Selección e implantación del despliegue

Utilice los métodos que se muestran en esta sección para proteger Oracle Autonomous Database Serverless@Azure:

  1. Uso del cifrado de datos transparente y Azure Key Vault
  2. Configuración y activación de Oracle Database Vault
  3. Registro de la base de datos con Oracle Data Safe
  4. Centralizar la autenticación y autorización de usuarios mediante la integración con Entra ID
  5. Unifique la auditoría y el pipeline de base de datos para exportar datos al almacenamiento de bloques de Azure
  6. Uso de Oracle SQL Firewall para Oracle Database 23ai

Opción 1: Uso del cifrado de datos transparente y Azure Key Vault

El cifrado de datos transparente (TDE) de Oracle está configurado y activado por defecto en todas las bases de datos de Oracle Autonomous Database Serverless.

Los siguientes pasos le mostrarán cómo validar la configuración de TDE por defecto. A continuación, se mostrarán los pasos para implementar el cifrado gestionado por el cliente con Azure Key Vault para Oracle Autonomous Database Serverless.


Descripción de adbs-key-vault-arch.png a continuación
Descripción de la ilustración adbs-key-vault-arch.png

adbs-key-vault-arch-oracle.zip

Para implementar el plan presentado aquí, primero debe cumplir con los siguientes requisitos:

  • Despliegue de la instancia de Oracle Autonomous Database Serverless mediante la consola de Microsoft Azure
  • Crear el almacén de claves de Azure (estándar o premium)
  • Creación de una clave RSA de 2048 bits en Azure Key Vault
  • Crear un principal de servicio para Autonomous Database

Para utilizar el almacén de claves de TDE y Azure, realice los siguientes pasos:

  1. Asigne las políticas de acceso al almacén del principal de servicio al principal de servicio azul para la instancia de Oracle Autonomous Database Serverless:
    1. Vaya a la instancia de Azure Key Vault.
    2. Haga clic en Configuración y, a continuación, haga clic en Configuración de acceso.
    3. Haga clic en Política de acceso al almacén.
    4. Haga clic en Ir a políticas de acceso.
  2. Cree la política de acceso al almacén:
    1. Seleccione los permisos:
      • Get
      • List
      • Cifrar
      • Sign
      • Verificar
    2. Haga clic en Siguiente.
  3. Seleccione el principal de servicio que se ha creado para la instancia de Oracle Autonomous Database Serverless
    1. Continúe haciendo clic en Siguiente hasta que llegue a Revisar y crear.
    2. Haga clic en Create.
  4. Recopile los siguientes fragmentos de información que se utilizarán en Oracle Cloud Infrastructure (OCI) para configurar Oracle Autonomous Database Serverless para la gestión de claves.
    • URI de almacén
    • Nombre de Clave
  5. Desde la instancia de Azure Key Vault, copie el nombre de la clave.
  6. En OCI, vaya a su instancia de Oracle Autonomous Database Serverless.
    1. Haga clic en Más acciones.
    2. Haga clic en Gestionar clave de Cifrado.
    3. Haga clic en Cifrar utilizando una clave gestionada por la cliente.
    4. En el menú Tipo de clave, seleccione Azure.
    5. Rellene los siguientes campos con la información de Azure:
      • URI de almacén (no incluya la barra final)
      • Nombre de clave
    6. Haga clic en Guardar.
      Autonomous Database tardará un momento en actualizarse cuando vuelva a mostrar Disponible y podrá ver la clave recién asignada en Detalles de Autonomous Database.

      El historial de claves también debe mostrar que la clave gestionada por el cliente (Microsoft Azure) es ahora la clave de cifrado maestra que se utiliza para TDE.

  7. Conéctese a la base de datos como administrador y valide TDE.

    Abra el cliente de base de datos y conéctese a la base de datos recién aprovisionada. Una vez conectado, utilice CloudShell o similar para ejecutar esta consulta SQL para validar que la base de datos tiene una clave maestra de TDE y que los tablespaces se cifran mediante AES256.

