Guide de sécurité pour le service de base de données de base
Aperçu de la sécurité
Cette rubrique présente un aperçu de la sécurité du service de base de données de base. Oracle gère la sécurité de la plupart des composants, tandis que les utilisateurs sont responsables de la sécurité de certains composants.
Les composants des services en nuage sont classés en services accessibles par l'utilisateur et en infrastructure gérée par Oracle. Le service accessible par l'utilisateur désigne les composants auxquels les utilisateurs peuvent accéder dans le cadre de leur abonnement au service de base de données de base. Il s'agit de machines virtuelles et de services de base de données communément appelés systèmes de base de données et bases de données respectivement. L'infrastructure gérée par Oracle désigne le matériel qu'Oracle détient et exploite pour prendre en charge les services accessibles aux utilisateurs. Elle se compose de formes de calcul de base de données AMD ou Intel.
Oracle gérera la sécurité et l'accès aux composants d'infrastructure gérés par Oracle. Les utilisateurs gèrent la sécurité et l'accès aux services accessibles par les utilisateurs qui incluent l'accès au système de base de données et aux services de base de données, l'accès réseau au système de base de données, l'authentification pour accéder au système de base de données et l'authentification pour accéder aux bases de données exécutées sur les systèmes de base de données. Le personnel d'Oracle n'est pas autorisé à accéder aux services accessibles par l'utilisateur.
Les utilisateurs accèdent aux bases de données Oracle exécutées sur des systèmes de base de données au moyen d'une connexion de couche 2 (marquée VLAN) depuis leur équipement à l'aide de méthodes de connexion Oracle Database standard, telles qu'Oracle Net sur le port 1521. Les utilisateurs peuvent utiliser les méthodes Oracle Linux standard pour se connecter au système de base de données exécutant les bases de données Oracle, telles que SSH basée sur un jeton sur le port 22.
Le service de base de données de base utilise plusieurs contrôles de sécurité indépendants et synergiques pour aider les organisations à créer un environnement d'exploitation sécurisé pour leurs charges de travail et leurs données. Le service de base de données de base fournit les contrôles de sécurité suivants :
Défense en profondeur pour sécuriser l'environnement d'exploitation
Le service de base de données de base offre plusieurs contrôles pour assurer la confidentialité, l'intégrité et la responsabilisation dans l'ensemble du service. Le service de base de données de base applique le principe de défense en profondeur comme suit :
- Les machines virtuelles pour les systèmes de base de données sont créées à partir de l'image renforcée du système d'exploitation basée sur Oracle Linux 7. L'environnement d'exploitation de base est sécurisé, car l'image d'installation se limite aux seuls ensembles logiciels requis, les services inutiles sont désactivés et des paramètres de configuration sécurisés sont mis en oeuvre dans tout le système.
- En plus d'hériter de toute la puissance de la plate-forme mature Oracle Linux, d'autres choix de configuration par défaut sécurisés sont implémentés dans les instances de service. Par exemple, tous les espaces-table de base de données nécessitent un chiffrement transparent des données (TDE), une application rigoureuse des mots de passe pour les utilisateurs et les superutilisateurs initiaux de la base de données et une amélioration des règles de vérification et d'événement.
- Le service de base de données de base constitue également un déploiement et un service complets et est soumis à des vérifications externes de normes telles que PCI, HIPPA et ISO27001. Ces exigences de vérification externe imposent des fonctions de service à valeur ajoutée supplémentaires telles que le balayage antivirus, l'alerte automatisée pour les modifications inattendues du système et les balayages de vulnérabilités pour tous les systèmes d'infrastructure gérés par Oracle dans le parc.
