1. Implemente Oracle Data Safe para sus bases de datos locales y desplegadas por OCI
  2. Implemente Oracle Data Safe para sus bases de datos locales y desplegadas por OCI

Implemente Oracle Data Safe para sus bases de datos locales y desplegadas por OCI

Esta arquitectura de referencia resalta las distintas formas de conectar bases de datos destino a Oracle Data Safe. También se describen las medidas de seguridad que debe tomar para proporcionar un despliegue seguro de una conexión a una base de datos destino específica.

Oracle Data Safe es un servicio en la nube regional y completamente integrado que se centra en la seguridad de los datos. Proporciona un juego de funciones completo e integrado de Oracle Cloud Infrastructure para proteger los datos confidenciales y regulados de las bases de datos Oracle.

Oracle Data Safe ofrece servicios de seguridad esenciales para Oracle Autonomous Database y bases de datos que se ejecutan en Oracle Cloud. Data Safe también admite bases de datos locales, Oracle Exadata Cloud@Customer y despliegues multinube. Todos los clientes de Oracle Database pueden reducir el riesgo de una infracción de datos y simplificar el cumplimiento utilizando Data Safe para evaluar la configuración y el riesgo del usuario, supervisar y auditar la actividad del usuario, y detectar, clasificar y enmascarar datos confidenciales.

Las leyes de cumplimiento, como el Reglamento General de Protección de Datos (RGPD) de la Unión Europea (UE) y la Ley de Privacidad del Consumidor de California (CCPA), exigen que las empresas salvaguarden la privacidad de sus clientes. La ejecución de una variedad de bases de datos alojadas de forma segura y eficaz requiere una forma de gestionar la seguridad de estos datos. Oracle Data Safe le ayuda a comprender la sensibilidad de los datos, evaluar riesgos para los datos, enmascarar datos confidenciales, implantar y supervisar controles de seguridad, evaluar la seguridad del usuario, supervisar la actividad del usuario y cumplir los requisitos de conformidad con la seguridad de los datos.

Después de agregar una base de datos como destino, Data Safe identifica, categoriza y prioriza los riesgos y proporciona informes de evaluación completos sobre:
  • Parámetros de Seguridad
  • Controles de seguridad en uso
  • Privilegios y roles de usuarios
Data Safe ayuda con varios requisitos de cumplimiento, como identificar dónde se encuentran los datos confidenciales, enmascarar datos confidenciales para uso no relacionado con la producción, capturar datos de auditoría de forma segura, etc.
Los estándares de conformidad de auditoría representan un juego de políticas de auditoría que ayudan a acelerar el cumplimiento de los estándares normativos. También ayudan a evaluar si se están cumpliendo los requisitos de conformidad de la base de datos. Durante la Auditoría de actividad, se pueden activar dos políticas de estándares de conformidad de auditoría:
  • Configuración del Centro para la seguridad de Internet (CIS, Center for Internet Security): disponible para la versión Oracle Database 12.2 y posteriores.
  • Guía de implementación técnica de seguridad (STIG, Security Technical Implementation Guide): disponible para Oracle Database 21c y versiones posteriores.

Arquitectura

Esta arquitectura de referencia describe la forma en que Data Safe se conecta a estas bases de datos:
  • Bases de datos desplegadas de forma local.
  • Bases de datos desplegadas en el sistema de base de datos con hardware dedicado o en el sistema de base de datos de máquina virtual de OCI.

Nota:

Esta arquitectura de referencia solo trata bases de datos con direcciones IP privadas. Configurar una base de datos con una dirección IP pública desde una perspectiva de seguridad no recomendada.

En el diagrama siguiente se ilustra la arquitectura.

A continuación se muestra la descripción de datasafe-db-connecton-arch.png
Descripción de la ilustración datasafe-db-connecton-arch.png

databaseafe-db-connecton-arch-oracle.zip

El conector local que se muestra en el diagrama anterior se puede conectar a varias bases de datos. Esto también se aplica a las opciones FastConnect o VPN Connect, ya que se trata de una conexión de capa de red.

Para los distintos despliegues de Data Safe que se describen aquí, recomendamos que despliegue una zona de llegada en su arrendamiento. Los siguientes recursos proporcionan las mejores prácticas para la seguridad y el cumplimiento, los conceptos de zona de llegada y cómo utilizar scripts de terraform para desplegar una zona de llegada en Oracle Cloud Infrastructure:
  • Marco de mejores prácticas para Oracle Cloud Infrastructure
  • Despliegue de una zona de llegada segura que cumpla con la referencia de Fundamentos de CIS para Oracle Cloud
  • Zona de llegada compatible con OCI CIS

Nota:

Consulte el tema Explorar más abajo para acceder a estos recursos.

