Controle de Acesso no Autonomous AI Database na Infraestrutura Dedicada do Exadata

Ao configurar o Autonomous AI Database on Dedicated Exadata Infrastructure, certifique-se de que seus usuários de nuvem tenham acesso para usar e criar apenas os tipos apropriados de recursos de nuvem para executar suas tarefas de job. Além disso, você precisa garantir que apenas o pessoal autorizado e os aplicativos tenham acesso ao Autonomous AI Databases criado na infraestrutura dedicada. Caso contrário, você corre o risco de consumo "sem controle" de seus recursos da infraestrutura dedicada ou de acesso inadequado a dados de missão crítica.

Antes de iniciar a criação e o uso dos recursos de nuvem que fornecem o recurso dedicado de infraestrutura, você precisa formular um plano de controle de acesso e, em seguida, instituir criando os recursos apropriados do IAM (Identity and Access Management) e do Networking. Consequentemente, o controle de acesso em um Autonomous AI Database é implementado em vários níveis:
  • controle de acesso do usuário à nuvem da Oracle
  • Controle de acesso do cliente
  • Controle de acesso do usuário do banco de dados

Tópicos Relacionados

Controle de Acesso do Usuário do Oracle Cloud

Você controla qual acesso os usuários do Oracle Cloud em sua tenancy têm aos recursos da nuvem, que compõem sua implantação do Autonomous AI Database on Dedicated Exadata Infrastructure.

Use o serviço Identity and Access Management (IAM) para garantir que seus usuários de nuvem tenham acesso para criar e usar apenas os tipos apropriados de recursos do Autonomous AI Database para executar suas tarefas de job. Para instituir controles de acesso para usuários da nuvem, defina políticas que concedam a grupos específicos de usuários direitos de acesso específicos a tipos específicos de recursos em compartimentos específicos.

O serviço IAM fornece vários tipos de componentes para ajudá-lo a definir e implementar uma estratégia segura de acesso do usuário à nuvem:

  • Compartimento: Um conjunto de recursos relacionados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem.

  • Grupo: Um conjunto de usuários que precisam do mesmo tipo de acesso a um determinado conjunto de recursos ou compartimento.

  • Grupo Dinâmico: Um tipo especial de grupo que contém recursos que correspondem às regras definidas por você. Dessa forma, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos.

  • Política: Um grupo de instruções que especificam quem pode acessar quais recursos e como. O acesso é concedido no nível do grupo e do compartimento, o que significa que você escreve uma instrução de política que fornece a um grupo específico um tipo específico de acesso a um tipo específico de recurso em um compartimento específico.

Política e Instruções de Política

A principal ferramenta que você usa para definir o controle de acesso para usuários da nuvem é a política, um recurso do serviço IAM (Identity and Access Management) que contém instruções de política que especificam o acesso em termos de "Quem", "Como", "O Que" e "Onde".

O formato de uma instrução de política é:
Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

  • group <group-name> especifica "Quem" fornecendo o nome de um grupo existente do serviço IAM, um recurso do serviço IAM ao qual usuários de nuvem individuais podem ser designados.

  • to <control-verb> especifica "Como" usando um destes verbos de controle predefinidos:

    • inspect: a capacidade de listar recursos do tipo fornecido, sem acesso a informações confidenciais ou a metadados especificados pelo usuário que possam fazer parte desses recursos.
    • read: inspect mais a capacidade de obter metadados especificados pelo usuário e o próprio recurso real.
    • use: read mais a capacidade de trabalhar com recursos existentes, mas não de criá-los ou excluí-los. Além disso, "trabalhar com" significa operações distintas para diferentes tipos de recursos.
    • manage: todas as permissões para o tipo de recurso, incluindo criação e exclusão.

    No contexto do recurso dedicado de infraestrutura, um administrador da frota pode manage Autonomous Container Databases, enquanto um administrador do banco de dados pode apenas use eles para criar Autonomous AI Databases.