Moindre privilège pour les services et les utilisateurs
Les normes de programmation sécurisée d'Oracle (Oracle Secure Coding Standards) exigent le paradigme du moindre privilège. S'assurer que les applications, les services et les utilisateurs ont accès aux fonctions dont ils ont besoin pour exécuter leurs tâches n'est qu'un aspect du principe du moindre privilège. Il est tout aussi important de s'assurer que l'accès aux fonctions, services et interfaces inutiles est limité. Le service de base de données de base applique le principe du moindre privilège comme suit :
- Chaque processus et démon doit être exécuté en tant qu'utilisateur normal sans privilège, sauf si l'utilisateur peut prouver qu'il a besoin d'un niveau de privilège plus élevé. Cela permet de limiter les problèmes ou les vulnérabilités imprévus à l'espace des utilisateurs sans privilège et de ne pas compromettre un système entier.
- Ce principe s'applique également aux membres de l'équipe des opérations Oracle qui utilisent des comptes nommés individuels pour accéder à l'infrastructure pour la maintenance et le dépannage. Ce n'est qu'en cas de nécessité qu'ils utiliseront l'accès vérifié à des niveaux de privilège plus élevés pour résoudre un problème. La plupart des problèmes étant résolus par l'automatisation, nous utilisons également le principe du moindre privilège en n'autorisant pas les opérateurs humains à accéder à un système, sauf si l'automatisation est incapable de résoudre le problème.
Vérification et responsabilisation des événements et des actions
Un système doit être en mesure de reconnaître et d'aviser les utilisateurs des incidents lorsqu'ils surviennent. De même, lorsqu'un incident ne peut pas être évité, une organisation doit être en mesure d'identifier son occurrence afin de prendre les mesures appropriées. Le service de base de données de base encourage la vérification et la responsabilisation de la façon suivante :
- La vérification et la responsabilisation font en sorte qu'Oracle et les utilisateurs connaissent l'activité effectuée sur le système et sa durée. Ces détails nous permettent non seulement de rester en conformité avec les exigences en matière de rapports pour les vérifications externes, mais ils peuvent également aider à identifier l'activité qui a mené à un comportement inattendu.
- Toutes les composantes de l'infrastructure disposent de capacités de vérification pour s'assurer que toutes les actions sont prises en compte. Les utilisateurs peuvent également configurer la vérification pour leur configuration de base de données et de domaine d'utilisateur (domU) et choisir de les intégrer à d'autres systèmes de vérification d'entreprise.
- Oracle n'accède pas à l'utilisateur domU.
Automatisation des opérations en nuage
En éliminant les opérations manuelles requises pour effectuer le provisionnement, l'application de correctifs, la maintenance, le dépannage et la configuration des systèmes, la probabilité d'erreur est réduite et une configuration sécurisée est assurée.
Le service de base de données de base est conçu pour être sécurisé en automatisant toutes les opérations de provisionnement, de configuration et la majorité des autres tâches opérationnelles. Grâce à l'automatisation, il est possible d'éviter les configurations manquées et de s'assurer que tous les chemins nécessaires dans le système sont correctement configurés.
Fonctions de sécurité
Cette rubrique décrit les fonctions de sécurité disponibles dans le service de base de données de base.
Le service de base de données de base offre les fonctions de sécurité suivantes :
Image de système d'exploitation renforcée
- Installation de programmes minimaux : Seuls les programmes nécessaires au fonctionnement d'un système efficace sont installés. Grâce à l'installation d'un ensemble plus restreint de programmes, la surface d'attaque du système d'exploitation est réduite et le système reste plus sûr.
- Sécuriser la configuration : De nombreux paramètres de configuration non par défaut sont définis lors de l'installation afin de renforcer la sécurité du système et de son contenu. Par exemple, SSH est configuré pour n'écouter que sur certaines interfaces réseau, sendmail est configuré pour n'accepter que les connexions à l'hôte local, et de nombreuses autres restrictions similaires sont mises en place lors de l'installation.
- Exécuter uniquement les services nécessaires : Tous les services qui peuvent être installés sur le système, mais qui ne sont pas requis pour un fonctionnement normal, sont désactivés par défaut. Par exemple, alors que NFS est un service souvent configuré par les utilisateurs à diverses fins d'application, il est désactivé par défaut car il n'est pas nécessaire pour les opérations normales de base de données. Les utilisateurs peuvent choisir de configurer les services en fonction de leurs besoins.
