Documentazione dell'infrastruttura Oracle Cloud

Procedure ottimali di sicurezza

Oracle considera la sicurezza del cloud la sua massima priorità e le responsabilità in materia di sicurezza sono condivise tra Oracle e te.

Oracle e le tue responsabilità

Oracle valuta regolarmente gli aggiornamenti di patch critiche e le correzioni degli avvisi di sicurezza, nonché le correzioni di terze parti pertinenti non appena diventano disponibili e applica le patch pertinenti in conformità ai processi di gestione delle modifiche applicabili. Le vulnerabilità di sicurezza vengono corrette con cadenza regolare.

È necessario eseguire le seguenti operazioni:

  • Monitora le vulnerabilità ed esegui regolarmente scansioni della sicurezza e valutazioni della sicurezza sui sistemi DB MySQL HeatWave.
  • Leggere e valutare le informazioni relative agli aggiornamenti di patch critiche, agli avvisi e ai bollettini di sicurezza. Vedere Avvisi di sicurezza.
  • Applicare aggiornamenti software critici e misure correttive.
  • Nel caso in cui l'utente richieda informazioni aggiuntive che non vengono risolte, invia una richiesta di servizio all'interno del sistema di supporto designato. Vedere Creazione di una richiesta di supporto.

Funzioni di sicurezza

Oracle ti offre varie funzioni come la cifratura in transito, il mascheramento dei dati e il piano di eliminazione per proteggere e proteggere i tuoi dati.

Tabella 3-1 Funzioni di sicurezza

Funzione Procedura ottimale
Controllo dell'accesso al database e gestione degli account Utilizzare le funzioni di sicurezza MySQL per controllare l'accesso e gestire l'account. Vedere Controllo dell'accesso e gestione degli account.
Servizio di audit OCI Utilizzare il servizio di audit OCI per registrare automaticamente le chiamate a tutti gli endpoint API (Application Programming Interface) pubblici supportati in tutta la tenancy come eventi di log. Gli eventi di log contengono dettagli quali l'origine, la destinazione o l'ora in cui si è verificata l'attività API. Vedere Visualizzazione dei log del servizio di audit e Panoramica dell'audit.
Plugin MySQL Enterprise Audit Utilizzare il plugin MySQL Enterprise Audit per produrre un file di log contenente un record di audit dell'attività del server. I contenuti del log includono quando i client si connettono e disconnettono e quali azioni eseguono durante la connessione, ad esempio i database e le tabelle a cui accedono. È possibile aggiungere statistiche per il tempo e le dimensioni di ogni query per rilevare valori erratici. Per impostazione predefinita, i log dei plugin di audit sono disabilitati e occorre definire i filtri per abilitare la registrazione di tutti gli eventi verificabili per tutti gli utenti. Vedere Privilegi MySQL predefiniti e Plugin di audit MySQL Enterprise.
Plugin authentication_oci Utilizzare il plugin MySQL authentication_oci per mappare gli utenti MySQL agli utenti e ai gruppi esistenti definiti nel servizio IAM. Vedere Autenticazione mediante il plugin authentication_oci.
Plugin connection-control Per impostazione predefinita, il servizio MySQL HeatWave supporta il plugin connection-control per fornire un deterrente che rallenta gli attacchi di forza bruta contro gli account utente MySQL. Vedere Plugin e componenti.
Cifratura dei dati in archivio I dati in archivio vengono sempre cifrati utilizzando chiavi gestite da Oracle o chiavi fornite dal cliente. Vedere Sicurezza dei dati.
Cifratura in transito È possibile utilizzare la cifratura in transito per un determinato utente per proteggere i dati. Vedere Sicurezza dei dati.
Mascheramento dei dati Utilizzare il mascheramento dei dati per proteggere i dati riservati. Vedere Mascheramento dati.
Piano di eliminazione Utilizzare il piano di eliminazione per proteggere il sistema DB dalle operazioni di eliminazione. Vedere Opzione avanzata: Piano di eliminazione.
Identity and Access Management Assegnare privilegi minimi agli utenti come amministratore della sicurezza. Utilizzare i criteri IAM per controllare l'accesso e l'uso delle risorse MySQL. Vedere Criteri IAM.
Certificato di sicurezza Un certificato di sicurezza è un documento digitale che conferma che il soggetto è il proprietario della chiave pubblica nel certificato. Puoi lasciare che il servizio MySQL HeatWave definisca un certificato di sicurezza o trasferire il tuo certificato su Oracle Cloud Infrastructure. Vedere Opzione avanzata: Connessioni.
Componente validate_password MySQL HeatWave Service applica password complesse con il componente validate_password. Assicurati che le tue applicazioni siano conformi ai requisiti delle password. Vedere Plugin e componenti.
Rete cloud virtuale (VCN)
  • Configurare i gruppi di sicurezza di rete o le liste di sicurezza della VCN per limitare gli indirizzi IP pubblici autorizzati a un singolo indirizzo IP o a un intervallo ridotto di indirizzi IP. Vedere Creazione di una rete cloud virtuale.
  • Configurare il sistema DB MySQL in modo che utilizzi le subnet private della VCN. Per connetterti al tuo sistema DB MySQL da una rete esterna, utilizza una sessione Bastion o una connessione VPN. Se puoi connetterti al tuo sistema DB solo tramite Internet, limita gli indirizzi IP pubblici autorizzati a un singolo indirizzo IP o a un piccolo intervallo di indirizzi IP e utilizza la cifratura in transito. Vedere Network Load Balancer.