Protección de OCI GoldenGate

Oracle Cloud Infrastructure GoldenGate proporciona una solución de replicación de datos segura y fácil de usar de acuerdo con las mejores prácticas de seguridad líderes del sector.

Responsabilidades

Para utilizar OCI GoldenGate de forma segura, debe conocer sus responsabilidades en cuanto a seguridad y conformidad.

En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.

Oracle es responsable de los siguientes requisitos de seguridad:

  • Seguridad física: Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios que Oracle Cloud Infrastructure ofrece. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.
  • Cifrado y confidencialidad: las claves de cifrado y los secretos se almacenan en carteras y almacenes para proteger los datos y conectarse a recursos seguros.
  • Tráfico de red: el acceso cifrado a la consola GoldenGate de despliegue de OCI se activa solo a través de SSL en el puerto 443. Por defecto, el acceso a la consola de despliegue de OCI GoldenGate solo está disponible desde un punto final privado de OCI desde la red privada del cliente. Se pueden configurar puntos finales públicos permitiendo el acceso público cifrado a la consola de despliegue de GoldenGate a través de SSL en el puerto 443.

Sus responsabilidades de seguridad incluyen lo siguiente:

  • Control de Acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.
  • Gestión de cuentas de la consola de despliegue de OCI GoldenGate: el acceso a la consola GoldenGate de despliegue de OCI se gestiona directamente en la consola Oracle Cloud. Las cuentas y los permisos se gestionan directamente en la consola de despliegue de OCI GoldenGate. Obtenga más información sobre los usuarios del despliegue.
  • Tráfico de red: las conexiones especifican la conectividad de red a las fuentes y destinos. Al crear una conexión, puede configurar los parámetros de SSL para garantizar que la conexión sea segura y esté cifrada. Obtenga más información sobre las conexiones.
  • Cifrado de la red: por defecto, toda la conectividad de la red a OCI GoldenGate se cifra mediante SSL con certificados proporcionados por la Oracle. Asegúrese de que todos los certificados o claves de cifrado que proporcione estén actualizados y sean válidos.
  • Auditoría de eventos de seguridad: la consola de despliegue de OCI GoldenGate registra eventos de seguridad. Puede acceder y revisar este log desde la copia de seguridad del despliegue de OCI GoldenGate. Asegúrese de supervisar este log regularmente. Obtenga más información sobre las copias de seguridad de despliegue.
  • Aplicación de parches: Asegúrese de que los despliegues de OCI GoldenGate estén actualizados. Las actualizaciones se publican mensualmente y debe cambiar de versión al nivel de parche más reciente del despliegue lo antes posible para evitar vulnerabilidades. Obtenga más información sobre la aplicación, de parches en despliegues.
  • Auditoría de acceso remoto a través de Load Balancer o Bastion: asegúrese de la auditoría de cualquier acceso remoto que no esté directamente en OCI GoldenGate esté activada y configurada correctamente. Más información.

Recomendaciones

  • Cree usuarios adicionales de la consola de despliegue de OCI GoldenGate con roles que no sean de Seguridad.
  • Asigne el acceso de privilegio mínimo necesario para los usuarios y grupos de IAM a los tipos de recursos en goldengate-family.
  • Para minimizar la pérdida de datos debida a supresiones involuntarias por parte de un usuario no autorizado o a supresiones maliciosas, Oracle recomienda asignar los permisos GOLDENGATE_DEPLOYMENT_DELETE y GOLDENGATE_CONNECTION_DELETE al conjunto mínimo posible de usuarios y grupos de IAM. Otorgue estos permisos solo a los administradores de arrendamiento y compartimento.
  • OCI GoldenGate solo necesita acceso de nivel USE para capturar datos de conexiones.

Ejemplos

Evitar la supresión de despliegues

Cree esta política para permitir que el grupo ggs-users realice todas las acciones en despliegues, excepto suprimirlos:

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Consulte Políticas de Oracle Cloud Infrastructure GoldenGate para obtener más información sobre la creación de políticas.