Controle de Acesso no Autonomous AI Database na Infraestrutura Dedicada do Exadata

Ao configurar o Autonomous AI Database on Dedicated Exadata Infrastructure, você precisa garantir que seus usuários de nuvem tenham acesso para usar e criar somente os tipos apropriados de recursos de nuvem para executar suas tarefas de job. Além disso, você precisa garantir que apenas pessoal autorizado e aplicativos tenham acesso aos Autonomous AI Databases criados na infraestrutura dedicada. Caso contrário, você corre o risco de consumo "sem consumo" de seus recursos de infraestrutura dedicados ou acesso inadequado a dados de missão crítica.

Antes de iniciar a criação e o uso dos recursos de nuvem que fornecem o recurso dedicado de infraestrutura, você precisa formular um plano de controle de acesso e, em seguida, instituir criando recursos apropriados do IAM (Identity and Access Management) e do Networking. Assim, o controle de acesso em um Autonomous AI Database é implementado em vários níveis:

• Controle de acesso do usuário do Oracle cloud
• Controle de acesso do cliente
• Controle do acesso de usuário do banco de dados

Controle de Acesso do Usuário do Oracle Cloud

Você controla qual acesso os usuários do Oracle Cloud em sua tenancy têm para os recursos da nuvem que compõem sua implantação do Autonomous AI Database on Dedicated Exadata Infrastructure.

Use o serviço Identity and Access Management (IAM) para garantir que seus usuários de nuvem tenham acesso para criar e usar somente os tipos apropriados de recursos do Autonomous AI Database para executar suas tarefas de job. Para instituir controles de acesso para usuários da nuvem, defina políticas que concedam a grupos específicos de usuários direitos de acesso específicos a tipos específicos de recursos em compartimentos específicos.

O serviço IAM fornece vários tipos de componentes para ajudá-lo a definir e implementar uma estratégia segura de acesso do usuário à nuvem:

• Compartimento: Uma coleção de recursos relacionados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem.

• Grupo: Uma coleção de usuários que precisam do mesmo tipo de acesso a um conjunto específico de recursos ou compartimento.

• Grupo Dinâmico: Um tipo especial de grupo que contém recursos que correspondem às regras que você define. Dessa forma, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos.

• Política: Um grupo de instruções que especificam quem pode acessar quais recursos e como. O acesso é concedido no nível do grupo e do compartimento, o que significa que você escreve uma instrução de política que fornece a um grupo específico um tipo específico de acesso a um tipo específico de recurso em um compartimento específico.

Instruções de Política e Política

A principal ferramenta usada para definir controle de acesso para usuários da nuvem é a política, um recurso do IAM (Identity and Access Management) que contém instruções da política que especificam acesso em termos de "Quem", "Como", "O Que" e "Onde".

O formato de uma instrução de política é:

Allow
  group <group-name>
  to <control-verb>
  <resource-type>
  in compartment <compartment-name>

• O grupo <group-name> especifica o "Quem" fornecendo o nome de um grupo existente do IAM, um recurso do IAM ao qual usuários individuais da nuvem podem ser designados.

• para <control-verb> especifica o "Como" usando um destes verbos pré-definidos:

  • inspect: a capacidade de listar recursos do tipo fornecido, sem acesso a informações confidenciais ou metadados especificados do usuário que possam ser parte desse recurso.

  • read: inspect mais a capacidade de obter metadados especificados do usuário e o próprio recurso real.

  • use: read mais a capacidade de trabalhar com recursos existentes, mas não de criá-lo ou excluí-lo. Além disso, "work with" significa operações diferentes para tipos de recursos diferentes.

  • manage: todas as permissões para o tipo de recurso, incluindo criação e exclusão.

  No contexto do recurso dedicado de infraestrutura, um administrador da frota pode manage Autonomous Container Databases, enquanto um administrador do banco de dados pode apenas use eles para criar Autonomous AI Databases.