  • <resource-type> especifica o item "O que" usando um tipo de recurso predefinido. Os valores de tipo de recurso para os recursos de infraestrutura dedicados são:

    • exadata-infrastructures
    • autonomous-container-databases
    • autonomous-databases
    • autonomous-backups

    Como os recursos da infraestrutura dedicada usam recursos de rede, algumas das instruções de política criadas referem-se ao valor do tipo de recurso virtual-network-family. Além disso, você pode criar instruções de política que se refiram ao valor do tipo de recurso tag-namespaces se a tag for usada em sua tenancy.

  • in compartment <compartment-name> especifica "Onde" fornecendo o nome de um compartimento IAM existente, um recurso IAM no qual os recursos são criados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar recursos na nuvem.

Para obter os detalhes da política do Autonomous AI Database, consulte Políticas do IAM para o Autonomous AI Database em uma Infraestrutura Dedicada do Exadata.

Para obter informações sobre como o serviço IAM e seus componentes funcionam e como usá-los, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management. Para obter respostas rápidas para perguntas comuns sobre o serviço IAM, consulte as Perguntas Mais Frequentes sobre o Identity and Access Management.

Melhores Práticas ao Planejar e Instituir Controles de Acesso

Ao planejar e instituir seus controles de acesso para o recurso de infraestrutura dedicada, você deve considerar essas melhores práticas.

  • Crie uma VCN separada que contenha apenas sub-redes privadas. Em quase todos os caso, os Autonomous AI Databases criados em dados da casa de infraestrutura dedicada que são sensíveis à empresa e normalmente são acessíveis apenas de dentro da rede privada da empresa. Mesmo os dados compartilhados com parceiros, fornecedores, consumidores e clientes são disponibilizados por meio de canais regulamentados e seguros.

    Portanto, o acesso à rede fornecido a esses bancos de dados deve ser privado para sua empresa. Você pode garantir isso criando uma VCN que use sub-redes privadas e uma VPN IPSec ou o FastConnect para estabelecer conexão com a rede privada da sua empresa. Para obter informações sobre como definir essa configuração, consulte Cenário B: Sub-redes Privadas com uma VPN na Documentação do Oracle Cloud Infrastructure.

    Para obter informações adicionais sobre como proteger a conectividade de rede com seus bancos de dados, consulte Maneiras de Proteger a Sua Rede na Documentação do Oracle Cloud Infrastructure.

  • Crie pelo menos duas sub-redes. Você deve criar pelo menos duas sub-redes: uma para recursos do Autonomous Exadata VM Cluster e Autonomous Container Database e outra para recursos associados aos clientes e aplicativos do Autonomous AI Database.

  • Crie pelo menos dois compartimentos. Crie pelo menos dois compartimentos: um para recursos Exadata Infrastructure, Autonomous Exadata VM Cluster e Autonomous Container Database e outro para recursos do Autonomous AI Database.

  • Crie pelo menos dois grupos. Você deve criar pelo menos dois grupos: um para administradores de frota e outro para administradores de banco de dados.

Controle de Acesso do Cliente

O controle de acesso do cliente é implementado no Autonomous AI Database controlando o controle de acesso à rede e as conexões do cliente.

Controle de Acesso à Rede

Você define o controle de acesso de rede para Autonomous AI Databases ao configurar e configurar a implantação dedicada do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. A forma como você faz isso depende se sua implantação dedicada está no Oracle Public Cloud ou no Exadata Cloud@Customer:

  • No Oracle Public Cloud, você define o controle de acesso à rede usando componentes do serviço Networking. Você cria uma VCN (Rede Virtual na Nuvem) que contém Sub-redes privadas nas quais seus Autonomous AI Databases são acessíveis à rede. Além disso, você cria Regras de Segurança para permitir um tipo específico de tráfego dentro ou fora dos endereços IP em uma sub-rede.

    Para obter informações detalhadas sobre a criação desses recursos, execute o Lab 1: Prepare Private Network for OCI Implementation no Oracle Autonomous AI Database Dedicated for Fleet Administrators.

