Controllo dell'accesso all'interno di Autonomous AI Database sull'infrastruttura Exadata dedicata

Quando configuri Autonomous AI Database on Dedicated Exadata Infrastructure, devi assicurarti che i tuoi utenti cloud abbiano accesso per utilizzare e creare solo i tipi appropriati di risorse cloud per eseguire le loro mansioni lavorative. Inoltre, devi assicurarti che solo il personale e le applicazioni autorizzate abbiano accesso AI database AI autonomi creati su un'infrastruttura dedicata. In caso contrario, si corre il rischio di un consumo "fuori strada" delle risorse dell'infrastruttura dedicata o di un accesso inappropriato ai dati mission-critical.

Prima di iniziare a creare e utilizzare le risorse cloud che forniscono la funzione di infrastruttura dedicata, è necessario formulare un piano di controllo dell'accesso, quindi istituire creando le risorse IAM (Identity and Access Management) e di rete appropriate. Di conseguenza, il controllo dell'accesso all'interno di un Autonomous AI Database viene implementato a vari livelli:
  • Oracle Cloud User Access Control
  • Controllo dell'accesso client
  • Controllo dell'accesso utente al database

Argomenti correlati

Controllo dell'accesso degli utenti Oracle Cloud

Puoi controllare l'accesso degli utenti Oracle Cloud nella tua tenancy alle risorse cloud che compongono la tua distribuzione di Autonomous AI Database on Dedicated Exadata Infrastructure.

Utilizzare il servizio IAM (Identity and Access Management) per garantire che gli utenti cloud abbiano accesso per creare e utilizzare solo i tipi appropriati di risorse Autonomous AI Database per eseguire le proprie mansioni lavorative. Per istituire controlli dell'accesso per gli utenti cloud, è necessario definire criteri che concedono a gruppi specifici di utenti diritti di accesso specifici a tipi specifici di risorse in compartimenti specifici.

Il servizio IAM offre diversi tipi di componenti che consentono di definire e implementare una strategia di accesso utente cloud sicura:

  • Compartimento: raccolta di risorse correlate. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le tue risorse cloud.

  • Gruppo: raccolta di utenti che hanno tutti bisogno dello stesso tipo di accesso a un determinato set di risorse o compartimento.

  • Gruppo dinamico: tipo speciale di gruppo che contiene risorse che corrispondono alle regole definite dall'utente. Pertanto, l'appartenenza può cambiare in modo dinamico quando vengono create o eliminate risorse corrispondenti.

  • Criterio: gruppo di istruzioni che specificano chi può accedere alle risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che si scrive un'istruzione dei criteri che fornisce a un gruppo specifico un tipo specifico di accesso a un tipo specifico di risorsa all'interno di un compartimento specifico.

Istruzioni criteri e criteri

Lo strumento principale utilizzato per definire il controllo dell'accesso per gli utenti cloud è il criterio, una risorsa IAM (Identity and Access Management) contenente istruzioni dei criteri che specificano l'accesso in termini di "Chi", "Come", "Cosa" e "Dove".

Il formato di un'istruzione criterio è:
Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

  • group <group-name> specifica "Chi" fornendo il nome di un gruppo IAM esistente, una risorsa IAM a cui è possibile assegnare singoli utenti cloud.

  • to <control-verb> specifica il "Come" utilizzando uno dei seguenti verbi di controllo predefiniti:

    • inspect: la possibilità di elencare le risorse del tipo specificato, senza accesso a informazioni riservate o metadati specificati dall'utente che potrebbero far parte di tale risorsa.
    • read: inspect oltre alla possibilità di ottenere i metadati specificati dall'utente e la risorsa effettiva.
    • use: read più la possibilità di utilizzare le risorse esistenti, ma non di crearle o eliminarle. Inoltre, "lavora con" significa operazioni diverse per diversi tipi di risorse.
    • manage: tutte le autorizzazioni per il tipo di risorsa, comprese la creazione e l'eliminazione.

    Nel contesto della funzione di infrastruttura dedicata, un amministratore della flotta può manage container database autonomi, mentre un amministratore del database può use solo per creare Autonomous AI Database.