• <resource-type> especifica o "O Que" usando um resource-type predefinido. Os valores de tipo de recurso para os recursos de infraestrutura dedicados são:

  • exadata-infrastructures
  • autonomous-container-databases
  • autonomous-databases
  • backups autônomos

  Como recursos dedicados de infraestrutura usam recursos em rede, algumas das declarações de política que você cria se referirão ao valor do resource-type virtual-network-family. Além disso, você pode criar declarações de política que se refiram ao valor do tipo de recurso tag-namespaces se a tag for usada em sua tenancy.

• no compartimento <compartment-name> especifica o "Onde" fornecendo o nome de um compartimento existente do IAM, um recurso do IAM no qual os recursos são criados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar recursos na nuvem.

Para obter os detalhes da política do Autonomous AI Database, consulte Políticas do IAM para o Autonomous AI Database na Infraestrutura Dedicada do Exadata.

Para obter informações sobre como o serviço IAM e seus componentes funcionam e como usá-los, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management. Para obter respostas rápidas para perguntas comuns sobre o serviço IAM, consulte as Perguntas Mais Frequentes sobre o Identity and Access Management.

Melhores Práticas ao Planejar e Instituir Controles de Acesso

Ao planejar e instituir seus controles de acesso para o recurso de infraestrutura dedicada, você deve considerar essas melhores práticas.

• Crie uma VCN separada que contenha apenas sub-redes privadas. Em quase todos os caso, os Autonomous AI Databases criados em dados da infraestrutura dedicada da casa que sejam sensíveis à empresa e normalmente sejam acessíveis apenas de dentro da rede privada da empresa. Mesmo os dados compartilhados com parceiros, fornecedores, consumidores e clientes são disponibilizados por meio de canais regulamentados e seguros.

  Portanto, o acesso à rede fornecido a esses bancos de dados deve ser privado para sua empresa. Você pode garantir isso criando uma VCN que use sub-redes privadas e uma VPN IPSec ou o FastConnect para estabelecer conexão com a rede privada da sua empresa. Para obter informações sobre como definir essa configuração, consulte Cenário B: Sub-redes Privadas com uma VPN na Documentação do Oracle Cloud Infrastructure.

  Para obter informações adicionais sobre a proteção da conectividade de rede com seus bancos de dados, consulte Maneiras de Proteger Sua Rede na Documentação do Oracle Cloud Infrastructure.

• Crie pelo menos duas sub-redes. Você deve criar pelo menos duas sub-redes: uma para recursos do Autonomous Exadata VM Cluster e Autonomous Container Database e outra para recursos associados aos clientes e aplicativos do Autonomous AI Database.

• Crie pelo menos dois compartimentos. Crie pelo menos dois compartimentos: um para recursos Exadata Infrastructure, Autonomous Exadata VM Cluster e Autonomous Container Database e outro para recursos do Autonomous AI Database.

• Crie pelo menos dois grupos. Você deve criar pelo menos dois grupos: um para administradores de frota e outro para administradores de banco de dados.

Controle de Acesso do Cliente

O controle de acesso do cliente é implementado no Autonomous AI Database controlando o controle de acesso à rede e as conexões do cliente.

Controle de Acesso à Rede

Você define o controle de acesso à rede para Autonomous AI Databases ao configurar e configurar a implantação dedicada do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. A forma como você faz isso depende se sua implantação dedicada está no Oracle Public Cloud ou no Exadata Cloud@Customer:

• No Oracle Public Cloud, você define o controle de acesso à rede usando componentes do serviço Networking. Você cria uma VCN (Rede Virtual na Nuvem) que contém Sub-redes privadas nas quais seus Autonomous AI Databases podem ser acessados pela rede. Além disso, você cria Regras de Segurança para permitir um tipo específico de tráfego dentro ou fora dos endereços IP em uma sub-rede.

  Para obter informações detalhadas sobre como criar esses recursos, execute o Laboratório 1: Preparar Rede Privada para Implementação do OCI no Oracle Autonomous AI Database Dedicated for Fleet Administradores.

