Guía de seguridad para Base Database Service

En este artículo se describe la seguridad para Base Database Service.

Visión general de la seguridad

En este tema se proporciona una visión general de la seguridad en Base Database Service. Oracle gestiona la seguridad de la mayoría de los componentes, mientras que los usuarios son responsables de la seguridad de algunos componentes.

Los componentes del servicio en la nube se clasifican en servicios accesibles para el usuario y la infraestructura gestionada por Oracle. El servicio accesible para el usuario hace referencia a los componentes a los que los usuarios pueden acceder como parte de su suscripción a Base Database Service. Se trata de máquinas virtuales y servicios de base de datos que suelen denominarse sistemas de base de datos y bases de datos, respectivamente. La infraestructura gestionada por Oracle hace referencia al hardware que Oracle posee y opera para soportar servicios accesibles para el usuario. Consta de unidades informáticas de base de datos basadas en AMD o Intel.

Oracle gestionará la seguridad y el acceso a los componentes de infraestructura gestionados por Oracle. Los usuarios gestionarán la seguridad y el acceso a los servicios accesibles para los usuarios, que incluyen el acceso al sistema de base de datos y a los servicios de base de datos, el acceso de red al sistema de base de datos, la autenticación para acceder al sistema de base de datos y la autenticación para acceder a las bases de datos que se ejecutan en los sistemas de base de datos. El personal de Oracle no está autorizado a acceder a los servicios accesibles para el usuario.

Los usuarios acceden a las bases de datos Oracle que se ejecutan en sistemas de base de datos mediante una conexión de capa 2 (VLAN etiquetada) desde el equipo del usuario utilizando métodos de conexión estándar de Oracle Database, como Oracle Net en el puerto 1521. Los usuarios pueden utilizar los métodos estándar de Oracle Linux para conectarse al sistema de base de datos que ejecuta las instancias de Oracle Database, como el SSH basado en token en el puerto 22.

Base Database Service utiliza varios controles de seguridad independientes y que se refuerzan entre sí para ayudar a las organizaciones a crear un entorno operativo seguro para sus cargas de trabajo y datos. Base Database Service proporciona los siguientes controles de seguridad:

• Defensa en profundidad para proteger el entorno operativo
• Privilegio mínimo para servicios y usuarios
• Auditoría y responsabilidad de eventos y acciones
• Automatización de las operaciones en la nube

Defensa en profundidad para proteger el entorno operativo

El servicio de base de datos proporciona varios controles para mantener la confidencialidad, la integridad y la responsabilidad en el servicio. Base Database Service promueve el principio de defensa en profundidad de la siguiente manera:

• Las máquinas virtuales para sistemas de base de datos se crean a partir de la imagen de sistema operativo reforzada basada en Oracle Linux 7. Protege el entorno operativo principal mediante la restricción de la imagen de instalación a únicamente los paquetes de software necesarios, la desactivación de los servicios innecesarios y la implantación de parámetros de configuración seguros en todo el sistema.
• Se implantan por defecto opciones adicionales de configuración seguras en las instancias del servicio, además de heredar todas las fortalezas de la plataforma de Oracle Linux madura. Por ejemplo, todos los tablespaces de base de datos requieren cifrado de datos transparente (TDE), implementación de contraseñas seguras para los usuarios y superusuarios iniciales de la base de datos y reglas de eventos y auditorías mejoradas.
• Base Database Service también constituye un despliegue y servicio completo y está sujeto a auditorías externas estándar del sector, como PCI, HIPPA y ISO27001. Estos requisitos de auditoría externa imponen funciones de servicio adicionales de valor añadido, como análisis antivirus, alertas automatizadas sobre cambios inesperados en el sistema y exploraciones en busca de vulnerabilidades en todos los sistemas de infraestructura del conjunto gestionados por Oracle.