Surface d'attaque minimisée
Dans le cadre de l'image renforcée, la surface d'attaque est réduite par l'installation et l'exécution des seuls logiciels nécessaires à la fourniture du service.
Fonctions de sécurité supplémentaires activées
- Le service de base de données de base est conçu pour être sécurisé par défaut et fournit une pile de sécurité complète, du contrôle de pare-feu de réseau aux politiques de sécurité de contrôle d'accès.
- FIPS, SE Linux et STIG peuvent également être activés pour améliorer la sécurité des systèmes à l'aide de l'interface de ligne de commande
dbcli secure-dbsystem
. - L'outil STIG est fourni pour améliorer la conformité avec la norme STIG Oracle Linux 7 de DISA sur chaque noeud de système dans les systèmes provisionnés.
Méthodes d'accès sécurisé
- Accès aux serveurs de bases de données par SSH à l'aide de codes de chiffrement forts. Les chiffrements faibles sont désactivés par défaut.
- Accès aux bases de données au moyen de connexions Oracle Net chiffrées. Par défaut, nos services sont disponibles à l'aide de canaux chiffrés et un client Oracle Net configuré par défaut utilisera des sessions chiffrées.
Vérification et journalisation
Par défaut, la vérification et la journalisation n'ajoutent pas de configuration supplémentaire aux déploiements commerciaux par rapport à ce que fournit le système d'exploitation, mais il est possible d'améliorer cette configuration en ajoutant des paramètres de sécurité supplémentaires en activant STIG.
Sécurité des utilisateurs
Cette rubrique décrit la sécurité utilisateur disponible dans le service de base de données de base. Les composants du service de base de données de base sont gérés régulièrement par plusieurs comptes d'utilisateur. Oracle utilise et recommande une connexion SSH par jeton uniquement. Les utilisateurs ou processus Oracle n'utilisent pas l'authentification par mot de passe.
Les types d'utilisateur suivants sont créés par défaut :
Utilisateurs par défaut : Aucun privilège de connexion
Cette liste d'utilisateurs comprend les utilisateurs du système d'exploitation par défaut. Ces utilisateurs ne doivent pas être modifiés. Ces utilisateurs ne peuvent pas se connecter au système.
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
Utilisateurs par défaut : Avec privilèges de connexion
Ces utilisateurs dotés de privilèges sont responsables de l'exécution de la plupart des tâches du système. Ces utilisateurs ne devraient jamais être modifiés ou supprimés car cela aurait une incidence significative sur le système en cours d'exécution. Les clés SSH sont utilisées pour la connexion.
Voici la liste des utilisateurs par défaut disposant de privilèges de connexion.
root
est une exigence Linux. Il est utilisé avec parcimonie pour exécuter des commandes avec privilèges locales. Le paramètre root est également utilisé pour certains processus tels que l'agent TFA. Il exécute l'agent local (appelé "agent DCS") qui effectue des opérations de cycle de vie pour le logiciel du SGBDR (application de correctifs, création de base de données, etc.)oracle
détient l'installation du logiciel Oracle Database et exécute les processus du SGBDR.grid
est responsable de l'installation du logiciel Oracle Grid Infrastructure et exécute les processus GI.opc
est utilisé par l'automatisation Oracle Cloud pour les tâches d'automatisation. L'utilisateur peut exécuter certaines commandes avec privilèges sans autre authentification (pour prendre en charge les fonctions d'automatisation).mysql
est un utilisateur critique. Il doit être opérationnel pour assurer le bon fonctionnement de l'agent DCS, car il est responsable du magasin de métadonnées de l'agent DCS.