  • No Exadata Cloud@Customer,, você define controles de acesso à rede especificando uma rede do cliente no seu data center e gravando-a em um recurso de Rede de Clusters de VMs dentro do recurso Exadata Infrastructure.

Roteamento de Pacotes de Confiança Zero (ZPR)

APLICAÇÕES PARA: Aplicável somente Oracle Public Cloud

O Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protege dados confidenciais contra acesso não autorizado por meio de políticas de segurança baseadas em intenção que você grava para recursos, como um Cluster de VMs do Autonomous Exadata (AVMC) ao qual você designa atributos de segurança.

Os atributos de segurança são rótulos que o ZPR usa para identificar e organizar recursos. O ZPR aplica a política no nível da rede sempre que o acesso é solicitado, independentemente de possíveis alterações na arquitetura da rede ou configurações incorretas. O ZPR é criado com base nas regras existentes de NSG (grupo de segurança de rede) e SCL (lista de controle de segurança). Para que um pacote atinja um destino, ele deve passar todas as regras NSG e SCL e a política ZPR. A solicitação será eliminada se qualquer regra ou política NSG, SCL ou ZPR não permitir tráfego.

Você pode proteger redes com ZPR em três etapas:

  1. Crie artefatos ZPR, ou seja, espaços de nomes de atributos de segurança e atributos de segurança.

  2. Gravar políticas de ZPR para conectar recursos usando atributos de segurança. O ZPR usa uma ZPR Policy Language (ZPL) e impõe restrições de acesso a recursos definidos. Como um cliente do Autonomous AI Database na Infraestrutura Dedicada do Exadata, você pode gravar políticas baseadas em ZPL em sua tenancy para garantir que os dados de AVMCs sejam acessados somente por usuários e recursos autorizados.

  3. Atribua atributos de segurança a recursos para ativar as políticas ZPR.

Observação:

Evite digitar informações confidenciais ao designar descrições, tags, atributos de segurança ou nomes simples a recursos na nuvem por meio da console, API ou CLI do Oracle Cloud Infrastructure.

Consulte Conceitos Básicos do Roteamento de Pacotes de Confiança Zero para obter mais informações.

Você tem as seguintes opções para aplicar atributos de segurança ZPR a um AVMC:

Como pré-requisito, as seguintes políticas de IAM devem ser definidas para adicionar atributos de segurança ZPR a um AVMC com sucesso:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy
allow group <group_name>
to manage autonomous-database-family
in tenancy
allow group <group_name>
to read security-attribute-namespaces
in tenancy
Listas de Controle de Acesso (ACLs, Access Control Lists)

Para maior segurança, você pode ativar as Listas de Controle de Acesso (ACLs) nas implantações dedicadas doOracle Public Cloud e do Exadata Cloud@Customer. Uma ACL oferece proteção adicional ao seu banco de dados, permitindo que apenas o cliente com endereços IP específicos se conecte ao banco de dados. Você pode adicionar endereços IP individualmente ou em blocos CIDR. Há suporte para IPs / CIDRs baseados em IPv4 e IPv6. Isso permite que você formule uma política de controle do acesso refinado, limitando o acesso à rede de seu Autonomous AI Database a aplicativos ou clientes específicos.

Além disso, você pode criar uma ACL durante o provisionamento do banco de dados ou a qualquer momento. Você também pode editar uma ACL a qualquer momento. A ativação de uma ACL com uma lista vazia de endereços IP torna o banco de dados inacessível. Consulte Definir Lista de Controle de Acesso para um Autonomous AI Database Dedicado para ver detalhes.

