Guia de Segurança do Base Database Service

Visão Geral da Segurança

Este tópico fornece uma visão geral da segurança no Base Database Service. A Oracle gerencia a segurança da maioria dos componentes, enquanto os usuários são responsáveis pela segurança de alguns componentes.

Os componentes de serviço de nuvem são classificados em serviços acessíveis ao usuário e em infraestrutura gerenciada pela Oracle. Serviço acessível pelo usuário refere-se aos componentes que os usuários podem acessar como parte de sua assinatura do Base Database Service. Essas são máquinas virtuais e serviços de banco de dados geralmente chamados de sistemas de banco de dados e bancos de dados, respectivamente. Infraestrutura gerenciada pela Oracle refere-se ao hardware que a Oracle possui e opera para oferecer suporte a serviços acessíveis ao usuário. Ela consiste em formas de computação de banco de dados baseadas em AMD ou Intel.

A Oracle gerenciará a segurança e o acesso aos componentes de infraestrutura gerenciados pela Oracle. Os usuários gerenciarão a segurança e o acesso aos serviços acessíveis ao usuário, que incluem acesso ao sistema de banco de dados e aos serviços de banco de dados, acesso de rede ao sistema de banco de dados, autenticação para acessar o sistema de banco de dados e autenticação para acessar bancos de dados em execução nos sistemas de Banco de Dados. A equipe da Oracle não está autorizada a acessar serviços acessíveis ao usuário.

Os usuários acessam os Oracle Databases em execução nos sistemas de banco de dados por meio de uma conexão de camada 2 (VLAN com tag) do equipamento do usuário usando métodos de conexão padrão do Oracle Database, como Oracle Net na porta 1521. Os usuários podem usar os métodos padrão do Oracle Linux para estabelecer conexão com o sistema de banco de dados que está executando os Bancos de Dados Oracle, como SSH baseado em token na porta 22.

O Base Database Service emprega vários controles de segurança independentes e que contribuem uns com os outros para ajudar as organizações a criar um ambiente operacional seguro para seus dados e cargas de trabalho. O Base Database Service fornece os seguintes controles de segurança:

Defesa em Profundidade para Proteger o Ambiente Operacional
Privilégio Mínimo para Serviços e Usuários
Auditoria e Responsabilidade de Eventos e Ações
Automatizando as Operações na Nuvem

Defesa em Profundidade para Proteger o Ambiente Operacional

O Base Database Service fornece vários controles para manter a confidencialidade, a integridade e a responsabilidade em todo o serviço. O Base Database Service promove o princípio da defesa em profundidade da seguinte maneira:

As máquinas virtuais para sistemas de banco de dados são criadas com base na imagem de sistema operacional reforçada baseada no Oracle Linux 7. Assim, o ambiente operacional principal fica protegido, restringindo a imagem de instalação apenas aos pacotes de software necessários, desativando serviços desnecessários e implementando parâmetros de configuração seguros em todo o sistema.
Opções adicionais de configuração padrão segura são implementadas nas instâncias de serviço, além de herdar todos os pontos fortes da plataforma Oracle Linux madura. Por exemplo, todos os tablespaces de banco de dados exigem criptografia transparente de dados (TDE), imposição de senha forte para usuários iniciais e superusuários do banco de dados e regras aprimoradas de auditoria e evento.
O Base Database Service também constitui uma implantação e um serviço completos e está sujeito a auditorias externas padrão do setor, como PCI, HIPPA e ISO27001. Esses requisitos de auditoria externa impõem recursos adicionais de serviço de valor agregado, como verificação de vírus, alerta automatizado para alterações inesperadas no sistema e verificações de vulnerabilidade em todos os sistemas de infraestrutura gerenciada pela Oracle na frota.

