Protegendo o OCI GoldenGate

O Oracle Cloud Infrastructure GoldenGate fornece uma solução de replicação de dados segura e fácil de usar, de acordo com as melhores práticas de segurança líderes do setor.

Responsabilidades

Para usar o OCI GoldenGate com segurança, saiba mais sobre suas responsabilidades de segurança e conformidade.

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

Responsabilidades da Oracle

A Oracle é responsável pelos seguintes requisitos de segurança:

• Segurança física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.

• Criptografia e confidencialidade: Chaves e segredos de criptografia são armazenados em wallets e vaults para proteger seus dados e se conectar a recursos protegidos.

• Tráfego de rede: O acesso criptografado à console da implantação do OCI GoldenGate só é ativado por SSL na porta 443. Por padrão, o acesso à console de implantação do OCI GoldenGate só está disponível em um ponto final privado do OCI na rede privada do cliente. É possível configurar pontos finais públicos permitindo acesso público criptografado à Console de Implantação do GoldenGate via SSL na porta 443.

Suas responsabilidades

Suas responsabilidades de segurança incluem:

• Controle de acesso: limite o máximo possível de privilégios. Os usuários só deverão receber o acesso necessário para executar o trabalho deles.

• Gerenciamento de contas da console da implantação OCI GoldenGate: O acesso à console da implantação OCI GoldenGate é gerenciado diretamente na console do Oracle Cloud. Contas e permissões são gerenciadas diretamente na console de implantação do OCI GoldenGate. Saiba mais sobre usuários de implantação.

• Tráfego de redes: As conexões especificam a conectividade de redes com origens e destinos. Ao criar uma conexão, você pode configurar parâmetros de SSL para garantir que a conexão possa ser segura e criptografada. Saiba mais sobre conexões.

• Criptografia de redes: Por padrão, toda a conectividade de redes com o OCI GoldenGate é criptografada com SSL com certificados fornecidos pela Oracle. Verifique se o certificado ou as chaves de criptografia fornecidos são atuais e válidos.

• Auditoria de eventos de segurança: A console da implantação do OCI GoldenGate registram eventos de segurança. Você pode acessar e revisar esse log usando o backup da implantação do OCI GoldenGate. Certifique-se de monitorar esse log regularmente. Saiba mais sobre backups de implantação.

• Aplicando Patch: Verifique se as implantações do OCI GoldenGate estão atualizadas. As atualizações são liberadas mensalmente e você deve fazer upgrade para o nível de patch de implantação mais recente o mais rápido possível para evitar vulnerabilidades. Saiba mais sobre implantações de patch.

• Auditoria de acesso remoto por meio do Balanceador de Carga ou do Bastion: Certifique-se de que a audição de qualquer acesso remoto que não esteja diretamente no OCI GoldenGate esteja ativada e configurada corretamente. Saiba mais.

Recomendações

• Crie usuários adicionais da console de implantação do OCI GoldenGate com atribuições diferentes de Segurança.

• Designe o acesso de privilégio mínimo necessário para grupos e usuários do serviço IAM aos tipos de recursos em goldengate-family.

• Para minimizar a perda de dados das exclusões inadvertidas por um usuário não autorizado ou de exclusões maliciosas, a Oracle recomenda fornecer as permissões GOLDENGATE_DEPLOYMENT_DELETE e GOLDENGATE_CONNECTION_DELETE ao conjunto mínimo possível de usuários e grupos do IAM. Só conceda essas permissões aos administradores de tenancies e compartimentos.

• O OCI GoldenGate só precisa de acesso no nível USE para capturar dados de conexões.

Exemplos

Impedir a exclusão de implantações

Crie essa política para permitir que o grupo ggs-users execute todas as ações nas implantações, exceto excluí-las:

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Consulte Políticas do Oracle Cloud Infrastructure GoldenGate para obter mais informações sobre a criação de políticas.