  • <resource-type> specifica il "Cosa" utilizzando un tipo di risorsa predefinito. Di seguito sono riportati i valori del tipo di risorsa per le risorse dell'infrastruttura dedicata.

    • exadata-infrastructures
    • autonomous-container-databases
    • autonomous-databases
    • autonomous-backups

    Poiché le risorse dell'infrastruttura dedicata utilizzano le risorse di rete, alcune delle istruzioni dei criteri create faranno riferimento al valore del tipo di risorsa virtual-network-family. Inoltre, è possibile creare istruzioni dei criteri che fanno riferimento al valore del tipo di risorsa tag-namespaces se nella tenancy viene utilizzata l'applicazione di tag.

  • in compartment <compartment-name> specifica il "Dove" fornendo il nome di un compartimento IAM esistente, una risorsa IAM in cui vengono create le risorse. I compartimenti sono un componente fondamentale di Oracle Cloud Infrastructure per organizzare e isolare le risorse cloud.

Per i dettagli dei criteri per Autonomous AI Database, fare riferimento AI criteri IAM per Autonomous AI Database sull'infrastruttura Exadata dedicata.

Per informazioni sul funzionamento del servizio IAM e dei relativi componenti e su come utilizzarli, vedere Panoramica di Oracle Cloud Infrastructure Identity and Access Management. Per risposte rapide alle domande più comuni su IAM, consulta le domande frequenti su Identity and Access Management.

Best practice per la pianificazione e l'istituzione dei controlli degli accessi

Quando pianifichi e istituisci i controlli dell'accesso per la funzione di infrastruttura dedicata, dovresti prendere in considerazione queste best practice.

  • Creare una VCN separata che contenga solo subnet private. In quasi tutti i casi, i database AI autonomi hanno creato su dati house dell'infrastruttura dedicata sensibili all'azienda e di solito accessibili solo dall'interno della rete privata dell'azienda. Anche i dati condivisi con partner, fornitori, consumatori e clienti vengono messi a loro disposizione attraverso canali regolamentati e sicuri.

    Pertanto, l'accesso alla rete fornito a tali database dovrebbe essere privato della tua azienda. Puoi assicurarti questo risultato creando una VCN che utilizza subnet private e una VPN IPSec VPN o FastConnect per connetterti alla rete privata della tua azienda. Per informazioni sull'impostazione di tale configurazione, vedere Scenario B: Private Subnets with a VPN nella Documentazione di Oracle Cloud Infrastructure.

    Per ulteriori informazioni sulla protezione della connettività di rete ai database, vedere Modalità di protezione della rete nella documentazione di Oracle Cloud Infrastructure.

  • Creare almeno due subnet. È necessario creare almeno due subnet: una per le risorse del cluster VM Autonomous Exadata e di Autonomous Container Database e una per le risorse associate AI client e alle applicazioni di Autonomous AI Database.

  • Creare almeno due compartimenti. Dovresti creare almeno due compartimenti: uno per l'infrastruttura Exadata, il cluster VM Autonomous Exadata e le risorse Autonomous Container Database e uno per le risorse Autonomous AI Database.

  • Creare almeno due gruppi. È necessario creare almeno due gruppi: uno per gli amministratori della flotta e uno per gli amministratori del database.

Controllo dell'accesso client

Il controllo dell'accesso client viene implementato in Autonomous AI Database controllando il controllo dell'accesso di rete e le connessioni client.

Controllo dell'accesso di rete

Definire il controllo dell'accesso di rete per Autonomous AI Database quando si imposta e si configura la distribuzione dedicata di Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata. La modalità dipende dal fatto che la tua distribuzione dedicata sia su Oracle Public Cloud o Exadata Cloud@Customer:

  • In Oracle Public Cloud si definisce il controllo dell'accesso di rete utilizzando i componenti del servizio Networking. Puoi creare una rete cloud virtuale (VCN) contenente subnet private in cui i tuoi database AI autonoma sono accessibili dalla rete. Inoltre, è possibile creare regole di sicurezza per consentire un particolare tipo di traffico in entrata o in uscita dagli indirizzi IP in una subnet.