Privilégio Mínimo para Serviços e Usuários

Os padrões de codificação segura da Oracle exigem o paradigma do privilégio mínimo. Garantir que aplicativos, serviços e usuários tenham acesso aos recursos necessários para executar suas tarefas é apenas um lado do princípio de privilégio mínimo. É igualmente importante garantir que o acesso a recursos, serviços e interfaces desnecessários seja limitado. O Base Database Service promove o princípio de privilégio mínimo da seguinte forma:

Cada processo e daemon devem ser executados como usuário normal e não privilegiado, a menos que possa provar um requisito para um nível mais alto de privilégio. Isso ajuda a conter qualquer problema ou vulnerabilidade imprevisto no espaço de usuário sem privilégios e a não comprometer todo o sistema.
Esse princípio também se aplica aos membros das equipes de operações da Oracle que usam contas nomeadas individuais para acessar a infraestrutura de manutenção ou diagnóstico e solução de problemas. Somente quando necessário, eles usarão o acesso auditado a níveis mais altos de privilégio para resolver um problema. A maioria dos problemas é resolvida por meio da automação. Por isso, também empregamos o privilégio mínimo, não permitindo que operadores humanos acessem um sistema, a menos que a automação não o resolva.

Auditoria e Responsabilidade de Eventos e Ações

Um sistema deve ser capaz de reconhecer e notificar incidentes à medida que eles ocorrem. Da mesma forma, quando um incidente não pode ser revertido, uma organização deve ser capaz de identificar sua ocorrência para tomar as ações apropriadas. O Base Database Service incentiva a auditoria e a responsabilidade das seguintes maneiras:

A auditoria e a responsabilidade garantem que a Oracle e os usuários estejam cientes da atividade feita no sistema e em seu tempo. Esses detalhes não só garantem que continuemos em conformidade com os requisitos de relatórios para auditorias externas, como também podem ajudar a identificar a atividade que levou a comportamentos inesperados.
Os recursos de auditoria são fornecidos para todos os componentes da infraestrutura a fim de garantir a captura de todas as ações. Os usuários também podem configurar a auditoria de suas configurações de banco de dados e domínio de usuário (domU) e podem optar por integrá-las com outros sistemas de auditoria da empresa.
A Oracle não acessa o usuário domU.

Automatizando as Operações na Nuvem

Eliminando as operações manuais exigidas para provisionamento, patch, manutenção, diagnóstico e solução de problemas e configuração de sistemas, a possibilidade de erro é reduzida e uma configuração segura é garantida.

O Base Database Service foi projetado para ser seguro, automatizando todo o provisionamento, a configuração e a maioria das outras tarefas operacionais. Ao automatizar, é possível evitar configurações perdidas e garantir que todos os caminhos necessários para o sistema estejam configurados corretamente.

Recursos de Segurança

Este tópico descreve os recursos de segurança disponíveis no Base Database Service.

O Base Database Service fornece os seguintes recursos de segurança:

Imagem Protegida do Sistema Operacional
Superfície de Ataque Minimizada
Recursos de Segurança Adicionais Ativados
Métodos de Acesso Seguro
Auditoria e Registro em Log

Imagem Protegida do Sistema Operacional

Instalação de pacote mínimo: Somente os pacotes necessários para executar um sistema eficiente são instalados. Ao instalar um conjunto menor de pacotes, a superfície de ataque do sistema operacional é reduzida e o sistema permanece mais seguro.
Configuração segura: Muitos parâmetros de configuração não padrão são definidos durante a instalação para aprimorar a postura de segurança do sistema e de seu conteúdo. Por exemplo, o SSH é configurado para detectar apenas determinadas interfaces de rede, o sendmail é configurado para só aceitar conexões de host locais e muitas outras restrições semelhantes são implementadas durante a instalação.
Execute somente os serviços necessários: Todos os serviços que podem ser instalados no sistema, mas não são necessários para a operação normal por padrão, são desativados. Por exemplo, embora o NFS seja um serviço frequentemente configurado pelos usuários para vários fins de aplicativo, ele é desativado por padrão, pois não é necessário nas operações normais do banco de dados. Os usuários podem optar por configurar os serviços de acordo com suas necessidades.

Superfície de Ataque Minimizada

Como parte da imagem protegida, a superfície de ataque é reduzida instalando e executando apenas o software necessário para fornecer o serviço.

Recursos de Segurança Adicionais Ativados

O Base Database Service foi projetado para ser seguro por padrão e fornece uma pilha de segurança completa, do controle de firewall de rede às políticas de segurança de controle de acesso.
FIPS, SE Linux e STIG podem ser ativados adicionalmente para melhorar a segurança nos sistemas usando a CLI dbcli secure-dbsystem.
A ferramenta STIG é fornecida para aumentar a conformidade com o Oracle Linux 7 STIG da DISA em cada nó do sistema em sistemas provisionados.

