Guia de Segurança do Base Database Service
Visão Geral da Segurança
Este tópico fornece uma visão geral da segurança no Base Database Service. A Oracle gerencia a segurança da maioria dos componentes, enquanto os usuários são responsáveis pela segurança de alguns componentes.
Os componentes de serviço de nuvem são classificados em serviços acessíveis ao usuário e em infraestrutura gerenciada pela Oracle. Serviço acessível pelo usuário refere-se aos componentes que os usuários podem acessar como parte de sua assinatura do Base Database Service. Essas são máquinas virtuais e serviços de banco de dados geralmente chamados de sistemas de banco de dados e bancos de dados, respectivamente. Infraestrutura gerenciada pela Oracle refere-se ao hardware que a Oracle possui e opera para oferecer suporte a serviços acessíveis ao usuário. Ela consiste em formas de computação de banco de dados baseadas em AMD ou Intel.
A Oracle gerenciará a segurança e o acesso aos componentes de infraestrutura gerenciados pela Oracle. Os usuários gerenciarão a segurança e o acesso aos serviços acessíveis ao usuário, que incluem acesso ao sistema de banco de dados e aos serviços de banco de dados, acesso de rede ao sistema de banco de dados, autenticação para acessar o sistema de banco de dados e autenticação para acessar bancos de dados em execução nos sistemas de Banco de Dados. A equipe da Oracle não está autorizada a acessar serviços acessíveis ao usuário.
Os usuários acessam os Oracle Databases em execução nos sistemas de banco de dados por meio de uma conexão de camada 2 (VLAN com tag) do equipamento do usuário usando métodos de conexão padrão do Oracle Database, como Oracle Net na porta 1521. Os usuários podem usar os métodos padrão do Oracle Linux para estabelecer conexão com o sistema de banco de dados que está executando os Bancos de Dados Oracle, como SSH baseado em token na porta 22.
O Base Database Service emprega vários controles de segurança independentes e que contribuem uns com os outros para ajudar as organizações a criar um ambiente operacional seguro para seus dados e cargas de trabalho. O Base Database Service fornece os seguintes controles de segurança:
Defesa em Profundidade para Proteger o Ambiente Operacional
O Base Database Service fornece vários controles para manter a confidencialidade, a integridade e a responsabilidade em todo o serviço. O Base Database Service promove o princípio da defesa em profundidade da seguinte maneira:
- As máquinas virtuais para sistemas de banco de dados são criadas com base na imagem de sistema operacional reforçada baseada no Oracle Linux 7. Assim, o ambiente operacional principal fica protegido, restringindo a imagem de instalação apenas aos pacotes de software necessários, desativando serviços desnecessários e implementando parâmetros de configuração seguros em todo o sistema.
- Opções adicionais de configuração padrão segura são implementadas nas instâncias de serviço, além de herdar todos os pontos fortes da plataforma Oracle Linux madura. Por exemplo, todos os tablespaces de banco de dados exigem criptografia transparente de dados (TDE), imposição de senha forte para usuários iniciais e superusuários do banco de dados e regras aprimoradas de auditoria e evento.
- O Base Database Service também constitui uma implantação e um serviço completos e está sujeito a auditorias externas padrão do setor, como PCI, HIPPA e ISO27001. Esses requisitos de auditoria externa impõem recursos adicionais de serviço de valor agregado, como verificação de vírus, alerta automatizado para alterações inesperadas no sistema e verificações de vulnerabilidade em todos os sistemas de infraestrutura gerenciada pela Oracle na frota.
Privilégio Mínimo para Serviços e Usuários
Os padrões de codificação segura da Oracle exigem o paradigma do privilégio mínimo. Garantir que aplicativos, serviços e usuários tenham acesso aos recursos necessários para executar suas tarefas é apenas um lado do princípio de privilégio mínimo. É igualmente importante garantir que o acesso a recursos, serviços e interfaces desnecessários seja limitado. O Base Database Service promove o princípio de privilégio mínimo da seguinte forma:
- Cada processo e daemon devem ser executados como usuário normal e não privilegiado, a menos que possa provar um requisito para um nível mais alto de privilégio. Isso ajuda a conter qualquer problema ou vulnerabilidade imprevisto no espaço de usuário sem privilégios e a não comprometer todo o sistema.
