Controle de Acesso no Autonomous Database on Dedicated Exadata Infrastructure

Ao configurar o Autonomous Database on Dedicated Exadata Infrastructure, você precisa garantir que seus usuários da nuvem tenham acesso para usar e criar apenas os tipos apropriados de recursos de nuvem para executar suas tarefas. Além disso, você precisa garantir que somente pessoas e aplicativos autorizados tenham acesso aos bancos de dados autônomos criados em uma infraestrutura dedicada. Caso contrário, você corre o risco de consumo "sem controle" de seus recursos da infraestrutura dedicada ou de acesso inadequado a dados de missão crítica.

Antes de começar a criar e usar os recursos de nuvem que fornecem o recurso de infraestrutura dedicada, você precisa formular um plano de controle de acesso e depois instituir criando os recursos apropriados do serviço IAM (Identity and Access Management) e do serviço Networking. Assim, o controle de acesso em um Autonomous Database é implementado em vários níveis:
  • controle de acesso do usuário à nuvem da Oracle
  • Controle de acesso do cliente
  • Controle de acesso do usuário do banco de dados

Tópicos Relacionados

Controle de Acesso do Usuário do Oracle Cloud

Você controla qual acesso os usuários do Oracle Cloud em sua tenancy têm aos recursos de nuvem que compõem sua implantação do Autonomous Database on Dedicated Exadata Infrastructure.

Você usa o serviço IAM (Identity and Access Management) para garantir que seus usuários da nuvem tenham acesso para criar e usar apenas os tipos apropriados de recursos do Autonomous Database para executar suas tarefas. Para instituir controles de acesso para usuários da nuvem, defina políticas que concedam a grupos específicos de usuários direitos de acesso específicos a tipos específicos de recursos em compartimentos específicos.

O serviço IAM fornece vários tipos de componentes para ajudá-lo a definir e implementar uma estratégia segura de acesso do usuário à nuvem:

  • Compartimento: Um conjunto de recursos relacionados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem.

  • Grupo: Um conjunto de usuários que precisam do mesmo tipo de acesso a um determinado conjunto de recursos ou compartimento.

  • Grupo Dinâmico: Um tipo especial de grupo que contém recursos que correspondem às regras definidas por você. Dessa forma, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos.

  • Política: Um grupo de instruções que especificam quem pode acessar quais recursos e como. O acesso é concedido no nível do grupo e do compartimento, o que significa que você escreve uma instrução de política que fornece a um grupo específico um tipo específico de acesso a um tipo específico de recurso em um compartimento específico.

Política e Instruções de Política

A principal ferramenta que você usa para definir o controle de acesso para usuários da nuvem é a política, um recurso do serviço IAM (Identity and Access Management) que contém instruções de política que especificam o acesso em termos de "Quem", "Como", "O Que" e "Onde".

O formato de uma instrução de política é:
Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

  • group <group-name> especifica "Quem" fornecendo o nome de um grupo existente do serviço IAM, um recurso do serviço IAM ao qual usuários de nuvem individuais podem ser designados.

  • to <control-verb> especifica "Como" usando um destes verbos de controle predefinidos:

    • inspect: a capacidade de listar recursos do tipo fornecido, sem acesso a informações confidenciais ou a metadados especificados pelo usuário que possam fazer parte desses recursos.
    • read: inspect mais a capacidade de obter metadados especificados pelo usuário e o próprio recurso real.
    • use: read mais a capacidade de trabalhar com recursos existentes, mas não de criá-los ou excluí-los. Além disso, "trabalhar com" significa operações distintas para diferentes tipos de recursos.
    • manage: todas as permissões para o tipo de recurso, incluindo criação e exclusão.

    No contexto do recurso de infraestrutura dedicada, um administrador de frota pode fazer uso do verbo de controle manage para gerenciar bancos de dados contêiner autônomos, enquanto um administrador de banco de dados só pode fazer uso do verbo de controle use para utilizá-los para criar bancos de dados autônomos.

