Controllo dell'accesso all'interno di Autonomous AI Database sull'infrastruttura Exadata dedicata

Quando configuri Autonomous AI Database on Dedicated Exadata Infrastructure, devi assicurarti che i tuoi utenti cloud abbiano accesso per utilizzare e creare solo i tipi appropriati di risorse cloud per eseguire le loro mansioni lavorative. Inoltre, devi assicurarti che solo il personale e le applicazioni autorizzati abbiano accesso AI database AI autonomi creati su un'infrastruttura dedicata. In caso contrario, si corre il rischio di un consumo "fuori strada" delle risorse dell'infrastruttura dedicata o di un accesso inappropriato ai dati mission-critical.

Prima di iniziare a creare e utilizzare le risorse cloud che forniscono la funzione di infrastruttura dedicata, è necessario formulare un piano di controllo dell'accesso, quindi istituire creando le risorse IAM (Identity and Access Management) e di rete appropriate. Di conseguenza, il controllo dell'accesso all'interno di un Autonomous AI Database viene implementato a vari livelli:

• Controllo dell'accesso utente cloud Oracle
• Controllo dell'accesso client
• Controllo dell'accesso dell'utente al database

Controllo dell'accesso utente Oracle Cloud

Puoi controllare l'accesso degli utenti Oracle Cloud nella tua tenancy alle risorse cloud che compongono la tua distribuzione di Autonomous AI Database on Dedicated Exadata Infrastructure.

Utilizzare il servizio IAM (Identity and Access Management) per garantire che gli utenti cloud abbiano accesso per creare e utilizzare solo i tipi appropriati di risorse Autonomous AI Database per eseguire le proprie mansioni lavorative. Per istituire controlli dell'accesso per gli utenti cloud, è necessario definire criteri che concedono diritti di accesso specifici a gruppi di utenti a tipi specifici di risorse in compartimenti specifici.

Il servizio IAM fornisce diversi tipi di componenti che consentono di definire e implementare una strategia di accesso utente cloud sicura:

• Compartimento: raccolta di risorse correlate. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le tue risorse cloud.

• Gruppo: una raccolta di utenti che hanno tutti bisogno dello stesso tipo di accesso a un determinato set di risorse o compartimento.

• Gruppo dinamico: tipo speciale di gruppo contenente risorse che corrispondono alle regole definite dall'utente. L'appartenenza può pertanto cambiare in modo dinamico quando vengono create o eliminate risorse corrispondenti.

• Criterio: gruppo di istruzioni che specificano chi può accedere a determinate risorse e in che modo. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa cheè possibile scrivere un'istruzione dei criteri che assegna a un gruppo specifico un Tipo specifico di accesso a uno specifico tipo di risorsa all'interno di un compartimento specifico.

Dichiarazioni politiche e politiche

Lo strumento principale utilizzato per definire il controllo dell'accesso per gli utenti cloud è il criterio, una risorsa IAM (Identity and Access Management) contenente istruzioni dei criteri che specificano l'accesso in termini di "Chi", "Come", "Che cosa" e "Dove".

Il formato di un'istruzione criterio è:

Allow
  group <group-name>
  to <control-verb>
  <resource-type>
  in compartment <compartment-name>

• group <group-name> specifica il "Who" fornendo il nome di un gruppo IAM esistente, una risorsa IAM a cui è possibile assegnare singoli utenti cloud.

• in <control-verb> specifica la "Procedura" utilizzando uno dei seguenti verbi di controllo predefiniti:

  • ispezionare: la possibilità di elencare le risorse del tipo specificato, senza l'accesso a informazioni riservate o metadati specificati dall'utente che potrebbero far parte di tale risorsa.

  • read: inspect più la possibilità di ottenere metadati specificati dall'utente e la risorsa effettiva stessa.

  • uso: read più la possibilità di utilizzare le risorse esistenti, ma non di crearle o eliminarle. Inoltre, "lavorare con" indica operazioni diverse per tipi di risorse diversi.

  • Gestione: tutte le autorizzazioni per il tipo di risorsa, inclusa la creazione e l'eliminazione.