    Per informazioni dettagliate sulla creazione di queste risorse, eseguire Lab 1: Prepare Private Network for OCI Implementation in Oracle Autonomous AI Database Dedicated for Fleet Administrators.

  • In Exadata Cloud@Customer, definire i controlli di accesso alla rete specificando una rete client all'interno del data center e registrandola in una risorsa di rete cluster VM all'interno della risorsa dell'infrastruttura Exadata.

Zero Trust Packet Routing (ZPR)

SI APPLICA A: Applicabile solo Oracle Public Cloud

Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protegge i dati sensibili da accessi non autorizzati tramite criteri di sicurezza basati su intenti scritti per le risorse, ad esempio un cluster VM Exadata Autonomous (AVMC) a cui si assegnano gli attributi di sicurezza.

Gli attributi di sicurezza sono etichette utilizzate da ZPR per identificare e organizzare le risorse. ZPR applica i criteri a livello di rete ogni volta che viene richiesto l'accesso, indipendentemente dalle potenziali modifiche o configurazioni errate dell'architettura di rete. ZPR si basa sulle regole del gruppo di sicurezza di rete (NSG) e della lista di controllo di sicurezza (SCL) esistenti. Affinché un pacchetto raggiunga una destinazione, deve superare tutte le regole NSG e SCL e i criteri ZPR. La richiesta viene eliminata se una regola o un criterio NSG, SCL o ZPR non consente il traffico.

È possibile proteggere le reti con ZPR in tre passaggi:

  1. Creare gli artifact ZPR, ovvero spazi dei nomi degli attributi di sicurezza e attributi di sicurezza.

  2. Scrivere i criteri ZPR per connettere le risorse utilizzando gli attributi di sicurezza. ZPR utilizza un linguaggio ZPR (Policy Language) e applica limitazioni all'accesso alle risorse definite. Come cliente di Autonomous AI Database on Dedicated Exadata Infrastructure, puoi scrivere criteri basati su ZPL nella tua tenancy per garantire che i dati provenienti da AVMC siano accessibili solo da utenti e risorse autorizzate.

  3. Assegnare gli attributi di sicurezza alle risorse per abilitare i criteri ZPR.

Nota

Evita di inserire informazioni riservate durante l'assegnazione di descrizioni, tag, attributi di sicurezza o nomi descrittivi alle risorse cloud tramite la console di Oracle Cloud Infrastructure, l'API o l'interfaccia CLI.

Per ulteriori informazioni, consulta la Guida introduttiva a Zero Trust Packet Routing.

Per applicare gli attributi di sicurezza ZPR a un AVMC, sono disponibili le opzioni riportate di seguito.

Per aggiungere correttamente gli attributi di sicurezza ZPR a un AVMC, è necessario definire i criteri IAM riportati di seguito.

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy
allow group <group_name>
to manage autonomous-database-family
in tenancy
allow group <group_name>
to read security-attribute-namespaces
in tenancy
liste di controllo dell'accesso (ACL)

Per una maggiore sicurezza, puoi abilitare le liste di controllo dell'accesso (ACL, Access Control List) nelle distribuzioni dedicate di Oracle Public Cloud ed Exadata Cloud@Customer. Un'ACL fornisce una protezione aggiuntiva al database consentendo solo al client con indirizzi IP specifici di connettersi al database. È possibile aggiungere gli indirizzi IP singolarmente o in blocchi CIDR. Sono supportati gli IP/CIDR basati su IPv4 e IPv6. Ciò consente di formulare un criterio granulare di controllo dell'accesso limitando l'accesso di rete del database AI autonomo ad applicazioni o client specifici.

Se lo si desidera, è possibile creare un'ACL durante il provisioning del database o in qualsiasi momento successivo. È inoltre possibile modificare un'ACL in qualsiasi momento. L'abilitazione di un'ACL con una lista vuota di indirizzi IP rende il database inaccessibile. Per i dettagli, consulta la lista di controllo dell'accesso per un database AI autonomo dedicato.

Tenere presente quanto riportato di seguito sull'uso di un'ACL con Autonomous AI Database.
  • La console del servizio Autonomous AI Database non è soggetta alle regole ACL.
  • Oracle Application Express (APEX), i servizi RESTful, SQL Developer Web e Performance Hub non sono soggetti ad ACL.
  • Durante la creazione di un Autonomous AI Database, se l'impostazione di un'ACL non riesce, anche il provisioning del database non riesce.
  • L'aggiornamento di una ACL è consentito solo se il database si trova nello stato Disponibile.
  • Il ripristino di un database non sovrascrive le ACL esistenti.
  • La duplicazione di un database, completo e metadati, avrà le stesse impostazioni di controllo dell'accesso del database di origine. Se necessario, è possibile apportare modifiche.
  • Il backup non è soggetto alle regole ACL.
  • Durante un aggiornamento dell'ACL, tutte le operazioni di Autonomous Container Database (CDB) sono consentite, ma le operazioni di Autonomous AI Database non sono consentite.
Web Application Firewall (WAF)

Per i controlli di rete avanzati oltre le liste di controllo dell'accesso, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure supporta l'uso di Web Application Firewall (WAF). WAF protegge le applicazioni da traffico Internet dannoso e indesiderato. WAF è in grado di proteggere qualsiasi endpoint che si interfaccia con Internet, garantendo l'applicazione coerente delle regole in tutte l'applicazione di un cliente. WAF offre la possibilità di creare e gestire regole per le minacce Internet, tra cui Cross-Site Scripting (XSS), SQL Injection e altre vulnerabilità definite da OWASP. Le regole di accesso possono essere limitate in base all'area geografica o alla firma della richiesta. Per informazioni su come configurare WAF, consulta la guida introduttiva ai criteri Web Application Firewall.

Controllo connessione client

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implementa il controllo della connessione client con l'autenticazione basata su certificato TLS 1.2 e TLS 1.3 standard per autenticare una connessione client. Tuttavia, TLS 1.3 è supportato solo su Oracle Database 23ai o versioni successive.

Per impostazione predefinita, Autonomous AI Database utilizza certificati autofirmati. Tuttavia, puoi installare il certificato lato server firmato da CA dalla console di Oracle Cloud Infrastructure (OCI). Per portare il proprio certificato, è necessario prima creare il certificato utilizzando Oracle Cloud Infrastructure (OCI) Certificate Service, come dimostrato in Creazione di un certificato. Questi certificati devono essere firmati e devono essere in formato PEM, ovvero l'estensione del file deve essere solo .pem, .cer o .crt. Per ulteriori dettagli, consulta la sezione relativa alla gestione dei certificati in Autonomous AI Database dedicato.

Controllo accesso utente database

Oracle Autonomous AI Database on Dedicated Exadata Infrastructure configura i database creati per utilizzare la funzione standard di gestione degli utenti di Oracle AI Database. Viene creato un account utente amministrativo, ADMIN, che consente di creare account utente aggiuntivi e di fornire controlli dell'accesso per gli account.

La gestione utenti standard offre un set affidabile di funzioni e controlli, ad esempio privilegi di sistema e oggetto, ruoli, profili utente e criteri delle password, che consentono di definire e implementare una strategia di accesso utente sicura del database nella maggior parte dei casi. Per istruzioni dettagliate, vedere Creazione e gestione degli utenti del database.

Per informazioni di base sulla gestione utente standard, vedere Account utente in Oracle AI Database Concepts. Per informazioni e indicazioni dettagliate, vedere Managing Security for Oracle Database Users in Oracle Database 19c Security Guide o Oracle Database 26ai Security Guide.

Se la strategia di accesso degli utenti al database richiede più controlli di quelli forniti dalla gestione degli utenti standard, puoi configurare i tuoi database AI autonomi in modo che utilizzino uno qualsiasi degli strumenti riportati di seguito per soddisfare requisiti più rigorosi.
Strumento Descrizione
Database Vault

Oracle Database Vault è preconfigurato e pronto per l'uso in Autonomous AI Database. Puoi utilizzare i suoi potenti controlli di sicurezza per limitare l'accesso ai dati delle applicazioni da parte di utenti di database con privilegi, ridurre il rischio di minacce interne e esterne e soddisfare i requisiti di conformità comuni.

Per ulteriori dettagli, fare riferimento alla sezione Protezione dei dati in Funzioni di sicurezza di Autonomous AI Database.

IAM (Oracle Cloud Infrastructure Identity and Access Management)

Puoi configurare Autonomous AI Database per utilizzare l'autenticazione e l'autorizzazione IAM (Identity and Access Management) di Oracle Cloud Infrastructure per consentire agli utenti IAM di accedere a un Autonomous AI Database con le credenziali IAM. Per informazioni sull'uso di questa opzione con il database, vedere Usa autenticazione IAM (Identity and Access Management) con Autonomous AI Database.

Token di accesso OAuth2 di Azure

Puoi gestire centralmente gli utenti di Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata in un servizio Microsoft Azure Active Directory (Azure AD) con l'aiuto dei token di accesso di Azure oAuth2. Questo tipo di integrazione consente all'utente di Azure AD di accedere a un'istanza di Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. Gli utenti e le applicazioni di Azure AD possono eseguire il login con le credenziali Azure AD Single Sign On (SSO) per ottenere un token di accesso Azure AD OAuth2 da inviare al database.

Per ulteriori informazioni sull'integrazione di Microsoft Azure Active Directory con i database, vedere Autenticazione e autorizzazione degli utenti di Microsoft Azure Active Directory per Autonomous AI Database.

Microsoft Active Directory (CMU-AD)

Se si utilizza Microsoft Active Directory come repository utenti, è possibile configurare i database AI autonomi per autenticare e autorizzare gli utenti di Microsoft Active Directory. Questa integrazione può consentire di consolidare il repository degli utenti pur implementando una rigorosa strategia di accesso degli utenti al database, indipendentemente dal fatto che si utilizzi la gestione degli utenti standard, Database Vault, Real Application Security o Virtual Private Database.

Per ulteriori informazioni sull'integrazione di Microsoft Active Directory con i database, vedere Microsoft Active Directory con Autonomous AI Database.

Kerberos

Kerberos è un sistema di autenticazione sicuro di terze parti che si basa su segreti condivisi. Si presume che la terza parte sia sicura e fornisce funzionalità Single Sign-On, storage centralizzato delle password, autenticazione del database link e maggiore sicurezza del PC. Lo fa tramite un server di autenticazione Kerberos.

Il supporto di Autonomous AI Database per Kerberos offre i vantaggi dell'autenticazione Single Sign-On e centralizzata degli utenti Oracle. Per ulteriori informazioni, vedere Autenticare gli utenti di Autonomous AI Database con Kerberos.

Kerberos con CMU-AD

L'autenticazione Kerberos può essere configurata sopra CMU-AD per fornire l'autenticazione Kerberos CMU-AD per gli utenti di Microsoft Active Directory.

Per fornire l'autenticazione Kerberos CMU-AD per gli utenti di Microsoft Active Directory, è possibile abilitare l'autenticazione Kerberos sopra CMU-AD impostando type su CMU mentre si abilita l'autenticazione esterna come dimostrato nell'esempio descritto in Abilita autenticazione Kerberos su Autonomous AI Database.

Real Application Security e Virtual Private Database

Oracle Real Application Security (RAS) fornisce un modello dichiarativo che abilita i criteri di sicurezza che comprendono non solo i business object protetti, ma anche i principal (utenti e ruoli) che dispongono delle autorizzazioni per operare su tali business object. RAS è più sicuro, scalabile e conveniente rispetto al suo predecessore, Oracle Virtual Private Database.

Con Oracle RAS, gli utenti dell'applicazione vengono autenticati sia nel livello dell'applicazione che nel database. Indipendentemente dal percorso di accesso ai dati, i criteri di sicurezza dei dati vengono applicati nel kernel del database in base alla sessione nativa dell'utente finale nel database. I privilegi assegnati all'utente controllano il tipo di operazioni (selezione, inserimento, aggiornamento ed eliminazione) che possono essere eseguite su righe e colonne degli oggetti di database.

Per ulteriori informazioni su Oracle RAS, vedere Introducing Oracle Database Real Application Security in Oracle Database 19c Real Application Security Administrator's and Developer's Guide o Oracle Database 26ai Real Application Security Administrator's and Developer's Guide.

Oracle Autonomous AI Database sull'infrastruttura Exadata dedicata supporta anche Oracle Virtual Private Database (VPD), il predecessore di Oracle RAS. Se hai già familiarità con Oracle VPD e lo utilizzi, puoi configurarlo e utilizzarlo con i tuoi Autonomous AI Database.

Per ulteriori informazioni su Virtual Private Database, vedere Using Oracle Virtual Private Database to Control Data Access in Oracle Database 19c Security Guide o Oracle Database 26ai Security Guide.

Gestione degli accessi privilegiati (PAM)

Il livello di sicurezza di Oracle relativo alla gestione degli accessi e dei privilegi degli utenti nei prodotti e servizi è documentato in Oracle Access Control.

Autonomous AI Database on Dedicated Exadata Infrastructure è progettato per isolare e proteggere i servizi clienti e i dati del database da accessi non autorizzati. Autonomous AI Database separa i compiti tra il cliente e Oracle. Il cliente controlla l'accesso agli schemi di database. Oracle controlla l'accesso all'infrastruttura e ai componenti software gestiti da Oracle.

Autonomous AI Database on Dedicated Exadata Infrastructure è progettato per proteggere i dati per l'uso autorizzato dai clienti e per aiutare a proteggere i dati da accessi non autorizzati, tra cui la prevenzione dell'accesso AI dati dei clienti da parte dei membri del personale di Oracle Cloud Ops. Le misure di sicurezza progettate per proteggersi dall'accesso non autorizzato all'infrastruttura Exadata, alle VM Autonomous e ai dati del database Oracle includono quanto segue:

  • I dati Oracle Database sono protetti dalle chiavi Oracle TDE ( Transparent Data Encryption).
  • Il cliente controlla l'accesso alle chiavi di cifratura TDE e può scegliere di memorizzare tali chiavi in un sistema di gestione delle chiavi Oracle Key Vault esterno.
  • Oracle Database Vault è preconfigurato per impedire agli utenti con privilegi di accedere AI dati dei clienti in Autonomous AI Database.
  • I clienti possono scegliere di approvare l'accesso operatore tramite l'iscrizione al servizio di controllo dell'accesso operatore.
  • Tutti gli accessi degli operatori si basano sull'autenticazione a più fattori dell'hardware FIPS 140-2 livello 3, implementata con un hardware YubiKey implementato con i dispositivi approvati da Oracle.
  • Tutte le azioni dell'operatore vengono registrate a livello di comando e possono essere inviate al servizio di log OCI o a un SIEM del cliente quasi in tempo reale.

  • Oracle Operations Access Control garantisce che gli account utente utilizzati dal personale delle operazioni e del supporto Oracle Cloud per monitorare e analizzare le prestazioni non possano accedere AI dati in Autonomous AI Database. Il personale operativo e di supporto di Oracle Cloud non ha accesso AI dati nei tuoi database AI autonomi. Quando crei un Autonomous Container Database, Autonomous AI Database sull'infrastruttura Exadata dedicata abilita e configura la funzione Operations Control di Oracle Database Vault per impedire agli utenti comuni di accedere AI dati in Autonomous AI Database creato nel container database.

    È possibile confermare che Operations Control è attivo immettendo questa istruzione SQL in un Autonomous AI Database:
    SELECT * FROM DBA_DV_STATUS;
    Lo stato di APPLICATION CONTROL indica che il controllo operazioni è attivo.

    Nota

    Operations Control era precedentemente noto come Application Control.

PAM viene implementato anche con Database Vault per la protezione dei dati, come descritto in Funzioni di sicurezza di Autonomous AI Database.