  • <resource-type> especifica o item "O que" usando um tipo de recurso predefinido. Os valores de tipo de recurso para os recursos de infraestrutura dedicados são:

    • exadata-infrastructures
    • autonomous-container-databases
    • autonomous-databases
    • autonomous-backups

    Como os recursos da infraestrutura dedicada usam recursos de rede, algumas das instruções de política criadas referem-se ao valor do tipo de recurso virtual-network-family. Além disso, você pode criar instruções de política que se refiram ao valor do tipo de recurso tag-namespaces se a tag for usada em sua tenancy.

  • in compartment <compartment-name> especifica "Onde" fornecendo o nome de um compartimento IAM existente, um recurso IAM no qual os recursos são criados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar recursos na nuvem.

Para obter os detalhes da política do Autonomous Database, consulte Políticas do Serviço IAM para o Autonomous Database em uma Infraestrutura Dedicada do Exadata.

Para obter informações sobre como o serviço IAM e seus componentes funcionam e como usá-los, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management. Para obter respostas rápidas para perguntas comuns sobre o serviço IAM, consulte as Perguntas Mais Frequentes sobre o Identity and Access Management.

Melhores Práticas ao Planejar e Instituir Controles de Acesso

Ao planejar e instituir seus controles de acesso para o recurso de infraestrutura dedicada, você deve considerar essas melhores práticas.

  • Crie uma VCN separada que contenha apenas sub-rede privada. Em quase todos os casos, os Autonomous Databases criados em infraestrutura dedicada armazenam dados confidenciais da empresa e, normalmente, acessíveis apenas de dentro da rede privada da empresa. Mesmo os dados compartilhados com parceiros, fornecedores, consumidores e clientes são disponibilizados por meio de canais regulamentados e seguros.

    Portanto, o acesso à rede fornecido a esses bancos de dados deve ser privado para sua empresa. Você pode garantir isso criando uma VCN que use sub-redes privadas e uma VPN IPSec ou o FastConnect para estabelecer conexão com a rede privada da sua empresa. Para obter informações sobre como definir essa configuração, consulte Cenário B: Sub-redes Privadas com uma VPN na Documentação do Oracle Cloud Infrastructure.

    Para obter informações adicionais sobre como proteger a conectividade de rede com seus bancos de dados, consulte Maneiras de Proteger a Sua Rede na Documentação do Oracle Cloud Infrastructure.

  • Crie pelo menos duas sub-redes. Crie pelo menos duas sub-redes: uma para recursos de Cluster de VMs do Autonomous Exadata e do Autonomous Container Database e outra para recursos associados a clientes e aplicativos do Autonomous Database.

  • Crie pelo menos dois compartimentos. Você deve criar pelo menos dois compartimentos: um para os recursos do Exadata Infrastructure, Cluster de VMs do Autonomous Exadata e Autonomous Container Database e outro para recursos do Autonomous Database.

  • Crie pelo menos dois grupos. Você deve criar pelo menos dois grupos: um para administradores de frota e outro para administradores de banco de dados.

Controle de Acesso do Cliente

O controle de acesso do cliente é implementado no Autonomous Database controlando o controle de acesso da rede e as conexões do cliente.

Controle de Acesso à Rede

Você define o controle de acesso à rede para bancos de dados autônomos ao definir e configurar a implantação dedicada do Oracle Autonomous Database. O modo como você faz isso depende se sua implantação dedicada está no Oracle Public Cloud ou no Exadata Cloud@Customer:

  • No Oracle Public Cloud, você define o controle de acesso à rede usando componentes do serviço Networking. Você cria uma Rede Virtual na Nuvem (VCN) contendo Sub-redes privadas nas quais seus bancos de dados autônomos têm acesso à rede. Além disso, você cria Regras de Segurança para permitir um tipo específico de tráfego dentro ou fora dos endereços IP em uma sub-rede.