  Nel contesto della funzione di infrastruttura dedicata, un amministratore della flotta può manage container database autonomi, mentre un amministratore del database può solo use per creare database AI autonomi.

• <resource-type> specifica il "Cosa" utilizzando un tipo di risorsa predefinito. I valori di tipo risorsa per le risorse dell'infrastruttura dedicata sono:

  • exadata - infrastrutture
  • database autonomi-container
  • database autonomi
  • backup autonomi

  Poiché le risorse dell'infrastruttura dedicata utilizzano risorse di rete, alcune delle istruzioni dei criteri create faranno riferimento al valore del tipo di risorsa virtual-network-family. Inoltre, è possibile creare istruzioni dei criteri che si riferiscono al valore del tipo di risorsa tag-namespaces se nella tenancy viene utilizzata l'applicazione di tag.

• nel compartimento <compartment-name> specifica il punto in cui specificare il nome di un compartimento IAM esistente, una risorsa IAM in cui vengono create risorse. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per l'organizzazione e l'isolamento delle risorse cloud.

Per i dettagli dei criteri per Autonomous AI Database, consulta la sezione relativa AI criteri IAM per Autonomous AI Database sull'infrastruttura Exadata dedicata.

Per informazioni sul funzionamento del servizio IAM e dei relativi componenti e su come utilizzarli, vedere Panoramica di Oracle Cloud Infrastructure Identity and Access Management. Per risposte rapide alle domande più comuni su IAM, vedere Domande frequenti su Identity and Access Management.

Best practice per la pianificazione e l'istituzione dei controlli di accesso

Durante la pianificazione e l'istituzione dei controlli di accesso per la funzione di infrastruttura dedicata, è consigliabile prendere in considerazione queste best practice.

• Creare una VCN separata che contenga solo subnet private. In quasi tutti i casi, i database AI autonomi creati su dati della casa dell'infrastruttura dedicata sensibili all'azienda e normalmente accessibili solo dall'interno della rete privata dell'azienda. Anche i dati condivisi con partner, fornitori, consumatori e clienti vengono messi a loro disposizione attraverso canali regolamentati e sicuri.

  Pertanto, l'accesso alla rete fornito a tali database dovrebbe essere privato per l'azienda. Puoi garantire questo obiettivo creando una VCN che utilizza subnet private e una IPSec VPN o FastConnect per connettersi alla rete privata della tua azienda. Per informazioni sull'impostazione di tale configurazione, vedere Scenario B: Subnet private con una VPN in Documentazione di Oracle Cloud Infrastructure.

  Per ulteriori informazioni sulla protezione della connettività di rete nei database, vedere Ways to Secure Your Network in Oracle Cloud Infrastructure Documentation.

• Creare almeno due subnet. È necessario creare almeno due subnet: una per le risorse del cluster VM Autonomous Exadata e di Autonomous Container Database e una per le risorse associate AI client e alle applicazioni di Autonomous AI Database.

• Creare almeno due compartimenti. Dovresti creare almeno due compartimenti: uno per l'infrastruttura Exadata, il cluster VM Autonomous Exadata e le risorse Autonomous Container Database e uno per le risorse Autonomous AI Database.

• Creare almeno due gruppi. È necessario creare almeno due gruppi: uno per gli amministratori della flotta e uno per gli amministratori del database.

Controllo dell'accesso client

Il controllo dell'accesso client viene implementato in Autonomous AI Database controllando il controllo dell'accesso di rete e le connessioni client.

Controllo dell'accesso di Rete

Definire il controllo dell'accesso di rete per i database AI autonomi quando si imposta e si configura la distribuzione dedicata di Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata. La modalità dipende dal fatto che la tua distribuzione dedicata sia su Oracle Public Cloud o Exadata Cloud@Customer:

• In Oracle Public Cloud, è possibile definire il controllo dell'accesso di rete utilizzando i componenti del servizio Networking. Si crea una rete cloud virtuale (VCN) contenente subnet private in cui i database AI autonomi sono accessibili dalla rete. Inoltre, è possibile creare regole di sicurezza per consentire un particolare tipo di traffico in entrata o in uscita dagli indirizzi IP in una subnet.