Métodos de Acesso Seguro

Acesse servidores de banco de dados via SSH usando cifragens criptografadas fortes. As cifragens fracas são desativadas por padrão.
Acesse bancos de dados por meio de conexões do Oracle Net criptografadas. Por padrão, nossos serviços estão disponíveis com o uso de canais criptografados, e um cliente padrão configurado do Oracle Net usará sessões criptografadas.

Auditoria e Registro em Log

Por padrão, a auditoria e o registro em log não adicionam nenhuma outra configuração para implantações comerciais daquilo que o sistema operacional fornece, mas ele pode ser aprimorado por meio da adição de definições de segurança ao ativar o STIG.

Para obter mais informações, consulte:

de Usuário Enterprise

Este tópico descreve a segurança do usuário disponível no Base Database Service. Os componentes do Base Database Service são gerenciados regularmente por várias contas de usuário. A Oracle usa e recomenda apenas log-in SSH baseado em token. Os usuários ou processos da Oracle não usam autenticação baseada em senha.

Os seguintes tipos de usuários são criados por padrão:

Usuários Padrão: Nenhum Privilégio de Log-on
Usuários Padrão: Com Privilégios de Log-in

Usuários Padrão: Nenhum Privilégio de Log-on

Essa lista de usuários consiste em usuários padrão do sistema operacional. Esses usuários não devem ser alterados. Esses usuários não podem fazer log-in no sistema.

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

Usuários Padrão: Com Privilégios de Log-in

Esses usuários privilegiados são responsáveis por realizar a maioria das tarefas do sistema. Eles nunca devem ser alterados nem excluídos, uma vez que isso teria um impacto significativo no sistema em execução. São usadas chaves SSH para fazer log-in.

Veja a seguir a lista de usuários padrão com privilégios de log-in.

root é um requisito do Linux. É usado com moderação para executar comandos privilegiados locais. A raiz também é usada para alguns processos como Agente TFA. Ele executa o agente local (também conhecido como "DCS Agent") que executa operações de ciclo de vida para o software RDBMS (aplicação de patches, criação de banco de dados etc.)
oracle possui a instalação do software Oracle Database e executa os processos RDBMS.
grid possui a instalação do software Oracle Grid Infrastructure e executa processos de GI.
opc é usado pelo Oracle Cloud Automation para tarefas de automação. O usuário pode executar determinados comandos privilegiados sem autenticação adicional (para suportar funções de automação).
mysql é um usuário crítico e precisa estar ativo e em execução para uma operação bem-sucedida do Agente DCS, pois possui o metastore do Agente DCS.

root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

Definições de Segurança

Este tópico descreve as definições de segurança disponíveis no Base Database Service. A seguir estão as definições de segurança padrão fornecidas no sistema.

Tabela - Definições de Segurança e Valores Padrão

Definições de Segurança	Valores Padrão
Complexidade da senha	Tamanho mínimo da senha: 15 Senha para o máximo de caracteres repetidos consecutivos da mesma classe de caracteres: 4 Máximo de caracteres repetidos consecutivos da senha: 3 Mínimo de caracteres de dígito de força da senha: 1 Mínimo de categorias distintas de segurança da senha: 4 Mínimo de caracteres distintos de força da senha: 8 Mínimo de caracteres especiais de força da senha: 1 Mínimo de caracteres minúsculos de força da senha: 1 Mínimo de caracteres maiúsculos de força da senha: 1
Configuração da conta do usuário	Número máximo de dias que uma senha pode ser usada: 60 Número mínimo de dias permitido entre alterações de senha: 1 Algoritmo de hash de criptografia: SHA512 Atraso de falha de log-on: 4 segundos
Opções desativadas	Reinicialização Ctrl-Alt-Del desativada O suporte ao DCCP está desativado O dispositivo de armazenamento USB está desativado O Grupo de Pacotes do X Windows foi removido
Configurações de SSH	Somente o Protocolo SSH 2 é permitido Uso ativado da separação de privilégios Intervalo de timeout por inatividade do SSH: 600 segundos Autenticação GSSAPI desativada Compactação definida como atrasada Não certificado confiável permitido para logon SSH no sistema O daemon SSH não permite autenticação usando a autenticação de hosts conhecidos
Pacotes	Remover todos os componentes de software após a instalação de versões atualizadas O sistema impede a instalação de pacotes locais para softwares, patches, pacotes de serviços, drivers de dispositivos ou componentes do sistema operacional não verificados
Log	Mensagens do sistema e do Kernel são enviadas ao host remoto (rsyslog) Cron configurado para log para rsyslog Configurar o AIDE para execução periódica
Outros	Autenticação solicitada na inicialização nos modos de usuário único e manutenção Timeout de sessão interativa: 600 segundos PAM configurado em dispositivos SSSD Serviço do sistema PAM configurado para armazenar somente representações criptografadas de senhas Local configurado do certificado CA do cliente de backend SSSD LDAP Back-end LDAP SSSD configurado para usar TLS para todas as transações Desativar conta após a expiração da senha Os utilitários de administração de contas de grupo são configurados para armazenar somente representações criptografadas de senhas