    Para obter informações detalhadas sobre como criar esses recursos, consulte o Lab 1: Prepare Private Network for OCI Implementation no Oracle Autonomous Database Dedicated for Fleet Administrators.

  • No Exadata Cloud@Customer,, você define controles de acesso à rede especificando uma rede do cliente no seu data center e gravando-a em um recurso de Rede de Clusters de VMs dentro do recurso Exadata Infrastructure.

Roteamento de Pacotes de Confiança Zero (ZPR)

APLICAÇÕES PARA: Aplicável somente Oracle Public Cloud

O Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protege dados confidenciais contra acesso não autorizado por meio de políticas de segurança baseadas em intenção que você grava para recursos, como um Cluster de VMs do Autonomous Exadata (AVMC) ao qual você designa atributos de segurança.

Os atributos de segurança são rótulos que o ZPR usa para identificar e organizar recursos. O ZPR aplica a política no nível da rede sempre que o acesso é solicitado, independentemente de possíveis alterações na arquitetura da rede ou configurações incorretas. O ZPR é criado com base nas regras existentes de NSG (grupo de segurança de rede) e SCL (lista de controle de segurança). Para que um pacote atinja um destino, ele deve passar todas as regras NSG e SCL e a política ZPR. A solicitação será eliminada se qualquer regra ou política NSG, SCL ou ZPR não permitir tráfego.

Você pode proteger redes com ZPR em três etapas:

  1. Crie artefatos ZPR, ou seja, espaços de nomes de atributos de segurança e atributos de segurança.

  2. Grave políticas ZPR para conectar recursos usando atributos de segurança. O ZPR usa uma ZPL (ZPR Policy Language) e impõe restrições de acesso a recursos definidos. Como cliente do Autonomous Database on Dedicated Exadata Infrastructure, você pode gravar políticas baseadas em ZPL em sua tenancy para garantir que os dados de AVMCs sejam acessados apenas por usuários e recursos autorizados.

  3. Atribua atributos de segurança a recursos para ativar as políticas ZPR.

Observação:

Evite digitar informações confidenciais ao designar descrições, tags, atributos de segurança ou nomes simples a recursos na nuvem por meio da console, API ou CLI do Oracle Cloud Infrastructure.

Consulte Conceitos Básicos do Roteamento de Pacotes de Confiança Zero para obter mais informações.

Você tem as seguintes opções para aplicar atributos de segurança ZPR a um AVMC:

Como pré-requisito, as seguintes políticas de IAM devem ser definidas para adicionar atributos de segurança ZPR a um AVMC com sucesso:

allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy
allow group <group_name>
to manage autonomous-database-family
in tenancy
allow group <group_name>
to read security-attribute-namespaces
in tenancy
Listas de Controle de Acesso (ACLs, Access Control Lists)

Para aumentar a segurança, você pode ativar Listas de Controle de Acesso (ACLs) em implantações dedicadas do Oracle Public Cloud e do Exadata Cloud@Customer. Uma ACL oferece proteção adicional ao seu banco de dados, permitindo que apenas o cliente com endereços IP específicos estabeleça conexão com o banco de dados. Você pode adicionar endereços IP individualmente ou em blocos CIDR. Há suporte para IPs/CIDRs baseados em IPv4 e IPv6. Isso permite formular uma política de controle de acesso refinada limitando o acesso de rede do seu Autonomous Database a aplicativos ou clientes específicos.

Além disso, você pode criar uma ACL durante o provisionamento do banco de dados ou a qualquer momento. Você também pode editar uma ACL a qualquer momento. A ativação de uma ACL com uma lista vazia de endereços IP torna o banco de dados inacessível. Consulte Definir Lista de Controle de Acesso para um Autonomous Database Dedicado para obter detalhes.

