I clienti controllano e monitorano l'accesso al servizio clienti, incluso l'accesso di rete alle VM (tramite VLAN e firewall di livello 2 implementati nelle VM del cliente), l'autenticazione per accedere alle VM e l'autenticazione per accedere ai database in esecuzione nelle VM. Oracle controlla e monitora l'accesso ai componenti dell'infrastruttura gestita da Oracle. Il personale Oracle non è autorizzato ad accedere ai servizi clienti, incluse le VM e i database dei clienti.

I clienti accedono ai database Oracle in esecuzione su Exadata Cloud@Customer tramite una connessione di livello 2 (VLAN con tag) dall'apparecchiatura del cliente ai database in esecuzione nella VM del cliente utilizzando i metodi di connessione standard di Oracle Database, ad esempio Oracle Net sulla porta 1521. I clienti accedono alla VM che esegue i database Oracle tramite i metodi Oracle Linux standard, ad esempio il token basato su SSH sulla porta 22.

• Difesa avanzata

  Exadata Cloud@Customer offre una serie di controlli per garantire riservatezza, integrità e responsabilità in tutto il servizio.

  In primo luogo, Exadata Cloud@Customer viene creato a partire dall'immagine del sistema operativo potenziata fornita da Exadata Database Machine. Per ulteriori informazioni, vedere Panoramica di Oracle Exadata Database Machine Security. In questo modo, l'ambiente operativo principale viene protetto limitando l'immagine di installazione ai soli pacchetti software richiesti, disabilitando i servizi non necessari e implementando parametri di configurazione sicuri in tutto il sistema.

  Oltre a ereditare tutta la potenza della piattaforma matura di Exadata Database Machine, poiché Exadata Cloud@Customer esegue il provisioning dei sistemi per i clienti, nelle istanze del servizio vengono implementate ulteriori opzioni di configurazione predefinite sicure. Ad esempio, tutte le tablespace del database richiedono la cifratura dei dati trasparente (TDE), un'applicazione efficace delle password per gli utenti e i superutenti iniziali del database e regole avanzate di audit ed eventi.

  Exadata Cloud@Customer costituisce anche una distribuzione e un servizio completi, pertanto è sottoposto ad audit esterni standard del settore come PCI, HIPPA e ISO27001. Questi requisiti di audit esterni impongono funzioni di servizio a valore aggiunto aggiuntive come la scansione antivirus, l'invio automatico di avvisi per modifiche impreviste al sistema e le scansioni giornaliere delle vulnerabilità per tutti i sistemi di infrastruttura gestiti da Oracle nella flotta.

• Privilegio minimo

  Per garantire che i processi abbiano accesso solo ai privilegi di cui hanno bisogno, gli standard di codifica di sicurezza Oracle richiedono il paradigma del privilegio minimo.

  Ogni processo e daemon deve essere eseguito come utente normale e senza privilegi a meno che non dimostri un requisito per un livello di privilegio più elevato. Questo aiuta a contenere eventuali problemi imprevisti o vulnerabilità allo spazio utente senza privilegi e non compromette un intero sistema.

  Questo principio si applica anche ai membri del team operativo Oracle che utilizzano singoli account specifici per accedere all'infrastruttura Oracle Exadata Cloud@Customer per la manutenzione o la risoluzione dei problemi. Solo quando necessario, utilizzeranno l'accesso controllato a livelli di privilegio più elevati per risolvere o risolvere un problema. La maggior parte dei problemi viene risolta attraverso l'automazione, quindi utilizziamo anche i privilegi minimi non consentendo agli operatori umani di accedere a un sistema a meno che l'automazione non sia in grado di risolvere il problema.

• Audit e responsabilità

  Se necessario, l'accesso al sistema è consentito, ma tutti gli accessi e le azioni vengono registrati e monitorati per la responsabilità.

  Ciò garantisce che sia Oracle che i clienti sappiano cosa è stato fatto sul sistema e quando ciò si è verificato. Questi fatti non solo ci garantiscono di rimanere conformi alle esigenze di reporting per gli audit esterni, ma possono anche aiutare a abbinare alcuni cambiamenti a un cambiamento nel comportamento percepito nell'applicazione.