    SQL> set page 900
SQL> set linesize 900
column activation_time format a40
column tag format a150
column pdb_name format a40
column tablespace_name format a30
column algorithm format a10SP2-0158: unknown SET option "page"
SQL> SQL> SQL> SQL> SQL> SQL>
SQL> select KEY_ID,ACTIVATION_TIME,KEY_USE from V$ENCRYPTION_KEYS;

KEY_ID
------------------------------------------------------------
ACTIVATION_TIME                          KEY_USE
---------------------------------------- -----------------
ATAQECQ0Q8NaSEBa0dDOQ8EPMAAAAAAAAAAAAAAAAAA== 06-MAY-25 01.41.04.516182 PM +00:00  TDE IN PDB
AVAK/QOQ6Bac3xAJEBAQDAUAAAAAAAAAAAAAAAAAAA== 06-MAY-25 01.58.34.616781 PM +00:00  TDE IN PDB

SQL> select a.name pdb_name, b.name tablespace_name, c.ENCRYPTIONALG algorithm
  2    from v$pdbs a, v$tablespace b, v$encrypted_tablespaces c
  3   where a.con_id = b.con_id
  4     and b.con_id = c.con_id
  5     and b.ts# = c.ts#;
     2    3    4    5

PDB_NAME                                 TABLESPACE_NAME                ALGORITHM
---------------------------------------- ------------------------------ ----------
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      SYSTEM                         AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      SYSAUX                         AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      UNDOTBS1                       AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      USERS                          AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      DBFS_DATA                      AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      TEMP                           AES256

6 rows selected.

SQL>

Opción 2: Configurar y activar Oracle Database Vault

Configure y active Oracle Database Vault en la instancia de Oracle Autonomous Database Serverless para proteger los datos del acceso no autorizado a cuentas con privilegios.

Debe crear algunas cuentas de base de datos adicionales para facilitar la separación de tareas de Oracle Database Vault. Después de activar Oracle Database Vault, cree un dominio de Oracle Database Vault para separar los datos confidenciales de las cuentas con privilegios altos dentro de la base de datos.

Para configurar y activar Oracle Database Vault:

  1. Cree las cuentas necesarias para la configuración de Oracle Database Vault.

    Oracle recomienda crear varias cuentas para garantizar que nunca se bloqueen los datos. La pérdida de la contraseña de estas cuentas podría hacer que sus datos sean inaccesibles.

    Conéctese a la base de datos de Oracle Autonomous Database Serverless y cree cuatro cuentas de base de datos: se asignará el rol Propietario de Database Vault a dos cuentas y se asignará el rol Gestor de cuentas de Database Vault a dos cuentas.

    Utilice el siguiente código de ejemplo para crear las cuentas en las que <user_name> es el nombre utilizado para identificar la cuenta asociada. 

    Connected to:
Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
Version 23.8.0.25.05

SQL> create user DBOWNER identified by "<user_name>";
User created.

SQL> create user DBVACCTMGR identified by "<user_name>";
User created.

SQL> create user DBOWNER_BACKUP identified by "<user_name>";
User created.

SQL> create user DBVACCTMGR_BACKUP identified by "<user_name>";
User created.

SQL> grant connect, resource to DBOWNER;
Grant succeeded.

SQL> grant connect, resource to DBOWNER_BACKUP;
Grant succeeded.

SQL> grant connect, resource to DBVACCTMGR;
Grant succeeded.

SQL> grant connect, resource to DBVACCTMGR_BACKUP;
Grant succeeded.

