Funzioni di sicurezza in Autonomous AI Database su un'infrastruttura Exadata dedicata
In questo articolo vengono descritte le funzioni di sicurezza chiave di Autonomous AI Database on Dedicated Exadata Infrastructure.
Si noti che in questa sezione il termine "voi" è ampiamente utilizzato per indicare qualsiasi amministratore dell'organizzazione che ha la responsabilità di eseguire determinati task. In alcuni casi, questo è l'amministratore della flotta, in altri l'amministratore del database.
Oltre alle funzioni di sicurezza standard di Oracle AI Database, come l'analisi dei privilegi, la cifratura della rete, gli utenti gestiti a livello centrale, i ruoli delle applicazioni sicuri, la protezione dei dati sensibili trasparente e altre ancora, un database AI Autonomous dedicato aggiunge Database Vault, Data Safe e altre funzioni di sicurezza avanzate senza costi aggiuntivi.
Puoi vedere i componenti di base per le funzioni di sicurezza chiave di un database AI autonomo dedicato descritti di seguito.
Descrizione dell'illustrazione adbd-security-features.svg
Gestione configurazione
Basato su Oracle Cloud Infrastructure, Autonomous AI Database fornisce configurazioni di sicurezza standard e rafforzate in modo che tu e il tuo team non dobbiate dedicare enormi quantità di tempo e denaro alla gestione delle configurazioni nella vostra flotta di Autonomous AI Database. Tutti gli account di servizio come SYS e System vengono ruotati ogni 90 giorni. Fare riferimento alla sezione Gestione delle configurazioni in Autonomous AI Database per ulteriori informazioni.
Le patch e gli aggiornamenti di sicurezza vengono eseguiti automaticamente, quindi non devi preoccuparti di mantenere la sicurezza aggiornata. Queste funzionalità proteggono i database e i dati altamente sensibili da vulnerabilità e violazioni della sicurezza costose e potenzialmente disastrose. Per ulteriori dettagli, consulta la sezione relativa alla manutenzione del servizio del database AI autonomo dedicato.
Cifratura dati
Autonomous AI Database memorizza tutti i dati in formato cifrato in Oracle Database. Solo gli utenti e le applicazioni autenticati possono accedere ai dati quando si connettono al database.
Autonomous AI Database utilizza una crittografia sempre attiva che protegge i dati in archivio e in transito. Per impostazione predefinita, tutti i dati memorizzati e le comunicazioni di rete con Oracle Cloud vengono cifrati. Impossibile disattivare la cifratura.
Per ulteriori dettagli sulla cifratura dei dati e sulle chiavi di cifratura master, fare riferimento alla sezione Cifratura dei dati nel database AI autonomo dedicato.
Audit
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure offre solide funzionalità di audit che ti consentono di monitorare chi ha fatto cosa sul servizio e su database specifici. I dati di log completi ti consentono di controllare e monitorare le azioni sulle tue risorse, il che ti aiuta a soddisfare i tuoi requisiti di audit riducendo al contempo i rischi operativi e di sicurezza.
Per ulteriori dettagli, consulta la sezione relativa alle funzionalità di audit nel database AI autonomo dedicato.
Controllo dell'accesso
Durante la configurazione della funzione Infrastruttura Exadata dedicata, è necessario assicurarsi che gli utenti cloud abbiano accesso per utilizzare e creare solo i tipi appropriati di risorse cloud per eseguire le proprie mansioni lavorative. Inoltre, devi assicurarti che solo il personale e le applicazioni autorizzate abbiano accesso AI database AI autonomi creati nell'infrastruttura dedicata. In caso contrario, si corre il rischio di un consumo "fuori strada" delle risorse dell'infrastruttura dedicata o di un accesso inappropriato ai dati mission-critical.
La protezione dell'accesso ai dati e ai database che li contengono comprende diversi tipi di controllo dell'accesso. Per ulteriori dettagli, consulta la sezione relativa al controllo dell'accesso nel database AI autonomo dedicato.
Gestione dei certificati
Quando un client tenta di connettersi a un Autonomous AI Database tramite un servizio di connessione al database TCPS (Secure TCP), Oracle Autonomous AI Database on Dedicated Exadata Infrastructure utilizza l'autenticazione basata su certificato TLS 1.2 e TLS 1.3 standard per autenticare la connessione. Tuttavia, TLS 1.3 è supportato solo su Oracle AI Database 23ai o versioni successive. Indipendentemente dal fatto che il client tenti di connettersi tramite un servizio di connessione al database TCPS o TCP, l'accesso del client al database è limitato dai diritti di accesso dell'utente del database utilizzato dal client per connettersi.
