambios que sean necesarios.
  • La copia de seguridad no está sujeta a las reglas de la ACL.
  • Durante una actualización de ACL, se admiten todas las operaciones de base de datos de contenedores autónoma (CDB), pero no se permiten las operaciones de base de datos de IA autónoma.
Web Application Firewall (WAF)

Para controles de red avanzados más allá de las listas de control de acceso, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure soporta el uso de Web Application Firewall (WAF). WAF protege las aplicaciones frente al tráfico de Internet no deseado y malicioso. WAF puede proteger cualquier punto final orientado a internet, proporcionando una aplicación coherente de las reglas en las aplicaciones de un cliente. WAF permite crear y gestionar reglas para amenazas de Internet, incluidos los scripts de sitios (XSS), la inyección SQL y otras vulnerabilidades definidas por OWASP. Las reglas de acceso pueden establecer límites según la geografía o la firma de la solicitud. Consulte Introducción a las políticas de Web Application Firewall para obtener pasos sobre cómo configurar WAF.

Control de conexión de cliente

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implementa el control de conexión del cliente con autenticación basada en certificados TLS 1.2 y TLS 1.3 estándar para autenticar una conexión de cliente. Sin embargo, TLS 1.3 solo está soportado en Oracle Database 23ai o posterior.

Por defecto, Autonomous AI Database utiliza certificados autofirmados. Sin embargo, puede instalar el certificado del lado del servidor firmado por CA desde la consola de Oracle Cloud Infrastructure (OCI). Para traer su propio certificado, primero debe crear el certificado mediante el servicio de certificados de Oracle Cloud Infrastructure (OCI), como se muestra en Creación de un certificado. Estos certificados deben estar firmados y estar en el formato PEM, es decir, la extensión del archivo debe ser solo .pem, .cer o .crt. Para obtener más información, consulte Gestión de certificados en una base de datos de IA autónoma dedicada.

Control de acceso de usuario de base de datos

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure configura las bases de datos que crea para utilizar la función de gestión de usuarios estándar de Oracle AI Database. Crea una cuenta de usuario administrativo, ADMIN, que se utiliza para crear cuentas de usuario adicionales y para proporcionar controles de acceso para las cuentas.

La gestión de usuarios estándar proporciona un sólido juego de funciones y controles, como privilegios de sistema y objeto, roles, perfiles de usuario y políticas de contraseñas, que permiten definir e implantar una estrategia de acceso de usuario de base de datos segura en la mayoría de los casos. Consulte Creación y gestión de usuarios de base de datos para obtener instrucciones detalladas.

Para obtener información básica sobre la gestión de usuarios estándar, consulte User Accounts en Oracle AI Database Concepts. Para obtener información y orientación detalladas, consulte Managing Security for Oracle Database Users en la Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide.

Si la estrategia de acceso de usuario a la base de datos requiere más controles que los que proporciona la gestión de usuarios estándar, puede configurar sus base de datos de IA autónoma para utilizar cualquiera de las siguientes herramientas con el fin de cumplir requisitos más rigurosos.
Herramienta Descripción
Database Vault

Oracle Database Vault viene preconfigurado y listo para su uso en la base de datos de IA autónoma. Puede utilizar sus avanzados controles de seguridad para restringir el acceso a los datos de aplicación por parte de usuarios de base de datos con privilegios, de ese modo se reduce el riesgo de amenazas internas y externas y se cumplen los requisitos comunes de conformidad.

Consulte Protección de datos en Funciones de seguridad de Autonomous AI Database para obtener más información.

Oracle Cloud Infrastructure Identity and Access Management (IAM)

Puede configurar Autonomous AI Database para utilizar la autorización y la autenticación de Oracle Cloud Infrastructure Identity and Access Management (IAM) para permitir a los usuarios de la instancia de IAM acceder a una instancia de una base de datos de IA autónoma con credenciales de la instancia de IAM. Consulte Uso de la autenticación de Identity and Access Management (IAM) con Autonomous AI Database para utilizar esta opción con la base de datos.

Tokens de acceso OAuth2 de Azure

Puede gestionar de forma centralizada los usuarios de Oracle Autonomous AI Database on Dedicated Exadata Infrastructure en un servicio de Microsoft Azure Active Directory (Azure AD) con la ayuda de tokens de acceso oAuth2 de Azure. Este tipo de integración permite al usuario de Azure AD acceder a una instancia de Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. Los usuarios y la aplicaciones de Azure AD se pueden conectarse con credenciales de conexión única (SSO) de Azure AD para obtener un token OAuth2 de acceso de Azure AD que enviar a la base de datos.

Para obtener más información sobre la integración de Microsoft Azure Active Directory con sus bases de datos, consulte Autenticación y autorización de usuarios de Microsoft Azure Active Directory para Autonomous AI Database.

Microsoft Active Directory (CMU-AD)

Si utiliza Microsoft Active Directory como repositorio de usuario, puede configurar las bases de datos de IA autónomas para autenticar y autorizar usuarios de la instancia de Microsoft Active Directory. Esta integración puede permitirle consolidar el Repositorio de Usuarios mientras implanta una Estrategia de Acceso de Usuario de Base de Datosa, independientemente de si utiliza el sistema de gestión de Usuarios estándar, Database Vault, Real Application Security o Virtual Private Database.

Para obtener más información sobre cómo integrar Microsoft Active Directory con las bases de datos, consulte Microsoft Active Directory con base de datos de IA autónoma.