Bases de datos desplegadas de forma local

Para conectar una base de datos destino con una dirección IP privada que reside en una ubicación local, seleccione una de estas dos opciones:
  • Conector local
  • Punto final privado
Al utilizar el conector local, no se necesita FastConnect ni VPN Connect.

Al utilizar un punto final privado, necesita una configuración de FastConnect o de VPN Connect existente entre Oracle Cloud Infrastructure y un entorno en la nube no de Oracle. A continuación, debe crear un punto final privado en la VCN de Oracle Cloud Infrastructure que tenga acceso a la base de datos.

Los siguientes recursos describen esta arquitectura y la configuración de la documentación:
  • Opciones de conectividad para bases de datos de destino
  • Puntos finales privados de Oracle Data Safe
  • Conector local de Oracle Data Safe
  • Crear punto final privado de Oracle Data Safe
  • Crear un conector local de Oracle Data Safe

Nota:

Consulte el tema Explorar más abajo para acceder a estos recursos.

Bases de datos desplegadas en sistemas de base de datos con hardware dedicado de OCI o sistemas de base de datos de máquina virtual de OCI

Para conectar una base de datos destino con una dirección IP privada que reside en un sistema de base de datos con hardware dedicado de OCI o un sistema de base de datos de máquina virtual de OCI, seleccione una de estas dos opciones:
  • Conector local
  • Punto final privado

Puede utilizar esta solución en situaciones en las que necesite una base de datos específica; por ejemplo, un despliegue de OCI Oracle EBS o un despliegue de Oracle EBS FORM. Puede conectarse a dicha base de datos mediante un conector o una conexión FastConnect o VPN con un punto final privado.

Los siguientes recursos describen esta arquitectura y la configuración de la documentación:
  • Opciones de conectividad para bases de datos de destino
  • Puntos finales privados de Oracle Data Safe
  • Crear punto final privado de Oracle Data Safe
  • Modelo de servicio multinube

Nota:

Consulte el tema Explorar más abajo para acceder a estos recursos.
Esta arquitectura contiene los siguientes componentes:
  • Arrendamiento

    Oracle Autonomous Transaction Processing es un servicio de base de datos con gestión propia, seguro y autorreparación que se ha optimizado para las cargas de trabajo de procesamiento de transacciones. No necesita configurar ni gestionar ningún hardware, ni instalar ningún software. Oracle Cloud Infrastructure gestiona la creación de la base de datos, así como la realización de copias de seguridad, la aplicación de parches, la actualización y el ajuste de la base de datos.

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y grandes distancias pueden separarlas (entre países e incluso continentes).

  • Compartimento

    Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar..

  • Dominios de disponibilidad

    Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten una infraestructura como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de este tipo en la región.

  • Dominios de errores

    Un dominio de errores es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores, con hardware y energía independientes. Al distribuir recursos entre varios dominios de errores, las aplicaciones pueden tolerar fallos físicos del servidor, mantenimiento del sistema y fallos de alimentación dentro de un dominio de errores.

  • Red virtual en la nube (VCN) y subredes

    Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de centros de datos tradicionales, las VCN le proporcionan un control total de su entorno de red. Una VCN puede tener varios bloques CIDR que no se superpongan y que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, cuyo ámbito puede ser una región o un dominio de disponibilidad. Cada subred está formada por un rango de direcciones contiguas que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • equilibrador de carga

    Oracle Cloud Infrastructure Load Balancing Service proporciona una distribución automatizada del tráfico desde un único punto de entrada a varios servidores en el backend. El equilibrador de carga proporciona acceso a distintas aplicaciones.

  • Gateway de servicios

    El gateway de servicios proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico desde la VCN al servicio Oracle pasa por el tejido de red de Oracle y no internet.

  • Cloud Guard

    Puede utilizar Oracle Cloud Guard para controlar y mantener la seguridad de sus recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de deficiencias de seguridad y para supervisar a operadores y usuarios en busca de actividades de riesgo. Cuando se detecta cualquier configuración incorrecta o actividad no segura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que puede configurar.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect proporciona un método sencillo para crear una conexión dedicada y privada entre el centro de datos y Oracle Cloud Infrastructure. FastConnect proporciona opciones de mayor ancho de banda y una experiencia de red más fiable en comparación con las conexiones basadas en Internet.