Certificato autofirmato gestito da Oracle
Per impostazione predefinita, Autonomous AI Database utilizza certificati autofirmati. Un certificato autofirmato è un certificato di sicurezza generato dal sistema.
Generazione certificato
I certificati autofirmati gestiti da Oracle vengono generati automaticamente durante il provisioning di un cluster VM Autonomous Exadata (AVMC) e si applicano a tutti i database creati in tale AVMC.
Gestione dei certificati
I certificati autofirmati vengono generati e associati automaticamente a un AVMC. Tuttavia, è necessario scaricare il wallet client di Autonomous AI Database prima di connettersi AI database. Con i certificati autofirmati, la connessione ai database senza wallet non è un'opzione. Fare riferimento alla sezione Scarica credenziali client per istruzioni sul download di un wallet per il database.
A seconda del requisito, a AVMC viene associato uno dei seguenti tipi di certificato:
-
Certificato SSL del database: certificato SSL per le connessioni al client del database.
-
Certificato SSL ORDS: certificato SSL per le applicazioni Application Express (APEX).
Rotazione certificato
Per soddisfare le esigenze di conformità alla sicurezza della tua organizzazione, puoi ruotare i certificati autofirmati gestiti da Oracle utilizzando la console o l'API di Oracle Cloud Infrastructure (OCI). Per istruzioni dettagliate, vedere Gestire i certificati di sicurezza per una risorsa cluster VM Autonomous Exadata. Questa operazione viene definita rotazione dei certificati.
Per le risorse AVMC (Autonomous Exadata VM Cluster) di cui è stato appena eseguito il provisioning, i certificati autofirmati gestiti da Oracle hanno una validità di 13 mesi dalla creazione. La rotazione di un certificato SSL mediante la console o l'API ruota i certificati lato server e lato client e ne ripristina la validità a 13 mesi. Quando un certificato lato server o lato client gestito da Oracle non viene ruotato prima della scadenza, Oracle li ruota automaticamente e genera nuovi wallet.
Nel caso dei certificati SSL del database, la rotazione del certificato non invalida immediatamente il certificato esistente.
Entro due settimane dalla rotazione del certificato, è possibile connettersi AI database utilizzando il wallet client di Autonomous AI Database scaricato prima o dopo la rotazione del certificato.
Dopo due settimane dalla rotazione del certificato:
-
Il wallet del database scaricato prima della rotazione del certificato non è valido e non può essere utilizzato per connettersi ai database.
-
Il wallet del database scaricato entro due settimane dalla rotazione del certificato rimane attivo e può essere utilizzato per connettersi ai database.
-
Qualsiasi nuovo wallet di database scaricato dopo due settimane dalla rotazione del certificato può essere utilizzato per connettersi ai database.
Ne parliamo con un esempio:
Si consideri che un certificato SSL, ad esempio C1, sta per scadere e che questo certificato è stato ruotato il 1° febbraio. Per due settimane dal 1 ° febbraio, che fino al 14 febbraio, il vecchio certificato (C1) è ancora disponibile per l'uso. È possibile continuare a utilizzare il vecchio certificato (C1) o scaricare un nuovo wallet di database per il certificato ruotato (C2) per le connessioni al database. Dopo due settimane dal 1° febbraio, ovvero dal 14 febbraio in poi, il vecchio certificato (C1) viene invalidato e non può essere utilizzato per le connessioni al database. È possibile continuare a utilizzare il wallet del database scaricato dopo la rotazione del certificato (C2) in queste due settimane. È inoltre possibile scaricare un nuovo wallet di database e iniziare a utilizzarlo per le connessioni al database dopo due settimane dalla rotazione.
È inoltre possibile ruotare un certificato SSL del database entro due settimane dalla rotazione più recente. In questo scenario, il vecchio certificato (che sta per essere invalidato a causa della prima rotazione) viene disabilitato immediatamente. Il certificato successivo (risultante dalla prima rotazione) rimane attivo e un terzo certificato (risultante dalla seconda rotazione) sarà in attesa di attivazione per due settimane dalla seconda rotazione. Qualsiasi wallet di database scaricato prima che la prima rotazione venga invalidata subito dopo la seconda rotazione. È possibile continuare la connessione al database con qualsiasi wallet di database scaricato dopo la prima rotazione fino a due settimane dalla seconda rotazione. Dopo il completamento di due settimane dalla seconda rotazione, è possibile connettersi ai database solo utilizzando un wallet client scaricato dopo la seconda rotazione, ovvero un wallet scaricato entro due settimane dalla seconda rotazione o successive.
