Sicurezza e autenticazione in Oracle Autonomous Database

Il controllo dell'accesso client per un'istanza di Autonomous Database viene applicato dai criteri di controllo dell'accesso di rete, tramite i protocolli di connessione client e dai diritti di accesso dell'utente del database utilizzato dal client per la connessione.

Oracle Autonomous Database è configurato con un account amministrativo, ADMIN, utilizzato per creare e gestire altri account di database. Oracle Autonomous Database offre un solido set di funzioni e controlli, inclusi i privilegi e i ruoli di sistema e oggetto. I profili utente consentono di personalizzare i criteri delle password per definire e implementare una strategia di accesso utente al database sicura.

Per informazioni di base sulla gestione utente standard, vedere User Accounts in Oracle Database Concepts. Per informazioni e indicazioni dettagliate, vedere Managing Security for Oracle Database Users in Oracle Database Security Guide.

Se la tua strategia di accesso utente al database richiede più controlli di quelli forniti dalla gestione degli utenti standard, puoi configurare Oracle Autonomous Database in modo che utilizzi Database Vault per soddisfare requisiti più rigorosi.

È possibile utilizzare i servizi IAM (Identity and Access Management) per controllare i privilegi degli utenti Oracle Cloud specificando le azioni che gli utenti possono eseguire su Oracle Autonomous Database.

Il servizio IAM fornisce diversi tipi di componenti che consentono di definire e implementare una strategia di accesso utente cloud sicura:

• Compartimento: raccolta di risorse correlate. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le tue risorse cloud.

• Gruppo: raccolta di utenti che hanno tutti bisogno dello stesso tipo di accesso a un determinato set di risorse o compartimento.

• Gruppo dinamico: tipo speciale di gruppo contenente risorse che corrispondono alle regole definite. L'appartenenza può pertanto cambiare in modo dinamico quando vengono create o eliminate risorse corrispondenti.

• Criterio: gruppo di istruzioni che specificano chi può accedere a determinate risorse e in che modo. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che si scrive un'istruzione dei criteri che assegna a un gruppo specifico un Tipo specifico di accesso a un determinato tipo di risorsa all'interno di un compartimento specifico.

Di questi, la politica è lo strumento principale che si utilizza per controllare l'accesso perché fornisce il "Chi", "Come", "Cosa" e "Dove" di un singolo vincolo di accesso. L'istruzione di un criterio ha il seguente formato:

Il formato di un'istruzione criterio è:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name> specifica il "chi" fornendo il nome di un gruppo IAM esistente.

• to <control-verb> specifica il "Come" utilizzando uno dei seguenti verbi di controllo predefiniti:

  • inspect: la possibilità di elencare le risorse del tipo specificato, senza accesso a informazioni riservate o metadati specificati dall'utente che potrebbero far parte di tale risorsa.
  • read: inspect con la possibilità di ottenere i metadati specificati dall'utente e la risorsa effettiva.
  • use: read più la possibilità di utilizzare le risorse esistenti, ma non di crearle o eliminarle. Inoltre, "lavorare con" indica operazioni diverse per tipi di risorse diversi.
  • manage: tutte le autorizzazioni per il tipo di risorsa, inclusa la creazione e l'eliminazione.

• <resource-type> specifica il "Cosa" utilizzando un tipo di risorsa predefinito. I valori del tipo di risorsa per le risorse dell'infrastruttura sono:

  • autonomous-databases
  • autonomous-backups

  È possibile creare istruzioni dei criteri che si riferiscono al valore del tipo di risorsa tag-namespaces se l'applicazione di tag viene utilizzata nella tenancy.

• in compartment <compartment-name> specifica il "Dove" fornendo il nome di un compartimento IAM esistente.

Per informazioni sul funzionamento del servizio IAM e dei relativi componenti e su come utilizzarli, vedere Panoramica di Oracle Cloud Infrastructure Identity and Access Management. Per risposte rapide alle domande più comuni su IAM, vedere Domande frequenti su Identity and Access Management.

Solo gli utenti autorizzati sono autorizzati ad accedere a un'istanza di Autonomous Database.

Gli operatori Oracle Cloud non dispongono dell'autorizzazione per accedere ad Autonomous Database. Quando è necessario l'accesso al database per risolvere o limitare un problema, è possibile consentire a un operatore cloud di accedere a un database per un periodo di tempo limitato.

Per consentire a un operatore cloud di accedere al database, eseguire la procedura DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS. Ciò significa che se si invia una richiesta di servizio al Supporto Oracle Cloud o contattando il rappresentante dell'assistenza e gli operatori Oracle Cloud devono accedere al database, è inoltre necessario abilitare l'accesso operatore eseguendo DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS.

Ogni accesso al database da parte degli operatori Oracle Cloud viene registrato con un ID e un motivo della richiesta.

Per ulteriori informazioni, vedere Gestisci l'accesso di Oracle Cloud Operator e Visualizza le azioni operative di Oracle Cloud Infrastructure.

Autonomous Database è un servizio completamente gestito e Oracle utilizza le proprie tenancy Oracle Cloud Infrastructure per eseguire il servizio Autonomous Database.

Gli operatori Oracle Cloud non hanno accesso alle tenancy dei clienti e gli operatori cloud non possono accedere alla rete.

Tutte le azioni eseguite dagli utenti di Oracle Cloud sulle risorse che compongono la distribuzione di Oracle Autonomous Database vengono registrate dal servizio di audit, indipendentemente dall'interfaccia utilizzata: la console di Oracle Cloud Infrastructure, l'API REST, l'interfaccia CLI (Command Line Interface), i kit di sviluppo software (SDK) e così via.

È possibile utilizzare il servizio Audit per eseguire la diagnostica, tenere traccia dell'uso delle risorse, monitorare la conformità e raccogliere eventi correlati alla sicurezza. Per ulteriori informazioni sul servizio di audit, vedere Panoramica dell'audit nella Documentazione di Oracle Cloud Infrastructure.

Inoltre, quando gli utenti eseguono operazioni su Oracle Autonomous Database, il database pubblica eventi nel servizio Eventi Oracle Cloud. Il servizio Eventi di Oracle Cloud consente di creare regole per acquisire questi eventi ed eseguire azioni.

Per ulteriori informazioni sul funzionamento del servizio Eventi e su come impostare le regole e le azioni utilizzate, vedere Panoramica degli eventi. Per gli elenchi delle operazioni di Oracle Autonomous Database che generano eventi, vedere Tipi di eventi di Autonomous Database.

Oracle Autonomous Database configura i database autonomi creati per utilizzare la funzione di audit unificata di Oracle Database.

Questa funzione acquisisce i record di audit dalle origini seguenti e li raccoglie in un unico audit trail in un formato uniforme:

• Record di audit (compresi i record di audit SYS) da criteri di audit unificati e impostazioni AUDIT
• Record di audit con filtro dal package PL/SQL DBMS_FGA
• Record di audit di Oracle Database Real Application Security
• Record di audit di Oracle Recovery Manager
• Record di audit di Oracle Database Vault
• Record di audit di Oracle Label Security
• Record di Oracle Data Mining
• Oracle Data Pump
• Caricamento diretto di Oracle SQL*Loader

Le informazioni di audit vengono conservate per un massimo di 14 giorni, dopodiché vengono rimosse automaticamente. Per conservare le informazioni di audit più a lungo e per analizzare e creare report facilmente sull'attività del database, utilizza Oracle Data Safe (incluso con la tua sottoscrizione a Oracle Autonomous Database).

Per ulteriori informazioni, vedere Informazioni sull'audit di Autonomous Database.