  Le funzionalità di audit vengono fornite in tutti i componenti dell'infrastruttura per garantire l'acquisizione di tutte le azioni. I clienti possono inoltre configurare l'audit per la configurazione di database e VM guest e scegliere di integrarli con altri sistemi di audit aziendali.

• Automatizzazione delle operazioni cloud

  Eliminando le operazioni manuali necessarie per eseguire il provisioning, applicare patch, gestire, risolvere i problemi e configurare i sistemi, l'opportunità di errore si riduce e viene garantita una configurazione sicura.

  Il servizio è progettato per essere sicuro e automatizzando tutte le attività di provisioning, configurazione e la maggior parte delle altre attività operative, è possibile evitare configurazioni mancate e garantire che tutti i percorsi necessari nel sistema siano chiusi saldamente.

• Immagine del sistema operativo potenziato
  • Installazione minima del pacchetto:

    Vengono installati solo i pacchetti necessari per eseguire un sistema efficiente. Installando un set più piccolo di pacchetti, la superficie di attacco del sistema operativo viene ridotta e il sistema rimane più sicuro.

  • Configurazione sicura:

    Durante l'installazione vengono impostati molti parametri di configurazione non predefiniti per migliorare le impostazioni di sicurezza del sistema e del relativo contenuto. Ad esempio, SSH viene configurato per l'ascolto solo su determinate interfacce di rete, sendmail viene configurato per accettare solo connessioni localhost e durante l'installazione vengono implementate molte altre limitazioni simili.

  • Eseguire solo i servizi necessari:

    Tutti i servizi che è possibile installare sul sistema ma non necessari per il normale funzionamento sono disabilitati per impostazione predefinita. Ad esempio, mentre NFS è un servizio spesso configurato dai clienti per vari scopi applicativi, è disabilitato per impostazione predefinita in quanto non è necessario per le normali operazioni del database. I clienti possono scegliere di configurare facoltativamente i servizi in base alle proprie esigenze.

• Superficie di attacco minimizzata

  Come parte dell'immagine protetta, la superficie di attacco viene ridotta disattivando i servizi.

• Funzionalità di sicurezza aggiuntive abilitate (password grub, boot sicuro)
  • Sfruttando le funzionalità di immagine di Exadata, Exadata Cloud@Customer dispone delle funzioni integrate nell'immagine di base, come le password grub e l'avvio sicuro, oltre a molte altre.
  • Mediante la personalizzazione, i clienti possono desiderare di migliorare ulteriormente le proprie impostazioni di sicurezza aggiungendo ulteriori configurazioni descritte più avanti in questo capitolo.
• Metodi di accesso sicuro
  • Accesso ai server di database tramite SSH mediante crittografie avanzate. Le cifrature deboli sono disabilitate per impostazione predefinita.
  • Accesso ai database tramite connessioni cifrate a Oracle Net. Per impostazione predefinita, i nostri servizi sono disponibili utilizzando canali cifrati e un client Oracle Net configurato per impostazione predefinita utilizzerà sessioni cifrate.
  • Accesso alla diagnostica tramite l'interfaccia Web Exadata MS (https).
• Audit e log

  Per impostazione predefinita, l'audit è abilitato per le operazioni amministrative e tali record di audit vengono comunicati ai sistemi interni OCI per la revisione e gli avvisi automatici quando necessario.

• considerazioni sul tempo di distribuzione
  • Contenuto e riservatezza del download di file wallet: il download di file wallet ottenuto da un cliente per consentire la distribuzione contiene informazioni riservate e deve essere gestito in modo appropriato per garantire la protezione dei contenuti. Il contenuto del download del file wallet non è necessario dopo il completamento della distribuzione, pertanto deve essere eliminato per garantire che non si verifichino perdite di informazioni.
  • Server piano di controllo (CPS):
    • I requisiti di distribuzione per CPS includono l'autorizzazione dell'accesso HTTPS in uscita in modo che CPS possa connettersi a Oracle e abilitare l'amministrazione, il monitoraggio e la manutenzione remoti. Per ulteriori dettagli, vedere la Guida alla distribuzione.
    • Le responsabilità dei clienti includono la sicurezza fisica per l'apparecchiatura Exadata Cloud@Customer nel loro data center. Sebbene Exadata Cloud@Customer utilizzi molte funzioni di sicurezza software, i compromessi fisici dei server devono essere risolti dalla sicurezza fisica del cliente per garantire la sicurezza dei contenuti dei server.