Observe o seguinte sobre como usar uma ACL com o serviço Autonomous AI Database:
  • A Console do Serviço Autonomous AI Database não está sujeita às regras de ACL.
  • Os serviços do Oracle Application Express (APEX), RESTful, SQL Developer Web e Hub de Desempenho não estão sujeitos a ACLs.
  • Ao criar um Autonomous AI Database, se ocorrer falha na definição de uma ACL, o provisionamento do banco de dados também falhará.
  • A atualização de uma ACL só será permitida se o banco de dados estiver no estado Disponível.
  • A restauração de um banco de dados não substitui as ACLs existentes.
  • A clonagem de um banco de dados, completo e metadados, terá as mesmas definições de controle de acesso que o banco de dados de origem. Você pode fazer alterações conforme necessário.
  • O backup não está sujeito às regras de ACL.
  • Durante uma atualização de ACL, todas as operações do Autonomous Container Database (CDB) são permitidas, mas não são permitidas operações do Autonomous AI Database.
Web Application Firewall (WAF)

Para controles de rede avançados além das Listas de Controle de Acesso, o Oracle Autonomous AI Database on Dedicated Exadata Infrastructure suporta o uso do WAF (Web Application Firewall). O WAF protege aplicativos contra tráfego mal-intencionado e indesejado na internet. O WAF pode proteger qualquer ponto final voltado à Internet, fornecendo aplicação de regra consistente entre as aplicações de um cliente. O WAF oferece a você a capacidade de criar e gerenciar regras para ameaças à Internet, incluindo Cross-Site Scripting (XSS), injeção de SQL e outras vulnerabilidades definidas pelo OWASP. As regras de acesso podem ser limitadas com base na geografia ou na assinatura da solicitação. Consulte Conceitos Básicos de Políticas do Serviço Web Application Firewall para obter etapas sobre como configurar o WAF.

Controle de Conexão do Cliente

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implementa o controle de conexão do cliente com autenticação baseada em certificado TLS 1.2 e TLS 1.3 padrão para autenticar uma conexão do cliente. No entanto, o TLS 1.3 só é suportado no Oracle Database 23ai ou em uma versão posterior.

Por padrão, o Autonomous AI Database usa certificados autoassinados. No entanto, você pode instalar seu certificado do servidor assinado pela CA na console do Oracle Cloud Infrastructure (OCI). Para trazer seu próprio certificado, primeiro crie o certificado usando o Serviço de Certificado do OCI (Oracle Cloud Infrastructure) conforme demonstrado em Criando um Certificado. Esses certificados devem ser assinados e estar no formato PEM, ou seja, sua extensão de arquivos deve ser somente .pem, .cer ou .crt. Para obter mais detalhes, consulte Gerenciamento de Certificados no Autonomous AI Database Dedicado.

Controle de Acesso do Usuário do Banco de Dados

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure configura os bancos de dados que você cria para usar o recurso padrão de gerenciamento de usuários do Oracle AI Database. Ele cria uma conta de usuário administrativo, ADMIN, que você usa para criar contas de usuário adicionais e fornecer controles de acesso para contas.

O gerenciamento de usuários padrão fornece um conjunto robusto de recursos e controles, como privilégios de sistema e objeto, atribuições, perfis de usuário e políticas de senha, que permitem definir e implementar uma estratégia de acesso seguro ao usuário do banco de dados na maioria dos casos. Consulte Criar e Gerenciar Usuários do Banco de Dados para obter instruções detalhadas.

Para obter informações básicas sobre o gerenciamento de usuários padrão, consulte Contas do Usuário em Conceitos do Oracle AI Database. Para obter informações e orientação detalhadas, consulte Managing Security for Oracle Database Users no Oracle Database 19c Security Guide ou no Oracle Database 26ai Security Guide.

Se a sua estratégia de acesso do usuário ao banco de dados exigir mais controles do que os fornecidos pelo gerenciamento de usuário padrão, você poderá configurar seus Autonomous AI Databases para usar qualquer uma das ferramentas a seguir para atender a requisitos mais rigorosos.
Ferramenta Descrição
Database Vault

O Oracle Database Vault vem pré-configurado e pronto para uso em Autonomous AI Databases. Você pode usar seus controles de segurança avançados para restringir o acesso a dados de aplicativos por usuários privilegiados de banco de dados, reduzindo o risco de ameaças internas e externas e tratando-se de requisitos comuns de conformidade.

