Segurança dos Serviços Básicos

O Oracle Cloud Infrastructure Compute permite provisionar e gerenciar hosts do serviço Compute, conhecidos como Instâncias. Você pode iniciar instâncias conforme necessário para atender aos seus requisitos de computação e aplicativo. Depois de iniciar uma instância, você pode acessá-la com segurança pelo seu computador, reiniciá-la, anexar e desanexar volumes e encerrá-la quando terminar com ela. Quaisquer alterações feitas nas unidades locais da instância são perdidas quando você as encerra. Todas as alterações salvas nos volumes anexados à instância são mantidas.

O Oracle Cloud Infrastructure oferece instâncias bare metal e de máquina virtual:

Bare Metal

Uma instância de Computação bare metal dá a você acesso ao servidor físico dedicado para melhor desempenho e isolamento mais forte. Após um cliente encerrar sua instância bare metal, o servidor passa por um processo automatizado de limpeza no nível do disco e do firmware para garantir isolamento entre os clientes.

Máquina Virtual

Máquina virtual (VM) é um ambiente computacional independente que é executado no topo do hardware bare metal físico. A virtualização possibilita a execução de várias VMs isoladas umas das outras. VMs são ideais para executar aplicativos que não requerem o desempenho e os recursos (CPU, memória, largura de banda da rede, armazenamento) de uma máquina física inteira.

Uma instância do Oracle Cloud Infrastructure VM Compute é executada no mesmo hardware que uma instância bare metal, usando a mesma infraestrutura de hardware, firmware, pilha de software e rede otimizada para a nuvem.

Por padrão, todas as instâncias do Oracle Cloud Infrastructure usam o Secure Shell (SSH) baseado em chave. Os clientes fornecem as chaves públicas SSH para o Oracle Cloud Infrastructure e usam as chaves privadas SSH para acessar as instâncias. A Oracle recomenda o uso de SSH baseado em chave para acessar instâncias do Oracle Cloud Infrastructure. O SSH baseado em senha pode ser suscetível a ataques de força bruta, e não é recomendado.

Estão disponíveis imagens do Oracle Linux reforçadas com as mais recentes atualizações de segurança para serem executadas nas instâncias do Oracle Cloud Infrastructure. As imagens do Oracle Linux executam o UEK (Unbreakable Enterprise Kernel) e suportam recursos de segurança avançados, como o Ksplice, para aplicar patches de segurança sem reinicializar. Além do Oracle Linux, o Oracle Cloud Infrastructure disponibiliza uma lista de outras imagens da plataforma do sistema operacional, incluindo CentOS, Ubuntu e Windows Server. Todas as imagens de plataforma vêm com padrões seguros, incluindo firewalls ativados por padrão no nível do sistema operacional.

Você também pode usar as suas próprias imagens personalizadas. No entanto, determinadas políticas de zona de segurança só permitem o uso de imagens de plataforma em compartimentos associados a uma zona de segurança.

Use o serviço Vulnerability Scanning para verificar rotineiramente as instâncias em busca de possíveis vulnerabilidades de segurança, como patches ausentes ou portas abertas. O serviço gera relatórios com métricas e detalhes sobre essas vulnerabilidades e atribui a cada uma delas um nível de risco.

Instâncias Especializadas

O Oracle Cloud Infrastructure oferece recursos que permitem personalizar instâncias para cargas de trabalho especializadas e requisitos de segurança.

• As instâncias blindadas reforçam a segurança do firmware em hosts bare metal e máquinas virtuais para defesa contra software malicioso no nível da inicialização. Para obter mais informações, consulte: Instâncias Blindadas.
• A computação confidencial criptografa e isola dados em uso e os aplicativos que processam esses dados. Para obter mais informações, consulte: Computação Confidencial.
• Os hosts de máquina virtual dedicados permitem que você execute instâncias de máquina virtual do OCI Compute em servidores dedicados que sejam um tenant único e não compartilhado com outros clientes. Para obter mais informações, consulte: Hosts de Máquina Virtual Dedicados.

Para obter mais informações, consulte:

• Visão Geral do Serviço Compute
• Protegendo o Serviço Compute

O serviço Oracle Cloud Infrastructure Networking permite que você defina uma rede privada personalizável (uma VCN ou rede virtual na nuvem), que impõe o isolamento lógico dos recursos do Oracle Cloud Infrastructure. Assim como na sua rede local em seus data centers, você pode configurar uma VCN com sub-redes, tabelas de roteamento, gateways e regras de firewall.

Estes são os principais conceitos de rede associados a uma VCN:

Sub-rede

A principal subdivisão de uma VCN. As sub-redes podem ser públicas ou privadas. Uma sub-rede privada impede que os recursos iniciados nessa sub-rede tenham endereços IP públicos.