Nell'esempio precedente, se si ruota di nuovo lo stesso certificato (C1) entro due settimane dal 1° febbraio, il certificato viene sottoposto a doppia rotazione. In questo caso, il vecchio certificato (certificato prima della prima rotazione, cioè C1) viene invalidato immediatamente. Il certificato risultante dalla prima rotazione (C2) rimane attivo e un terzo certificato risultante dalla seconda rotazione, ad esempio C3, sarà in attesa di attivazione per due settimane dalla seconda rotazione. Dopo due settimane dalla seconda rotazione, anche il certificato risultante dalla prima rotazione (C2) viene invalidato e gli eventuali wallet di database scaricati prima della seconda rotazione non possono essere utilizzati per le connessioni al database. È possibile continuare a utilizzare il wallet del database scaricato dopo la rotazione del certificato (C3) in queste due settimane. È inoltre possibile scaricare un nuovo wallet di database e iniziare a utilizzarlo per le connessioni al database dopo due settimane dalla seconda rotazione.
Nel caso dei certificati SSL ORDS, tutte le connessioni alle applicazioni esistenti andranno perse con la rotazione del certificato e si consiglia di riavviare ORDS. Il periodo di buffer di due settimane descritto sopra non si applica quando si ruota un certificato SSL ORDS.
Bring Your Own Certificate (BYOC)
Bring Your Own Certificate (BYOC) consente di utilizzare il certificato lato server firmato CA con i database AI autonomi.
Generazione certificato
Per portare il proprio certificato, è necessario prima creare il certificato utilizzando Oracle Cloud Infrastructure (OCI) Certificate Service, come dimostrato in Creazione di un certificato. Questi certificati devono essere firmati e devono essere in formato PEM, ovvero la loro estensione deve essere solo in formato .pem, .cer o .crt.
Installazione certificato
Dopo aver creato il certificato lato server firmato dalla CA, è necessario installarlo con AVMC in modo che i database in esso creati possano utilizzare questo certificato per connessioni sicure. L'associazione del certificato BYOC a un AVMC è facilitata dalla finestra di dialogo Gestisci certificati nella console OCI. In questa finestra di dialogo, scegliere Porta il proprio certificato e selezionare il certificato che si sarebbe creato in precedenza dall'elenco di selezione. Facoltativamente, è anche possibile specificare un certificato CA con autorità di certificazione e bundle CA. Tuttavia, se si seleziona un bundle CA per un certificato SSL ORDS, il bundle deve contenere solo certificati che fanno parte della catena di certificati. Per istruzioni dettagliate, vedere Gestire i certificati di sicurezza per una risorsa cluster VM Autonomous Exadata.
Gestione dei certificati
Puoi connetterti AI database AI autonomi associati a un lato server firmato da una CA con o senza un wallet client di Autonomous AI Database.
-
Per connettersi al database utilizzando un wallet di database, è innanzitutto necessario scaricare le credenziali client dalla pagina Dettagli del database utilizzando la console OCI. Per istruzioni, vedere Scarica credenziali client.
-
Per connettersi al database senza un wallet client, è necessario assicurarsi che:
-
Le connessioni TLS unidirezionali sono abilitate a livello AVMC. Si tratta di un'impostazione definita utilizzando il parametro Listener nelle opzioni avanzate durante il provisioning di AVMC. Per istruzioni, vedere Creare un cluster VM Autonomous Exadata.
-
Il certificato lato server firmato dalla CA è firmato da una CA pubblica nota, pertanto il sistema operativo del client viene considerato attendibile per impostazione predefinita.
-
Rotazione certificato
Per soddisfare le esigenze di conformità alla sicurezza della tua organizzazione, puoi ruotare i certificati lato server firmati da CA utilizzando la console o l'API di Oracle Cloud Infrastructure (OCI). Per istruzioni dettagliate, vedere Gestire i certificati di sicurezza per una risorsa cluster VM Autonomous Exadata.
È necessario ruotarli prima della data di scadenza, in caso contrario i database in questo AVMC non saranno raggiungibili sulle porte TLS fino a quando non si fornisce un certificato valido. Tuttavia, è possibile continuare ad accedere ai database su una porta non TLS, ad esempio 1521.