- Esse princípio também se aplica aos membros das equipes de operações da Oracle que usam contas nomeadas individuais para acessar a infraestrutura de manutenção ou diagnóstico e solução de problemas. Somente quando necessário, eles usarão o acesso auditado a níveis mais altos de privilégio para resolver um problema. A maioria dos problemas é resolvida por meio da automação. Por isso, também empregamos o privilégio mínimo, não permitindo que operadores humanos acessem um sistema, a menos que a automação não o resolva.
Auditoria e Responsabilidade de Eventos e Ações
Um sistema deve ser capaz de reconhecer e notificar incidentes à medida que eles ocorrem. Da mesma forma, quando um incidente não pode ser revertido, uma organização deve ser capaz de identificar sua ocorrência para tomar as ações apropriadas. O Base Database Service incentiva a auditoria e a responsabilidade das seguintes maneiras:
- A auditoria e a responsabilidade garantem que a Oracle e os usuários estejam cientes da atividade feita no sistema e em seu tempo. Esses detalhes não só garantem que continuemos em conformidade com os requisitos de relatórios para auditorias externas, como também podem ajudar a identificar a atividade que levou a comportamentos inesperados.
- Os recursos de auditoria são fornecidos para todos os componentes da infraestrutura a fim de garantir a captura de todas as ações. Os usuários também podem configurar a auditoria de suas configurações de banco de dados e domínio de usuário (domU) e podem optar por integrá-las com outros sistemas de auditoria da empresa.
- A Oracle não acessa o usuário domU.
Automatizando as Operações na Nuvem
Eliminando as operações manuais exigidas para provisionamento, patch, manutenção, diagnóstico e solução de problemas e configuração de sistemas, a possibilidade de erro é reduzida e uma configuração segura é garantida.
O Base Database Service foi projetado para ser seguro, automatizando todo o provisionamento, a configuração e a maioria das outras tarefas operacionais. Ao automatizar, é possível evitar configurações perdidas e garantir que todos os caminhos necessários para o sistema estejam configurados corretamente.
Recursos de Segurança
Este tópico descreve os recursos de segurança disponíveis no Base Database Service.
O Base Database Service fornece os seguintes recursos de segurança:
Imagem Protegida do Sistema Operacional
- Instalação de pacote mínimo: Somente os pacotes necessários para executar um sistema eficiente são instalados. Ao instalar um conjunto menor de pacotes, a superfície de ataque do sistema operacional é reduzida e o sistema permanece mais seguro.
- Configuração segura: Muitos parâmetros de configuração não padrão são definidos durante a instalação para aprimorar a postura de segurança do sistema e de seu conteúdo. Por exemplo, o SSH é configurado para detectar apenas determinadas interfaces de rede, o sendmail é configurado para só aceitar conexões de host locais e muitas outras restrições semelhantes são implementadas durante a instalação.
- Execute somente os serviços necessários: Todos os serviços que podem ser instalados no sistema, mas não são necessários para a operação normal por padrão, são desativados. Por exemplo, embora o NFS seja um serviço frequentemente configurado pelos usuários para vários fins de aplicativo, ele é desativado por padrão, pois não é necessário nas operações normais do banco de dados. Os usuários podem optar por configurar os serviços de acordo com suas necessidades.
Superfície de Ataque Minimizada
Como parte da imagem protegida, a superfície de ataque é reduzida instalando e executando apenas o software necessário para fornecer o serviço.
Recursos de Segurança Adicionais Ativados
- O Base Database Service foi projetado para ser seguro por padrão e fornece uma pilha de segurança completa, do controle de firewall de rede às políticas de segurança de controle de acesso.
- FIPS, SE Linux e STIG podem ser ativados adicionalmente para melhorar a segurança nos sistemas usando a CLI
dbcli secure-dbsystem
. - A ferramenta STIG é fornecida para aumentar a conformidade com o Oracle Linux 7 STIG da DISA em cada nó do sistema em sistemas provisionados.
Métodos de Acesso Seguro
- Acesse servidores de banco de dados via SSH usando cifragens criptografadas fortes. As cifragens fracas são desativadas por padrão.
- Acesse bancos de dados por meio de conexões do Oracle Net criptografadas. Por padrão, nossos serviços estão disponíveis com o uso de canais criptografados, e um cliente padrão configurado do Oracle Net usará sessões criptografadas.
Auditoria e Registro em Log
Por padrão, a auditoria e o registro em log não adicionam nenhuma outra configuração para implantações comerciais daquilo que o sistema operacional fornece, mas ele pode ser aprimorado por meio da adição de definições de segurança ao ativar o STIG.
de Usuário Enterprise
Este tópico descreve a segurança do usuário disponível no Base Database Service. Os componentes do Base Database Service são gerenciados regularmente por várias contas de usuário. A Oracle usa e recomenda apenas log-in SSH baseado em token. Os usuários ou processos da Oracle não usam autenticação baseada em senha.
