Protección de las bases de datos

Asegúrese de que los servidores de base de datos, el acceso de red a ellos y los datos reales sean seguros.

Control de acceso de usuario y red

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Utilice contraseñas, subredes privadas y grupos de seguridad de red para controlar el acceso de usuario y de red.

• Asegúrese de que las contraseñas utilizadas para autenticarse en la base de datos son seguras.
• Asocie los sistemas de base de datos a subredes privadas.

  Una subred privada no tiene conectividad a Internet. Puede utilizar un gateway de NAT para el tráfico de salida seguro y un gateway de servicio para conectarse a puntos finales de copia de seguridad (almacenamiento de objetos).

• Utilice grupos de seguridad de red o listas de seguridad para permitir solo el acceso de red necesario a los sistemas de base de datos.

Restricción de permisos para suprimir recursos de base de datos

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Para evitar la supresión involuntaria o maliciosa de bases de datos, otorgue los permisos de supresión (DATABASE_DELETE y DB_SYSTEM_DELETE) a un juego mínimo de usuarios y grupos.

Las siguientes sentencias de política de IAM permiten a los usuarios de base de datos gestionar bases de datos, sistemas de base de datos y directorios raíz de base de datos. Sin embargo, la condición where request.permission!='DB_SYSTEM_DELETE' garantiza que los usuarios de la base de datos no puedan suprimir bases de datos.

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

Cifrar Datos

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Todas las bases de datos creadas en Oracle Cloud Infrastructure se cifran utilizando el cifrado de datos transparente (TDE). Asegúrese de que las bases de datos migradas también estén cifradas.

Rotar periódicamente la clave maestra de TDE. El período de rotación recomendado es de 90 días o menos.

Protección y gestión de claves

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Utilice el cifrado de datos transparente (TDE) para proteger y gestionar claves.

TDE es una función de Oracle Database que se utiliza para cifrar datos confidenciales. Para configuraciones más complejas y para organizaciones más grandes, se necesita una gestión de claves centralizada, ya que la gestión de claves de cifrado en diferentes bases de datos, aplicaciones y servidores puede ser una tarea compleja. Una gestión de claves centralizada simplifica esto al proporcionar una plataforma unificada donde todas las claves criptográficas, carteras de Oracle, almacenes de claves de Java y otros secretos se pueden almacenar y gestionar de forma segura. Esta centralización reduce la sobrecarga administrativa, mejora la estrategia de seguridad y garantiza prácticas de gestión de claves coherentes en toda la empresa.

Aplicar Parches de Seguridad

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Aplique parches de seguridad de Oracle Database (Actualizaciones de parches críticos de Oracle) para mitigar los problemas conocidos de seguridad y mantener los parches actualizados.

Utilizar herramientas de seguridad de BD

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

La herramienta de evaluación de seguridad de Oracle Database proporciona comprobaciones automáticas de la configuración de seguridad de las bases de datos de Oracle en Oracle Cloud Infrastructure. Oracle Audit Vault and Database Firewall (AVDF) supervisa los logs de auditoría de bases de datos y crea alertas.

Activar Data Safe

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Data Safe es un centro de control unificado para bases de datos en la nube y locales de Oracle. Utilice Data Safe para evaluar la configuración de seguridad de datos y bases de datos, detectar el riesgo asociado para las cuentas de usuario, identificar los datos confidenciales existentes, implantar controles para proteger los datos y auditar la actividad del usuario.

• Amplíe la política de retención de auditoría de Data Safe a un año.
• Enmascarar los datos identificados como confidenciales por la detección de datos.
• Utilice Evaluación de seguridad para identificar los controles de seguridad recomendados por Center for Internet Security (CIS), General Data Protection Regulation (GDPR) y la biblioteca del Departamento de Defensa de Security Technical Implementation Guides (STIG).
• Configure alertas para eventos clave en Auditoría de actividad de Data Safe.

Activar puntos finales privados para bases de datos autónomas

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Cuando sea posible, utilice puntos finales privados con Oracle Autonomous Database.

Un punto final privado se utiliza para eliminar el acceso público a las bases de datos autónomas compartidas. Todo el tráfico de la base de datos permanece privado mediante una VCN en Oracle Cloud Infrastructure sin necesidad de enrutamiento en tránsito ni de uso de un gateway de servicio.

• Utilice una subred privada dedicada al definir puntos finales privados.
• Para el grupo de seguridad de red de punto final privado, defina una regla de entrada sin estado con el protocolo TCP y el puerto de destino iguales al puerto del listener de base de datos. Restrinja la etiqueta CIDR de origen solo a subredes o, para gateways de enrutamiento dinámico (DRG) locales, con acceso permitido.
• Para el grupo de seguridad de red de punto final privado, defina una regla de salida sin estado con TCP de protocolo. Restrinja el CIDR de destino solo a subredes o, para entornos locales, DRG con acceso permitido.

Implantar la arquitectura de máxima seguridad de Oracle Database

La arquitectura de máxima seguridad de Oracle proporciona un marco sólido para proteger los datos confidenciales en las bases de datos. Ofrece un enfoque integral de la seguridad de las bases de datos, centrándose en tres áreas críticas: evaluar, detectar y prevenir. Al evaluar el estado actual de la base de datos, las organizaciones pueden identificar vulnerabilidades y debilidades que podrían ser explotadas por los atacantes. Esto implica evaluar la configuración de la base de datos, los controles de acceso de usuario y las medidas de protección de datos.

Detectar intentos de acceso inapropiados o no autorizados es la siguiente capa crucial de defensa. Las capacidades avanzadas de auditoría de Oracle permiten a las organizaciones supervisar las actividades de la base de datos, identificar comportamientos sospechosos y responder rápidamente a posibles amenazas. Mediante la configuración de alertas y la supervisión de eventos clave de la base de datos, los administradores pueden detectar y mitigar los ataques antes de que causen daños significativos. Evitar el acceso no autorizado a los datos es la fortaleza final de la arquitectura de seguridad de Oracle. Esto incluye la implementación de mecanismos de autenticación fuertes, listas de control de acceso y técnicas de cifrado. Mediante la segregación de tareas, el uso de principios de privilegio mínimo y el empleo de bases de datos privadas virtuales, las organizaciones pueden garantizar que solo los usuarios autorizados puedan acceder a datos confidenciales, evitando así modificaciones o divulgaciones no autorizadas.

Más información

• Mejores prácticas de seguridad
• Oracle Data Safe
• Autonomous Database con punto final privado
• Protección de bases de datos
• Directrices para la protección de contraseñas
• Gestión de claves
• Almacén de claves
• Aplicación de parches en un sistema de base de datos
• Actualizaciones de parches críticos
• Herramienta de evaluación de Oracle Database Security
• Introducción a la arquitectura de máxima seguridad de Oracle
• Despliegue de Oracle Audit Vault and Database Firewall en Oracle Cloud Infrastructure