Privilegio mínimo para servicios y usuarios

Los estándares de codificación segura de Oracle requieren el paradigma del privilegio mínimo. Garantizar que las aplicaciones, los servicios y los usuarios tengan acceso a las capacidades que necesitan para realizar sus tareas es solo una parte del principio del privilegio mínimo. También es importante garantizar que el acceso a capacidades, servicios e interfaces innecesarios sea limitado. Base Database Service promueve el principio del privilegio mínimo de la siguiente manera:

• Cada proceso y daemon se debe ejecutar como un usuario normal sin privilegios, a menos que pueda demostrar un requisito de un nivel superior de privilegios. Esto ayuda a contener cualquier problema imprevisto o vulnerabilidad en un espacio de usuario sin privilegios y a no poner en peligro todo un sistema.
• Este principio también se aplica a los miembros del equipo de operaciones de Oracle que utilizan cuentas con nombre individuales para acceder a la infraestructura para su mantenimiento o la solución de problemas. El acceso auditado a niveles superiores de privilegio solo lo utilizarán cuando sea necesario para resolver un problema. La mayoría de los problemas se resuelven mediante automatización, por lo que también empleamos los privilegios mínimos al no permitir que los operadores humanos accedan a un sistema a menos que la automatización no sea capaz de resolver el problema.

Auditoría y responsabilidad de eventos y acciones

Un sistema debe poder reconocer y notificar los incidentes a medida que se producen. Del mismo modo, cuando un incidente no se puede evitar, una organización debe poder identificar su aparición para realizar las acciones adecuadas. Base Database Service fomenta la auditoría y la responsabilidad de las siguientes maneras:

• La auditoría y la responsabilidad garantizan que tanto Oracle como los usuarios conozcan la actividad realizada en el sistema y en qué momento. Estos detalles no solo garantizan el cumplimiento de los requisitos de generación de informes para auditorías externas, sino que también pueden ayudar a identificar la actividad que ha causado un comportamiento inesperado.
• Se proporcionan capacidades de auditoría para todos los componentes de infraestructura a fin de garantizar que se capturan todas las acciones. Los usuarios también pueden configurar la auditoría para su base de datos y configuración de dominio de usuario (domU), y pueden optar por integrarlos con otros sistemas de auditoría empresarial.
• Oracle no accede al usuario domU.

Automatización de las operaciones en la nube

Mediante la eliminación de las operaciones manuales necesarias para aprovisionar, aplicar parches, mantener, solucionar problemas y configurar los sistemas, se reduce la posibilidad de que se produzcan errores y se garantiza una configuración segura.

Base Database Service está diseñado para ser seguro gracias a la automatización de todas las tareas de aprovisionamiento y configuración, y la mayoría de las tareas operativas restantes. Con la automatización, es posible evitar que falten configuraciones, así como garantizar que todas las rutas necesarias al sistema estén configuradas correctamente.

Funciones de Seguridad

En este tema se describen las funciones de seguridad disponibles en Base Database Service.

Base Database Service proporciona las siguientes funciones de seguridad:

• Imagen de sistema operativo reforzada
• Superficie de ataque minimizada
• Funciones de seguridad adicionales activadas
• Métodos de acceso seguro
• Auditoría y registro

Imagen de sistema operativo reforzada

• Instalación mínima de paquetes: solo se instalan los paquetes necesarios para ejecutar un sistema eficaz. Al instalar un juego de paquetes más pequeño, la superficie de ataque del sistema operativo se reduce y el sistema continúa siendo más seguro.
• Configuración segura: durante la instalación, se definen muchos parámetros de configuración que no son por defecto para mejorar la estrategia de seguridad del sistema y su contenido. Por ejemplo, SSH se configura para recibir únicamente en determinadas interfaces de red, sendmail se configura para aceptar solo conexiones de host local y se implantan muchas otras restricciones similares durante la instalación.
• Ejecución de únicamente los servicios necesarios: se desactivan por defecto todos los servicios que puedan estar instalados en el sistema, pero que no sean necesarios para el funcionamiento normal. Por ejemplo, aunque NFS es un servicio que suelen configurar los usuarios para diversos fines de la aplicación, está desactivado por defecto, ya que no es necesario para las operaciones normales de la base de datos. Los usuarios pueden optar por configurar los servicios de manera opcional según sus necesidades.

Superficie de ataque minimizada

Como parte de la imagen reforzada, la superficie de ataque se reduce mediante la instalación y la ejecución solo del software necesario para entregar el servicio.