SQL> show con_name;

CON_NAME
------------------------------
G283BFEA6ED35C8_MULTICLOUDWEBI
NAR01

SQL> select * from dba_dv_status;

NAME                STATUS
------------------  ----------------
DV_APP_PROTECTION   NOT CONFIGURED
DV_CONFIGURE_STATUS FALSE
DV_ENABLE_STATUS    FALSE
SQL>
  2. Configure y active Oracle Database Vault.
    1. Conéctese a la base de datos como admin y ejecute el siguiente paquete para configurar Oracle Database Vault.
      SQL>
SQL> EXEC DBMS_CLOUD_MCADM.CONFIGURE_DATABASE_VAULT('DBVOWNER', 'DBVACCTMGR');
 
PL/SQL procedure successfully completed.
      Después de configurar Oracle Database Vault, actívelo. Después de activar Oracle Database Vault, las cuentas con el rol Propietario de Database Vault pueden gestionar la configuración del almacén y las cuentas con el rol Gestor de cuentas de Database Vault pueden crear y gestionar cuentas en la base de datos. Ahora puede aprovechar la separación de funciones en la base de datos.
    2. Reinicie la base de datos.
      En la página de instancia de base de datos de OCI, haga clic en Más acciones y seleccione Reiniciar.
    3. Validar que Oracle Database Vault está configurado y activado mediante el siguiente código de ejemplo.
      Connected to:
Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
Version 23.0.0.25.0

SQL> SELECT * FROM DBA_DV_STATUS;

NAME                     STATUS
------------------------ ----------------
DV_APP_PROTECTION        NOT CONFIGURED
DV_CONFIGURE_STATUS      TRUE
DV_ENABLE_STATUS         TRUE

SQL>
    4. Otorgue roles de Oracle Database Vault para realizar copias de seguridad de las cuentas:
      
SQL> grant DV_OWNER to DBOWNER_BACKUP;

Grant succeeded.

SQL> grant DV_ACCTMGR to DBVACCTMGR_BACKUP;

Grant succeeded.

SQL>
  3. Cree un dominio para separar los datos confidenciales de las cuentas con privilegios.
    1. Antes de crear el dominio, conéctese como admin y valide que la cuenta con privilegios tenga acceso a los datos confidenciales, en este caso, a los datos de recursos humanos (HR):
      SQL> show user;
USER is "ADMIN"
SQL> select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8;

EMPLOYEE_ID FIRST_NAME      LAST_NAME                 SALARY
----------- --------------- ------------------------- ----------
        100 Steven          King                         24000
        101 Neena           Yang                         17000
        102 Lex             Garcia                       17000
        103 Alexander       James                         9000
        104 Bruce           Miller                        6000
        105 David           Williams                      4800
        106 Valli           Jackson                       4800

7 rows selected.

SQL>
    2. Conéctese a Oracle Autonomous Database Serverless como usuario con el rol Propietario de Database Vault. Ejecute este bloque PL/SQL para crear un dominio denominado Protect HR Data:
      SQL> begin
  2  DVSYS.DBMS_MACADM.CREATE_REALM(
  3     realm_name => 'Protect HR Data'
  4    , description => 'This Realm will protect HR data from unauthorized privileged user access'
  5    , enabled => 'Y'
  6    , realm_type => DBMS_MACADM.MANDATORY_REALM );
  7  end;
  8  /
PL/SQL procedure successfully completed.

SQL>
    3. Agregue los objetos de base de datos que va a proteger el dominio. Ejecute este bloque PL/SQL para agregar todas las tablas del esquema HR al dominio Protect HR Data:
      SQL> begin
  DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
    realm_name => 'Protect HR Data',
    object_owner => 'HR',
    object_name => '%',
    object_type => 'TABLE');
end;
/ 
2    3    4    5    6    7    8

PL/SQL procedure successfully completed.

SQL>
    4. Ejecute este bloque PL/SQL para agregar la cuenta de esquema HR, así como un mánager de RR HH hr_debra como participantes autorizados de dominio. Esto garantizará que solo la cuenta de servicio de aplicación y el mánager de RR HH puedan acceder a los datos del esquema de RR HH. Ninguna cuenta de DBA ni ninguna otra cuenta con privilegios elevados en la base de datos podrá acceder a los datos protegidos por el dominio de Database Vault.
      SQL> begin
  DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
    realm_name => 'Protect HR Data',
    object_owner => 'HR',
    object_name => '%',
    object_type => 'TABLE');
end;
/  2    3    4    5    6    7    8

PL/SQL procedure successfully completed.