• No Exadata Cloud@Customer, você define controles do acesso de rede especificando uma rede cliente dentro do seu datacenter e gravando-a em um recurso de Rede de Cluster de VMs dentro do recurso do Exadata Infrastructure.

Roteamento de Pacotes de Confiança Zero (ZPR)

APLICA-SE A: Oracle Public Cloud somente

O Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protege dados confidenciais contra acesso não autorizado por meio de políticas de segurança baseadas em intenção que você grava para recursos, como um Cluster de VMs do Autonomous Exadata (AVMC) ao qual você designa atributos de segurança.

Atributos de segurança são labels que o ZPR usa para identificar e organizar recursos. O ZPR impõe a política no nível da rede sempre que o acesso é solicitado, independentemente de possíveis alterações na arquitetura da rede ou configurações incorretas. O ZPR é criado com base nas regras existentes de grupo de segurança de rede (NSG) e lista de controle de segurança (SCL). Para que um pacote atinja um destino, ele deve passar por todas as regras NSG e SCL e pela política ZPR. A solicitação será eliminada se qualquer regra ou política NSG, SCL ou ZPR não permitir tráfego.

É possível proteger redes com ZPR em três etapas:

1. Crie artefatos ZPR, ou seja, namespaces de atributo de segurança e atributos de segurança.

2. Gravar políticas de ZPR para conectar recursos usando atributos de segurança. O ZPR usa uma ZPR Policy Language (ZPL) e impõe restrições de acesso a recursos definidos. Como cliente do Autonomous AI Database on Dedicated Exadata Infrastructure, você pode gravar políticas baseadas em ZPL em sua tenancy para garantir que os dados de AVMCs sejam acessados somente por usuários e recursos autorizados.

3. Designe atributos de segurança a recursos para ativar as políticas de ZPR.

   Observação: evite inserir informações confidenciais ao atribuir descrições, tags, atributos de segurança ou nomes amigáveis aos recursos de nuvem por meio da console, API ou CLI do Oracle Cloud Infrastructure.

Consulte Conceitos Básicos do Roteamento de Pacotes de Confiança Zero para obter mais informações.

Você tem as seguintes opções para aplicar atributos de segurança ZPR a um AVMC:

• Aplique atributos de segurança ao provisionar um AVMC. Consulte Create an Autonomous Exadata VM Cluster para mais informações.

• Aplique atributos de segurança a um recurso AVMC existente. Consulte Configurar ZPR (Zero Trust Packet Routing) para um AVMC para obter mais informações.

Como pré-requisito, as seguintes políticas do serviço IAM devem ser definidas para adicionar atributos de segurança ZPR a um AVMC com sucesso:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy

allow group <group_name>
to manage autonomous-database-family
in tenancy

allow group <group_name>
to read security-attribute-namespaces
in tenancy

Listas de Controle de Acesso (ACLs, Access Control Lists)

Para maior segurança, você pode ativar as ACLs (Listas de Controle de Acesso) nas implantações dedicadas da Oracle Public Cloud e do Exadata Cloud@Customer. Uma ACL oferece proteção adicional ao seu banco de dados permitindo apenas que o cliente com endereços IP específicos se conecte ao banco de dados. Você pode adicionar endereços IP individualmente ou em blocos CIDR. São suportados IPs/CIDRs baseados em IPv4 e IPv6. Isso permite que você formule uma política de controle do acesso refinado limitando o acesso à rede de seu Autonomous AI Database a aplicativos ou clientes específicos.

Além disso, você pode criar uma ACL durante o provisionamento do banco de dados ou a qualquer momento. Você também pode editar uma ACL a qualquer momento. A ativação de uma ACL com uma lista vazia de endereços IP torna o banco de dados inacessível. Consulte Definir Lista de Controle de Acesso para um Autonomous AI Database Dedicado para ver detalhes.