Funciones de seguridad adicionales activadas

• Base Database Service está diseñado para ser seguro por defecto y proporciona una pila de seguridad completa, desde el control del firewall de red hasta las políticas de seguridad de control de acceso.
• FIPS, SE Linux y STIG se pueden activar de forma adicional para mejorar la seguridad en los sistemas mediante la CLI dbcli secure-dbsystem.
• La herramienta STIG se proporciona para aumentar la conformidad con Oracle Linux 7 STIG de DISA en cada nodo del sistema de los sistemas aprovisionados.

Métodos de acceso seguro

• Acceso a los servidores de base de datos a través del SSH utilizando cifrados criptográficos fuertes. Los cifrados débiles están desactivados por defecto.
• Acceso a bases de datos a través de conexiones cifradas de Oracle Net. Por defecto, nuestros servicios están disponibles utilizando canales cifrados, y un cliente de Oracle Net configurado por defecto utilizará sesiones cifradas.

Auditoría y registro

Por defecto, la auditoría y el registro no agregan ninguna configuración adicional para despliegues comerciales que lo que proporciona el sistema operativo, pero se puede mejorar agregando valores de seguridad adicionales mediante la activación de STIG.

Para obtener más información, consulte:

• Activación de FIPS, SE Linux y STIG en los componentes del sistema de base de datos
• Herramienta de guía de implementación técnica de seguridad (STIG) para el sistema de base de datos

Seguridad del usuario

En este tema se describe la seguridad de usuario disponible en Base Database Service. Los componentes de Base Database Service se gestionan de forma regular mediante varias cuentas de usuario. Oracle utiliza y recomienda solo la conexión SSH basada en token. Los usuarios o procesos de Oracle no utilizan la autenticación basada en contraseña.

Los siguientes tipos de usuarios se crean por defecto:

• Usuarios por defecto: sin privilegios de conexión
• Usuarios por defecto: con privilegios de conexión

Usuarios por defecto: sin privilegios de conexión

Esta lista de usuarios consta de los usuarios del sistema operativo por defecto. Estos usuarios no se deben modificar. Estos usuarios no pueden conectarse al sistema.

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

Usuarios por defecto: con privilegios de conexión

Estos usuarios con privilegios son responsables de realizar la mayoría de las tareas del sistema. Estos usuarios nunca se deben modificar ni suprimir, ya que eso tendría un impacto significativo en el sistema en ejecución. Se utilizan claves SSH para la conexión.

A continuación se muestra la lista de usuarios por defecto con privilegios de conexión.

• root es un requisito de Linux. Se utiliza con moderación para ejecutar comandos con privilegios locales. root también se utiliza para algunos procesos como el agente TFA. Ejecuta el agente local (también conocido como "agente DCS") que realiza operaciones de ciclo de vida para el software de RDBMS (aplicación de parches, creación de base de datos, etc.).
• oracle posee la instalación del software de Oracle Database y ejecuta los procesos de RDBMS.
• grid posee la instalación del software de Oracle Grid Infrastructure y ejecuta los procesos de GI.
• opc se utiliza en Oracle Cloud Automation para las tareas de automatización. El usuario tiene la capacidad de ejecutar determinados comandos con privilegios sin autenticación adicional (para soportar funciones de automatización).
• mysql es un usuario crítico y debe estar activo y en ejecución para que el agente DCS funcione correctamente, ya que es propietario del metastore del agente DCS.

root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

Configuración de Seguridad

En este tema se describen los valores de seguridad disponibles en Base Database Service. A continuación se muestran los valores de seguridad por defecto proporcionados en el sistema.