Observe o seguinte sobre o uso de uma ACL com o Autonomous Database:
  • A console de Serviço do Autonomous Database não está sujeita a regras de ACL.
  • Os serviços do Oracle Application Express (APEX), RESTful, SQL Developer Web e Hub de Desempenho não estão sujeitos a ACLs.
  • Ao criar um Autonomous Database, se a definição de uma ACL falhar, o provisionamento do banco de dados também falhará.
  • A atualização de uma ACL só será permitida se o banco de dados estiver no estado Disponível.
  • A restauração de um banco de dados não substitui as ACLs existentes.
  • A clonagem de um banco de dados, completo e metadados, terá as mesmas definições de controle de acesso que o banco de dados de origem. Você pode fazer alterações conforme necessário.
  • O backup não está sujeito às regras de ACL.
  • Durante uma atualização de ACL, todas as operações do Autonomous Container Database (CDB) são permitidas, mas as operações do Autonomous Database não são permitidas.
Web Application Firewall (WAF)

Para controles de rede avançados além das Listas de Controle de Acesso, o Oracle Autonomous Database suporta o uso do WAF (Web Application Firewall). O WAF protege aplicativos contra tráfego mal-intencionado e indesejado na internet. O WAF pode proteger qualquer ponto final voltado para a internet, fornecendo aplicação de regras consistente entre os aplicativos de um cliente. O WAF fornece a capacidade de criar e gerenciar regras para ameaças da internet, incluindo XSS (Cross-Site Scripting), Injeção de SQL e outras vulnerabilidades definidas pelo OWASP. As regras de acesso podem ser limitadas com base na geografia ou na assinatura da solicitação. Consulte Conceitos Básicos de Políticas do Serviço Web Application Firewall para obter etapas sobre como configurar o WAF.

Controle de Conexão do Cliente

O Oracle Autonomous Database implementa o controle de conexão do cliente com autenticação baseada em certificado TLS 1.2 e TLS 1.3 padrão para autenticar uma conexão de cliente. No entanto, o TLS 1.3 só é suportado no Oracle Database 23ai ou em uma versão posterior.

Por padrão, o Autonomous Database usa certificados autoassinados. No entanto, você pode instalar seu certificado do lado do servidor assinado pela CA na console do OCI (Oracle Cloud Infrastructure). Para trazer seu próprio certificado, primeiro crie o certificado usando o Serviço de Certificado do OCI (Oracle Cloud Infrastructure), conforme demonstrado em Criando um Certificado. Esses certificados devem ser assinados e estar no formato PEM, ou seja, sua extensão de arquivo deve ser somente .pem, .cer ou .crt. Para obter mais detalhes, consulte Gerenciamento de Certificados no Autonomous Database Dedicado.

Controle de Acesso do Usuário do Banco de Dados

O Oracle Autonomous Database configura os bancos de dados que você cria para usar o recurso de gerenciamento de usuários padrão do Oracle Database. Ele cria uma conta de usuário administrativo, ADMIN, que você usa para criar contas de usuário adicionais e fornecer controles de acesso para contas.

O gerenciamento de usuários padrão fornece um conjunto robusto de recursos e controles, como privilégios de sistema e objeto, atribuições, perfis de usuário e políticas de senha, que permitem definir e implementar uma estratégia de acesso seguro ao usuário do banco de dados na maioria dos casos. Consulte Criar e Gerenciar Usuários do Banco de Dados para obter instruções detalhadas.

Para obter informações básicas sobre gerenciamento de usuário padrão, consulte Contas de Usuário em Conceitos do Oracle Database. Para obter informações e orientações detalhadas, consulte Gerenciando a Segurança para Usuários do Oracle Database no Oracle Database 19c Security Guide ou no Oracle Database 23ai Security Guide.

Se sua estratégia de acesso do usuário do banco de dados exigir mais controles do que o fornecido pelo gerenciamento padrão de usuários, você poderá configurar seu banco de dados autônomo para usar qualquer uma das ferramentas a seguir para atender a requisitos mais rigorosos.
Ferramenta Descrição
Database Vault

O Oracle Database Vault vem pré-configurado e pronto para ser usado no Autonomous Database. Você pode usar seus controles de segurança avançados para restringir o acesso a dados de aplicativos por usuários privilegiados de banco de dados, reduzindo o risco de ameaças internas e externas e tratando-se de requisitos comuns de conformidade.