  Per informazioni dettagliate sulla creazione di queste risorse, eseguire Lab 1: Prepare Private Network for OCI Implementation in Oracle Autonomous AI Database Dedicated for Fleet Administrators.

• In Exadata Cloud@Customer, puoi definire i controlli dell'accesso di rete specificando una rete client nel tuo data center e registrandola in una risorsa di rete cluster VM all'interno della risorsa dell'infrastruttura Exadata.

Zero Trust Packet Routing (ZPR)

SI APPLICA A: Solo Oracle Public Cloud

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protegge i dati sensibili dall'accesso non autorizzato tramite criteri di sicurezza basati sugli intenti scritti per le risorse, ad esempio un cluster VM Autonomous Exadata (AVMC) a cui si assegnano attributi di sicurezza.

Gli attributi di sicurezza sono etichette utilizzate da ZPR per identificare e organizzare le risorse. ZPR applica i criteri a livello di rete ogni volta che viene richiesto l'accesso, indipendentemente da potenziali modifiche all'architettura di rete o configurazioni errate. ZPR si basa sulle regole SCL (Network Security Group) e SCL (Security Control List) esistenti. Affinché un pacchetto raggiunga una destinazione, deve passare tutte le regole NSG e SCL e il criterio ZPR. La richiesta viene eliminata se una regola o un criterio NSG, SCL o ZPR non consente il traffico.

È possibile proteggere le reti con ZPR in tre passaggi:

1. Creare gli artifact ZPR, ovvero gli spazi di nomi degli attributi di sicurezza e gli attributi di sicurezza;

2. Scrivere i criteri ZPR per connettere le risorse utilizzando gli attributi di sicurezza. ZPR utilizza un linguaggio ZPR (Policy Language) e applica limitazioni all'accesso alle risorse definite. In qualità di cliente di Autonomous AI Database on Dedicated Exadata Infrastructure, puoi scrivere criteri basati su ZPL nella tua tenancy per garantire che i dati degli AVMC siano accessibili solo da utenti e risorse autorizzate.

3. Assegnare gli attributi di sicurezza alle risorse per abilitare i criteri ZPR.

   Nota: evitare di immettere informazioni riservate durante l'assegnazione di descrizioni, tag, attributi di sicurezza o nomi descrittivi alle risorse cloud tramite la console, l'API o l'interfaccia CLI di Oracle Cloud Infrastructure.

Per ulteriori informazioni, vedere Introduzione all'instradamento dei pacchetti Zero Trust.

Sono disponibili le seguenti opzioni per applicare gli attributi di sicurezza ZPR a un AVMC:

• Applica gli attributi di sicurezza quando esegui il provisioning di un AVMC. Per ulteriori informazioni, vedere Creare un cluster VM Autonomous Exadata.

• Applica gli attributi di sicurezza a una risorsa AVMC esistente. Per ulteriori informazioni, vedere Configurare Zero Trust Packet Routing (ZPR) per un AVMC.

Come prerequisito, è necessario definire i criteri IAM seguenti per aggiungere gli attributi di sicurezza ZPR a un AVMC:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

liste di controllo dell'accesso (ACL)

Per una maggiore sicurezza, puoi abilitare le liste di controllo dell'accesso (ACL, Access Control List) nelle distribuzioni dedicate di Oracle Public Cloud ed Exadata Cloud@Customer. Un'ACL fornisce una protezione aggiuntiva al database consentendo la connessione al database solo al client con indirizzi IP specifici. È possibile aggiungere gli indirizzi IP singolarmente o in blocchi CIDR. Sono supportati sia IP basati su IPv4 che CIDR basati su IPv6. Ciò consente di formulare un criterio di controllo dell'accesso dettagliato limitando l'accesso di rete di Autonomous AI Database ad applicazioni o client specifici.

Se lo si desidera, è possibile creare un'ACL durante il provisioning del database o in qualsiasi momento successivo. È inoltre possibile modificare un'ACL in qualsiasi momento. L'abilitazione di un'ACL con una lista vuota di indirizzi IP rende il database inaccessibile. Per i dettagli, vedere Imposta lista di controllo dell'accesso per un database AI autonomo dedicato.