Tabla - Configuración de seguridad y valores por defecto

Configuración de Seguridad	Valor por defecto
Complejidad de la contraseña	Longitud mínima de contraseña: 15 Máximo de caracteres repetidos consecutivos de contraseña de la misma clase de caracteres: 4 Máximo de caracteres repetidos consecutivos de contraseña: 3 Mínimo de caracteres de dígitos de seguridad de contraseña: 1 Mínimo de categorías diferentes de seguridad de contraseña: 4 Mínimo de caracteres diferentes de seguridad de contraseña: 8 Mínimo de caracteres especiales de seguridad de contraseña: 1 Mínimo de caracteres en minúsculas de seguridad de contraseña: 1 Mínimo de caracteres en mayúsculas de seguridad de contraseña: 1
Configuración de cuenta de usuario	Número máximo de días que se puede utilizar una contraseña: 60 Número mínimo de días permitidos entre cambios de contraseña: 1 Algoritmo hash de cifrado: SHA512 Retraso de fallo de conexión: 4 segundos
Opciones desactivadas	Reinicio Ctrl-Alt-Supr desactivado El soporte de DCCP está desactivado El dispositivo de almacenamiento USB está desactivado El grupo de paquetes de X Windows se ha eliminado
Configuraciones de SSH	Solo se permite el protocolo SSH 2 Uso activado de separación de privilegios Intervalo de timeout de inactividad de SSH: 600 segundos Autenticación GSSAPI desactivada Compresión definida en retrasada Ningún certificado de confianza permitido para la conexión SSH en el sistema El daemon SSH no permite la autenticación mediante la autenticación de hosts conocidos
Paquetes	Eliminar todos los componentes de software después de instalar las versiones actualizadas El sistema impide la instalación de paquetes locales para software, parches, paquetes de servicios, controladores de dispositivos o componentes del sistema operativo sin verificar.
Registro	Los mensajes del sistema y del núcleo se envían al host remoto (rsyslog) Cron configurado para el registro en rsyslog Configurar AIDE para ejecución periódica
Otros	Autenticación necesaria al iniciar en los modos de mantenimiento y de usuario único Timeout de sesión interactiva: 600 segundos PAM configurado en dispositivos SSSD Servicio del sistema PAM configurado para almacenar solo representaciones cifradas de contraseñas Ubicación de certificado de CA de cliente de backend SSSD LDAP configurada Backend SSSD LDAP configurado para utilizar TLS para todas las transacciones Desactivar cuenta después de caducar la contraseña Las utilidades de administración de cuentas de grupo se configuran para almacenar solo representaciones cifradas de contraseñas

Además, por defecto, las regiones ONSR activan FIPS, SE Linux y STIG para cumplir los estándares de requisitos. Puede mejorar la seguridad del sistema activando configuraciones adicionales. El estándar de configuración (STIG) se puede definir para que siga los estándares más restrictivos y aumente la conformidad de seguridad con Oracle Linux 7 STIG de DISA. Se proporciona una herramienta como parte de la imagen para activar FIPS, SE Linux y STIG.

Para obtener más información, consulte:

• Activación de FIPS, SE Linux y STIG en los componentes del sistema de base de datos
• Herramienta de guía de implementación técnica de seguridad (STIG) para el sistema de base de datos

Procesos de seguridad

En este tema se describen los procesos de seguridad por defecto disponibles en Base Database Service. A continuación se muestra la lista de procesos que se ejecutan por defecto en la máquina virtual del usuario (sistema de base de datos), también denominada domU.

Tabla - Procesos de seguridad

Procesos	Descripción
Agente domU	Se trata de un agente en la nube para gestionar operaciones del ciclo de vida de la base de datos. Se ejecuta con el usuario root La tabla de procesos lo muestra ejecutándose como un proceso Java con los siguientes nombres jar: dcs-agent-VersionNumber-SNAPSHOT.jar dcs-admin-VersionNumber-SNAPSHOT.jar
Agente TFA	Oracle Trace File Analyzer (TFA) proporciona varias herramientas de diagnóstico en un solo paquete, lo que facilita la recopilación de información de diagnóstico sobre Oracle Database y Clusterware, que a su vez ayuda a resolver problemas al tratar con los Servicios de Soporte Oracle. Se ejecuta con el usuario root Se ejecuta como el daemon initd (/etc/init.d/init.tfa) Las tablas de procesos muestran una aplicación Java (oracle.rat.tfa.TFAMain)
Base de datos y GI (clusterware)	Se ejecuta como los usuarios oracle y grid Parte del proceso daemon de CRS/clusterware se ejecuta como el usuario root La tabla de procesos muestra las siguientes aplicaciones: ora_*, apx_*, ams_* y oracle+ASM* mysqld y zookeeper Algunas de otro proceso de /u01/<version>/grid/*

Seguridad de la red

En este tema se describe la seguridad de la red en Base Database Service. A continuación se muestra la lista de puertos, procesos y reglas iptables por defecto que se ejecutan por defecto en la máquina virtual de usuario (sistema de base de datos), también denominada domU.

