1. Framework Migliori prassi per Oracle Cloud Infrastructure
  2. Proteggi i tuoi database

Proteggi i tuoi database

Assicurarsi che i database server, l'accesso alla rete e i dati effettivi siano protetti.

Controllo dell'accesso di utenti e di rete

Architetto enterprise, Architetto sicurezza, Architetto dati

Utilizzare password, subnet private e gruppi di sicurezza di rete per controllare l'accesso utente e di rete.
  • Assicurarsi che le password utilizzate per l'autenticazione nel database siano forti.
  • Collegare i sistemi DB alle subnet private.

    Una subnet privata non dispone di connettività internet. È possibile utilizzare un gateway NAT per il traffico in uscita protetto e un gateway di servizio per connettersi agli endpoint di backup (storage degli oggetti).

  • Utilizzare i gruppi di sicurezza di rete o gli elenchi di sicurezza per consentire solo l'accesso di rete richiesto ai sistemi DB.

Limita autorizzazioni per l'eliminazione delle risorse del database

Architetto enterprise, Architetto sicurezza, Architetto dati

Per evitare l'eliminazione accidentale o dannosa dei database, concedere le autorizzazioni di eliminazione (DATABASE_DELETE e DB_SYSTEM_DELETE) a un set minimo di utenti e gruppi.

Le istruzioni dei criteri IAM riportate di seguito consentono agli utenti del database di gestire database, sistemi di database e home di database. La condizione where request.permission!='DB_SYSTEM_DELETE'garantisce tuttavia che gli utenti del database non possano eliminare i database. 

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

Cifra dati

Architetto enterprise, Architetto sicurezza, Architetto dati

Tutti i database creati in Oracle Cloud Infrastructure vengono cifrati utilizzando la cifratura dati trasparente (TDE). Assicurarsi che tutti i database migrati siano cifrati.
Ruota periodicamente la chiave principale TDE. Il periodo di rotazione consigliato è uguale o inferiore a 90 giorni.

Applica patch di sicurezza

Architetto enterprise, Architetto sicurezza, Architetto dati

Applicare le patch di sicurezza Oracle Database (Oracle Critical Patch Updates) per mitigare i problemi di sicurezza noti e mantenere aggiornate le patch.

Usa strumenti di sicurezza DB

Architetto enterprise, Architetto sicurezza, Architetto dati

Oracle Database Security Assessment Tool fornisce controlli automatici della configurazione della sicurezza dei database Oracle in Oracle Cloud Infrastructure. Oracle Audit Vault and Database Firewall (AVDF) monitora i log di audit del database e crea avvisi.

Abilita Data Safe

Architetto enterprise, Architetto sicurezza, Architetto dati

Data Safe è un centro di controllo unificato per il cloud Oracle e i database in locale. Utilizzare Data Safe per valutare la configurazione della sicurezza del database e dei dati, rilevare il rischio associato per gli account utente, identificare i dati sensibili esistenti, implementare i controlli per proteggere i dati e controllare l'attività degli utenti.
  • Estendere la politica di conservazione dell'audit sicuro dei dati a un anno.
  • Maschera dati identificati come riservati dalla ricerca automatica dei dati.
  • Utilizzare la valutazione della sicurezza per identificare i controlli di sicurezza consigliati da Center for Internet Security (CIS), General Data Protection Regulation (GDPR) e Department of Defense Library of Security Technical Implementation Guides (STIG).
  • Impostare gli avvisi per gli eventi chiave in Audit attività sicura dati.

Abilita endpoint privati per database autonomi

Architetto enterprise, Architetto sicurezza, Architetto dati

Se possibile, utilizzare endpoint privati con Oracle Autonomous Transaction Processing.
Un endpoint privato viene utilizzato per eliminare l'accesso pubblico ai database autonomi condivisi. Tutto il traffico per il database rimane privato utilizzando un VCN in Oracle Cloud Infrastructure senza la necessità di instradamento di transito o l'uso di un gateway di servizio.
  • Utilizzare una subnet privata dedicata durante la definizione degli endpoint privati.
  • Per il gruppo di sicurezza di rete endpoint privato, definire una regola Ingresso senza conservazione dello stato con TCP protocollo e porta di destinazione uguale alla porta listener database. Limitare l'etichetta CIDR di origine solo alle subnet o, per i gateway di instradamento dinamico (DRG) in locale, con accesso consentito.
  • Per il gruppo di sicurezza di rete endpoint privato, definire una regola Egress senza conservazione dello stato con protocollo TCP. Limitare il CIDR di destinazione solo alle subnet o, per i DRG in locale, con accesso consentito.

Ulteriori informazioni