Consulte Proteção de Dados em Recursos de Segurança do Autonomous Database para obter mais detalhes.

Oracle Cloud Infrastructure Identity and Access Management (IAM)

Você pode configurar o Autonomous Database para usar a autenticação e a autorização do Oracle Cloud Infrastructure Identity and Access Management (IAM) para permitir que os usuários do IAM acessem um Autonomous Database com credenciais do IAM. Para usar essa opção com seu banco de dados, consulte Usar Autenticação do IAM com o Autonomous Database.

Tokens de Acesso OAuth2 do Azure

Você pode gerenciar centralmente usuários do Oracle Autonomous Database em um serviço do Microsoft Azure Active Directory (Azure AD) com a ajuda de tokens de acesso do Azure oAuth2. Esse tipo de integração permite que o usuário do Azure AD acesse uma instância do Oracle Autonomous Database. Os usuários e aplicativos do Azure AD podem fazer log-in com as credenciais de SSO (Sign On Único) do Azure AD para obter um token de acesso OAuth2 do Azure AD para enviar ao banco de dados.

Para obter mais informações sobre a integração do Microsoft Azure Active Directory com seus bancos de dados, consulte Autenticar e Autorizar Usuários do Microsoft Azure Active Directory para o Autonomous Database.

Microsoft Active Directory (CMU-AD)

Se você usar o Microsoft Active Directory como repositório do usuário, poderá configurar seus Autonomous Databases para autenticar e autorizar usuários do Microsoft Active Directory. Essa integração pode permitir que você consolide seu repositório de usuários e, ao mesmo tempo, implemente uma estratégia rigorosa de acesso aos usuários do banco de dados, independentemente de você usar o gerenciamento padrão de usuários, o Database Vault, o Real Application Security ou o Virtual Private Database.

Para obter mais informações sobre a integração do Microsoft Active Directory com seus bancos de dados, consulte Microsoft Active Directory com o Autonomous Database.

Kerberos

O Kerberos é um sistema de autenticação de terceiros confiável que depende de segredos compartilhados. Ele presume que o terceiro é seguro e fornece recursos de sign-on único, armazenamento de senha centralizado, autenticação de link de banco de dados e segurança aprimorada do PC. Ele faz isso por meio de um servidor de autenticação do Kerberos.

O suporte do Autonomous Database para o Kerberos fornece os benefícios da autenticação de sign-on único e centralizada dos usuários da Oracle. Para obter mais informações, consulte Autenticar Usuários do Autonomous Database com o Kerberos.

Kerberos com CMU-AD

A autenticação do Kerberos pode ser configurada na parte superior do CMU-AD para fornecer autenticação do Kerberos do CMU-AD para usuários do Microsoft Active Directory.

Para fornecer autenticação CMU-AD Kerberos para usuários do Microsoft Active Directory, você pode ativar a autenticação do Kerberos sobre CMU-AD definindo type como CMU ao ativar a autenticação externa, conforme demonstrado no exemplo discutido em Ativar Autenticação do Kerberos no Autonomous Database.

Real Application Security e Virtual Private Database

O Oracle Real Application Security (RAS) fornece um modelo declarativo que permite políticas de segurança que englobam não apenas os objetos de negócios que estão sendo protegidos, mas também os principais (usuários e atribuições) que têm permissões para operar nesses objetos de negócios. O RAS é mais seguro, escalável e econômico do que seu antecessor, o Oracle Virtual Private Database.

Com o Oracle RAS, os usuários de aplicativos são autenticados na camada do aplicativo, bem como no banco de dados. Independentemente do caminho de acesso a dados, as políticas de segurança de dados são aplicadas no kernel do banco de dados com base na sessão nativa do usuário final no banco de dados. Os privilégios designados ao usuário controlam o tipo de operações (selecionar, inserir, atualizar e excluir) que podem ser executadas em linhas e colunas dos objetos de banco de dados.