SQL>
    5. Validar que ADMIN ya no puede acceder a los datos de RR. HH.:
      SQL> 
SQL> show user;
USER is "ADMIN"
SQL> select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8;
select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8
                                                                                 *
ERROR at line 1:
ORA-01031: insufficient privileges


SQL>

Opción 3: Registro de la base de datos con Oracle Data Safe

Oracle Data Safe es un centro del control unificado para las bases de datos de la Oracle que le ayuda a comprender la sensibilidad de sus datos, evaluar riesgos para sus datos, enmascarar datos confidenciales, implantar y supervisar los controles del usuario, evaluar su seguridad, supervisar su actividad y abordar los requisitos del cumplimiento de seguridad con los datos.

En esta opción, registre la instancia de destino con Oracle Data Safe. Después de un registro correcto, revise los resultados de Evaluación de seguridad y Evaluación de usuario y configure las líneas base para cada uno.

Para registrar la base de datos con Oracle Data Safe, realice los siguientes pasos:

  1. Registre la base de datos de destino con Oracle Data Safe:
    1. En la consola de OCI, haga clic en Oracle Database y, a continuación, en Visión general en Data Safe. Haga clic en Bases de datos de destino en el panel de navegación izquierdo y haga clic en Registrar base de datos.
    2. Seleccione Oracle Autonomous Database Serverless, introduzca la información necesaria y haga clic en Registrar.
    3. Cuando el registro del destino se realiza correctamente, Oracle Data Safe inicia tanto una exploración de evaluación de seguridad como una exploración de evaluación de usuario.
  2. Revise la evaluación de seguridad:
    1. En la página Visión general de Data Safe, haga clic en Evaluación de seguridad en el panel de navegación de la izquierda. Seleccione el separador Resumen de destino y, a continuación, haga clic en el resumen de destino de la base de datos.
    2. Desplácese hacia abajo y revise cada una de las conclusiones. Si es necesario, tome medidas correctivas e inicie otro análisis. Si está satisfecho con los resultados de la exploración actual y acepta las conclusiones, haga clic en Definir como base. Todas las exploraciones futuras se comparan con la línea base y recibirá una notificación si la configuración de la base de datos se desvía de la línea base definida.
  3. Revise la evaluación de usuario:
    1. En la página Visión general de Data Safe, haga clic en Evaluación de seguridad en el panel de navegación de la izquierda. Seleccione el separador Resumen de destino y, a continuación, haga clic en el resumen de destino de la base de datos.
    2. Desplácese hacia abajo y revise cada una de las conclusiones. Si es necesario, tome medidas correctivas e inicie otro análisis. Si está satisfecho con los resultados de la exploración actual y acepta las conclusiones, haga clic en Definir como base. Todas las exploraciones futuras se compararán con la línea base y recibirá una notificación si la configuración de la base de datos se desvía de la línea base definida.

Opción 4: Centralizar la autenticación y autorización de usuarios mediante la integración con Entra ID

La gestión de usuarios y credenciales para usuarios de Oracle Database puede convertirse rápidamente en una carga administrativa difícil a medida que se multiplica el número de instancias de bases de datos.

Oracle lleva décadas creando soluciones innovadoras para mitigar este problema. Oracle Autonomous Database respeta los tokens OAuth2 emitidos por Entra ID (anteriormente Active Directory), la plataforma de identidad en la nube de Microsoft. Esta capacidad le permite gestionar usuarios y roles en una solución de identidad en la nube central, mientras que Oracle Autonomous Database utiliza esas credenciales para los controles de acceso basados en políticas.