Tenere presente quanto riportato di seguito sull'uso di un'ACL con Autonomous AI Database.

• La console di Autonomous AI Database Service non è soggetta alle regole ACL.
• Oracle Application Express (APEX), i servizi RESTful, SQL Developer Web e Performance Hub non sono soggetti alle ACL.
• Durante la creazione di un Autonomous AI Database, se l'impostazione di un'ACL non riesce, anche il provisioning del database non riesce.
• L'aggiornamento di una ACL è consentito solo se lo stato del database è Disponibile.
• Il ripristino di un database non sovrascrive le ACL esistenti.
• La duplicazione di un database, completo e di metadati, avrà le stesse impostazioni di controllo dell'accesso del database di origine. Se necessario, è possibile apportare le modifiche.
• Il backup non è soggetto alle regole ACL.
• Durante un aggiornamento ACL, tutte le operazioni di Autonomous Container Database (CDB) sono consentite, ma le operazioni di Autonomous AI Database non sono consentite.

Web Application Firewall (WAF)

Per i controlli di rete avanzati oltre le liste di controllo dell'accesso, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure supporta l'uso di Web Application Firewall (WAF). WAF protegge le applicazioni da traffico Internet dannoso e indesiderato. WAF è in grado di proteggere qualsiasi endpoint connesso a Internet, garantendo un'applicazione coerente delle regole nelle applicazioni di un cliente. WAF offre la possibilità di creare e gestire regole per le minacce Internet, tra cui Cross-Site Scripting (XSS), SQL Injection e altre vulnerabilità definite da OWASP. Le regole di accesso possono essere limitate in base all'area geografica o alla firma della richiesta. Per informazioni su come configurare WAF, consulta la guida introduttiva ai criteri Web Application Firewall.

Controllo connessione client

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implementa il controllo della connessione client con l'autenticazione basata su certificato TLS 1.2 e TLS 1.3 standard per autenticare una connessione client. Tuttavia, TLS 1.3 è supportato solo su Oracle Database 23ai o versioni successive.

Per impostazione predefinita, Autonomous AI Database utilizza certificati autofirmati. Tuttavia, puoi installare il certificato lato server firmato da CA dalla console di Oracle Cloud Infrastructure (OCI). Per portare il proprio certificato, è necessario prima creare il certificato utilizzando Oracle Cloud Infrastructure (OCI) Certificate Service, come dimostrato in Creazione di un certificato. Questi certificati devono essere firmati e devono essere in formato PEM, ovvero l'estensione del file deve essere .pem, .cer o .crt. Per ulteriori dettagli, consulta la sezione relativa alla gestione dei certificati nel database AI autonomo dedicato.

Controllo dell'accesso utente del database

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure configura i database creati per utilizzare la funzione di gestione degli utenti standard di Oracle AI Database. Crea un account utente amministrativo, ADMIN, che consente di creare account utente aggiuntivi e di fornire controlli dell'accesso per gli account.

La gestione degli utenti standard offre un insieme affidabile di funzioni e controlli, ad esempio i privilegi di sistema e di oggetto, i ruoli, i profili utente e i criteri delle password, che consentono di definire e implementare una strategia di accesso utente al database sicura nella maggior parte dei casi. Per istruzioni dettagliate, vedere Creazione e gestione di utenti del database.

Per informazioni di base sulla gestione utente standard, vedere Account utente in Oracle AI Database Concepts. Per informazioni e indicazioni dettagliate, vedere Managing Security for Oracle Database Users in Oracle Database 19c Security Guide o Oracle Database 26ai Security Guide.

Se la strategia di accesso degli utenti al database richiede più controlli di quelli forniti dalla gestione degli utenti standard, puoi configurare i database AI autonomi in modo che utilizzino uno degli strumenti riportati di seguito per soddisfare requisiti più rigorosi.