Os seguintes tipos de usuários são criados por padrão:
Usuários Padrão: Nenhum Privilégio de Log-on
Essa lista de usuários consiste em usuários padrão do sistema operacional. Esses usuários não devem ser alterados. Esses usuários não podem fazer log-in no sistema.
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
Usuários Padrão: Com Privilégios de Log-in
Esses usuários privilegiados são responsáveis por realizar a maioria das tarefas do sistema. Eles nunca devem ser alterados nem excluídos, uma vez que isso teria um impacto significativo no sistema em execução. São usadas chaves SSH para fazer log-in.
Veja a seguir a lista de usuários padrão com privilégios de log-in.
root
é um requisito do Linux. É usado com moderação para executar comandos privilegiados locais. A raiz também é usada para alguns processos como Agente TFA. Ele executa o agente local (também conhecido como "DCS Agent") que executa operações de ciclo de vida para o software RDBMS (aplicação de patches, criação de banco de dados etc.)oracle
possui a instalação do software Oracle Database e executa os processos RDBMS.grid
possui a instalação do software Oracle Grid Infrastructure e executa processos de GI.opc
é usado pelo Oracle Cloud Automation para tarefas de automação. O usuário pode executar determinados comandos privilegiados sem autenticação adicional (para suportar funções de automação).mysql
é um usuário crítico e precisa estar ativo e em execução para uma operação bem-sucedida do Agente DCS, pois possui o metastore do Agente DCS.
root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash
Definições de Segurança
Este tópico descreve as definições de segurança disponíveis no Base Database Service. A seguir estão as definições de segurança padrão fornecidas no sistema.
Tabela - Definições de Segurança e Valores Padrão
Definições de Segurança | Valores Padrão |
---|---|
Complexidade da senha |
|
Configuração da conta do usuário |
|
Opções desativadas |
|
Configurações de SSH |
|
Pacotes |
|
Log |
|
Outros |
|
Além disso, por padrão, as regiões ONSR permitem que FIPS, SE Linux e STIG cumpram os padrões dos requisitos. Você pode melhorar a segurança do sistema ativando configurações adicionais. O padrão de configuração (STIG) pode ser definido para seguir os padrões mais restritivos e aumentar a conformidade de segurança com o Oracle Linux 7 STIG da DISA. Uma ferramenta é fornecida como parte da imagem para ativar FIPS, SE Linux e STIG.
Processos de Segurança
Este tópico descreve os processos de segurança padrão disponíveis no Base Database Service. Veja a seguir a lista de processos executados por padrão na máquina virtual do usuário (sistema de banco de dados) também chamada de domU.
Tabela - Processos de Segurança
Processos | Descrição |
---|---|
Agente domU |
É um agente da nuvem para tratar as operações do ciclo de vida do banco de dados.
|
Agente TFA |
O Oracle TFA (Trace File Analyzer) fornece várias ferramentas de diagnóstico em um único pacote, facilitando a coleta de informações de diagnóstico sobre o Oracle Database e o Clusterware, o que por sua vez ajuda a resolver problemas ao tratar com o Suporte Técnico da Oracle.
|
Banco de Dados e GI (clusterware) |
|
Segurança da Rede
Este tópico descreve a segurança de rede no Base Database Service. Veja a seguir a lista de portas, processos e regras do iptables padrão executados por padrão na máquina virtual do usuário (sistema de banco de dados), também chamada domU.
Portas do Serviço domU
A tabela a seguir fornece uma lista de portas padrão para os serviços domU.
Tabela - Matriz de porta padrão para serviços domU
Tipo de interface | Nome da interface | Porta | Processo em execução |
---|---|---|---|
Atender em todas as interfaces | 0.0.0.0 | 22 | SSH |
1522 | RDBMS: listener TNS | ||
7060 | Admin DCS | ||
7070 | Agente do DCS | ||
2181 | Zookeeper | ||
8888, 8895 | RAC: Servidor QOMS (Quality of Management Service) | ||
9000 | RAC: Oracle Clusterware | ||
68 | DHCP | ||
123 | NTP | ||
5353 | DNS Multicast | ||
Interface do Cliente | ens3 | 1521 | RDBMS: listener TNS |
5000 | RDBMS: AHF (Autonomous Health Framework) (inclui TFA) | ||
ens3:1 | 1521 | RDBMS: listener TNS | |
ens3:2 | 1521 | RDBMS: listener TNS | |
ens3:3 | 1521 | RDBMS: listener TNS | |
Interconexão do Cluster | ens4 | 1525 | RDBMS: listener TNS |
2888 | Zookeeper | ||
3888 | Zookeeper | ||
6,000 | RAC: Comunicação entre processos da grade | ||
7,000 | RAC: Serviço de alta disponibilidade |
Regras do iptables para domU
O iptables padrão é configurado para aceitar conexões - ACCEPT
- nas cadeias de entrada, encaminhamento e saída.