root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash
Paramètres de sécurité
Cette rubrique décrit les paramètres de sécurité disponibles dans le service de base de données de base. Les paramètres de sécurité par défaut fournis dans le système sont les suivants :
Tableau - : Paramètres de sécurité et valeurs par défaut
Paramètres de sécurité | Valeurs par défaut |
---|---|
Complexité du mot de passe |
|
Configuration du compte d'utilisateur |
|
Options désactivées |
|
Configurations SSH |
|
Ensembles |
|
Journalisation |
|
Les autres |
|
De plus, par défaut, les régions ONSR permettent à FIPS, SE Linux et STIG de se conformer aux normes requises. Vous pouvez améliorer la sécurité du système en activant des configurations supplémentaires. La norme de configuration (STIG) peut être définie pour respecter les normes les plus restrictives et améliorer la conformité en matière de sécurité avec la norme STIG Oracle Linux 7 de DISA. Un outil est fourni dans le cadre de l'image pour activer FIPS, SE Linux et STIG.
Processus de sécurité
Cette rubrique décrit les processus de sécurité par défaut disponibles dans le service de base de données de base. Voici la liste des processus exécutés par défaut sur la machine virtuelle utilisateur (système de base de données) également appelée domU.
Tableau - : Processus de sécurité
Processus | Description |
---|---|
Agent domU |
Agent Oracle Cloud pour gérer les opérations du cycle de vie de la base de données.
|
Agent TFA |
Oracle Trace File Analyzer (TFA) fournit plusieurs outils de diagnostic dans un seul ensemble, ce qui facilite la collecte d'informations de diagnostic sur Oracle Database et Oracle Clusterware, et aide à la résolution des problèmes lors de la communication avec Oracle Support.
|
Base de données et GI (clusterware) |
|
Sécurité du réseau
Cette rubrique décrit la sécurité de réseau dans le service de base de données de base. Voici la liste des ports, processus et règles iptables par défaut qui sont exécutés par défaut sur la machine virtuelle utilisateur (système de base de données), également appelée domU.
Ports pour le service domU
Le tableau suivant fournit une liste des ports par défaut pour les services domU.
Tableau - : Matrice de port par défaut pour les services domU
Type d'interface | Nom de l'interface | Port | Processus en cours d'exécution |
---|---|---|---|
Écoute sur toutes les interfaces | 0.0.0.0 | 22 | SSH |
1522 | SGBDR : Module d'écoute TNS | ||
7060 | Administrateur DCS | ||
7070 | Agent DCS | ||
(2181) | Zookeeper | ||
8888, 8895 | RAC : Serveur QOMS | ||
(9000) | RAC : Oracle Clusterware | ||
68 | DHCP | ||
123 | PNB | ||
(5353) | DNS multidiffusion | ||
Interface client | ens3 | 1521 | SGBDR : Module d'écoute TNS |
5000 | SGBDR : Autonomous Health Framework (AHF) (comprend TFA) | ||
ens3:1 | 1521 | SGBDR : Module d'écoute TNS | |
ens3:2 | 1521 | SGBDR : Module d'écoute TNS | |
ens3:3 | 1521 | SGBDR : Module d'écoute TNS | |
Interconnexion de grappe | ens4 | 1525 | SGBDR : Module d'écoute TNS |
(2888) | Zookeeper | ||
(3888) | Zookeeper | ||
6,000 | RAC : Communication interprocessus Oracle Grid Infrastructure | ||
7,000 | RAC : Service à haute disponibilité |
Règles iptables pour domU
Les règles iptables par défaut sont configurées pour les connexions ACCEPT
sur les chaînes d'entrée, de transmission et de sortie.