Para obter mais informações sobre o Oracle RAS, consulte Introducing Oracle Database Real Application Security no Oracle Database 19c Real Application Security Administrator's and Developer's Guide ou Oracle Database 23ai Real Application Security Administrator's and Developer's Guide.

O Oracle Autonomous Database também é compatível com o Oracle Virtual Private Database (VPD), o antecessor do Oracle RAS. Se você já estiver familiarizado e usar o Oracle VPD, poderá configurá-lo e usá-lo com seus bancos de dados autônomos.

Para obter mais informações sobre o Virtual Private Database, consulte Usando o Oracle Virtual Private Database para Controlar o Acesso a Dados no Oracle Database 19c Security Guide ou Oracle Database 23ai Security Guide.

Gerenciamento de acesso privilegiado (PAM)

A postura de segurança da Oracle em relação ao acesso do usuário e ao gerenciamento de privilégios em seus produtos e serviços está documentada no Oracle Access Control.

O Autonomous Database em Infraestrutura Dedicada do Exadata foi projetado para isolar e proteger os serviços do cliente e os dados do banco de dados contra acesso não autorizado. O Autonomous Database separa as tarefas entre o cliente e a Oracle. O cliente controla o acesso ao(s) esquema(s) de banco de dados. A Oracle controla o acesso à infraestrutura gerenciada pela Oracle e aos componentes de software.

O Autonomous Database na Infraestrutura Dedicada do Exadata foi projetado para ajudar a proteger dados para uso autorizado pelo cliente e ajudar a proteger dados contra acesso não autorizado, o que inclui impedir o acesso aos dados do cliente pelos membros da equipe do Oracle Cloud Ops. As medidas de segurança projetadas para proteger contra acesso não autorizado ao Exadata Infrastructure, VMs Autônomas e dados de banco de dados Oracle incluem o seguinte:

  • Os dados do Oracle Database são protegidos pelas chaves da Criptografia de Dados Transparentes (TDE) da Oracle.
  • O cliente controla o acesso às chaves de criptografia TDE e pode optar por armazenar essas chaves em um sistema de gerenciamento de chaves externo do Oracle Key Vault.
  • O Oracle Database Vault é pré-configurado para impedir que usuários privilegiados acessem dados do cliente no Autonomous Databases.
  • Os clientes podem optar por aprovar o acesso do Operador por meio da inscrição no serviço Operator Access Control.
  • Todo o acesso do operador é baseado na autenticação multifator de hardware FIPS 140-2 nível 3, implementada com um hardware YubiKey implementado com dispositivos aprovados pela Oracle.
  • Todas as ações do operador são registradas no nível de comando e podem ser enviadas ao serviço de registro em log do OCI ou a um SIEM do cliente quase em tempo real.

  • O Oracle Operations Access Control garante que as contas de usuário que a equipe de operações e suporte do Oracle Cloud usa para monitorar e analisar o desempenho não podem acessar dados no Autonomous Databases. A equipe de operações e suporte do Oracle Cloud não tem acesso aos dados em seus Autonomous Databases. Quando você cria um Autonomous Container Database, o Autonomous Database na Infraestrutura Dedicada do Exadata permite e configura o recurso Controle de Operações do Oracle Database Vault para impedir que usuários comuns acessem dados em Autonomous Databases criados no banco de dados contêiner.

    Você pode confirmar se o Controle de Operações está ativo informando essa instrução SQL em um Autonomous Database:
    SELECT * FROM DBA_DV_STATUS;
    O status de APPLICATION CONTROL indica que o Controle de Operações está ativo.

    Observação:

    O Controle de Operações era conhecido anteriormente como Controle de Aplicativos.

O PAM também é implementado com o Database Vault para proteção de dados, conforme discutido em Recursos de Segurança do Autonomous Database.