Além disso, por padrão, as regiões ONSR permitem que FIPS, SE Linux e STIG cumpram os padrões dos requisitos. Você pode melhorar a segurança do sistema ativando configurações adicionais. O padrão de configuração (STIG) pode ser definido para seguir os padrões mais restritivos e aumentar a conformidade de segurança com o Oracle Linux 7 STIG da DISA. Uma ferramenta é fornecida como parte da imagem para ativar FIPS, SE Linux e STIG.

Para obter mais informações, consulte:

Processos de Segurança

Este tópico descreve os processos de segurança padrão disponíveis no Base Database Service. Veja a seguir a lista de processos executados por padrão na máquina virtual do usuário (sistema de banco de dados) também chamada de domU.

Tabela - Processos de Segurança

Processos Descrição

Agente domU

Processos	Descrição
Agente domU	É um agente da nuvem para tratar as operações do ciclo de vida do banco de dados. É executado como usuário `root` a tabela de processos mostra a execução como processo java com os seguintes nomes jar: `dcs-agent-VersionNumber-SNAPSHOT.jar` `dcs-admin-VersionNumber-SNAPSHOT.jar`
Agente TFA	O Oracle TFA (Trace File Analyzer) fornece várias ferramentas de diagnóstico em um único pacote, facilitando a coleta de informações de diagnóstico sobre o Oracle Database e o Clusterware, o que por sua vez ajuda a resolver problemas ao tratar com o Suporte Técnico da Oracle. É executado como usuário `root` é executado como daemon `initd` (`/etc/init.d/init.tfa`) as tabelas de processos mostram um aplicativo java (`oracle.rat.tfa.TFAMain`)
Banco de Dados e GI (clusterware)	Executado como usuários `oracle` e `grid` parte do processo daemon CRS/clusterware é executado como usuário `root` a tabela de processos mostra os seguintes aplicativos: `ora_`, `apx_`, `ams_` e `oracle+ASM` `mysqld` and `zookeeper` algum outro processo de `/u01/<version>/grid/*`

É um agente da nuvem para tratar as operações do ciclo de vida do banco de dados.

É executado como usuário root
a tabela de processos mostra a execução como processo java com os seguintes nomes jar:
- dcs-agent-VersionNumber-SNAPSHOT.jar
- dcs-admin-VersionNumber-SNAPSHOT.jar

Agente TFA

O Oracle TFA (Trace File Analyzer) fornece várias ferramentas de diagnóstico em um único pacote, facilitando a coleta de informações de diagnóstico sobre o Oracle Database e o Clusterware, o que por sua vez ajuda a resolver problemas ao tratar com o Suporte Técnico da Oracle.

É executado como usuário root
é executado como daemon initd (/etc/init.d/init.tfa)
as tabelas de processos mostram um aplicativo java (oracle.rat.tfa.TFAMain)

Banco de Dados e GI (clusterware)

Executado como usuários oracle e grid
parte do processo daemon CRS/clusterware é executado como usuário root
a tabela de processos mostra os seguintes aplicativos:
- ora_*, apx_*, ams_* e oracle+ASM*
- mysqld and zookeeper
- algum outro processo de /u01/<version>/grid/*

Segurança da Rede

Este tópico descreve a segurança de rede no Base Database Service. Veja a seguir a lista de portas, processos e regras do iptables padrão executados por padrão na máquina virtual do usuário (sistema de banco de dados), também chamada domU.

