Implantar Oracle Data Safe para sus bases de datos locales
Arquitectura
Hay varias opciones para establecer la conexión entre sus bases de datos y Oracle Data Safe, incluido el uso de Oracle Cloud Infrastructure FastConnect, VPN Connect o el uso del conector local de Data Safe (que se muestra aquí). En la mayoría de los casos, si no tiene FastConnect, debe utilizar el conector local. Si tiene preguntas sobre qué opción es la adecuada para usted, hable con su equipo de cuentas.
El siguiente diagrama ilustra esta arquitectura de referencia.
Descripción de la ilustración data-safe-connection-managers.png
data-safe-connection-managers-oracle.zip
La arquitectura tiene los siguientes componentes:
- arrendamiento
Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud al conectarse a Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud en su arrendamiento.
Al suscribirse a Oracle Data Safe, Oracle le crea automáticamente un arrendamiento en OCI, si es necesario.
- Región
Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e incluso continentes).
Oracle Data Safe se puede activar en la consola de OCI. Oracle Data Safe debe estar activado para cada región en la que se va a utilizar.
- Oracle Data Safe
Oracle Data Safe es un centro de control unificado para sus bases de datos de Oracle integrado en Oracle Cloud Infrastructure. Le ayuda a comprender la sensibilidad de sus datos, a evaluar los riesgos para los datos, a enmascarar datos, a implementar y supervisar controles de seguridad, a evaluar la seguridad de usuario, a supervisar la actividad de usuario y a abordar los requisitos de conformidad de seguridad de datos. Data Safe soporta Oracle Cloud Infrastructure FastConnect, VPN con IPSec y conector local para conectar su ubicación local a Oracle Cloud.
La consola de Oracle Data Safe es la interfaz de usuario principal de Oracle Data Safe. Al abrir Oracle Data Safe, aparece un panel de control que le permite supervisar la actividad del sistema. Los separadores laterales proporcionan acceso a las principales funciones. Los separadores superiores proporcionan acceso a las bases de datos de destino registradas, la biblioteca, los informes, las alertas y los trabajos. En la esquina superior derecha, puede acceder a los enlaces a la configuración de seguridad de usuario y retención de datos.
- Conector local
El conector local está instalado en un host de Linux dentro del centro de datos local y establece una conexión de seguridad de capa de transporte (TLS) entre el host de Linux y Oracle Data Safe. Una conexión TLS es una conexión TCPS que utiliza el protocolo criptográfico TLS. El conector local de Oracle Data Safe admite la versión 1.2 del protocolo TLS y establece el túnel en el puerto 443 (el puerto HTTPS estándar). El conector local puede funcionar a través de un servidor proxy HTTPS, si lo desea.
- Dominios de disponibilidad
Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como alimentación o refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, un fallo en un dominio de disponibilidad es poco probable que afecte a los otros dominios de disponibilidad de la región.
- Identity and Access Management (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) le permite controlar quién puede acceder a sus recursos en Oracle Cloud Infrastructure y las operaciones que pueden realizar en esos recursos.
Oracle Data Safe utiliza todos los servicios compartidos en OCI, incluido IAM. Puede utilizar el servicio IAM para configurar el acceso de usuario a Oracle Data Safe.
- Consola de Oracle Cloud Infrastructure
La consola de OCI es una interfaz de usuario basada en Web sencilla e intuitiva que puede utilizar para acceder a Oracle Cloud Infrastructure y gestionarlo. También puede acceder a la consola de Oracle Data Safe a través de la consola de OCI.
Recomendaciones
- VCN
Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque según el número de recursos que planea asociar a subredes de la VCN. Utilice bloques CIDR que estén dentro del espacio de direcciones IP privadas estándar.
Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.
Después de crear una VCN, puede cambiar, agregar y eliminar sus bloques de CIDR.
Al diseñar las subredes, tenga en cuenta los requisitos de flujo de tráfico y seguridad. Conecte todos los recursos de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.
- Lista de seguridad
Utilice listas de seguridad para definir reglas de entrada y salida que se aplican a toda la subred.
- Grupos de seguridad de red (NSG)
Puede utilizar NSG para definir un juego de reglas de entrada y salida que se apliquen a VNIC específicas. Recomendamos utilizar NSG en lugar de listas de seguridad, porque los NSG permiten separar la arquitectura de subred de la VCN de los requisitos de seguridad de la aplicación.
- Cloud Guard
Clone y personalice las recetas por defecto proporcionadas por Oracle para crear recetas de detector y respondedor personalizadas. Estas recetas permiten especificar qué tipo de violaciones de seguridad generan una advertencia y qué acciones se pueden realizar en ellas. Por ejemplo, puede que desee detectar bloques de Object Storage que tengan visibilidad definida como pública.
Aplique Cloud Guard en el nivel de arrendamiento para abarcar el ámbito más amplio y reducir la carga administrativa de mantener varias configuraciones.
También puede utilizar la función de lista gestionada para aplicar determinadas configuraciones a los detectores.
- Zonas de seguridad
Para los recursos que requieren máxima seguridad, Oracle recomienda utilizar zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta definida por Oracle de políticas de seguridad basadas en las mejores prácticas. Por ejemplo, los recursos de una zona de seguridad no deben ser accesibles desde el Internet público y deben cifrarse mediante claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure valida las operaciones con respecto a las políticas de la receta de zona de seguridad y deniega las operaciones que violan cualquiera de las políticas.
- HA/DR
En un entorno de producción, Oracle recomienda instalar el mismo conector local en dos hosts de Linux para una alta disponibilidad. Si uno de los hosts cae debido a un fallo del sistema o a un mantenimiento, las conexiones de Oracle Data Safe realizan un failover automáticamente al conector local que se ejecuta en el otro host y las operaciones continuas de Oracle Data Safe no se ven afectadas.
- Seguridad
Abra solo los puertos específicos para permitir la comunicación con el gestor de conexiones. Puede controlar el tráfico saliente de la máquina host a la dirección IP de Cloud Connection Manager, que recibe en el puerto 443. La dirección de un gestor de conexiones en la nube es
accesspoint.datasafe.REGIONNAME.oci.oraclecloud.com. Por ejemplo, para la región Ashburn, la dirección esaccesspoint.datasafe.us-ashburn-1.oci.oraclecloud.com. Para obtener la dirección IP de Cloud Connection Manager, utilice la consulta de DNS.
Consideraciones
Al implantar Oracle Data Safe, tenga en cuenta lo siguiente:
- FastConnect
Oracle Cloud Infrastructure FastConnect proporciona una forma sencilla de crear una conexión dedicada y privada entre el centro de datos y OCI. Oracle Cloud Infrastructure FastConnect proporciona opciones de ancho de banda superior y una experiencia de red más fiable y coherente en comparación con las conexiones basadas en Internet. Debe utilizar FastConnect si está disponible.
- Conector local
El conector local de Oracle Data Safe admite la versión 1.2 del protocolo TLS. Para utilizar el conector local, debe permitir el tráfico de salida en el puerto 443 de la red. Si lo desea, el conector local puede funcionar a través de un servidor proxy.