Veja a seguir as regras padrão do iptables para serviços domU:
CHAIN INPUT
CHAIN FORWARD
CHAIN OUTPUT
Exemplo - regras do iptables
O exemplo a seguir fornece as regras padrão do iptables para serviços domU.
iptables -L -n -v
Saída:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
43M 110G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
2664 224K ACCEPT icmp -- * * 0.0.0.0/0 0.0.0.0/0
40793 2441K ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- ens4 * 0.0.0.0/0 0.0.0.0/0
3 192 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22
40 2400 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify. */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:5000 /* Required for TFA traffic. */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events. */
343 20580 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify. */
132 7920 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify. */
0 0 ACCEPT tcp -- * * 169.254.0.0/16 0.0.0.0/0 state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify. */
3 424 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 REJECT all -- * * 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- * ens4 0.0.0.0/0 0.0.0.0/0
52M 170G ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
8003 548K InstanceServices all -- * * 0.0.0.0/0 169.254.0.0/16
Chain InstanceServices (1 references)
pkts bytes target prot opt in out source destination
11 660 ACCEPT tcp -- * * 0.0.0.0/0 169.254.2.0/24 owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
1 60 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.2 owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.2 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
678 63323 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.169.254 tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.3 owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT tcp -- * * 0.0.0.0/0 169.254.0.4 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
2569 195K ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:123 /* Allow access to OCI local NTP service */
4727 284K ACCEPT tcp -- * * 0.0.0.0/0 169.254.169.254 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
15 4920 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 ACCEPT udp -- * * 0.0.0.0/0 169.254.169.254 udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
0 0 REJECT tcp -- * * 0.0.0.0/0 169.254.0.0/16 tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
0 0 REJECT udp -- * * 0.0.0.0/0 169.254.0.0/16 udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable
Responsabilidades do Usuário para Definições de Segurança
Este tópico descreve as responsabilidades do Oracle Cloud Operations e as responsabilidades do usuário para definições de segurança no Base Database Service. A tabela a seguir fornece uma lista de definições de segurança que o usuário e as Operações do Oracle Cloud precisam executar.
Tabela - Operações do Oracle Cloud e Responsabilidades do Usuário para Várias Operações
Operação | Oracle Cloud Platform | Instâncias do Usuário/Tenant | ||
---|---|---|---|---|
Responsabilidade do Oracle Cloud | Responsabilidade do Usuário | Responsabilidade do Oracle Cloud | Responsabilidade do Usuário | |
IMPLANTAÇÃO DO BANCO DE DADOS | Infraestrutura de software e orientação para implantação do Base Database Service |
Administrador de Rede: Configure a infraestrutura de rede na nuvem (VCN e sub-redes, gateway etc.). Administrador do Banco de Dados:Configure os requisitos do banco de dados (memória, armazenamento, computação, versão do banco de dados, tipo de banco de dados etc). |
Instale o sistema operacional, o banco de dados e o sistema Grid Infrastructure, se selecionado | Administrador de Banco de Dados: Atualize a versão do software Oracle Database, a forma dos requisitos de máquina virtual (CPU/memória), os recursos de tamanho da configuração de armazenamento de dados e de recuperação com base nas cargas de trabalho, se necessário (recursos de upgrade/downgrade). |
MONITORING | Segurança física, infraestrutura, plano de controle, falhas de hardware, disponibilidade, capacidade | Nenhuma ação é necessária | Disponibilidade da infraestrutura para suportar o monitoramento dos serviços do usuário. | Administrador de Banco de Dados: Monitoramento do sistema operacional do usuário, bancos de dados, aplicativos e Grid Infrastructure |