Puertos para el servicio domU

En la siguiente tabla se proporciona una lista de puertos por defecto para los servicios domU.

Tabla - Matriz de puertos por defecto para servicios domU

Tipo de interfaz	Nombre de interfaz	Puerto	Proceso en ejecución
Recepción en todas las interfaces	0.0.0.0	22	SSH
		1522	RDBMS: listener TNS
		7060	Administrador de DCS
		7070	Agente DCS
		2181	Zookeeper
		8888, 8895	RAC: Servidor de Quality of Management Service (QOMS)
		9.000	RAC: Oracle Clusterware
		68	DHCP
		123	NTP
		5353	DNS de multidifusión
Interfaz de cliente	ens3	1521	RDBMS: listener TNS
		5000	RDBMS: Autonomous Health Framework (AHF) (incluye TFA)
	ens3:1	1521	RDBMS: listener TNS
	ens3:2	1521	RDBMS: listener TNS
	ens3:3	1521	RDBMS: listener TNS
Interconexión de cluster	ens4	1525	RDBMS: listener TNS
		2888	Zookeeper
		3888	Zookeeper
		6.000	RAC: comunicación entre procesos de Grid
		7.000	RAC: servicio de alta disponibilidad

Reglas de iptables para domU

Las iptables por defecto está configuradas para aceptar (ACCEPT) las conexiones en cadenas de entrada, reenvío y salida.

A continuación se muestran las reglas de iptables por defecto para los servicios domU:

• CHAIN INPUT
• CHAIN FORWARD
• CHAIN OUTPUT

Ejemplo - Reglas de iptables

En el siguiente ejemplo se proporcionan las reglas de iptables por defecto para los servicios domU.

iptables -L -n -v

Salida:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

Responsabilidades del usuario para la configuración de seguridad

En este tema se describen las responsabilidades de Oracle Cloud Operations y las responsabilidades del usuario para la configuración de seguridad en Base Database Service. En la siguiente tabla se proporciona una lista de los valores de seguridad que Oracle Cloud Operations y el usuario necesitan definir.

Table - Responsabilidades de Oracle Cloud Operations y del usuario para diversas operaciones

Operación	Oracle Cloud Platform		Instancias de usuario/inquilino
	Responsabilidad de Oracle Cloud	Responsabilidad del usuario	Responsabilidad de Oracle Cloud	Responsabilidad del usuario
DESPLIEGUE DE BASE DE DATOS	Infraestructura de software y orientación para el despliegue de Base Database Service	Administrador de red: configure la infraestructura de red en la nube (VCN y subredes, gateway, etc.). Administrador de base de datos: configure los requisitos de la base de datos (memoria, almacenamiento, cálculo, versión de base de datos, tipo de base de datos, etc.).	Instalar el sistema operativo, la base de datos y el sistema Grid Infrastructure si se han seleccionado	Administrador de base de datos: actualizar la versión de software de Oracle Database, los requisitos de la unidad de máquina virtual (CPU/memoria), y los recursos de tamaño de la configuración de almacenamiento de recuperación y almacenamiento de datos en función de las cargas de trabajo, si es necesario (actualizar/cambiar la versión de los recursos).
MONITORING	Seguridad física, infraestructura, plano de control, fallos de hardware, disponibilidad, capacidad	No se requiere nada	Disponibilidad de la infraestructura para soportar la supervisión por parte del usuario de los servicios del usuario.	Administrador de base de datos: supervisión del sistema operativo, las bases de datos, las aplicaciones y Grid Infrastructure del usuario
GESTIÓN Y RESOLUCIÓN DE INCIDENTES	Gestión y solución de incidentes Despacho de piezas de recambio y servicios de campo	No se requiere nada	Soporte para cualquier incidente relacionado con la plataforma subyacente	Administrador de base de datos: gestión y resolución de incidentes para las aplicaciones del usuario
GESTIÓN DE PARCHES	Aplicación proactiva de parches de hardware, pila de control de IaaS/PaaS	No se requiere nada	Ubicación temporal de los parches disponibles, por ejemplo, el juego de parches de Oracle Database	Administrador de base de datos: aplicación de parches en instancias del inquilino, realización de pruebas Administrador del sistema operativo: aplicación de parches del sistema operativo
COPIA DE SEGURIDAD Y RESTAURACIÓN	Copia de seguridad y recuperación del plano de control y la infraestructura, recreación de máquinas virtuales de usuario	No se requiere nada	Proporcionar máquinas virtuales en ejecución y accesibles al usuario	Administrador de base de datos: instantáneas/copia de seguridad y recuperación de datos de IaaS y PaaS del usuario mediante la capacidad nativa de Oracle o de terceros