Strumento	Descrizione
Database Vault	Oracle Database Vault è preconfigurato e pronto per l'uso nei database AI autonomi. Puoi utilizzare i suoi potenti controlli di sicurezza per limitare l'accesso ai dati delle applicazioni da parte di utenti di database con privilegi, ridurre il rischio di minacce interne e esterne e soddisfare i requisiti di conformità comuni. Per ulteriori dettagli, fare riferimento alla sezione Protezione dei dati in Funzioni di sicurezza di Autonomous AI Database.
Oracle Cloud Infrastructure Identity and Access Management (IAM)	Puoi configurare Autonomous AI Database in modo che utilizzi l'autenticazione e l'autorizzazione IAM (Oracle Cloud Infrastructure Identity and Access Management) per consentire agli utenti IAM di accedere a un Autonomous AI Database con le credenziali IAM. Fare riferimento alla sezione Usa autenticazione IAM (Identity and Access Management) con Autonomous AI Database per utilizzare questa opzione con il database.
Token di accesso OAuth2 Azure	Puoi gestire centralmente gli utenti di Oracle Autonomous AI Database su un'infrastruttura Exadata dedicata in un servizio Microsoft Azure Active Directory (Azure AD) con l'aiuto dei token di accesso di Azure oAuth2. Questo tipo di integrazione consente all'utente di Azure AD di accedere a un'istanza di Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. Gli utenti e le applicazioni di Azure AD possono eseguire il login con le credenziali Azure AD Single Sign On (SSO) per ottenere un token di accesso Azure AD OAuth2 da inviare al database. Per ulteriori informazioni sull'integrazione di Microsoft Azure Active Directory con i database, vedere Autenticazione e autorizzazione degli utenti di Microsoft Azure Active Directory per Autonomous AI Database.
Microsoft Active Directory (AD)	Se si utilizza Microsoft Active Directory come repository utente, è possibile configurare i database AI autonomi per autenticare e autorizzare gli utenti di Microsoft Active Directory. Questa integrazione può consentire di consolidare il repository degli utenti pur implementando una rigorosa strategia di accesso degli utenti al database, indipendentemente dal fatto che si utilizzi la gestione degli utenti standard, Database Vault, Real Application Security o Virtual Private Database. Per ulteriori informazioni sull'integrazione di Microsoft Active Directory con i database, vedere Microsoft Active Directory con Autonomous AI Database.
Kerberos	Kerberos è un sistema DI autenticazione sicuro di terze parti che si basa su segreti condivisi. Si presume che la terza parte sia sicura e fornisca funzionalità di Single Sign-On, archiviazione centralizzata delle password, autenticazione del database link e sicurezza avanzata del PC. Lo fa tramite un server di autenticazione Kerberos. Il supporto di Autonomous AI Database per Kerberos offre i vantaggi del Single Sign-On e dell'autenticazione centralizzata degli utenti Oracle. Per ulteriori informazioni, vedere Autenticazione degli utenti di Autonomous AI Database con Kerberos.
Kerberos con CMU-AD	L'autenticazione Kerberos può essere configurata sopra CMU-AD per fornire l'autenticazione Kerberos CMU-AD per gli utenti di Microsoft Active Directory. Per fornire l'autenticazione Kerberos CMU-AD per gli utenti di Microsoft Active Directory, è possibile abilitare l'autenticazione Kerberos sopra CMU-AD impostando type su CMU mentre si abilita l'autenticazione esterna come dimostrato nell'esempio descritto in Abilita autenticazione Kerberos su Autonomous AI Database.
Real Application Security e Virtual Private Database	Oracle Real Application Security (RAS) fornisce un modello dichiarativo che consente criteri di sicurezza che comprendono non solo i business object protetti, ma anche i principal (utenti e ruoli) che dispongono delle autorizzazioni per operare su tali business object. RAS è più sicuro, scalabile e conveniente rispetto a Oracle Virtual Private Database, il suo predecessore. Con Oracle RAS, gli utenti dell'applicazione vengono autenticati sia nel livello dell'applicazione che nel database. Indipendentemente dal percorso di accesso ai dati, i criteri di sicurezza dei dati vengono applicati nel kernel del database in base alla sessione nativa dell'utente finale nel database. I privilegi assegnati all'utente controllano il tipo di operazioni (selezione, inserimento, aggiornamento ed eliminazione) che possono essere eseguite su righe e colonne degli oggetti di database. Per ulteriori informazioni su Oracle RAS, vedere Introducing Oracle Database Real Application Security in Oracle Database 19c Real Application Security Administrator's and Developer's Guide o Oracle Database 26ai Real Application Security Administrator's and Developer's Guide. Oracle Autonomous AI Database on Dedicated Exadata Infrastructure supporta anche Oracle Virtual Private Database (VPD), il predecessore di Oracle RAS. Se hai già familiarità con Oracle VPD e lo utilizzi, puoi configurarlo e utilizzarlo con i database AI autonomi. Per ulteriori informazioni su Virtual Private Database, vedere Using Oracle Virtual Private Database to Control Data Access in Oracle Database 19c Security Guide o Oracle Database 26ai Security Guide.