Consulte Proteção de Dados em Recursos de Segurança do Autonomous AI Database para obter mais detalhes.

Oracle Cloud Infrastructure Identity and Access Management (IAM)

Você pode configurar o Autonomous AI Database para usar a autenticação e a autorização do Oracle Cloud Infrastructure Identity and Access Management (IAM) para permitir que os usuários do IAM acessem um Autonomous AI Database com credenciais do IAM. Consulte Usar Autenticação do IAM (Identity and Access Management) com o Autonomous AI Database para usar essa opção com seu banco de dados.

Tokens de Acesso OAuth2 do Azure

Você pode gerenciar centralmente os usuários do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure em um serviço Azure AD (Microsoft Azure Active Directory) com a ajuda de tokens de acesso oAuth2 do Azure. Esse tipo de integração permite que o usuário do Azure AD acesse uma instância do Oracle Autonomous AI Database on Dedicated Exadata Infrastructure. Usuários e aplicativos do Azure AD podem efetuar log-on com credenciais do Azure AD Single Sign On (SSO) para obter um token do Azure AD OAuth2 para enviar ao banco de dados.

Para obter mais informações sobre como integrar o Microsoft Azure Active Directory aos seus bancos de dados, consulte Autenticar e Autorizar Usuários do Microsoft Azure Active Directory para o Autonomous AI Database.

Microsoft Active Directory (CMU-AD)

Se você usar o Microsoft Active Directory como repositório de usuários, poderá configurar seus Autonomous AI Databases para autenticar e autorizar usuários doMicrosoft Active Directory. Essa integração pode permitir que você consolide seu repositório de usuários ao mesmo tempo em que implementa uma rigorosa estratégia de acesso de usuários do banco de Dados, independentemente de você usar o gerenciamento de usuários padrão, o Database Vault, o Real Application Security ou um Virtual Private Database.

Para obter mais informações sobre como integrar o Microsoft Active Directory aos seus bancos de dados, consulte Microsoft Active Directory com o Autonomous AI Database.

Kerberos

O Kerberos é um sistema de autenticação de terceiros confiável que depende de segredos compartilhados. Ele presume que o terceiro é seguro e fornece recursos de sign-on único, armazenamento de senha centralizado, autenticação de link de banco de dados e segurança aprimorada do PC. Ele faz isso por meio de um servidor de autenticação do Kerberos.

O suporte ao Autonomous AI Database para Kerberos oferece os benefícios do sign-on único e da autenticação centralizada dos usuários Oracle. Para obter mais informações, consulte Autenticar Usuários do Autonomous AI Database com o Kerberos.

Kerberos com CMU-AD

A autenticação do Kerberos pode ser configurada na parte superior do CMU-AD para fornecer autenticação do Kerberos do CMU-AD para usuários do Microsoft Active Directory.

Para fornecer autenticação CMU-AD do Kerberos para usuários do Microsoft Active Directory, você pode ativar a autenticação do Kerberos na parte superior do CMU-AD definindo type como CMU ao ativar a autenticação externa, conforme demonstrado no exemplo discutido em Ativar Autenticação do Kerberos no Autonomous AI Database.

Real Application Security e Virtual Private Database

O Oracle Real Application Security (RAS) fornece um modelo declarativo que permite políticas de segurança que englobam não apenas os objetos de negócios que estão sendo protegidos, mas também os principais (usuários e atribuições) que têm permissões para operar nesses objetos de negócios. O RAS é mais seguro, escalável e econômico do que seu antecessor, o Oracle Virtual Private Database.

Com o Oracle RAS, os usuários de aplicativos são autenticados na camada do aplicativo, bem como no banco de dados. Independentemente do caminho de acesso a dados, as políticas de segurança de dados são aplicadas no kernel do banco de dados com base na sessão nativa do usuário final no banco de dados. Os privilégios designados ao usuário controlam o tipo de operações (selecionar, inserir, atualizar e excluir) que podem ser executadas em linhas e colunas dos objetos de banco de dados.