GERENCIAMENTO E RESOLUÇÃO DE INCIDENTES | Gerenciamento e remediações de incidentes, peças e envio em campo | Nenhuma ação é necessária | Suporte a quaisquer incidentes relacionados à plataforma subjacente | Administrador do Banco de Dados: Gerenciamento e resolução de incidentes para aplicativos do usuário |
GERENCIAMENTO DE PATCH | Aplicação de patch proativa de hardware, pilha de controle IaaS/PaaS | Nenhuma ação é necessária | Preparação de patches disponíveis, por exemplo, conjunto de patches do Oracle Database |
Administrador de Banco de Dados: Aplicação de patches de instâncias de tenant, testando Administrador do Sistema Operacional: Aplicação de patches do Sistema Operacional |
BACKUP E RESTAURAÇÃO | Infraestrutura e backup/recuperação de plano de controle, recriar máquinas virtuais do usuário | Nenhuma ação é necessária | Fornecer máquinas virtuais em execução e acessíveis ao usuário | Administrador de Banco de Dados: Snapshots / backup e recuperação de dados do usuário IaaS e PaaS usando recursos nativos da Oracle ou de terceiros |
Ativar Recursos de Segurança Adicionais
O Base Database Service fornece os seguintes recursos adicionais de segurança:
dbcli NetSecurity
O dbcli NetSecurity trata da criptografia de dados à medida que ele percorre a rede. Quando os dados são transferidos do Oracle Database para terceiros ou de um servidor para o cliente, eles precisam ser criptografados na extremidade do remetente e decriptografados na extremidade do destinatário. No NetSecurity, as regras são configuradas com valores padrão para cliente e servidor durante operações de provisionamento e criação de home do banco de dados. A interface CLI dcs-agent
fornece comandos para atualizar essas regras do NetSecurity e aprimorar a segurança para algoritmos de criptografia, algoritmos de integridade e tipos de conexão.
Por padrão, dcs-agent
configura as seguintes regras padrão para o home do banco de dados:
SQLNET.ENCRYPTION_SERVER=REQUIRED
SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
SQLNET.ENCRYPTION_CLIENT=REQUIRED
SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)
Para obter mais informações sobre a atualização das definições, consulte a Referência da CLI do Oracle Database.
Integração do OCI Vault
O Base Database Service agora tem integração com o serviço OCI Vault em todas as regiões comerciais do OCI. Agora você pode criar e gerenciar chaves principais de TDE dentro do OCI Vault que protegem seus bancos de dados. Com esse recurso, você tem a opção de começar a usar o serviço OCI Vault para armazenar e gerenciar as chaves de criptografia principais. As chaves do OCI Vault usadas para proteger bancos de dados são armazenadas em um serviço altamente disponível, durável e gerenciado.
Observação:
A integração do OCI Vault só está disponível para o Oracle Database versões 19.13 e posteriores.Com a integração do OCI Vault com o Base Database Service, você pode:
- Controlar e gerenciar de modo centralizado as chaves principais de TDE ativando a criptografia de chaves baseada no OCI Vault ao provisionar Bancos de Dados Oracle no Base Database Service.
- Ter suas chaves principais de TDE armazenadas em um serviço altamente disponível, durável e gerenciado, no qual as chaves são protegidas por HM (módulos de segurança de hardware) que atendem à certificação de segurança FIPS (Federal Information Processing Standards) 140-2 Nível 3.
- Rotacionar suas chaves de criptografia periodicamente para manter a conformidade de segurança e, nos casos de mudanças na equipe, desativar o acesso a um banco de dados.
- Migrar de chaves gerenciadas pela Oracle para chaves gerenciadas pelo usuário para seus bancos de dados existentes.
- Trazer suas próprias chaves - ou seja, BYOK (Bring Your Own Key) - e usá-las ao criar bancos de dados com criptografia gerenciada pelo usuário.
Observação:
- BYOK é aplicável somente ao banco de dados contêiner (CDB). O banco de dados plugável (PDB) receberá uma nova versão de chave gerada automaticamente.
- Os Oracle Databases que usam criptografia gerenciada pelo usuário suportam clonagem do sistema de banco de dados, restauração no local, restauração fora do local, configuração do Data Guard intra-região e operações específicas do PDB, como criação do PDB e clonagem local.
CLI para Ativar o FIPS
A Oracle fornece uma ferramenta para que os usuários comerciais melhorem a segurança por padrão. Essa ferramenta é usada para permitir que FIPS, SE Linux e STIG sigam os padrões mais rigorosos.
Para obter mais informações, consulte Ativar FIPS, SE Linux e STIG nos Componentes do Sistema de Banco de Dados.