Diversi account utente gestiscono regolarmente i componenti di Oracle Exadata Cloud@Customer. In tutti i computer Exadata Cloud@Customer, Oracle utilizza e consiglia solo il login basato su SSH. Nessun utente o processo Oracle utilizza un sistema di autenticazione basato su password.

Di seguito vengono descritti i diversi tipi di utenti creati per impostazione predefinita.

• Utenti predefiniti: nessun privilegio di accesso

  Questo elenco di utenti è composto da utenti del sistema operativo predefiniti insieme ad alcuni utenti specializzati come exawatch e dbmsvc. Questi utenti non devono essere modificati. Questi utenti non possono eseguire il login al sistema perché sono tutti impostati su /bin/false.

  • exawatch:

    L'utente exawatch è responsabile della raccolta e dell'archiviazione delle statistiche di sistema sui database server e sugli storage server.

  • dbmsvc:

    L'utente viene utilizzato per Management Server nel servizio nodo del database nel sistema Oracle Exadata.

  Utenti NOLOGIN

  bin:x:1:1:bin:/bin:/bin/false
  daemon:x:2:2:daemon:/sbin:/bin/false
  adm:x:3:4:adm:/dev/null:/bin/false
  mail:x:8:12:mail:/var/spool/mail:/bin/false
  nobody:x:99:99:Nobody:/:/bin/false
  systemd-network:x:192:192:systemd Network Management:/:/bin/false
  dbus:x:81:81:System message bus:/:/bin/false
  rpm:x:37:37::/var/lib/rpm:/bin/false
  sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/bin/false
  rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/bin/false
  nscd:x:28:28:NSCD Daemon:/:/bin/false
  saslauth:x:999:76:Saslauthd user:/run/saslauthd:/bin/false
  mailnull:x:47:47::/var/spool/mqueue:/bin/false
  smmsp:x:51:51::/var/spool/mqueue:/bin/false
  chrony:x:998:997::/var/lib/chrony:/bin/false
  rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false
  uucp:x:10:14:Uucp user:/var/spool/uucp:/bin/false
  nslcd:x:65:55:LDAP Client User:/:/bin/false
  tcpdump:x:72:72::/:/bin/false
  exawatch:x:1010:510::/:/bin/false
  sssd:x:997:508:User for sssd:/:/bin/false
  tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/bin/false
  dbmsvc:x:12137:11137::/home/dbmsvc:/bin/false

• Utenti predefiniti con accesso shell limitato

  Questi utenti vengono utilizzati per eseguire un task definito con un login alla shell limitato. Questi utenti non devono essere modificati in quanto il task definito non riuscirà nel caso in cui questi utenti vengano modificati o eliminati.

  dbmmonitor: l'utente dbmmonitor viene utilizzato per la utility DBMCLI. Per ulteriori informazioni, vedere Utilizzo della utility DBMCLI.

  Utenti shell limitati

  dbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash

• Utenti predefiniti con autorizzazioni di login

  Questi utenti privilegiati vengono utilizzati per eseguire la maggior parte delle attività nel sistema. Questi utenti non devono mai essere modificati o eliminati in quanto potrebbero avere un impatto significativo sul sistema in esecuzione.

  Le chiavi SSH vengono utilizzate per il login dal personale dei clienti e l'automazione del cloud.

  Le chiavi SSH aggiunte dal cliente possono essere aggiunte mediante il metodo UpdateVmCluster o dai clienti che accedono direttamente alla VM del cliente e gestiscono le chiavi SSH all'interno della VM del cliente. I clienti sono responsabili dell'aggiunta di commenti alle chiavi per renderle identificabili. Quando un cliente aggiunge la chiave SSH mediante il metodo UpdateVmCluster, la chiave viene aggiunta solo al file authorized_keys dell'utente opc.