Observe o seguinte sobre como usar uma ACL com o Autonomous AI Database:

• A Console do Autonomous AI Database Service não está sujeita às regras da ACL.
• Os serviços RESTful, Oracle Application Express (APEX), SQL Developer Web e Hub de Desempenho não estão sujeitos às ACLs.
• Durante a criação de um Autonomous AI Database, se a definição da ACL falhar, o provisionamento do banco de dados também falhará.
• A atualização de uma ACL só será permitida se o banco de dados estiver no estado Disponível.
• A restauração de um banco de dados não substitui as ACLs existentes.
• A clonagem de um banco de dados, completo e metadados, terá as mesmas definições de controle de acesso que o banco de dados de origem. Você pode fazer alterações conforme necessário.
• O backup não está sujeito às regras de ACL.
• Durante uma atualização de ACL, todas as operações do Autonomous Container Database (CDB) são permitidas, mas não são permitidas operações do Autonomous AI Database.

Web Application Firewall (WAF)

Para controles de rede avançados além das Listas de Controle de Acesso, o Oracle Autonomous AI Database on Dedicated Exadata Infrastructure suporta o uso do WAF (Web Application Firewall). O WAF protege aplicativos contra tráfego mal-intencionado e indesejado na internet. O WAF pode proteger qualquer ponto final voltado à Internet, fornecendo uma aplicação consistente de regra entre os aplicativos de um cliente. O WAF oferece a você a capacidade de criar e gerenciar regras para ameaças à Internet, incluindo Cross-Site Scripting (XSS), injeção de SQL e outras vulnerabilidades definidas pelo OWASP. As regras de acesso podem ser limitadas com base na geografia ou na assinatura da solicitação. Consulte Conceitos Básicos de Políticas do Serviço Web Application Firewall para obter etapas sobre como configurar o WAF.

Controle de Conexão do Cliente

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implementa o controle de conexão do cliente com autenticação baseada em certificado TLS 1.2 e TLS 1.3 padrão para autenticar uma conexão do cliente. No entanto, o TLS 1.3 só é suportado no Oracle Database 23ai ou em uma versão posterior.

Por padrão, o Autonomous AI Database usa certificados autoassinados. No entanto, você pode instalar seu certificado do servidor assinado pela CA na console do Oracle Cloud Infrastructure (OCI). Para trazer seu próprio certificado, primeiro crie o certificado usando o Serviço de Certificado do OCI (Oracle Cloud Infrastructure) conforme demonstrado em Criando um Certificado. Esses certificados devem ser assinados e devem estar no formato PEM, ou seja, sua extensão de arquivos deve ser apenas .pem, .cer ou .crt. Para obter mais detalhes, consulte Gerenciamento de Certificados no Autonomous AI Database Dedicado.

Controle de Acesso do Usuário ao Banco de Dados

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure configura os bancos de dados que você cria para usar o recurso padrão de gerenciamento de usuários do Oracle AI Database. Ele cria uma conta de usuário administrativo, ADMIN, que você usa para criar contas de usuário adicionais e fornecer controles de acesso para contas.

O gerenciamento de usuários padrão fornece um conjunto robusto de recursos e controles, como privilégios de sistema e objeto, atribuições, perfis de usuário e políticas de senha, que permitem definir e implementar uma estratégia de acesso seguro ao usuário do banco de dados na maioria dos casos. Consulte Criar e Gerenciar Usuários do Banco de Dados para obter instruções detalhadas.

Para obter informações básicas sobre o gerenciamento de usuários padrão, consulte Contas do Usuário em Conceitos de Oracle AI Database. Para obter informações e orientação detalhadas, consulte Managing Security for Oracle Database Users no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide.

Se a estratégia de acesso do usuário ao banco de dados exigir mais controles do que os fornecidos pelo gerenciamento de usuário padrão, você poderá configurar seus Autonomous AI Databases para usar qualquer uma das ferramentas a seguir para atender a requisitos mais rigorosos.