Voici les règles iptables par défaut pour les services domU :
CHAIN INPUT
CHAIN FORWARD
CHAIN OUTPUT
Exemple - : Règles iptables
L'exemple suivant fournit les règles iptables par défaut pour les services domU.
iptables -L -n -v
Sortie :
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
43M 110G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2664 224K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
40793 2441K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ens4 * 0.0.0.0/0 0.0.0.0/0
3 192 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
40 2400 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify. */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5000 /* Required for TFA traffic. */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events. */
343 20580 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify. */
132 7920 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify. */
0 0 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify. */
3 424 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * ens4 0.0.0.0/0 0.0.0.0/0
52M 170G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
8003 548K InstanceServices all -- * * 0.0.0.0/0 169.254.0.0/16
Chain InstanceServices (1 references)
pkts bytes target prot opt in out source destination
11 660 ACCEPT tcp -- * * 0.0.0.0/0 169.254.2.0/24 owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
1 60 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.2 owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.2 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
678 63323 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.169.254 tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.3 owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.4 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
2569 195K ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:123 /* Allow access to OCI local NTP service */
4727 284K ACCEPT tcp -- * * 0.0.0.0/0 169.254.169.254 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
15 4920 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 REJECT tcp -- * * 0.0.0.0/0 169.254.0.0/16 tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
0 0 REJECT udp -- * * 0.0.0.0/0 169.254.0.0/16 udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable
Responsabilités de l'utilisateur concernant les paramètres de sécurité
Cette rubrique décrit les responsabilités de l'équipe des opérations Oracle Cloud et les responsabilités de l'utilisateur concernant les paramètres de sécurité dans le service de base de données de base. Le tableau suivant fournit une liste des paramètres de sécurité que les opérations Oracle Cloud et l'utilisateur doivent effectuer.
Tableau - : Responsabilités de l'équipe des opérations Oracle Cloud et de l'utilisateur pour diverses opérations
Opération | Plate-forme Oracle Cloud | Instances utilisateur/locataire | ||
---|---|---|---|---|
Responsabilité d'Oracle Cloud | Responsabilité de l'utilisateur | Responsabilité d'Oracle Cloud | Responsabilité de l'utilisateur | |
DÉPLOIEMENT DE LA BASE DE DONNÉES | Infrastructure logicielle et conseils pour le déploiement du service de base de données de base |
Administrateur de réseau : Configurer l'infrastructure de réseau en nuage (VCN, sous-réseaux, passerelle, etc.). Administrateur de base de données : Configurer les exigences relatives à la base de données (mémoire, stockage, calcul, version de base de données, type de base de données, etc.). |
Installer le système d'exploitation, la base de données et le système Grid Infrastructure s'il est sélectionné | Administrateur de base de données : Mettre à jour la version du logiciel Oracle Database, les exigences relatives à la forme des machines virtuelles (UC/mémoire), les ressources de taille de configuration du stockage de données et du stockage de récupération en fonction des charges de travail, si nécessaire (mise à niveau/déclassement des ressources). |
SURVEILLANCE | Sécurité physique, infrastructure, plan de contrôle, défaillances matérielles, disponibilité, capacité | Aucune exigence | Disponibilité de l'infrastructure pour prendre en charge la surveillance des services de l'utilisateur. | Administrateur de base de données : Surveillance du système d'exploitation de l'utilisateur, des bases de données, des applications et de Grid Infrastructure |
GESTION ET RÉSOLUTION DES INCIDENTS | Gestion et résolution des incidents, Pièces de rechange et expédition sur site | Aucune exigence | Prise en charge de tout incident lié à la plate-forme sous-jacente | Administrateur de base de données : Gestion et résolution des incidents pour les applications de l'utilisateur |
GESTION DES CORRECTIFS | Correction proactive du matériel, pile de contrôle IaaS/PaaS | Aucune exigence | Mise à disposition des correctifs disponibles, par exemple, jeu de correctifs Oracle Database |
Administrateur de base de données : Application de correctifs aux instances du locataire, tests Administrateur de système d'exploitation : Application de correctifs au système d'exploitation |
SAUVEGARDE ET RESTAURATION | Sauvegarde et récupération de l'infrastructure et du plan de contrôle, recréer les machines virtuelles des utilisateurs | Aucune exigence | Fournir des machines virtuelles fonctionnelles et accessibles aux utilisateurs | Administrateur de base de données : Instantanés / sauvegarde et récupération des données IaaS et PaaS de l'utilisateur à l'aide des capacités natives d'Oracle ou de tierce partie |
Activer les fonctions de sécurité supplémentaires
Le service de base de données de base offre les fonctions de sécurité supplémentaires suivantes :
dbcli NetSecurity
L'outil dbcli NetSecurity traite le chiffrement des données pendant leur déplacement sur le réseau. Lorsque les données passent d'Oracle Database à une tierce partie ou d'un serveur à un client, elles doivent être chiffrées du côté de l'expéditeur et déchiffrées du côté du destinataire. Dans NetSecurity, les règles sont configurées avec des valeurs par défaut pour le client et le serveur lors des opérations de provisionnement et de création de répertoire de base de base de données. L'interface de ligne de commande dcs-agent
fournit des commandes pour mettre à jour ces règles NetSecurity et améliorer la sécurité pour les algorithmes de chiffrement, les algorithmes d'intégrité et les types de connexion.