  Le chiavi di automazione cloud sono temporanee, specifiche di un determinato task di automazione cloud, ad esempio il ridimensionamento della memoria cluster VM e uniche. Le chiavi di accesso all'automazione cloud possono essere identificate dai seguenti commenti: OEDA_PUB, EXACLOUD_KEY, ControlPlane. Le chiavi di automazione del cloud vengono rimosse al termine del task di automazione cloud, pertanto i file authorized_keys degli account root, opc, oracle e grid devono contenere solo chiavi di automazione cloud mentre sono in esecuzione le azioni di automazione cloud.

  Utenti con privilegi

  root:x:0:0:root:/root:/bin/bash
  oracle:x:1001:1001::/home/oracle:/bin/bash
  grid:x:1000:1001::/home/grid:/bin/bash
  opc:x:2000:2000::/home/opc:/bin/bash
  dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bash

  • root: requisito Linux, utilizzato con moderazione per eseguire i comandi con privilegi locali. root viene utilizzato anche per alcuni processi quali Oracle Trace File Analyzer Agent e ExaWatcher.
  • grid: è proprietario dell'installazione del software Oracle Grid Infrastructure ed esegue i processi Grid Infastructure.
  • oracle: è proprietario dell'installazione del software del database Oracle ed esegue i processi di Oracle Database.
  • opc:
    • Utilizzata dall'automazione di Oracle Cloud per le attività di automazione.
    • Ha la capacità di eseguire determinati comandi privilegiati senza ulteriore autenticazione (per supportare le funzioni di automazione).
    • Esegue l'agente locale, noto anche come "agente DCS", che esegue le operazioni del ciclo di vita per il software Oracle Database e Oracle Grid Infastructure (applicazione di patch, creazione di database e così via).
  • dbmadmin:
    • L'utente dbmadmin viene utilizzato per la utility DBMCLI (Command Line Interface) di Oracle Exadata Database Machine.
    • L'utente dbmadmin deve essere utilizzato per eseguire tutti i servizi sul database server. Per ulteriori informazioni, vedere Utilizzo della utility DBMCLI.

I seguenti gruppi vengono creati per impostazione predefinita sulla Virtual Machine guest.

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-network:x:192:
dbus:x:81:
ssh_keys:x:998:
sshd:x:74:
rpm:x:37:
rpc:x:32:
unbound:x:997:
nscd:x:28:
tss:x:59:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
chrony:x:996:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
uucp:x:14:
tcpdump:x:72:
exawatch:x:510:
cgred:x:509:
fuse:x:508:
screen:x:84:
sssd:x:507:
printadmin:x:506:
docker:x:505:
dbmsvc:x:2001:
dbmadmin:x:2002:
dbmmonitor:x:2003:
dbmusers:x:2004:
floppy:x:19:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
users:x:100:
nobody:x:2001:
utmp:x:22:
utempter:x:35:
dbus:x:81:
input:x:999:
kvm:x:36:
render:x:998:
systemd-journal:x:190:
systemd-coredump:x:997:
systemd-resolve:x:193:
tss:x:59:
ssh_keys:x:996:
sshd:x:74:
unbound:x:995:
nscd:x:28:
rpc:x:32:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
chrony:x:994:
tcpdump:x:72:
cgred:x:993:
fapolicyd:x:992:
printadmin:x:991:
polkitd:x:990:
sssd:x:989:
rpm:x:37:
screen:x:84:
dnsmasq:x:988:
exawatch:x:510:
dbmsvc:x:2002:
dbmadmin:x:2003:
dbmmonitor:x:2004:
dbmusers:x:2005:
uucp:x:14:
floppy:x:19:
mausers:x:2006:
secscan:x:1009:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

Oltre a tutte le funzioni di Exadata illustrate in Funzioni di sicurezza di Oracle Exadata Database Machine, sono applicabili anche le impostazioni di sicurezza riportate di seguito.