Gestione dell'accesso con privilegi (PAM)

La postura della sicurezza di Oracle relativa all'accesso degli utenti e alla gestione dei privilegi nei suoi prodotti e servizi è documentata in Oracle Access Control.

Autonomous AI Database on Dedicated Exadata Infrastructure è progettato per isolare e proteggere i servizi clienti e i dati del database dall'accesso non autorizzato. Autonomous AI Database separa i compiti tra il cliente e Oracle. Il cliente controlla l'accesso agli schemi di database. Oracle controlla l'accesso all'infrastruttura e ai componenti software gestiti da Oracle.

Autonomous AI Database on Dedicated Exadata Infrastructure è progettato per aiutare a proteggere i dati per l'uso autorizzato dai clienti e per aiutare a proteggere i dati da accessi non autorizzati, tra cui impedire l'accesso AI dati dei clienti da parte dei membri del personale di Oracle Cloud Ops. Le misure di sicurezza progettate per proteggersi dall'accesso non autorizzato all'infrastruttura Exadata, alle VM Autonomous e ai dati del database Oracle includono quanto segue:

• I dati di Oracle Database sono protetti dalle chiavi TDE (Transparent Data Encryption) Oracle.
• Il cliente controlla l'accesso alle chiavi di cifratura TDE e può scegliere di memorizzare tali chiavi in un sistema di gestione delle chiavi Oracle Key Vault esterno.
• Oracle Database Vault è preconfigurato per impedire agli utenti con privilegi di accedere AI dati dei clienti nei database AI autonomi.
• I clienti possono scegliere di approvare l'accesso operatore tramite l'iscrizione al servizio di controllo dell'accesso operatore.
• Tutti gli accessi degli operatori si basano sull'autenticazione a più fattori hardware di livello 3 per gli standard FIPS 140-2, implementata con un hardware YubiKey implementato con dispositivi approvati da Oracle.
• Tutte le azioni dell'operatore vengono registrate a livello di comando e possono essere inviate al servizio di log OCI o a un SIEM del cliente quasi in tempo reale.

• Oracle Operations Access Control garantisce che gli account utente utilizzati dalle operazioni e dal personale di supporto di Oracle Cloud per monitorare e analizzare le prestazioni non possano accedere AI dati nei database AI autonomi. Le operations e il personale di supporto di Oracle Cloud non hanno accesso AI dati nei tuoi database AI autonomi. Quando crei un Autonomous Container Database, Autonomous AI Database on Dedicated Exadata Infrastructure abilita e configura la funzione Operations Control di Oracle Database Vault per impedire agli utenti comuni di accedere AI dati nei database AI autonomi creati nel container database.

  È possibile confermare che Operations Control è attivo immettendo questa istruzione SQL in un Autonomous AI Database:

  SELECT * FROM DBA_DV_STATUS;
  

  Lo stato di APPLICATION CONTROL indica che il controllo delle operazioni è attivo.

  Nota: il controllo operazioni era noto in precedenza come controllo applicazione.

PAM viene implementato anche con Database Vault per la protezione dei dati, come descritto in Funzioni di sicurezza di Autonomous AI Database.

Contenuto correlato

Funzioni di sicurezza chiave