Gateway de internet

Um roteador virtual que fornece conectividade pública com a internet por meio de uma VCN. Por padrão, uma VCN recém-criada não tem conectividade com a internet.

Gateway de roteamento dinâmico (DRG)

Um roteador virtual que fornece um caminho para tráfego privado entre uma VCN e uma rede do data center. Um DRG é usado com uma VPN IPSec VPN ou Oracle Cloud Infrastructure FastConnect.

Gateway NAT (Network Address Translation)

Um roteador virtual que permite o acesso de recursos de nuvem sem endereços IP públicos à internet sem expor esses recursos a conexões de internet de entrada.

Gateway de serviço

Um roteador virtual que permite aos recursos de nuvem acesso privado aos serviços Oracle, como Object Storage, sem usar um gateway de internet ou um gateway NAT.

Tabela de roteamento

Tabelas de roteamento virtual que têm regras para rotear tráfego de sub-redes para destinos fora da VCN por meio de gateways ou de instâncias do serviço Compute especialmente configuradas.

Lista de segurança

Regras de firewall virtual que especificam os tipos de tráfego (protocolo e porta) permitidos dentro e fora dos recursos. Regras individuais podem ser definidas com ou sem estado e afetam todos os recursos na sub-rede de destino.

Grupo de segurança de rede

Regras de firewall virtual que definem entrada e saída permitidas para recursos que são membros do grupo. Regras individuais podem ser definidas com e sem monitoramento de estado.

Use listas de segurança, grupos de segurança de rede ou uma combinação de ambos para controlar o tráfego no nível do pacote dentro e fora dos recursos da sua VCN. Por exemplo, você pode permitir tráfego SSH de entrada proveniente de qualquer lugar para uma sub-rede ou um grupo de instâncias configurando uma regra de entrada com monitoramento de estado com o CIDR de origem 0.0.0.0/0 e a porta TCP 22 de destino. Cada VCN tem uma lista de segurança padrão que permite somente SSH e determinados tipos importantes de tráfego de entrada ICMP, além de permitir todo o tráfego de saída.

Crie sub-redes privadas para garantir que os recursos da sub-rede não tenham acesso à internet, mesmo que a VCN tenha um gateway de internet em funcionamento e mesmo que as regras de segurança e de firewall permitam o tráfego. Determinadas políticas de zona de segurança só permitem o uso de sub-redes privadas. Você pode usar o serviço Bastion para criar sessões SSH seguras e temporárias da internet para recursos em uma sub-rede privada.

Uma VCN pode ser configurada para conectividade com a internet ou conectada ao seu data center privado por meio de um Site a Site VPNor FastConnect. FastConnect oferece uma conexão privada entre o roteador de borda de uma rede existente e DRGs. O tráfego não passa pela internet.

Para obter mais informações, consulte:

• Maneiras de Proteger a Sua Rede
• Controle de Acesso
• Regras de Segurança
• Protegendo o Serviço Networking: VCN, Balanceadores de Carga e DNS

O Oracle Cloud Infrastructure oferece várias soluções de armazenamento para atender aos seus requisitos de desempenho e durabilidade:

Armazenamento Local

Armazenamento suportado pelo NVMe em instâncias de computação, oferecendo alto índice de IOPS.

Serviço Block Volume

Volumes de armazenamento anexados à rede e que podem ser anexados a instâncias de computação.

Serviço Object Storage

Serviço regional para armazenar grandes volumes de dados como objetos, proporcionando forte consistência e durabilidade. Os objetos são organizados usando buckets.

Serviço File Storage

Sistema de arquivos de rede durável que suporta o protocolo Network File System versão 3.0 (NFSv3).

O serviço Oracle Cloud Infrastructure Block Volume fornece armazenamento persistente que pode ser anexado às instâncias de computação usando o protocolo iSCSI. Os volumes são guardados em um armazenamento de rede de alto desempenho e suportam funcionalidades automatizadas de backup e de snapshot. Os volumes e seus backups só estão acessíveis por meio da VCN de um cliente e são criptografados em repouso usando chaves exclusivas. Para mais segurança, a autenticação CHAP da iSCSI pode ser necessária para cada volume.

O serviço Oracle Cloud Infrastructure Object Storage oferece armazenamento altamente escalável, consistente e durável para os objetos. As chamadas da API por HTTPS oferecem acesso com alto throughput aos dados. Todos os objetos são criptografados em repouso usando chaves exclusivas e, por padrão, o acesso a buckets e objetos dentro deles requer autenticação.

As políticas de zona de segurança exigem que você criptografe volumes, objetos e sistemas de arquivos usando chaves gerenciadas pelo cliente no serviço Vault. Você também pode usar o Security Advisor para criar rapidamente recursos de armazenamento e as chaves necessárias em uma única interface.

