Documentação do Oracle Cloud Infrastructure

Protegendo o Serviço Database

Recomendações de Segurança

Esta seção lista recomendações de segurança para gerenciar instâncias do Oracle Cloud Infrastructure Database. Recomendações para a configuração segura dos bancos de dados Oracle estão disponíveis no Oracle Database Security Guide. Nesta documentação, "sistema de banco de dados" refere-se a implantações do Oracle Database usando o serviço Base Database, o Exadata Database Service on Dedicated Infrastructure e o Autonomous Database na infraestrutura dedicada do Exadata. (Observe que alguns tópicos podem não ser aplicáveis ao Autonomous Database em situações em que a Oracle gerencia a funcionalidade descrita.)

Controle de Acesso ao Banco de Dados

  • Os usuários são autenticados no banco de dados usando suas respectivas senhas. A Oracle recomenda que essas senhas sejam fortes. Para obter diretrizes sobre como escolher senhas para banco de dados Oracle, consulte Diretrizes para Proteger Senhas. Além disso, o banco de dados Oracle fornece um script PL/SQL para verificar a complexidade da senha do banco de dados. Esse script fica localizado em $ORACLE_HOME/rdbms/admin/UTLPWDMG.SQL. Para obter instruções sobre como executar o script UTLPWDMG.SQL e verificar a complexidade da senha, consulte Impondo a Verificação de Complexidade da Senha.
  • Além da senha do banco de dados, você pode usar grupos de segurança de rede da VCN ou listas de segurança para impor o controle de acesso à rede a instâncias do banco de dados. A Oracle recomenda que você configure grupos de segurança de rede da VCN ou listas de segurança para permitir um acesso com menos privilégios aos bancos de dados do cliente no Oracle Cloud Infrastructure Database.

  • Sistemas de banco de dados criados em uma sub-rede pública podem enviar tráfego de saída diretamente para a internet. Os sistemas de banco de dados criados dentro de uma sub-rede privada não têm conectividade com a internet, e o tráfego da internet (saída e entrada) não consegue acessar a instância diretamente. Se você tentar definir uma rota para um sistema de Banco de Dados dentro de uma sub-rede privada usando um gateway de internet, a rota será ignorada.

    Para executar a correção e o backup do sistema operacional de um sistema operacional para um sistema de banco de dados em uma sub-rede privada, você poderá usar um gateway de serviço ou um gateway NAT para estabelecer conexão com seus pontos finais de patch ou backup.

    Em uma rede virtual na nuvem (VCN), você pode usar regras de segurança junto com uma sub-rede privada para restringir o acesso a um sistema de banco de dados. Nas implantações de várias camadas, uma sub-rede privada e as regras de segurança da VCN podem ser usadas para restringir o acesso ao sistema de banco de dados por meio de camadas do aplicativo.

Durabilidade dos Dados

  • A Oracle recomenda que você conceda permissões de exclusão de banco de dados (DATABASE_DELETE, DB_SYSTEM_DELETE) a um conjunto mínimo possível de usuários e grupos do IAM. Isso minimiza perdas de dados decorrentes de exclusões inadvertidas por parte de um usuário autorizado ou decorrentes de exclusões maliciosas. Só conceda permissões DELETE aos administradores de tenancies e compartimentos.
  • Você pode usar o RMAN para fazer backups periódicos dos bancos de dados, no qual as cópias de backup criptografadas são armazenadas no armazenamento local (volumes em blocos, por exemplo) ou no Oracle Cloud Infrastructure Object Storage. O RMAN criptografa cada backup de um banco de dados com uma chave de criptografia exclusiva. No modo transparente, a chave de criptografia é armazenada na Oracle Wallet. Os backups do RMAN no serviço Object Storage exigem que o gateway de internet (IGW), os grupos de segurança de rede da VCN ou as listas de segurança precisam ser configurados para permitir o acesso seguro ao serviço Object Storage. Para obter informações sobre a configuração da VCN para backup de bancos de dados bare metal, consulte Backup de um Banco de Dados no Serviço Object Storage Usando o RMAN. Para obter informações sobre backup e bancos de dados Exadata, consulte Gerenciando Backups de Banco de Dados Exadata com bkup_api.

Gerenciamento de Chaves e Criptografia de Banco de Dados

  • Todos os bancos de dados criados no Oracle Cloud Infrastructure são criptografados com TDE (transparent data encryption). Observe que, se você migrar um banco de dados não criptografado da rede local para o Oracle Cloud Infrastructure usando o RMAN, o banco de dados migrado não será criptografado. A Oracle exige a criptografia desses bancos de dados após migrá-los para a nuvem.

    Para saber como criptografar o seu banco de dados com tempo mínimo de indisponibilidade durante a migração, consulte o white paper Oracle Maximum Availability Architecture, seção Converting to Transparent Data Encryption with Oracle Data Guard using Fast Offline Conversion.

    Observe que os sistemas de banco de dados de máquina virtual usam o armazenamento em blocos do Oracle Cloud Infrastructure, em vez do armazenamento local. O armazenamento em blocos é criptografado por padrão.