• Distribuzione di database personalizzata con parametri non predefiniti.
  Il comando host_access_control consente di configurare le impostazioni di sicurezza Exadata:

  • Implementazione di criteri per la durata e la complessità delle password.
  • Definizione di criteri per il blocco dell'account e il timeout della sessione.
  • Limitazione dell'accesso root remoto.
  • Limitazione dell'accesso alla rete a determinati account.
  • Implementazione di un messaggio di avvio di avvertenza al login.
• account-disable: disabilita un account utente quando vengono soddisfatte determinate condizioni configurate.
• pam-auth: varie impostazioni PAM per le modifiche della password e l'autenticazione della password.
• rootssh: regola il valore PermitRootLogin in /etc/ssh/sshd_config, consentendo o negando all'utente root di eseguire il login tramite SSH.
  • Per impostazione predefinita, PermitRootLogin è impostato su senza password.
  • Si consiglia di lasciare questa impostazione per consentire il funzionamento del sottoinsieme di automazione cloud che utilizza questo percorso di accesso (ad esempio, l'applicazione di patch al sistema operativo VM del cliente). L'impostazione di PermitRootLogin su no disabiliterà questo subset della funzionalità di automazione cloud.
• session-limit: imposta il parametro * hard maxlogins in /etc/security/limits.conf, che rappresenta il numero massimo di login per tutti gli utenti. Questo limite non si applica a un utente con uid=0.

  L'impostazione predefinita è * hard maxlogins 10 ed è il valore sicuro consigliato.

• ssh-macs: specifica gli algoritmi MAC (Message Authentication Code) disponibili.
  • L'algoritmo MAC viene utilizzato nella versione 2 del protocollo per la protezione dell'integrità dei dati.
  • L'impostazione predefinita è hmac-sha1, hmac-sha2-256, hmac-sha2-512 sia per il server che per il client.
  • Valori sicuri consigliati: hmac-sha2-256, hmac-sha2-512 per server e client.
• password-aging: imposta o visualizza la durata della password corrente per gli account utente interattivi.
  • -M: numero massimo di giorni in cui è possibile utilizzare una password.
  • -m: numero minimo di giorni consentiti tra le modifiche della password.
  • -W: numero di giorni di avvertenza prima della scadenza di una password.
  • L'impostazione predefinita è -M 99999, -m 0, -W 7
  • --strict_compliance_only -M 60, -m 1, -W 7
  • Valori consigliati sicuri: -M 60, -m 1, -W 7

• Agente VM guest Exadata Cloud@Customer: agente cloud per la gestione delle operazioni del ciclo di vita del database
  • Viene eseguito come utente opc.
  • La tabella dei processi la mostra in esecuzione come processo Java con i nomi jar, dbcs-agent-VersionNumber-SNAPSHOT.jar e dbcs-admin-VersionNumver-SNAPSHOT.jar.
• Agente Oracle Trace File Analyzer: Oracle Trace File Analyzer (TFA) fornisce una serie di strumenti di diagnostica in un singolo bundle, semplificando la raccolta di informazioni diagnostiche su Oracle Database e Oracle Clusterware, che a sua volta aiuta a risolvere i problemi quando si tratta di Oracle Support.
  • Viene eseguito come utente root.
  • Viene eseguito come initd demon, /etc/init.d/init.tfa.
  • Le tabelle dei processi mostrano un'applicazione Java, oracle.rat.tfa.TFAMain.

• ExaWatcher:

  • Viene eseguito come utenti root e exawatch.
  • Esegue come script di backgroud, ExaWatcher.sh e tutto il relativo processo figlio come processo Perl.
  • La tabella dei processi viene visualizzata come più applicazioni Perl.
• Oracle Database e Oracle Grid Infrastructure (Oracle Clusterware):
  • Viene eseguito come utenti dbmsvc e grid.
  • La tabella dei processi mostra le seguenti applicazioni:
    • oraagent.bin, apx_* e ams_* come utente grid.
    • dbrsMain e le applicazioni Java, derbyclient.jar e weblogic.Server come utente oracle.
• Management Server (MS): parte del software di immagini Exadata per la gestione e il monitoraggio delle funzioni di immagine.
  • Viene eseguito come utente dbmadmin.
  • La tabella dei processi la mostra in esecuzione come processo Java.

Regole iptables predefinite per VM guest:

#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination