Guida per la sicurezza di Base Database Service

Panoramica sulla sicurezza

Questo argomento fornisce una panoramica della sicurezza in Base Database Service. Oracle gestisce la sicurezza per la maggior parte dei componenti, mentre gli utenti sono responsabili della sicurezza di alcuni componenti.

I componenti del servizio cloud sono classificati in servizi accessibili dagli utenti e nell'infrastruttura gestita da Oracle. Il servizio accessibile dall'utente si riferisce ai componenti ai quali gli utenti possono accedere nell'ambito della sottoscrizione al servizio Base Database. Si tratta di virtual machine e servizi di database comunemente chiamati rispettivamente sistemi DB e database. L'infrastruttura gestita da Oracle si riferisce all'hardware di proprietà e gestito da Oracle per supportare i servizi accessibili dagli utenti. È costituito da forme di elaborazione di database basate su AMD o Intel.

Oracle gestirà la sicurezza e l'accesso ai componenti dell'infrastruttura gestita da Oracle. Gli utenti gestiranno la sicurezza e l'accesso ai servizi accessibili dall'utente che includono l'accesso al sistema DB e ai servizi di database, l'accesso di rete al sistema DB, l'autenticazione per accedere al sistema DB e l'autenticazione per accedere ai database in esecuzione nei sistemi DB. Il personale Oracle non è autorizzato ad accedere ai servizi accessibili dall'utente.

Gli utenti accedono ai database Oracle in esecuzione sui sistemi DB tramite una connessione di livello 2 (VLAN con tag) dall'apparecchiatura utente utilizzando i metodi di connessione standard di Oracle Database, ad esempio Oracle Net sulla porta 1521. Gli utenti possono utilizzare i metodi Oracle Linux standard per connettersi al sistema DB su cui sono in esecuzione i database Oracle, ad esempio SSH basato su token sulla porta 22.

Base Database Service utilizza più controlli di sicurezza indipendenti e che si rafforzano a vicenda per aiutare le organizzazioni a creare un ambiente operativo sicuro per i propri carichi di lavoro e dati. Base Database Service fornisce i controlli di sicurezza riportati di seguito.

Difesa avanzata per la protezione dell'ambiente operativo
Privilegio minimo per servizi e utenti
Audit e responsabilità di eventi e azioni
Automatizzazione delle operazioni cloud

Difesa avanzata per la protezione dell'ambiente operativo

Il servizio Base Database fornisce diversi controlli per garantire riservatezza, integrità e responsabilità in tutto il servizio. Il servizio di Base Database promuove il principio della difesa approfondita come descritto di seguito.

Le virtual machine per i sistemi DB sono create a partire dall'immagine del sistema operativo potenziata basata su Oracle Linux 7. Protegge l'ambiente operativo principale limitando l'immagine di installazione ai soli pacchetti software richiesti, disabilitando i servizi non necessari e implementando parametri di configurazione sicuri in tutto il sistema.
Nelle istanze del servizio vengono implementate ulteriori opzioni di configurazione predefinite sicure, oltre a ereditare tutti i punti di forza della piattaforma Oracle Linux matura. Ad esempio, tutte le tablespace del database richiedono la cifratura dei dati trasparente (TDE), un'applicazione efficace delle password per gli utenti e i superutenti iniziali del database e regole avanzate di audit ed eventi.
Il servizio Base Database costituisce inoltre una distribuzione e un servizio completi ed è soggetto ad audit esterni standard del settore quali PCI, HIPPA e ISO27001. Questi requisiti di audit esterni impongono funzioni di servizio a valore aggiunto aggiuntive come la scansione antivirus, l'invio automatico di avvisi per modifiche impreviste al sistema e le scansioni delle vulnerabilità per tutti i sistemi di infrastruttura gestiti da Oracle nella flotta.

Privilegio minimo per servizi e utenti

Gli standard di codifica di sicurezza Oracle richiedono il paradigma del privilegio minimo. Garantire che applicazioni, servizi e utenti abbiano accesso alle funzionalità di cui hanno bisogno per eseguire le proprie attività è solo un lato del principio dei meno privilegiati. È altrettanto importante garantire che l'accesso a funzionalità, servizi e interfacce non necessari sia limitato. Base Database Service promuove il principio del minor privilegio come riportato di seguito.

Ogni processo e daemon deve essere eseguito come un utente normale e senza privilegi a meno che non possa provare un requisito per un livello di privilegio superiore. Questo aiuta a contenere eventuali problemi imprevisti o vulnerabilità allo spazio utente senza privilegi e non compromette un intero sistema.
Questo principio si applica anche ai membri del team operativo Oracle che utilizzano singoli account denominati per accedere all'infrastruttura per la manutenzione o la risoluzione dei problemi. Solo quando necessario, utilizzeranno l'accesso controllato a livelli di privilegio più elevati per risolvere o risolvere un problema. La maggior parte dei problemi viene risolta attraverso l'automazione, quindi utilizziamo anche i privilegi minimi non consentendo agli operatori umani di accedere a un sistema a meno che l'automazione non sia in grado di risolvere il problema.

Audit e responsabilità di eventi e azioni

Un sistema deve essere in grado di riconoscere e notificare gli incidenti nel momento in cui si verificano. Allo stesso modo, quando non è possibile evitare un incidente, un'organizzazione deve essere in grado di identificarne l'occorrenza per intraprendere le azioni appropriate. Base Database Service incoraggia l'audit e la responsabilità nei seguenti modi:

Il controllo e la responsabilità garantiscono che sia Oracle che gli utenti siano a conoscenza dell'attività svolta sul sistema e dei relativi tempi. Questi dettagli non solo garantiscono la conformità ai requisiti di reporting per gli audit esterni, ma possono anche aiutare a identificare l'attività che ha portato a un comportamento imprevisto.
Vengono fornite funzionalità di audit per tutti i componenti dell'infrastruttura per garantire l'acquisizione di tutte le azioni. Gli utenti possono inoltre configurare l'audit per la configurazione di database e dominio utente (domU) e scegliere di integrarli con altri sistemi di audit aziendali.
Oracle non accede all'utente domU.

Automatizzazione delle operazioni cloud

Eliminando le operazioni manuali necessarie per eseguire il provisioning, applicare patch, gestire, risolvere i problemi e configurare i sistemi, la possibilità di errori viene ridotta e viene garantita una configurazione sicura.

Il servizio Base Database è progettato per essere sicuro automatizzando tutti i provisioning, la configurazione e la maggior parte delle altre attività operative. Automatizzando, è possibile evitare configurazioni mancate e garantire che tutti i percorsi necessari nel sistema siano configurati correttamente.

Funzioni di sicurezza

Questo argomento descrive le funzioni di sicurezza disponibili in Base Database Service.

Base Database Service fornisce le funzioni di sicurezza riportate di seguito.

Immagine del sistema operativo potenziato
Superficie di attacco minimizzata
Funzioni di sicurezza aggiuntive abilitate
Metodi di accesso sicuro
Audit e log

Immagine del sistema operativo potenziato

Installazione minima di pacchetti: vengono installati solo i pacchetti necessari per eseguire un sistema efficiente. Installando un set più piccolo di pacchetti, la superficie di attacco del sistema operativo viene ridotta e il sistema rimane più sicuro.
Configurazione sicura: durante l'installazione vengono impostati molti parametri di configurazione non predefiniti per migliorare le impostazioni di sicurezza del sistema e del relativo contenuto. Ad esempio, SSH viene configurato per l'ascolto solo su determinate interfacce di rete, sendmail viene configurato per accettare solo connessioni host locali e durante l'installazione vengono implementate molte altre limitazioni simili.
Eseguire solo i servizi necessari: tutti i servizi che possono essere installati sul sistema ma non sono necessari per il normale funzionamento sono disabilitati per impostazione predefinita. Ad esempio, mentre NFS è un servizio spesso configurato dagli utenti per vari scopi dell'applicazione, è disabilitato per impostazione predefinita in quanto non è necessario per le normali operazioni del database. Gli utenti possono scegliere di configurare facoltativamente i servizi in base alle proprie esigenze.

Superficie di attacco minimizzata

Come parte dell'immagine rinforzata, la superficie di attacco viene ridotta installando ed eseguendo solo il software necessario per fornire il servizio.

Funzioni di sicurezza aggiuntive abilitate

Il servizio Base Database è progettato per essere sicuro per impostazione predefinita e fornisce uno stack di sicurezza completo, dal controllo del firewall di rete ai criteri di sicurezza del controllo dell'accesso.
È possibile abilitare anche FIPS, SE Linux e STIG per migliorare la sicurezza dei sistemi che utilizzano l'interfaccia CLI dbcli secure-dbsystem.
Lo strumento STIG viene fornito per aumentare la conformità con Oracle Linux 7 STIG di DISA su ciascun nodo di sistema nei sistemi di cui è stato eseguito il provisioning.

Metodi di accesso sicuro

Accedi ai database server tramite SSH utilizzando crittografie avanzate. Le cifrature deboli sono disabilitate per impostazione predefinita.
Accedi ai database tramite connessioni cifrate a Oracle Net. Per impostazione predefinita, i nostri servizi sono disponibili mediante canali cifrati e un client Oracle Net configurato per impostazione predefinita utilizzerà sessioni cifrate.

Audit e log

Per impostazione predefinita, l'audit e il log non aggiungono alcuna configurazione aggiuntiva per le distribuzioni commerciali da ciò che il sistema operativo fornisce, ma possono essere migliorati aggiungendo ulteriori impostazioni di sicurezza abilitando STIG.

Per ulteriori informazioni, fare riferimento agli argomenti sotto riportati.

Sicurezza degli utenti

Questo argomento descrive la sicurezza utente disponibile in Base Database Service. I componenti di Base Database Service vengono gestiti a intervalli regolari da diversi account utente. Oracle utilizza e consiglia solo il login SSH basato su token. Gli utenti o i processi Oracle non utilizzano l'autenticazione basata su password.

Per impostazione predefinita, vengono creati i tipi di utenti riportati di seguito.

Utenti predefiniti: nessun privilegio di accesso
Utenti predefiniti: con privilegi di login

Utenti predefiniti: nessun privilegio di accesso

Questo elenco di utenti è composto dagli utenti del sistema operativo predefiniti. Questi utenti non devono essere modificati. Questi utenti non possono eseguire il login al sistema.

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

Utenti predefiniti: con privilegi di login

Questi utenti privilegiati sono responsabili dell'esecuzione della maggior parte delle attività nel sistema. Questi utenti non devono mai essere modificati o eliminati in quanto potrebbero avere un impatto significativo sul sistema in esecuzione. Le chiavi SSH vengono utilizzate per il login.

Di seguito è riportato l'elenco degli utenti predefiniti con privilegi di login.

root è un requisito di Linux. Viene utilizzato con parsimonia per eseguire comandi con privilegi locali. La radice viene utilizzata anche per alcuni processi come TFA Agent. Esegue l'agente locale (detto anche "agente DCS") che esegue le operazioni del ciclo di vita per il software RDBMS (applicazione di patch, creazione di database e così via).
oracle è proprietaria dell'installazione del software Oracle Database ed esegue i processi RDBMS.
grid è proprietaria dell'installazione del software Oracle Grid Infrastructure ed esegue i processi GI.
opc viene utilizzato da Oracle Cloud Automation per le attività di automazione. L'utente ha la possibilità di eseguire determinati comandi privilegiati senza ulteriore autenticazione (per supportare le funzioni di automazione).
mysql è un utente critico e deve essere attivo e in esecuzione per il corretto funzionamento dell'agente DCS in quanto proprietario del metastore dell'agente DCS.

root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

Impostazioni sicurezza

Questo argomento descrive le impostazioni di sicurezza disponibili in Base Database Service. Di seguito sono riportate le impostazioni di sicurezza predefinite disponibili nel sistema.

Tabella - Impostazioni di sicurezza e valori predefiniti

Impostazioni sicurezza	Valori predefiniti
complessità delle password	Lunghezza minima password: 15 Password al massimo di caratteri ripetuti consecutivi della stessa classe di caratteri: 4 Numero massimo di caratteri ripetuti consecutivi con password: 3 Numero minimo di caratteri numerici per l'efficacia della password: 1 Minimo categorie differenti per complessità della password: 4 Numero minimo di caratteri diversi per l'efficacia della password: 8 N. minimo caratteri speciali per l'efficacia della password: 1 Caratteri minuscoli minimi di efficacia della password: 1 Caratteri maiuscoli minimi di efficacia password: 1
Configurazione account utente	Numero massimo di giorni di utilizzo di una password: 60 Numero minimo di giorni consentiti tra le modifiche della password: 1 Algoritmo hash di cifratura: SHA512 Ritardo errore di collegamento: 4 secondi
Opzioni disabilitate	Disabilitato Ctrl-Alt-Del Riavvio Il supporto DCCP è disabilitato Il dispositivo di archiviazione USB è disattivato Gruppo di pacchetti X Windows rimosso
Configurazioni SSH	È consentito solo il protocollo SSH 2 Uso abilitato della separazione dei privilegi Intervallo di timeout inattività SSH: 600 secondi Autenticazione GSSAPI disabilitata Compressione impostata su In ritardo Trusted non certificato consentito per il collegamento SSH al sistema Il daemon SSH non consente l'autenticazione mediante l'autenticazione degli host noti
Package	Rimuovere tutti i componenti software dopo l'installazione delle versioni aggiornate Il sistema impedisce l'installazione di pacchetti locali per software, patch, service pack, driver di dispositivo o componenti del sistema operativo non verificati
Log	I messaggi di sistema e kernel vengono inviati all'host remoto (rsyslog) Cron configurato per il log in rsyslog Configura AIDE per l'esecuzione periodica
Altre	Autenticazione richiesta al boot in modalità utente singolo e di manutenzione Timeout sessione interattiva: 600 secondi PAM configurato nei dispositivi SSSD Servizio di sistema PAM configurato per memorizzare solo le rappresentazioni cifrate delle password Posizione del certificato CA del client backend LDAP SSSD configurato Backend LDAP SSSD configurato per l'uso di TLS per tutte le transazioni Disabilita account dopo scadenza password Le utility di amministrazione degli account di gruppo sono configurate per memorizzare solo le rappresentazioni cifrate delle password

Inoltre, per impostazione predefinita, le aree ONSR consentono a FIPS, SE Linux e STIG di soddisfare gli standard dei requisiti. È possibile migliorare la sicurezza del sistema attivando ulteriori configurazioni. Lo standard di configurazione (STIG) può essere impostato per seguire gli standard più restrittivi e aumentare la conformità alla sicurezza con Oracle Linux 7 STIG di DISA. Uno strumento viene fornito come parte dell'immagine per attivare FIPS, SE Linux e STIG.

Per ulteriori informazioni, fare riferimento agli argomenti sotto riportati.

Processi sicurezza

Questo argomento descrive i processi di sicurezza predefiniti disponibili in Base Database Service. Di seguito è riportato l'elenco dei processi eseguiti per impostazione predefinita sulla virtual machine (sistema DB) utente, denominata anche domU.

Tabella - Processi di sicurezza

Processi Descrizione

Agente domU

Processi	Descrizione
Agente domU	Si tratta di un agente cloud per la gestione delle operazioni del ciclo di vita del database. Viene eseguito come utente `root` La tabella dei processi la mostra come un processo java con i seguenti nomi jar: `dcs-agent-VersionNumber-SNAPSHOT.jar` `dcs-admin-VersionNumber-SNAPSHOT.jar`
Agente TFA	Oracle Trace File Analyzer (TFA) fornisce diversi strumenti di diagnostica in un singolo bundle, semplificando la raccolta di informazioni diagnostiche su Oracle Database e Clusterware, che a loro volta aiutano a risolvere i problemi quando si tratta di Oracle Support. Viene eseguito come utente `root` viene eseguito come demone `initd` (`/etc/init.d/init.tfa`) le tabelle di processo mostrano un'applicazione java (`oracle.rat.tfa.TFAMain`)
Database e GI (clusterware)	Viene eseguito come utenti `oracle` e `grid` alcuni processi daemon CRS/clusterware vengono eseguiti come utente `root` La tabella dei processi mostra le seguenti applicazioni: `ora_`, `apx_`, `ams_` e `oracle+ASM` `mysqld` e `zookeeper` Alcuni altri processi da `/u01/<version>/grid/*`

Si tratta di un agente cloud per la gestione delle operazioni del ciclo di vita del database.

Viene eseguito come utente root
La tabella dei processi la mostra come un processo java con i seguenti nomi jar:
- dcs-agent-VersionNumber-SNAPSHOT.jar
- dcs-admin-VersionNumber-SNAPSHOT.jar

Agente TFA

Oracle Trace File Analyzer (TFA) fornisce diversi strumenti di diagnostica in un singolo bundle, semplificando la raccolta di informazioni diagnostiche su Oracle Database e Clusterware, che a loro volta aiutano a risolvere i problemi quando si tratta di Oracle Support.

Viene eseguito come utente root
viene eseguito come demone initd (/etc/init.d/init.tfa)
le tabelle di processo mostrano un'applicazione java (oracle.rat.tfa.TFAMain)

Database e GI (clusterware)

Viene eseguito come utenti oracle e grid
alcuni processi daemon CRS/clusterware vengono eseguiti come utente root
La tabella dei processi mostra le seguenti applicazioni:
- ora_*, apx_*, ams_* e oracle+ASM*
- mysqld e zookeeper
- Alcuni altri processi da /u01/<version>/grid/*

Sicurezza della rete

Questo argomento descrive la sicurezza di rete in Base Database Service. Di seguito è riportata la lista di porte, processi e regole iptables predefiniti eseguiti per impostazione predefinita sulla virtual machine (sistema DB) utente, denominata anche domU.

Porte per il servizio domU

Nella tabella seguente viene fornito un elenco delle porte predefinite per i servizi domU.

Tabella - Matrice porta predefinita per i servizi domU

Tipo di interfaccia	Nome dell'interfaccia	Porta	Processo in corso
Ascolta tutte le interfacce	0.0.0.0	22	SSH
		1.522	RDBMS: listener TNS
		7.060	Amministrazione DCS
		7.070	Agente DCS
		2.181	Zookeeper
		8.888 8.895	RAC: server QOMS (Quality of Management Service)
		9.000	RAC: Oracle Clusterware
		68	DHCP
		123	NTP
		5.353	DNS multicast
Interfaccia client	ens3	1521	RDBMS: listener TNS
	ens3	5000	RDBMS: Autonomous Health Framework (AHF) (include TFA)
	ens3:1	1521	RDBMS: listener TNS
	ens3:2	1521	RDBMS: listener TNS
	ens3:3	1521	RDBMS: listener TNS
Interconnessione cluster	ens4	1.525	RDBMS: listener TNS
		2.888	Zookeeper
		3.888	Zookeeper
		6.000	RAC: Comunicazione tra processi griglia
		7.000	RAC: servizio High Availability

Regole iptables per domU

Il valore predefinito di iptables è impostato su connessioni ACCEPT nelle catene di input, forward e output.

Di seguito sono riportate le regole iptables predefinite per i servizi domU.

CHAIN INPUT
CHAIN FORWARD
CHAIN OUTPUT

Esempio - Regole iptables

L'esempio seguente fornisce le regole iptables predefinite per i servizi domU.

iptables -L -n -v

Output:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

Responsabilità utente per impostazioni di sicurezza

Questo argomento descrive le responsabilità delle operazioni Oracle Cloud e le responsabilità degli utenti per le impostazioni di sicurezza in Base Database Service. Nella tabella riportata di seguito viene fornito un elenco delle impostazioni di sicurezza che l'utente e le operazioni Oracle Cloud devono eseguire.

Tabella - Oracle Cloud Operations e responsabilità degli utenti per varie operazioni

Operazione	Piattaforma Oracle Cloud		Istanze utente/tenant
Operazione	Responsabilità di Oracle Cloud	Responsabilità utente	Responsabilità di Oracle Cloud	Responsabilità utente
DISTRIBUZIONE NEL DATABASE	Infrastruttura software e linee guida per la distribuzione di Base Database Service	Amministrazione di rete: configura l'infrastruttura di rete cloud (VCN e subnet, gateway e così via). Amministratore di database: imposta i requisiti del database (memoria, storage, calcolo, versione del database, tipo di database e così via).	Installa sistema operativo, database e sistema Grid Infrastructure se selezionato	Amministratore di database: aggiorna la versione del software Oracle Database, la forma dei requisiti delle virtual machine (CPU/memoria), le risorse delle dimensioni di configurazione dello storage dei dati e dello storage di recupero in base ai carichi di lavoro, se necessario (risorse di upgrade/downgrade).
MONITORING	Sicurezza fisica, infrastruttura, piano di controllo, guasti hardware, disponibilità, capacità	Nessuna richiesta	Disponibilità dell'infrastruttura per supportare il monitoraggio degli utenti dei servizi utente.	Amministratore di database: monitoraggio del sistema operativo, dei database, delle applicazioni e di Grid Infrastructure degli utenti
GESTIONE E RISOLUZIONE DEGLI INCIDENTI	Gestione degli incidenti e correzione: parti di ricambio e invio sul campo	Nessuna richiesta	Supporto per eventuali incidenti correlati alla piattaforma sottostante	Amministratore di database: gestione e risoluzione degli incidenti per le applicazioni utente
GESTIONE PATCH	Applicazione proattiva di patch hardware, stack di controllo IaaS/PaaS	Nessuna richiesta	Posizionamento nell'area intermedia delle patch disponibili, ad esempio il set di patch di Oracle Database	Amministratore di database: applicazione di patch alle istanze dei tenant, test Amministratore del sistema operativo: applicazione patch al sistema operativo
BACKUP E RIPRISTINO	Backup e ripristino dell'infrastruttura e del piano di controllo, ricreazione delle virtual machine utente	Nessuna richiesta	Fornire virtual machine in esecuzione e accessibili agli utenti	Amministratore di database: snapshot/backup e recupero dei dati utente IaaS e PaaS utilizzando la funzionalità nativa Oracle o di terze parti

Abilita funzionalità di sicurezza aggiuntive

Il servizio Base Database fornisce le funzionalità di sicurezza aggiuntive riportate di seguito.

dbcli NetSecurity
Integrazione di OCI Vault
CLI per abilitare FIPS

dbcli NetSecurity

Il dbcli NetSecurity si occupa della crittografia dei dati mentre viaggiano attraverso la rete. Quando i dati vengono spostati da Oracle Database a una terza parte o da un server a un client, devono essere cifrati alla fine del mittente e decifrati alla fine del destinatario. In NetSecurity le regole vengono configurate con valori predefiniti sia per il client che per il server durante le operazioni di provisioning e creazione della home del database. L'interfaccia CLI dcs-agent fornisce comandi per aggiornare queste regole NetSecurity e migliorare la sicurezza per algoritmi di cifratura, algoritmi di integrità e tipi di connessione.

Per impostazione predefinita, dcs-agent configura le regole predefinite riportate di seguito per la home del database.

SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
SQLNET.ENCRYPTION_CLIENT=REQUIRED
SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

Per ulteriori informazioni sull'aggiornamento delle impostazioni, vedere Oracle Database CLI Reference.

Integrazione di OCI Vault

Il servizio Base Database ora prevede l'integrazione con il servizio OCI Vault in tutte le aree commerciali OCI. Ora puoi creare e gestire le chiavi principali TDE all'interno del vault OCI che proteggono i database. Questa funzione consente di iniziare a utilizzare il servizio Vault OCI per memorizzare e gestire le chiavi di cifratura master. Le chiavi di OCI Vault utilizzate per proteggere i database vengono memorizzate in un servizio ad alta disponibilità, durevole e gestito.

Nota

L'integrazione di OCI Vault è disponibile solo per Oracle Database versioni 19.13 e successive.

Con l'integrazione di OCI Vault con Base Database Service, puoi:

Controlla e gestisci centralmente le chiavi principali TDE abilitando la cifratura delle chiavi basata su OCI Vault durante il provisioning dei database Oracle in Base Database Service.
Conservare le chiavi principali TDE in un servizio ad alta disponibilità, durevole e gestito in cui le chiavi sono protette da moduli di sicurezza hardware (HSM) che soddisfano la certificazione di sicurezza FIPS (Federal Information Processing Standards) 140-2 Livello 3.
Ruotare periodicamente le chiavi di cifratura per mantenere la conformità alla sicurezza e, in caso di modifiche al personale, disabilitare l'accesso a un database.
Eseguire la migrazione dalle chiavi gestite da Oracle alle chiavi gestite dall'utente per i database esistenti.
Inserisci le tue chiavi, ovvero BYOK (Bring Your Own Key), e usale durante la creazione di database con la cifratura gestita dall'utente.

Nota

BYOK è applicabile solo al container database (CDB). Al pluggable database (PDB) verrà assegnata una nuova versione di chiave generata automaticamente.
I database Oracle che utilizzano la cifratura gestita dall'utente supportano la duplicazione del sistema DB, il ripristino in loco, il ripristino fuori luogo, la configurazione Data Guard intraregionale e le operazioni specifiche del PDB come la creazione di PDB e la duplicazione locale.

CLI per abilitare FIPS

Oracle offre agli utenti commerciali uno strumento per migliorare la sicurezza per impostazione predefinita. Questo strumento viene utilizzato per abilitare FIPS, SE Linux e STIG a seguire gli standard più rigorosi.

Per ulteriori informazioni, vedere Enable FIPS, SE Linux, and STIG on the DB System Components.