Kerberos

Kerberos es un sistema de autenticación de terceros de confianza que utiliza secretos compartidos. Presume que el tercero es seguro y proporciona capacidades de inicio de sesión único, almacenamiento centralizado de contraseñas, autenticación de enlaces de base de datos y seguridad de PC mejorada. Esto se realiza mediante un servidor de autenticación de Kerberos.

El soporte de Autonomous AI Database para Kerberos proporciona las ventajas de conexión única y autenticación centralizada de los usuarios de Oracle. Para obtener más información, consulte Autenticación de usuarios de Autonomous AI Database con Kerberos.

Kerberos con CMU-AD

La autenticación Kerberos se puede configurar sobre CMU-AD para proporcionar autenticación Kerberos CMU-AD para usuarios de Microsoft Active Directory.

Para proporcionar autenticación de Kerberos CMU-AD para usuarios de Microsoft Active Directory, puede activar la autenticación de Kerberos sobre CMU-AD definiendo type en CMU mientras activa la autenticación externa, como se muestra en el ejemplo descrito en Activación de autenticación de Kerberos en base de datos de AI autónoma.

Real Application Security y Virtual Private Database

Oracle Real Application Security (RAS) proporciona un modelo declarativo que activa políticas de seguridad que incluyen por completo no solo los objetos de negocio que se van a proteger, sino también los principales (usuarios y roles) que tienen permisos para operar en dichos objetos de negocio. RAS es más seguro, escalable y rentable que su predecesor, Oracle Virtual Private Database.

Con Oracle RAS, los usuarios de aplicación se autentican en el nivel de aplicación y en la base de datos. Independientemente de la ruta de acceso a los datos, las políticas de seguridad de datos se aplican en el núcleo de la base de datos en función de la sesión nativa del usuario final en la base de datos. Los privilegios asignados al usuario controlan el tipo de operaciones (seleccionar, insertar, actualizar y suprimir) que se pueden realizar en filas y columnas de los objetos de base de datos.

Para obtener más información sobre Oracle RAS, consulte la sección introducción a Oracle Database Real Application Security en Oracle Database 19c Real Application Security Administrator's and Developer's Guide u Oracle Database 26ai Real Application Security Administrator's and Developer's Guide.

Oracle Autonomous AI Database en infraestructura de Exadata dedicada también soporta Oracle Virtual Private Database (VPD), el predecesor de Oracle RAS. Si ya estás familiarizado con Oracle VPD y lo utiliza, puedes configurarlo y utilizarlo con tus base de datos de IA autónoma.

Para obtener más información sobre Virtual Private Database, consulte Using Oracle Virtual Private Database to Control Data Access en Oracle Database 19c Security Guide u Oracle Database 26ai Security Guide.

Gestión de privilegios de acceso (PAM)

La estrategia de seguridad de Oracle en torno al acceso de usuarios y la gestión de privilegios en sus productos y servicios se documenta en Oracle Access Control.

La base de datos de IA autónoma en infraestructura de Exadata dedicada está diseñada para aislar y proteger los servicios al cliente y los datos de la base de datos contra el acceso no autorizado. Autonomous AI Database separa las tareas entre el cliente y Oracle. El cliente controla el acceso a los esquemas de base de datos. Oracle controla el acceso a los componentes de software e infraestructura gestionados por Oracle.

Autonomous AI Database on Dedicated Exadata Infrastructure está diseñado para ayudar a proteger los datos para uso autorizado por el cliente y para ayudar a proteger los datos del acceso no autorizado, lo que incluye la prevención del acceso a los datos del cliente por parte de los miembros del personal de Oracle Cloud Ops. Las medidas de seguridad diseñadas para protegerse contra el acceso no autorizado a los datos de la infraestructura de Exadata, las máquinas virtuales autónomas y la base de datos de Oracle incluyen lo siguiente:

  • Los datos de Oracle Database están protegidos por las claves del cifrado de datos transparente (TDE) de Oracle.
  • El cliente controla el acceso a las claves de cifrado de TDE y puede optar por almacenar dichas claves en un sistema de gestión de claves de Oracle Key Vault externo.
  • Oracle Database Vault está preconfigurado para evitar que los usuarios con privilegios accedan a los datos de los clientes en las base de datos de IA autónoma.
  • Los clientes pueden optar por aprobar el acceso del operador mediante la inscripción en el servicio Operator Access Control.
  • Todo el acceso del operador se basa en la autenticación multifactor de hardware de nivel 3 de FIPS 140-2, implementada con un hardware YubiKey implementado con dispositivos aprobados por Oracle.
  • Todas las acciones del operador se registran en el nivel de comando y se pueden enviar al servicio de registro de OCI o a un SIEM del cliente casi en tiempo real.

  • Oracle Operations Access Control garantiza que las cuentas de usuario que el personal de soporte y operaciones de Oracle Cloud utiliza para supervisar y analizar el rendimiento no puedan acceder a los datos de las bases de datos de IA autónomas. El personal de operaciones y soporte de Oracle Cloud no tiene acceso a los datos de sus base de datos de IA autónoma. Al crear una base de datos de contenedores autónoma, Autonomous AI Database on Dedicated Exadata Infrastructure activa y configura la función Operations Control de Oracle Database Vault para impedir que los usuarios comunes accedan a los datos de las base de datos de IA autónoma creadas en la base de datos de contenedores.

    Puede confirmar que Operations Control está activo introduciendo esta sentencia SQL en una base de datos de IA autónoma:
    SELECT * FROM DBA_DV_STATUS;
    El estado de APPLICATION CONTROL indica que el control de operaciones está activo.

    Note:

    El control de operaciones se conocía anteriormente como control de aplicaciones.

PAM también se implementa con Database Vault para la protección de datos, como se describe en Funciones de seguridad de Autonomous AI Database.