Para obter mais informações sobre Oracle RAS, consulte Introducing Oracle Database Real Application Security no Oracle Database 19c Real Application Security Administrator's and Developer's Guide ou no Oracle Database 26ai Real Application Security Administrator's and Developer's Guide.

O Oracle Autonomous AI Database on Dedicated Exadata Infrastructure também suporta o Oracle Virtual Private Database (VPD), o antecessor do Oracle RAS. Se você já estiver familiarizado com o Oracle VPD e usá-lo, poderá configurá-lo e usá-lo com seus Autonomous AI Databases.

Para obter mais informações sobre Virtual Private Database, consulte Using Oracle Virtual Private Database to Control Data Access no Oracle Database 19c Security Guide ou Oracle Database 26ai Security Guide.

Gerenciamento de acesso privilegiado (PAM)

A postura de segurança da Oracle em relação ao acesso do usuário e ao gerenciamento de privilégios em seus produtos e serviços está documentada no Oracle Access Control.

O Autonomous AI Database on Dedicated Exadata Infrastructure foi projetado para isolar e proteger os serviços ao cliente e os dados do banco de dados contra acesso não autorizado. O Autonomous AI Database separa as tarefas entre o cliente e a Oracle. O cliente controla o acesso aos esquemas do banco de dados. A Oracle controla o acesso a componentes de software e infraestrutura gerenciados pela Oracle.

O Autonomous AI Database on Dedicated Exadata Infrastructure foi projetado para ajudar a proteger os dados para uso autorizado pelo cliente e ajudar a proteger os dados contra acesso não autorizado, o que inclui impedir o acesso aos dados do cliente pelos membros da equipe do Oracle Cloud Ops. As medidas de segurança projetadas para proteger contra acesso não autorizado à Infraestrutura Exadata, VMs Autônomas e dados do banco de dados Oracle incluem o seguinte:

  • Os dados do Oracle Database são protegidos pelas chaves da Criptografia de Dados Transparentes (TDE) da Oracle.
  • O cliente controla o acesso às chaves de criptografia TDE e pode optar por armazenar essas chaves em um sistema de gerenciamento de chaves externo do Oracle Key Vault.
  • O Oracle Database Vault é pré-configurado para impedir que usuários privilegiados acessem dados do cliente em Autonomous AI Databases.
  • Os clientes podem optar por aprovar o acesso do Operador por meio da inscrição no serviço Operator Access Control.
  • Todo o acesso do operador é baseado na autenticação multifator de hardware FIPS 140-2 nível 3, implementada com um hardware YubiKey implementado com dispositivos aprovados pela Oracle.
  • Todas as ações do operador são registradas no nível de comando e podem ser enviadas ao serviço de registro em log do OCI ou a um SIEM do cliente quase em tempo real.

  • O Oracle Operations Access Control garante que as contas de usuário que o pessoal de suporte e operações do Oracle Cloud usam para monitorar e analisar o desempenho não possam acessar dados no Autonomous AI Databases. As operações e a equipe de suporte da Oracle Cloud não têm acesso aos dados em seus Autonomous AI Databases. Quando você cria um Autonomous Container Database, o Autonomous AI Database on Dedicated Exadata Infrastructure ativa e configura o recurso Operations Control do Oracle Database Vault para bloquear o acesso de usuários comuns a dados em Autonomous AI Databases criados no banco de Dados contêiner.

    Você pode confirmar que o Controle de Operações está ativo, informando esta instrução SQL em um Autonomous AI Database:
    SELECT * FROM DBA_DV_STATUS;
    O status de APPLICATION CONTROL indica que o Controle de Operações está ativo.

    Observação:

    O Controle de Operações era conhecido anteriormente como Controle de Aplicativos.

O PAM também é implementado com o Database Vault para proteção de dados, conforme discutido em Recursos de Segurança do Autonomous AI Database.