El flujo de autenticación se muestra en el siguiente diagrama y se describe en los pasos siguientes:


Descripción de azure-authentication.png a continuación
Descripción de la ilustración azure-authentication.png

azure-authentication-oracle.zip

  1. El usuario de Azure solicita acceso a la instancia de Oracle Autonomous Database Serverless.
  2. El cliente o la aplicación de la base de datos solicitan un código de autorización de Entra ID.
  3. Entra ID autentica al usuario y devuelve el código de autorización.
  4. La aplicación o herramienta auxiliar utiliza el código de autorización con Entra ID para intercambiarlo por el token OAuth2.
  5. El cliente de base de datos envía el token de acceso OAuth2 a la base de datos Oracle. El token incluye los roles de aplicación de base de datos a los que se asignó al usuario en el registro de la aplicación Entra ID para la base de datos.
  6. La instancia de Oracle Autonomous Database Serverless utiliza la clave pública de ID de entrada para verificar que el token de acceso ha sido creado por el ID de entrada.

Para implementar el plan presentado aquí, primero debe cumplir con los siguientes requisitos:

  • Configure Oracle Autonomous Database Serverless como una aplicación empresarial de Microsoft Azure Entra ID (se hace referencia a los tutoriales en la sección Explorar más).
  • Configure el cliente de SQL Developer para una autenticación perfecta de Azure Entra ID.

Para integrar la autenticación con el ID de Microsoft Entra, realice los siguientes pasos:

  1. Configure Oracle Autonomous Database Serverless para utilizar la aplicación empresarial en el ID de Azure Entra para la autenticación.

    En el siguiente procedimiento se indica a Oracle Autonomous Database Serverless que utilice el arrendamiento de ID adicional como proveedor de identidad y, específicamente, enlaza los tokens OAuth2 emitidos por la aplicación empresarial para la autorización a la base de datos.

    1. Conéctese a la instancia de Oracle Database Actions (SQL Developer Web).
    2. En el panel de la izquierda, seleccione la conexión adecuada.
    3. Haga clic en Vistas en el menú situado encima de la barra de búsqueda.
    4. En la barra de búsqueda, introduzca el nombre de la vista, como MULTICLOUD_DEMO_AZURE_CONFIGS, para buscar rápidamente la vista y, a continuación, haga clic en el nombre de la vista.
    5. Introduzca el siguiente código SQL con el identificador de inquilino y el URI de aplicación asociados:
      BEGIN
    DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type   => 'AZURE_AD',
        params => JSON_OBJECT('tenant_id' VALUE '<tenant_id>',
                              'application_id' VALUE 'f2c359b4-c3f9-4415-a333-332340376e59',
                              'application_id_uri' VALUE '<application_id_uri>'),
        force => TRUE
    );
END;
  2. Cree una asociación de usuario:
    1. Cree un esquema de usuario en Oracle Autonomous Database Serverless y asócielo al ID de principal de usuario en Entra ID. La definición de un usuario global indica que el sujeto del token Entra ID se utiliza para afirmar la identidad del usuario de la base de datos.
      Para este caso de uso, se utiliza una asignación uno a uno de Entra ID Subject to Database. Para despliegues más grandes, un administrador puede elegir configurar asignaciones de usuario de esquema compartido en función de las afiliaciones a roles y grupos en Entra ID.
    2. Otorgue capacidades de conexión al usuario de la base de datos en la instancia de Oracle Database Actions (SQL Developer Web):
      CREATE USER <azure_user_name> IDENTIFIED GLOBALLY AS 'AZURE_USER=<azure_user_name>';