Ferramenta	Descrição
Database Vault	O Oracle Database Vault vem pré-configurado e pronto para uso em Autonomous AI Databases. Você pode usar seus controles de segurança avançados para restringir o acesso a dados de aplicativos por usuários privilegiados de banco de dados, reduzindo o risco de ameaças internas e externas e tratando-se de requisitos comuns de conformidade. Consulte Proteção de Dados em Recursos de Segurança do Autonomous AI Database para obter mais detalhes.
Oracle Cloud Infrastructure Identity and Access Management (IAM)	Você pode configurar o Autonomous AI Database para usar a autenticação e a autorização do Oracle Cloud Infrastructure Identity and Access Management (IAM) para permitir que os usuários do IAM acessem um Autonomous AI Database com credenciais do IAM. Consulte Usar Autenticação do IAM (Identity and Access Management) com o Autonomous AI Database para usar essa opção com seu banco de dados.
Tokens de Acesso do OAuth2 do Azure	Você pode gerenciar centralmente os usuários do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure em um serviço Azure AD (Microsoft Azure Active Directory) com a ajuda de tokens de acesso oAuth2 do Azure. Esse tipo de integração permite que o usuário do Azure AD acesse uma instância do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. Usuários e aplicativos do Azure AD podem efetuar log-on com credenciais do Azure AD Single Sign On (SSO) para obter um token do Azure AD OAuth2 para enviar ao banco de dados. Para obter mais informações sobre como integrar o Microsoft Azure Active Directory aos seus bancos de dados, consulte Autenticar e Autorizar Usuários do Microsoft Azure Active Directory para o Autonomous AI Database.
Microsoft Active Directory (CMU-AD)	Se você usar o Microsoft Active Directory como repositório de usuários, poderá configurar seus Autonomous AI Databases para autenticar e autorizar usuários doMicrosoft Active Directory. Essa integração pode permitir que você consolide seu repositório de usuários ao mesmo tempo em que implementa uma rigorosa estratégia de acesso de usuários do banco de Dados, independentemente de você usar o gerenciamento de usuários padrão, o Database Vault, o Real Application Security ou um Virtual Private Database. Para obter mais informações sobre como integrar o Microsoft Active Directory aos seus bancos de dados, consulte Microsoft Active Directory com o Autonomous AI Database.
Kerberos	O Kerberos é um sistema de autenticação de terceiros confiável que depende de segredos compartilhados. Ele presume que o terceiro é seguro e fornece recursos de sign-on único, armazenamento de senha centralizado, autenticação de link de banco de dados e segurança aprimorada do PC. Ele faz isso por meio de um servidor de autenticação do Kerberos. O suporte do Autonomous AI Database para Kerberos oferece os benefícios do sign-on único e da autenticação centralizada dos usuários Oracle. Para obter mais informações, consulte Autenticar Usuários do Autonomous AI Database com o Kerberos.
Kerberos com CMU-AD	A autenticação do Kerberos pode ser configurada na parte superior do CMU-AD para fornecer autenticação do CMU-AD Kerberos para usuários do Microsoft Active Directory. Para fornecer autenticação CMU-AD do Kerberos para usuários do Microsoft Active Directory, você pode ativar a autenticação do Kerberos na parte superior do CMU-AD definindo type como CMU ao ativar a autenticação externa, conforme demonstrado no exemplo discutido em Ativar Autenticação do Kerberos no Autonomous AI Database.
Real Application Security e Virtual Private Database	O Oracle Real Application Security (RAS) fornece um modelo declarativo que permite políticas de segurança que englobam não apenas os objetos de negócios que estão sendo protegidos, mas também os principais (usuários e atribuições) que têm permissões para operar nesses objetos de negócios. O RAS é mais seguro, escalável e econômico do que seu antecessor, o Oracle Virtual Private Database. Com o Oracle RAS, os usuários de aplicativos são autenticados na camada do aplicativo, bem como no banco de dados. Independentemente do caminho de acesso a dados, as políticas de segurança de dados são aplicadas no kernel do banco de dados com base na sessão nativa do usuário final no banco de dados. Os privilégios designados ao usuário controlam o tipo de operações (selecionar, inserir, atualizar e excluir) que podem ser executadas em linhas e colunas dos objetos de banco de dados. For more information about Oracle RAS, see Introducing Oracle Database Real Application Security in Oracle Database 19c Real Application Security Administrator's and Developer's Guide or Oracle Database 26ai Real Application Security Administrator's and Developer's Guide. O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure também suporta o Oracle Virtual Private Database (VPD), o antecessor do Oracle RAS. Se você já estiver familiarizado com o Oracle VPD e usá-lo, poderá configurá-lo e usá-lo com seus Autonomous AI Databases. Para obter mais informações sobre Banco de Dados Privado Virtual, consulte Using Oracle Virtual Private Database to Control Data Access no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