  • Os tablespaces criados pelo usuário são criptografados por padrão no Oracle Cloud Infrastructure Database. Nesses bancos de dados, o parâmetro ENCRYPT_NEW_TABLESPACES é definido como CLOUD_ONLY, em que os tablespaces criados em um banco de dados do DBCS (Database Cloud Service) são criptografados de forma transparente com o algoritmo AES128, a menos que outro algoritmo seja especificado.
  • O administrador do Banco de Dados cria uma Oracle Wallet local em uma instância do banco de dados recém-criada e inicializa a chave mestre TDE (Transparent Data Encryption). Em seguida, a Oracle Wallet será configurada para ser "aberta automaticamente". No entanto, um cliente pode optar por definir uma senha para a Oracle Wallet, e a Oracle recomenda que você defina uma senha forte (oito caracteres ou mais, com pelo menos uma letra maiúscula, uma letra minúscula, um número e um símbolo especial).
  • A Oracle recomenda que você rotacione periodicamente a chave mestra TDE. O período de rotação recomendado é 90 dias ou menos. Você pode rotacionar a chave mestra TDE usando comandos nativos de banco de dados ("administrar o gerenciamento de chaves" na versão 12c, por exemplo) ou a dbaascli. Todas as versões anteriores da chave mestra TDE são mantidas na Oracle Wallet.
  • O OKV (Oracle Key Vault) é um appliance de gerenciamento de chaves usado para gerenciar chaves mestras da funcionalidade Oracle TDE. O OKV pode armazenar, rotacionar e auditar acessos às chaves mestras TDE. Para obter instruções sobre como instalar e configurar o OKV no Oracle Cloud Infrastructure, consulte Gerenciando Chaves de Criptografia do Oracle Database no Oracle Cloud Infrastructure com o Oracle Key Vault.

Aplicação de Patch de Banco de Dados

A aplicação de patches de segurança do banco de dados Oracle (Oracle Critical Patch Updates) é imperativa para mitigar problemas de segurança conhecidos, e a Oracle recomenda que você mantenha os patches atualizados. Os conjuntos de patches e as PSUs (Patch Set Updates) são liberados trimestralmente. Essas liberações de patches contêm correções de segurança e correções de bugs críticos de alto impacto/baixo risco adicionais.

Para obter informações sobre os problemas de segurança mais recentes conhecidos e as correções disponíveis, consulte Atualizações de Patches Críticos, Alertas de Segurança e Boletins. Se o seu aplicativo não suportar os patches mais recentes e precisar usar um sistema de banco de dados com patches mais antigos, você poderá provisionar um sistema de banco de dados com uma versão mais antiga da edição do Oracle Database que você está usando. Além de revisar as atualizações de patches críticos e os alertas de segurança do Oracle Database, a Oracle recomenda que você analise e aplique o patch ao sistema operacional provisionado com o sistema de banco de dados.

Para obter informações sobre a aplicação de patches às instâncias do Oracle Cloud Infrastructure Database, consulte Atualizar um Sistema de Banco de Dados e Aplicando Patches a Bancos de Dados Oracle Grid Infrastructure e Oracle com o Utilitário dbaascli.

Verificação da Configuração de Segurança do Banco de Dados

  • A Ferramenta de Avaliação de Segurança do Oracle Database (DBSAT) fornece verificações de configuração de segurança automatizadas de bancos de dados Oracle no Oracle Cloud Infrastructure. O DBSAT executa verificações de segurança para análise de privilégio do usuário, controles de autorização do banco de dados, políticas de auditoria, configuração do listener de banco de dados, permissões de arquivo do sistema operacional e dados confidenciais armazenados. As imagens do banco de dados Oracle no Oracle Cloud Infrastructure Database são verificadas com o DBSAT antes do provisionamento. Após o provisionamento, a Oracle recomenda que você verifique periodicamente os bancos de dados com o DBSAT e repare todos os problemas encontrados. O DBSAT está disponível gratuitamente para os clientes da Oracle.

Auditoria de Segurança de Banco de Dados

O Oracle AVDF (Audit Vault and Database Firewall) monitora os logs de auditoria de banco de dados e cria alertas. Para obter instruções sobre como instalar e configurar o AVDF no Oracle Cloud Infrastructure, consulte Implantando o Oracle Audit Vault and Database Firewall no Oracle Cloud Infrastructure.

Serviço Data Safe

A Oracle recomenda o uso do serviço Data Safe para aumentar a segurança das implantações do banco de dados. O Oracle Data Safe é um centro de controle unificado para seus bancos de dados Oracle que ajuda você a entender a confidencialidade de seus dados, avaliar riscos a dados, mascarar dados confidenciais, implementar e monitorar controles de segurança, avaliar a segurança do usuário, monitorar a atividade do usuário e atender aos requisitos de conformidade de segurança de dados. Consulte Conceitos Básicos para obter informações completas.

Backups de Banco de Dados

A Oracle recomenda o uso de backups Gerenciados (backups criados com a Console do Oracle Cloud Infrastructure ou a API) sempre que possível. Quando você usa backups gerenciados, o sistema Oracle gerencia o usuário e as credenciais de armazenamento de objetos e rotaciona essas credenciais a cada 3 dias. O Oracle Cloud Infrastructure criptografa todos os backups gerenciados no armazenamento de objetos. Por padrão, o sistema Oracle usa a funcionalidade DTE (Database Transparent Encryption) para criptografar os backups.

Se você não estiver usando backups gerenciados, a Oracle recomenda a alteração das senhas de armazenamento de objetos em intervalos regulares.

Exemplos de Política de Segurança

Impedir a Exclusão de Instâncias do Banco de Dados

O exemplo de política a seguir permite que o grupo DBUsers execute todas as ações de gerenciamento, exceto excluir bancos de dados e artefatos.

Allow group DBUsers to manage db-systems in tenancy
 where request.permission!='DB_SYSTEM_DELETE' 
Allow group DBUsers to manage databases in tenancy
 where request.permission!='DATABASE_DELETE' 
Allow group DBUsers to manage db-homes in tenancy
 where request.permission!='DB_HOME_DELETE'