grant connect to <azure_user_name>;
  3. Conéctese a la base de datos mediante Oracle SQL Developer y el ID Entra.
    Abra Oracle SQL Developer y configure una conexión a la instancia de Oracle Autonomous Database Serverless mediante las bibliotecas JDBC más recientes que permiten la conexión interactiva con el ID de Azure Entra.
    1. En el panel Conexiones de Oracle SQL Developer, haga clic en Nueva conexión.
    2. Especifique un nombre de conexión.
    3. Seleccione SO como tipo de autenticación.
    4. Seleccione JDBC personalizado como tipo de conexión.
    5. Introduzca la URL de JDBC:
      jdbc:oracle:thin:@config=<jdbc_url>
    6. Verifique la conexión haciendo clic en Probar, que abrirá un explorador para la conexión interactiva al ID de Entra.
    7. Autenticar con el usuario que ha asignado como usuario global de base de datos.
      Al conectarse correctamente, se establece una conexión SQL abierta.
    8. Ejecute show user para devolver el usuario de esquema.
      show user;
select sys_context('USERENV', 'AUTHENTICATED_IDENTITY') from dual;
    9. Compruebe el contexto de la sesión para mostrar que el principal autenticado conserva el principal Entra ID.
      La pista de auditoría unificada la utiliza para asociar el usuario Entra ID a las transacciones realizadas por el principal autenticado.
    10. Haga clic en Guardar en la ventana de conexión de base de datos.

Opción 5: Unificar la auditoría y el pipeline de base de datos para exportar datos al almacenamiento de bloques de Azure

Tener fuertes controles de seguridad preventivos es solo la mitad de la batalla; las empresas también deben auditar y monitorear sus sistemas, incluso cuando no están bajo ataque.

La creación de una pista de auditoría de la transacción de la base de datos es una forma eficaz de garantizar que tiene trazabilidad. Oracle Autonomous Database incluye pipelines que están listos para configurar y desplegar y que pueden transferir estos logs de auditoría a su elección de almacenamiento multinube. Esta sección muestra cómo puede utilizar fácilmente el principal de servicio Entra ID existente (creado en la sección anterior) para transferir su pista de auditoría a Azure Blob Storage en un intervalo de tiempo continuo.


Descripción de adbs-pipeline-export-arch.png a continuación
Descripción de la ilustración adbs-pipeline-export-arch.png

adbs-pipeline-export-arch-oracle.zip

Para implementar el plan presentado aquí, primero debe cumplir con los siguientes requisitos:

  • Active una pista de auditoría unificada con Oracle Data Safe.
  • Cree un principal de servicio para Oracle Autonomous Database Serverless.
  • Cree una cuenta de almacenamiento de Azure.
  • Cree un contenedor privado en la cuenta de almacenamiento de Azure para los logs de auditoría de Oracle Autonomous Database Serverless.

Para utilizar y almacenar logs de auditoría, realice los siguientes pasos:

  1. Asigne el rol de contribuyente de datos de blob de almacenamiento al principal de servicio de Oracle Autonomous Database Serverless:
    1. En el portal de Azure, seleccione la cuenta de almacenamiento que ha creado anteriormente.
    2. Haga clic en Control de acceso (IAM).
    3. Haga clic en Agregar y, a continuación, haga clic en Agregar asignación de rol.
    4. Utilice la barra Buscar para buscar el contribuyente de datos de blob de almacenamiento.
    5. Haga clic en el rol Contribuyente de datos de blob de almacenamiento.
    6. Haga clic en Siguiente.
  2. Agregue el principal de servicio de Oracle Autonomous Database Serverless a la asignación de roles.
    1. En la sección Miembros, busque el principal de servicio de Oracle Autonomous Database Serverless.
    2. Asigne la afiliación.
    3. Haga clic en Revisar + Asignar.
  3. Configure los atributos de pipeline desde la ubicación de Azure Storage Container.

    Abra una hoja de trabajo de SQL y ejecute los siguientes procedimientos SQL, donde <storage_location_url> es la URL de la ubicación de almacenamiento de Azure: 

    BEGIN
DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'credential_name',
  attribute_value => 'AZURE$PA' );

DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'location',
  attribute_value => '<storage_location_url>' );

DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'interval',
  attribute_value => '15' );

END;
/
  4. Para probar el pipeline de exportación y definirlo para que se ejecute, ejecute las siguientes sentencias:
    /* THIS RUNS THE PIPELINE ONCE*/
/
BEGIN DBMS_CLOUD_PIPELINE.RUN_PIPELINE_ONCE( pipeline_name => 'ORA$AUDIT_EXPORT' );
END;
/