Portas do Serviço domU

A tabela a seguir fornece uma lista de portas padrão para os serviços domU.

Tabela - Matriz de porta padrão para serviços domU

Tipo de interface	Nome da interface	Porta	Processo em execução
Atender em todas as interfaces	0.0.0.0	22	SSH
		1522	RDBMS: listener TNS
		7060	Admin DCS
		7070	Agente do DCS
		2181	Zookeeper
		8888, 8895	RAC: Servidor QOMS (Quality of Management Service)
		9000	RAC: Oracle Clusterware
		68	DHCP
		123	NTP
		5353	DNS Multicast
Interface do Cliente	ens3	1521	RDBMS: listener TNS
	ens3	5000	RDBMS: AHF (Autonomous Health Framework) (inclui TFA)
	ens3:1	1521	RDBMS: listener TNS
	ens3:2	1521	RDBMS: listener TNS
	ens3:3	1521	RDBMS: listener TNS
Interconexão do Cluster	ens4	1525	RDBMS: listener TNS
		2888	Zookeeper
		3888	Zookeeper
		6,000	RAC: Comunicação entre processos da grade
		7,000	RAC: Serviço de alta disponibilidade

Regras do iptables para domU

O iptables padrão é configurado para aceitar conexões - ACCEPT - nas cadeias de entrada, encaminhamento e saída.

Veja a seguir as regras padrão do iptables para serviços domU:

CHAIN INPUT
CHAIN FORWARD
CHAIN OUTPUT

Exemplo - regras do iptables

O exemplo a seguir fornece as regras padrão do iptables para serviços domU.

iptables -L -n -v

Saída:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

Responsabilidades do Usuário para Definições de Segurança

Este tópico descreve as responsabilidades do Oracle Cloud Operations e as responsabilidades do usuário para definições de segurança no Base Database Service. A tabela a seguir fornece uma lista de definições de segurança que o usuário e as Operações do Oracle Cloud precisam executar.

Tabela - Operações do Oracle Cloud e Responsabilidades do Usuário para Várias Operações

Operação	Oracle Cloud Platform		Instâncias do Usuário/Tenant
Operação	Responsabilidade do Oracle Cloud	Responsabilidade do Usuário	Responsabilidade do Oracle Cloud	Responsabilidade do Usuário
IMPLANTAÇÃO DO BANCO DE DADOS	Infraestrutura de software e orientação para implantação do Base Database Service	Administrador de Rede: Configure a infraestrutura de rede na nuvem (VCN e sub-redes, gateway etc.). Administrador do Banco de Dados:Configure os requisitos do banco de dados (memória, armazenamento, computação, versão do banco de dados, tipo de banco de dados etc).	Instale o sistema operacional, o banco de dados e o sistema Grid Infrastructure, se selecionado	Administrador de Banco de Dados: Atualize a versão do software Oracle Database, a forma dos requisitos de máquina virtual (CPU/memória), os recursos de tamanho da configuração de armazenamento de dados e de recuperação com base nas cargas de trabalho, se necessário (recursos de upgrade/downgrade).
MONITORING	Segurança física, infraestrutura, plano de controle, falhas de hardware, disponibilidade, capacidade	Nenhuma ação é necessária	Disponibilidade da infraestrutura para suportar o monitoramento dos serviços do usuário.	Administrador de Banco de Dados: Monitoramento do sistema operacional do usuário, bancos de dados, aplicativos e Grid Infrastructure
GERENCIAMENTO E RESOLUÇÃO DE INCIDENTES	Gerenciamento e remediações de incidentes, peças e envio em campo	Nenhuma ação é necessária	Suporte a quaisquer incidentes relacionados à plataforma subjacente	Administrador do Banco de Dados: Gerenciamento e resolução de incidentes para aplicativos do usuário
GERENCIAMENTO DE PATCH	Aplicação de patch proativa de hardware, pilha de controle IaaS/PaaS	Nenhuma ação é necessária	Preparação de patches disponíveis, por exemplo, conjunto de patches do Oracle Database	Administrador de Banco de Dados: Aplicação de patches de instâncias de tenant, testando Administrador do Sistema Operacional: Aplicação de patches do Sistema Operacional
BACKUP E RESTAURAÇÃO	Infraestrutura e backup/recuperação de plano de controle, recriar máquinas virtuais do usuário	Nenhuma ação é necessária	Fornecer máquinas virtuais em execução e acessíveis ao usuário	Administrador de Banco de Dados: Snapshots / backup e recuperação de dados do usuário IaaS e PaaS usando recursos nativos da Oracle ou de terceiros