Eventi certificato
Per la gestione dei certificati di sicurezza vengono pubblicati i seguenti eventi:
| Evento | Generato quando |
|---|---|
| sslcertificateexpiry.reminder | Un cluster VM Autonomous Exadata determina che un wallet scadrà tra meno di sei (6) settimane. Questo evento viene segnalato al massimo una volta alla settimana. Questo evento viene attivato quando esiste una connessione che utilizza il wallet in scadenza. |
| sslcertificate.expired | Il certificato SSL scade. Tutti i wallet di Autonomous AI Database correlati a questo cluster VM Autonomous Exadata scadranno. |
| sslcertificazione.reminder | Un certificato SSL ha più di 365 giorni e consiglia al cliente di ruotare il certificato. Dopo che un certificato SSL attraversa 365 giorni, questo promemoria è una volta alla settimana fino a quando non viene ruotato. |
| sslcertificate.rotated | Il certificato SSL viene ruotato manualmente (utilizzando la console o l'API di Oracle Cloud Infrastructure) o automaticamente alla sua scadenza. |
Suggerimento: eseguire la sottoscrizione a questi eventi utilizzando il servizio Notifiche OCI per riceverli ogni volta che vengono pubblicati. Per ulteriori dettagli, vedere Creazione di una sottoscrizione.
Per una lista completa degli eventi di Autonomous AI Database, consulta gli eventi per Autonomous AI Database sull'infrastruttura Exadata dedicata.
Protezione dei dati
La protezione dei dati è un aspetto fondamentale della sicurezza dei dati in qualsiasi database. Gli account di database con privilegi sono uno dei percorsi più comunemente utilizzati per ottenere l'accesso ai dati sensibili delle applicazioni nel database. Sebbene gli utenti con privilegi come ADMIN o gli operatori Oracle abbiano bisogno di un accesso ampio e illimitato per facilitare la manutenzione del database, lo stesso accesso crea anche un punto di attacco per ottenere l'accesso a grandi quantità di dati.
Autonomous AI Database ti consente di implementare Privileged Access Management (PAM) utilizzando:
-
Oracle Database Vault è preconfigurato e pronto per l'uso nei database AI autonomi. Puoi utilizzare i suoi potenti controlli di sicurezza per limitare l'accesso ai dati delle applicazioni da parte di utenti di database con privilegi, ridurre il rischio di minacce interne e esterne e soddisfare i requisiti di conformità comuni.
È possibile distribuire i controlli per bloccare l'accesso con privilegi agli account ai dati delle applicazioni e controllare le operazioni riservate all'interno del database. È possibile configurare percorsi sicuri per aggiungere ulteriori controlli di sicurezza all'accesso ai dati autorizzato e alle modifiche al database. Attraverso l'analisi runtime dei privilegi e dei ruoli, è possibile aumentare la sicurezza delle applicazioni esistenti implementando i privilegi minimi e riducendo il profilo di attacco degli account del database. Database Vault protegge gli ambienti di database esistenti in modo trasparente, eliminando le modifiche costose e dispendiose in termini di tempo.
Oracle AI Database Vault risolve principalmente i seguenti problemi di sicurezza del database:
-
Accesso di account con privilegi amministrativi ai dati dell'applicazione: sebbene l'amministratore del database sia l'utente più potente e affidabile, questo amministratore non ha bisogno dell'accesso ai dati dell'applicazione che risiedono nel database.
I realm di Oracle AI Database Vault basati su schemi di applicazioni, tabelle riservate e stored procedure forniscono controlli per evitare che gli account con privilegi vengano sfruttati da intrusi e addetti ai lavori per accedere ai dati sensibili delle applicazioni. Per ulteriori dettagli, vedere How Oracle AI Database Vault Protects Privileged User Accounts in Oracle Database 19c Administrator's Guide o Oracle Database 26ai Administrator's Guide.
-
Separazione dei compiti per l'accesso ai dati delle applicazioni: la separazione dei controlli dei compiti di Oracle AI Database Vault può essere personalizzata e le organizzazioni con risorse limitate possono assegnare più responsabilità di Oracle AI Database Vault allo stesso amministratore, ma utilizzando account separati per ogni ruolo di separazione dei compiti per ridurre al minimo i danni al database se un account viene rubato e sfruttato. Per ulteriori dettagli, fare riferimento a How Oracle AI Database Vault Addresses Database Consolidation Concerns in Oracle Database 19c Administrator's Guide o Oracle Database 26ai Administrator's Guide.
Prima di utilizzare Database Vault, vedere What to Expect After You Enable Oracle AI Database Vault in Oracle Database 19c Administrator's Guide o Oracle Database 26ai Administrator's Guide per comprendere l'impatto della configurazione e dell'abilitazione di Database Vault.
Per informazioni su come configurare e abilitare Database Vault in Autonomous AI Database, vedere Utilizzare Oracle AI Database Vault per gestire i privilegi utente del database.
Suggerimento: per provare il processo di impostazione di Database Vault, eseguire Lab 1: Protect Data With Database Vault in Oracle Autonomous AI Database Dedicated for Security Administrators Workshop.