PAM (Privleged Access Management, Gerenciamento do acesso privilegiado)

A postura de segurança da Oracle em torno do acesso do usuário e do gerenciamento de privilégios em seus produtos e serviços está documentada no Oracle Access Control.

O Autonomous AI Database on Dedicated Exadata Infrastructure foi projetado para isolar e proteger os serviços ao cliente e os dados do banco de dados contra acesso não autorizado. O Autonomous AI Database separa as tarefas entre o cliente e a Oracle. O cliente controla o acesso aos esquemas do banco de dados. A Oracle controla o acesso a componentes de software e infraestrutura gerenciados pela Oracle.

O Autonomous AI Database on Dedicated Exadata Infrastructure foi projetado para ajudar a proteger os dados para uso autorizado pelo cliente e ajudar a proteger os dados contra acesso não autorizado, o que inclui impedir o acesso aos dados do cliente pelos membros da equipe do Oracle Cloud Ops. As medidas de segurança projetadas para proteger contra acesso não autorizado à Infraestrutura Exadata, VMs Autônomas e dados do banco de dados Oracle incluem o seguinte:

• Os dados do Oracle Database são protegidos pelas chaves do Oracle Transparent Data Encryption (TDE).
• O cliente controla o acesso às chaves de criptografia de TDE e pode optar por armazenar essas chaves em um sistema de gerenciamento de chaves externo do Oracle Key Vault.
• O Oracle Database Vault é pré-configurado para impedir que usuários privilegiados acessem dados de clientes em Autonomous AI Databases.
• Os clientes podem optar por aprovar o acesso do Operador por meio da inscrição no serviço Operator Access Control.
• Todo o acesso do operador é baseado na autenticação multifator de hardware FIPS 140-2 nível 3, implementada com um YubiKey de hardware implementado com dispositivos aprovados pela Oracle.
• Todas as ações do operador são registradas no nível do comando e podem ser enviadas ao serviço de log do OCI ou a um SIEM do cliente quase em tempo real.

• O Oracle Operations Access Control garante que as contas de usuário que as equipes de suporte e operações do Oracle Cloud usam para monitorar e analisar o desempenho não possam acessar dados no Autonomous AI Databases. As operações e a equipe de suporte da Oracle Cloud não têm acesso aos dados em seus Autonomous AI Databases. Quando você cria um Autonomous Container Database, o Autonomous AI Database on Dedicated Exadata Infrastructure ativa e configura o recurso Operations Control do Oracle Database Vault para bloquear o acesso de usuários comuns aos dados em Autonomous AI Databases criados no banco de Dados contêiner.

  Você pode confirmar que o Controle de Operações está ativo, informando esta instrução SQL em um Autonomous AI Database:

  SELECT * FROM DBA_DV_STATUS;
  

  O status de APPLICATION CONTROL indica que o Controle de Operações está ativo.

  Observação: O Controle de Operações era conhecido anteriormente como Controle da Aplicação.

O PAM também é implementado com o Database Vault para proteção de dados, conforme discutido em Recursos de Segurança do Autonomous AI Database.

Conteúdo Relacionado

Principais Recursos de Segurança