Use políticas de segurança do IAM para conceder aos usuários e grupos privilégios de acesso aos buckets do Object Storage. Para permitir o acesso a buckets por usuários que não têm credenciais do IAM, o proprietário do bucket (ou um usuário com os privilégios necessários) pode criar solicitações pré-autenticadas. As solicitações pré-autenticadas permitem ações autorizadas em buckets ou objetos por uma duração especificada.

Como alternativa, os buckets podem se tornar públicos, o que permite acesso não autenticado e anônimo. O serviço Object Storage permite que você verifique se um objeto não foi corrompido acidentalmente, permitindo que uma soma de verificação MD5 seja enviada com o objeto e retornada após um upload bem-sucedido. Essa soma de verificação pode ser usada para validar a integridade do objeto. Dado o risco de segurança da divulgação inadvertida de informações, a Oracle recomenda que você considere cuidadosamente o caso de negócios antes de tornar um bucket público. Certas políticas de zona de segurança proíbem a criação de buckets públicos.

O serviço Oracle Cloud Infrastructure File Storage permite gerenciar recursos como sistemas de arquivos, pontos de acesso NFS e conjuntos de exportação. Você usa políticas do serviço IAM para definir o acesso a esses recursos. O estilo AUTH_UNIX de autenticação e verificação de permissão é suportado para solicitações remotas de clientes NFS para um sistema de arquivos.

Para obter mais informações, consulte:

• Protegendo o Volume em Blocos
• Protegendo o Serviço Object Storage
• Protegendo o Serviço File Storage

O serviço Oracle Cloud Infrastructure Database oferece soluções em nuvem Oracle Database cogerenciadas e autônomas. Para ambos os tipos de soluções de banco de dados, você tem acesso total aos recursos e operações disponíveis com o banco de dados, mas a Oracle possui e gerencia a infraestrutura.

• Os Autonomous Databases são ambientes pré-configurados e totalmente gerenciados que são adequados para cargas de trabalho de processamento de transações ou data warehouse.
• As soluções cogerenciadas são sistemas de BD bare metal, máquina virtual e Exadata que você pode personalizar com os recursos e as definições que atendam às suas necessidades.

Os sistemas de banco de dados só podem ser acessados pela sua VCN e você pode configurar grupos de segurança de rede ou listas de segurança para controlar o acesso à rede aos seus bancos de dados. O serviço Database é integrado com o IAM para controlar quais usuários podem iniciar e gerenciar sistemas de banco de dados. Por padrão, os dados são criptografados em repouso usando a criptografia de dados transparente (TDE) da Oracle com chaves mestras armazenadas em um Oracle Wallet em cada sistema de banco de dados.

Os backups RMAN dos sistemas de banco de dados são criptografados e armazenados nos buckets pertencentes ao cliente no serviço Object Storage. Certas políticas de zona de segurança exigem a configuração de backups de banco de dados.

A aplicação de patches de segurança do banco de dados Oracle (Atualizações Críticas de Patches da Oracle) é imperativa para mitigar problemas de segurança conhecidos, e a Oracle recomenda que você mantenha os patches atualizados. Os conjuntos de patches e as PSUs (Patch Set Updates) são liberados trimestralmente. Essas liberações de patches contêm correções de segurança e outras correções de bugs críticos de alto impacto / baixo risco.

Para obter mais informações, consulte Protegendo o Banco de Dados.

O Oracle Cloud Infrastructure Load Balancer fornece distribuição automatizada de tráfego de um ponto de entrada para vários servidores acessíveis pela sua VCN (rede virtual na nuvem). O serviço oferece um balanceador de carga com a sua escolha de endereço IP público ou privado e largura de banda provisionada. Um balanceador de carga privado tem um endereço IP da sub-rede de hospedagem, que permanece visível somente dentro da sua VCN.

Você pode aplicar as seguintes configurações de SSL ao seu balanceador de carga:

ENCERRAMENTO DE SSL

O balanceador de carga trata o tráfego SSL recebido e passa a solicitação não criptografada para um servidor de backend.

SSL PONTO A PONTO

O balanceador de carga encerra a conexão SSL com um cliente de tráfego recebido e inicia uma conexão SSL com um servidor de backend.

TUNELAMENTO SSL

Se você configurar o listener do balanceador de carga para tráfego TCP, o balanceador de carga tunelará as conexões SSL recebidas em direção aos seus servidores de aplicativos.

O serviço Load Balancer suporta TLS 1.2 por padrão e prioriza as seguintes cifras de segurança avançada na suíte de cifras TLS:

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256

É possível configurar o acesso à rede para balanceadores de carga usando grupos de segurança de rede da VCN ou listas de segurança.

Para obter mais informações, consulte Protegendo a Rede: VCN, Balanceadores de Carga e DNS.