Activación de capacidades de seguridad adicionales

Base Database Service proporciona las siguientes capacidades de seguridad adicionales:

• dbcli NetSecurity
• Integración de OCI Vault
• CLI para activar FIPS

dbcli NetSecurity

dbcli NetSecurity se ocupa del cifrado de datos que se transmiten por la red. Cuando los datos se trasladan de Oracle Database a una tercera parte o de un servidor a un cliente, se deben cifrar en el extremo del emisor y descifrar en el extremo del receptor. En NetSecurity, las reglas se configuran con valores por defecto para el cliente y el servidor durante las operaciones de aprovisionamiento y creación del directorio raíz de base de datos. La interfaz CLI dcs-agent proporciona comandos para actualizar estas reglas de NetSecurity y mejorar la seguridad para algoritmos de cifrado, algoritmos de integridad y tipos de conexión.

Por defecto, dcs-agent configura las siguientes reglas por defecto para el directorio raíz de base de datos:

• SQLNET.ENCRYPTION_SERVER=REQUIRED
• SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
• SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
• SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
• SQLNET.ENCRYPTION_CLIENT=REQUIRED
• SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
• SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
• SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

Para obtener más información sobre la actualización de la configuración, consulte Referencia de la CLI de Oracle Database.

Integración de OCI Vault

Base Database Service ahora tiene integración con el servicio OCI Vault en todas las regiones comerciales de OCI. Ahora puede crear y gestionar las claves maestras de TDE en OCI Vault que protegen sus bases de datos. Con esta función, tiene la opción de empezar a utilizar el servicio OCI Vault para almacenar y gestionar las claves de cifrado maestras. Las claves de OCI Vault que se utilizan para proteger las bases de datos se almacenan en un servicio gestionado duradero y de alta disponibilidad.

Note:

La integración de OCI Vault solo está disponible para las versiones 19.13 y posteriores de Oracle Database.

Con la integración de OCI Vault con el servicio de base de datos base, puede:

• Controlar y gestionar de forma centralizada las claves maestras de TDE activando el cifrado de claves basado en OCI Vault mientras aprovisiona instancias de Oracle Database en Base Database Service.
• Tener sus claves maestras de TDE almacenadas en un servicio gestionado, duradero y de alta disponibilidad, en el que las claves están protegidas por módulos de seguridad de hardware (HSM) que cumplen con la certificación de seguridad de nivel 3 de los estándares Federal Information Processing Standards (FIPS) 140-2.
• Rotar las claves de cifrado periódicamente para mantener la conformidad de seguridad y, en caso de cambios de personal, desactivar el acceso a una base de datos.
• Migrar de claves gestionadas por Oracle a claves gestionadas por el usuario para las bases de datos existentes.
• Traer sus propias claves, es decir, BYOK (Traiga su propia clave) y utilizarlas crear bases de datos con cifrado gestionado por el usuario.

Note:

• BYOK solo se aplica a la base de datos de contenedores (CDB). A la base de datos conectable (PDB) se le asignará una nueva versión de clave generada automáticamente.
• Las bases de datos Oracle que utilizan cifrado gestionado por el usuario soportan la clonación del sistema de base de datos, la restauración in situ, la restauración in situ, la configuración de Data Guard dentro de la región y operaciones específicas de PDB como la creación de PDB y la clonación local.

CLI para activar FIPS

Oracle proporciona una herramienta para que los usuarios comerciales mejoren la seguridad por defecto. Esta herramienta se utiliza para activar FIPS, SE Linux y STIG para seguir los estándares más rigurosos.

Para obtener más información, consulte Activación de FIPS, SE Linux y STIG en los componentes del sistema de base de datos.

---

Título e Información de Copyright

Copyright ©2022,2024,

Oracle y/o sus filiales.