Par défaut, dcs-agent
configure les règles par défaut suivantes pour le répertoire de base de base de données :
SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
SQLNET.ENCRYPTION_CLIENT=REQUIRED
SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)
Pour plus d'informations sur la mise à jour des paramètres, voir Référence de l'interface de ligne de commande d'Oracle Database.
Intégration du service de chambre forte pour OCI
Le service de base de données de base est maintenant intégré au service de chambre forte pour OCI dans toutes les régions commerciales OCI. Vous pouvez maintenant créer et gérer les clés TDE principales dans le service de chambre forte pour OCI qui protègent les bases de données. Grâce à cette fonction, vous pouvez commencer à utiliser le service de chambre forte pour OCI pour stocker et gérer les clés de chiffrement principales. Les clés du service de chambre forte pour OCI utilisées pour protéger les bases de données sont stockées dans un environnement hautement disponible.
Note :
L'intégration du service de chambre forte pour OCI n'est disponible que pour les versions Oracle Database 19.13 et ultérieures.Grâce à l'intégration du service de chambre forte pour OCI au service de base de données, vous pouvez :
- Contrôler et gérer de manière centralisée les clés principales TDE en activant le chiffrement des clés basé sur le service de chambre forte pour OCI lors du provisionnement des bases de données Oracle dans le service de base de données de base.
- Les clés principales TDE sont stockées dans un service hautement disponible, durable et géré, dans lequel les clés sont protégées par des modules de sécurité matériels hautement disponibles et durables qui répondent aux normes fédérales de traitement des informations (FIPS) 140-2 Certification de sécurité de niveau 3.
- Effectuer la rotation de vos clés pour assurer la conformité en matière de sécurité et, en cas de changement de personnel, désactiver l'accès à une base de données.
- Migrer des clés gérées par Oracle vers des clés gérées par l'utilisateur pour les bases de données existantes.
- Utiliser vos propres clés, autrement dit BYOK (Utiliser votre propre clé) lors de la création de bases de données avec un chiffrement géré par l'utilisateur.
Note :
- BYOK s'applique uniquement à la base de données conteneur. Une nouvelle version de clé sera affectée à la base de données enfichable.
- Les bases de données Oracle qui utilisent le chiffrement géré par l'utilisateur prennent en charge le clonage du système de base de données, la restauration sur place, la restauration à un autre endroit, la configuration Data Guard intra-région et les opérations propres à la base de données enfichable, comme la création de base de données enfichable et le clonage local.
Interface de ligne de commande pour activer FIPS
Oracle fournit un outil aux utilisateurs commerciaux pour améliorer la sécurité par défaut. Cet outil est utilisé pour permettre à FIPS, SE Linux et STIG de respecter les normes les plus rigoureuses.
Pour plus d'informations, voir Activer FIPS, SE Linux et STIG sur les composants d'un système de base de données.