Ativar Recursos de Segurança Adicionais

O Base Database Service fornece os seguintes recursos adicionais de segurança:

dbcli NetSecurity
Integração do OCI Vault
CLI para Ativar o FIPS

dbcli NetSecurity

O dbcli NetSecurity trata da criptografia de dados à medida que ele percorre a rede. Quando os dados são transferidos do Oracle Database para terceiros ou de um servidor para o cliente, eles precisam ser criptografados na extremidade do remetente e decriptografados na extremidade do destinatário. No NetSecurity, as regras são configuradas com valores padrão para cliente e servidor durante operações de provisionamento e criação de home do banco de dados. A interface CLI dcs-agent fornece comandos para atualizar essas regras do NetSecurity e aprimorar a segurança para algoritmos de criptografia, algoritmos de integridade e tipos de conexão.

Por padrão, dcs-agent configura as seguintes regras padrão para o home do banco de dados:

SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
SQLNET.ENCRYPTION_CLIENT=REQUIRED
SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

Para obter mais informações sobre a atualização das definições, consulte a Referência da CLI do Oracle Database.

Integração do OCI Vault

O Base Database Service agora tem integração com o serviço OCI Vault em todas as regiões comerciais do OCI. Agora você pode criar e gerenciar chaves principais de TDE dentro do OCI Vault que protegem seus bancos de dados. Com esse recurso, você tem a opção de começar a usar o serviço OCI Vault para armazenar e gerenciar as chaves de criptografia principais. As chaves do OCI Vault usadas para proteger bancos de dados são armazenadas em um serviço altamente disponível, durável e gerenciado.

Observação:

A integração do OCI Vault só está disponível para o Oracle Database versões 19.13 e posteriores.

Com a integração do OCI Vault com o Base Database Service, você pode:

Controlar e gerenciar de modo centralizado as chaves principais de TDE ativando a criptografia de chaves baseada no OCI Vault ao provisionar Bancos de Dados Oracle no Base Database Service.
Ter suas chaves principais de TDE armazenadas em um serviço altamente disponível, durável e gerenciado, no qual as chaves são protegidas por HM (módulos de segurança de hardware) que atendem à certificação de segurança FIPS (Federal Information Processing Standards) 140-2 Nível 3.
Rotacionar suas chaves de criptografia periodicamente para manter a conformidade de segurança e, nos casos de mudanças na equipe, desativar o acesso a um banco de dados.
Migrar de chaves gerenciadas pela Oracle para chaves gerenciadas pelo usuário para seus bancos de dados existentes.
Trazer suas próprias chaves - ou seja, BYOK (Bring Your Own Key) - e usá-las ao criar bancos de dados com criptografia gerenciada pelo usuário.

Observação:

BYOK é aplicável somente ao banco de dados contêiner (CDB). O banco de dados plugável (PDB) receberá uma nova versão de chave gerada automaticamente.
Os Oracle Databases que usam criptografia gerenciada pelo usuário suportam clonagem do sistema de banco de dados, restauração no local, restauração fora do local, configuração do Data Guard intra-região e operações específicas do PDB, como criação do PDB e clonagem local.

CLI para Ativar o FIPS

A Oracle fornece uma ferramenta para que os usuários comerciais melhorem a segurança por padrão. Essa ferramenta é usada para permitir que FIPS, SE Linux e STIG sigam os padrões mais rigorosos.

Para obter mais informações, consulte Ativar FIPS, SE Linux e STIG nos Componentes do Sistema de Banco de Dados.