Protegendo o OCI GoldenGate

O Oracle Cloud Infrastructure GoldenGate fornece uma solução de replicação de dados segura e fácil de usar, de acordo com as melhores práticas de segurança líderes do setor.

Responsabilidades

Para usar o OCI GoldenGate com segurança, saiba mais sobre suas responsabilidades de segurança e conformidade.

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

A Oracle é responsável pelos seguintes requisitos de segurança:

  • Segurança física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.
  • Criptografia e confidencialidade: As chaves de criptografia e os segredos são armazenados em wallets e vaults para proteger seus dados e estabelecer conexão com recursos protegidos.
  • Tráfego de rede: O acesso criptografado à Console de implantação GoldenGate do OCI só é ativado por SSL na porta 443. Por padrão, o acesso à console de implantação do OCI GoldenGate só está disponível em um ponto final privado do OCI na rede privada do cliente. É possível configurar pontos finais públicos permitindo acesso público criptografado à Console de Implantação do GoldenGate via SSL na porta 443.

Suas responsabilidades de segurança incluem:

  • Controle de acesso: limite o máximo possível de privilégios. Os usuários só deverão receber o acesso necessário para executar o trabalho deles.
  • Gerenciamento de contas da console da implantação GoldenGate do OCI: O acesso à console de implantação GoldenGate do OCI é gerenciado diretamente na console doOracle Cloud. Contas e permissões são gerenciadas diretamente na console de implantação do OCI GoldenGate. Saiba mais sobre usuários de implantação.
  • Tráfego de redes: As conexões especificam a conectividade de redes com origens e destinos. Ao criar uma conexão, você pode configurar parâmetros de SSL para garantir que a conexão possa ser segura e criptografada. Saiba mais sobre conexões.
  • Criptografia de rede: Por padrão, toda a conectividade de rede ao OCI GoldenGate é criptografada pelo SSL com certificados fornecidos pela Oracle. Verifique se o certificado ou as chaves de criptografia fornecidos são atuais e válidos.
  • Auditoria de eventos de segurança: A Console de implantação GoldenGate do OCI registra eventos de segurança. Você pode acessar e revisar esse log usando o backup da implantação do OCI GoldenGate. Certifique-se de monitorar esse log regularmente. Saiba mais sobre backups de implantação.
  • Aplicando Patches: Verifique se as implantações do OCI GoldenGate estão atualizadas. As atualizações são liberadas mensalmente e você deve fazer upgrade para o nível de patch de implantação mais recente o mais rápido possível para evitar vulnerabilidades. Saiba mais sobre implantações de patch.
  • Auditoria de acesso remoto por meio do Balanceador de Carga ou do Bastion: Certifique-se de que a audição de qualquer acesso remoto que não esteja diretamente no OCI GoldenGate esteja ativada e configurada corretamente. Saiba mais.

Recomendações

  • Crie usuários adicionais da console de implantação do OCI GoldenGate com atribuições diferentes de Segurança.
  • Designe o acesso de privilégio mínimo necessário para grupos e usuários do serviço IAM aos tipos de recursos em goldengate-family.
  • Para minimizar a perda de dados de exclusões acidentais por um usuário não autorizado ou exclusões mal-intencionadas, a Oracle recomenda conceder as permissões GOLDENGATE_DEPLOYMENT_DELETE e GOLDENGATE_CONNECTION_DELETE ao conjunto mínimo possível de grupos e usuários do serviço IAM. Só conceda essas permissões aos administradores de tenancies e compartimentos.
  • O OCI GoldenGate só precisa de acesso no nível USE para capturar dados de conexões.

Exemplos

Impedir a exclusão de implantações

Crie essa política para permitir que o grupo ggs-users execute todas as ações nas implantações, exceto excluí-las: 

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Consulte Políticas do Oracle Cloud Infrastructure GoldenGate para obter mais informações sobre a criação de políticas.