-
-
Il PAM viene utilizzato anche per proteggere i dati per l'uso autorizzato dai clienti e per proteggere i dati da accessi non autorizzati, tra cui la prevenzione dell'accesso ai dati dei clienti da parte di Oracle Cloud Operations e i membri del personale di supporto. Oracle Operations Access Control garantisce che gli account utente utilizzati dalle operazioni e dal personale di supporto di Oracle Cloud per monitorare e analizzare le prestazioni non possano accedere AI dati nei database AI autonomi. Per ulteriori informazioni, vedere Gestione degli accessi privilegiati.
Ricerca automatica dati riservati e mascheramento dati
L'identificazione di dati sensibili (ad esempio numero di carta di credito, SSN) e il mascheramento o la protezione dei dati, se necessario, migliorano la protezione dei dati e la sicurezza complessiva dei dati.
-
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure supporta l'integrazione con il servizio Oracle Data Safe per aiutarti a valutare e proteggere i tuoi database. Oracle Data Safe ti aiuta a comprendere la riservatezza i dati, valutare i rischi dei dati, mascherare I dati riservati, implementare e monitorare i controlli di protezione, valutare l'attività degli utenti, monitorare l'attività dell'utente e rispondere ai requisiti in materia di conformità alla sicurezza dei dati nei database.
Fornisce il seguente set di funzioni in un'unica console di gestione facile da usare:
-
Valutazione sicurezza consente di valutare la sicurezza della configurazione del database.
-
Valutazione utente consente di valutare la sicurezza degli utenti del database e di identificare gli utenti ad alto rischio.
-
Ricerca automatica dei dati consente di trovare i dati riservati nel database. Il mascheramento dei dati fornisce un modo per mascherare i dati sensibili in modo che i dati siano sicuri per scopi non di produzione.
-
L'audit attività consente di eseguire l'audit dell'attività degli utenti nel database in modo da poter monitorare l'uso del database ed essere avvisati di attività insolite del database.
Per ulteriori informazioni sull'uso di Data Safe, vedere Oracle Data Safe Overview in Uso di Oracle Data Safe.
Per utilizzare Oracle Data Safe per identificare e proteggere i dati riservati e regolamentati di Autonomous AI Database, è necessario registrare il database con Data Safe. Dopo aver registrato il database con Data Safe, puoi andare alla console di Data Safe direttamente dalla pagina Dettagli di Autonomous AI Database. Per ulteriori informazioni sulla registrazione del database, vedere Registrare o annullare la registrazione di un database AI autonomo dedicato con Data Safe.
-
-
Quando una query eseguita da un'applicazione in fase di esecuzione restituisce un set di risultati con informazioni riservate quali i numeri di carta di credito o gli ID personali, Oracle Data Redaction consente di mascherare i dettagli riservati prima di restituire il set di risultati all'applicazione. È possibile implementare i criteri per la protezione dati sensibili utilizzando il package PL/SQL
**DBMS_REDACT**. Fare riferimento a DBMS_REDACT in Oracle Database 19c PL/SQL Packages and Types Reference oppure Oracle Database 26ai PL/SQL Packages and Types Reference.
Certificazione conformità normativa
Autonomous AI Database on Dedicated Exadata Infrastructure soddisfa un ampio set di standard di conformità internazionali e specifici del settore, tra cui:
-
FedRAMP High - Programma federale di gestione dei rischi e delle autorizzazioni (Stati Uniti) Solo regioni governative)
-
HIPAA - Legge sulla responsabilità e la trasferibilità dell'assicurazione sanitaria
-
ISO/IEC 27001:2013 - Organizzazione Internazionale per la Standardizzazione 27001
-
ISO/IEC 27017:2015 - Codice di procedura per i controlli di sicurezza delle informazioni basato su ISO/IEC 27002 per i servizi cloud
-
ISO/IEC 27018:2014 - Codice di condotta per la protezione delle informazioni di identificazione personale (PII) nei cloud pubblici che agiscono come processori PII
-
PCI DSS - Payment Card Industry Data Security Standard è un insieme di requisiti destinati a garantire che tutte le aziende che elaborano, memorizzano o trasmettono informazioni sulla carta di credito mantengano un ambiente sicuro.
-
SOC 1 - Controlli sistema e organizzazione 1
-
SOC 2 - Controlli di sistema e organizzazione 2
Per ulteriori informazioni e un elenco completo delle certificazioni, vedere Oracle Cloud Compliance. Per scaricare copie dei documenti di certificazione, vedere Documenti di conformità.