/* IF SUCCESSFUL - THIS WILL RESET THE PIPELINE*/
/
BEGIN DBMS_CLOUD_PIPELINE.RESET_PIPELINE( pipeline_name => 'ORA$AUDIT_EXPORT', purge_data => TRUE);
END;
/

/* THIS WILL MAKE IT ACTIVE AND RUNNING ON THE SET INTERVAL */
/
BEGIN DBMS_CLOUD_PIPELINE.START_PIPELINE( pipeline_name => 'ORA$AUDIT_EXPORT' );
END;
/
    Si el pipeline está configurado correctamente, verá un archivo en el contenedor de almacenamiento Blob de Azure que se configuró en los atributos del pipeline. Con el tiempo, creará archivos incrementales en el contenedor de almacenamiento que contengan solo los últimos registros de pista de auditoría unificados.

Opción 6: Uso de Oracle SQL Firewall para Oracle Autonomous Database Serverless 23ai

Además de las listas de seguridad de redes virtuales y los grupos de seguridad de red, Oracle Autonomous Database Serverless 23ai se suministra con Oracle SQL Firewall.

Oracle SQL Firewall es una función de defensa en profundidad que se ejecuta en el tiempo de ejecución de la base de datos y que aplica un control de acceso basado en políticas y contexto a los datos.

Para Oracle Database@Azure, las políticas de firewall de SQL pueden proporcionar una protección de última milla contra el acceso no autorizado, independientemente del punto de entrada.


Descripción de adbs-sqlfirewall-flow.png a continuación
Descripción de la ilustración adbs-sqlfirewall-flow.png

adbs-sqlfirewall-flow-oracle.zip


Descripción de adbs-sqlfirewall-arch.png a continuación
Descripción de la ilustración adbs-sqlfirewall-arch.png

adbs-sqlfirewall-arch-oracle.zip

Para implementar el plan presentado aquí, primero debe cumplir con los siguientes requisitos:

  • Registre Oracle Data Safe con la instancia de 23ai de Oracle Autonomous Database Serverless.
  • Active el firewall de SQL en Oracle Data Safe (se proporciona un enlace a las instrucciones en la sección Explorar más).

Para utilizar Oracle SQL Firewall para Oracle Autonomous Database Serverless 23ai, realice los siguientes pasos:

  1. Comience a recopilar tráfico SQL para el usuario que ha creado para la autenticación de Entra ID:
    1. En el panel de control de firewall de SQL, haga clic en Recopilaciones SQL.
    2. Especifique el usuario que desea crear la política de firewall de SQL.
    3. Haga clic en Crear e iniciar recopilación de SQL.
  2. Después de generar un poco de tráfico SQL con el usuario seleccionado, configure la política basada en las sentencias SQL capturadas:
    1. En la página de detalles de recopilación de SQL, haga clic en Parar.
    2. Haga clic en Generar política de firewall.
    3. Revise y, opcionalmente, actualice los valores de contexto de sesión SQL permitidos según lo desee.
      Por ejemplo, para una sentencia permitida, seleccione una fila, haga clic en Actualizar y, a continuación, haga clic en la X al final de la fila para eliminar la sentencia permitida. Para probar puposes, puede hacer esto para todas las declaraciones permitidas.
    4. Haga clic en Desplegar y aplicar para activar la política.
  3. Pruebe la política de firewall de SQL activada.
    Con SQL Developer (o cualquier cliente SQL), conéctese a la base de datos y autentique como el usuario Entra ID creado para la aplicación de políticas de SQL Firewall (con todas las sentencias SQL permitidas eliminadas). Después de la autenticación, el mensaje de error indica que la base de datos ha pasado correctamente por las listas de seguridad y los grupos de seguridad de red, pero la solicitud se deniega en el nivel de conexión SQL.
  4. Para ver los informes de violación, haga clic en Informes de violación en el panel de navegación izquierdo del panel de control de firewall de SQL.