  • Base de datos autónoma

    Las bases de datos autónomas de Oracle Cloud Infrastructure son entornos de base de datos totalmente gestionados y preconfigurados que se pueden utilizar para el procesamiento de transacciones y las cargas de trabajo de almacenamiento de datos. No necesita configurar ni gestionar ningún hardware, ni instalar ningún software. Oracle Cloud Infrastructure gestiona la creación de la base de datos, así como la realización de copias de seguridad, la aplicación de parches, la actualización y el ajuste de la base de datos.

  • Autonomous Transaction Processing

    Oracle Autonomous Transaction Processing es un servicio de base de datos con gestión propia, seguro y autorreparación que se ha optimizado para las cargas de trabajo de procesamiento de transacciones. No necesita configurar ni gestionar ningún hardware, ni instalar ningún software. Oracle Cloud Infrastructure gestiona la creación de la base de datos, así como la realización de copias de seguridad, la aplicación de parches, la actualización y el ajuste de la base de datos.

  • Sistema de base de datos Exadata

    Exadata Cloud Service permite aprovechar la potencia de Exadata en la nube. Puede aprovisionar sistemas X8M flexibles que le permitan agregar servidores de recursos informáticos y servidores de almacenamiento de base de datos al sistema a medida que aumenten sus necesidades. Los sistemas X8M ofrecen redes RoCE (RDMA en Ethernet convergente) para módulos de memoria persistente (PMEM) de gran ancho de banda y baja latencia, y software Exadata inteligente. Puede aprovisionar sistemas X8M o X9M mediante una unidad que sea equivalente a un sistema X8 de cuarto de rack y, a continuación, agregar servidores de base de datos y almacenamiento en cualquier momento después del aprovisionamiento.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida al implantar Oracle Data Safe para sus bases de datos locales y desplegadas por OCI. Sus requisitos pueden diferir de la arquitectura que se describe aquí.
  • VCN

    Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a las subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.

    Seleccione bloques CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) en la que desee configurar conexiones privadas.

    Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

    Al diseñar las subredes, tenga en cuenta el flujo de tráfico y los requisitos de seguridad. Asocie todos los recursos de un rol o nivel específico a la misma subred, que puede servir como límite de seguridad.

    Utilice subredes regionales.

  • Seguridad

    Utilice Oracle Cloud Guard para supervisar y mantener la seguridad de sus recursos en Oracle Cloud Infrastructure de forma proactiva. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de deficiencias de seguridad y para supervisar a operadores y usuarios en busca de actividades de riesgo. Cuando se detecta cualquier configuración incorrecta o actividad insegura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que puede definir.

    Para los recursos que requieren la máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta de políticas de seguridad definidas por Oracle que se basan en las mejores prácticas. Por ejemplo, los recursos de una zona de seguridad no deben ser accesibles desde Internet público y se deben cifrar con claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure valida las operaciones con respecto a las políticas de la receta de zona de seguridad y deniega las operaciones que violan cualquiera de las políticas.

  • Cloud Guard

    Clone y personalice las recetas por defecto proporcionadas por Oracle para crear recetas personalizadas de detector y responsable de respuesta. Estas recetas permiten especificar qué tipo de violaciones de seguridad generan una advertencia y qué acciones se pueden realizar en ellas. Por ejemplo, puede que desee detectar bloques de almacenamiento de objetos con visibilidad definida como pública.

    Aplique Cloud Guard en el nivel de arrendamiento para abarcar el ámbito más amplio y reducir la carga administrativa de mantener varias configuraciones.

    También puede utilizar la función de lista gestionada para aplicar determinadas configuraciones a los detectores.

  • Grupos de seguridad de red (NSG)

    Puede utilizar los NSG para definir un conjunto de reglas de entrada y salida que se aplican a VNIC específicas. Recomendamos utilizar NSG en lugar de listas de seguridad, ya que los NSG permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de su aplicación.

  • ancho de banda de equilibrador de carga

    Al crear el equilibrador de carga, puede seleccionar una unidad predefinida que proporcione un ancho de banda fijo o especificar una unidad personalizada (flexible) en la que definir un rango de ancho de banda y permitir que el servicio escale el ancho de banda automáticamente en función de los patrones de tráfico. Con cualquiera de los enfoques, puede cambiar la unidad en cualquier momento después de crear el equilibrador de carga.

Explorar más

Obtén más información sobre la implantación de Oracle Data Safe para tus bases de datos locales y desplegadas por OCI.

Revise estos recursos adicionales:

Confirmaciones

Autor: Jacco Steur