Documentação do Oracle Cloud Infrastructure

Protegendo o Serviço Database

Recomendações de Segurança

Esta seção lista as recomendações de segurança para o gerenciamento de instâncias da Oracle Cloud Infrastructure Database. Recomendações para a configuração segura dos bancos de dados Oracle estão disponíveis no Oracle Database Security Guide. Nesta documentação, "sistema de banco de dados" refere-se a implantações do Oracle Database usando o serviço Base Database, Exadata Database Service on Dedicated Infrastructure e Autonomous AI Database on dedicated Exadata infrastructure . (Observe que alguns tópicos podem não ser aplicáveis ao Autonomous AI Database em situações em que a Oracle gerencia a funcionalidade descrita.)

Controle de Acesso ao Banco de Dados

  • Os usuários são autenticados no banco de dados usando suas respectivas senhas. Recomendamos que essas senhas sejam fortes. Para obter diretrizes sobre como escolher senhas para banco de dados Oracle, consulte Diretrizes para Proteger Senhas. Além disso, o banco de dados Oracle fornece um script PL/SQL para verificar a complexidade da senha do banco de dados. Esse script fica localizado em $ORACLE_HOME/rdbms/admin/UTLPWDMG.SQL. Para obter instruções sobre como executar o script UTLPWDMG.SQL e verificar a complexidade da senha, consulte Impondo a Verificação de Complexidade da Senha.
  • Além da senha do banco de dados, você pode usar grupos de segurança de rede da VCN ou listas de segurança para impor o controle de acesso à rede a instâncias do banco de dados. Recomendamos que você configure grupos da segurança da rede VCN ou listas de segurança para permitir o menor acesso privilegiado a bancos de dados de clientes no Oracle Cloud Infrastructure Database.

  • Os sistemas de banco de dados criados em uma sub-rede pública podem enviar tráfego de saída diretamente para a Internet. Sistemas de banco de dados criados em uma sub-rede privada Não têm conectividade de internet, e tráfego de internet (saída e entrada) não pode acessar a instância diretamente. Se você tentar definir uma rota para um sistema de Banco de Dados dentro de uma sub-rede privada usando um gateway de internet, a rota será ignorada.

    Para executar a correção e o backup do sistema operacional de um sistema operacional para um sistema de banco de dados em uma sub-rede privada, você poderá usar um gateway de serviço ou um gateway NAT para estabelecer conexão com seus pontos finais de patch ou backup.

    Em uma rede virtual na nuvem (VCN), você pode usar regras de segurança junto com uma sub-rede privada para restringir o acesso a um sistema de banco de dados. Nas implantações de várias camadas, uma sub-rede privada e as regras de segurança da VCN podem ser usadas para restringir o acesso ao sistema de banco de dados por meio de camadas do aplicativo.

Durabilidade dos Dados

  • Recomendamos que você conceda permissões de exclusão do banco de dados (DATABASE_DELETE, DB_SYSTEM_DELETE) a um conjunto mínimo possível de usuários e grupos do serviço IAM. Isso minimiza a perda de dados por causa de exclusões inadvertidas por um usuário autorizado ou por causa de exclusões maliciosas. Só conceda permissões DELETE aos administradores de tenancies e compartimentos.
  • Você pode usar o RMAN para fazer backups periódicos dos bancos de dados, no qual as cópias de backup criptografadas são armazenadas no armazenamento local (volumes em blocos, por exemplo) ou no Oracle Cloud Infrastructure Object Storage. O RMAN criptografa cada backup de um banco de dados com uma chave de criptografia exclusiva. No modo transparente, a chave de criptografia é armazenada na Oracle Wallet. Os backups do RMAN no serviço Object Storage exigem que o gateway de internet (IGW), os grupos de segurança de rede da VCN ou as listas de segurança precisam ser configurados para permitir o acesso seguro ao serviço Object Storage. Para obter informações sobre a configuração da VCN para backup de bancos de dados bare metal, consulte Backup de um Banco de Dados no Serviço Object Storage Usando o RMAN. Para obter informações sobre backup e bancos de dados Exadata, consulte Gerenciando Backups de Banco de Dados Exadata com bkup_api.

Gerenciamento de Chaves e Criptografia de Banco de Dados

  • Todos os bancos de dados criados no Oracle Cloud Infrastructure são criptografados com TDE (transparent data encryption). Observe que, se você migrar um banco de dados não criptografado da rede local para o Oracle Cloud Infrastructure usando o RMAN, o banco de dados migrado não será criptografado. A Oracle exige a criptografia desses bancos de dados após migrá-los para a nuvem.

    Para saber como criptografar o seu banco de dados com tempo mínimo de indisponibilidade durante a migração, consulte o white paper Oracle Maximum Availability Architecture, seção Converting to Transparent Data Encryption with Oracle Data Guard using Fast Offline Conversion.

    Observe que os sistemas de banco de dados de máquina virtual usam o armazenamento em blocos do Oracle Cloud Infrastructure, em vez do armazenamento local. O armazenamento em blocos é criptografado por padrão.

  • Os tablespaces criados pelo usuário são criptografados por padrão no Oracle Cloud Infrastructure Database. Nesses bancos de dados, o parâmetro ENCRYPT_NEW_TABLESPACES é definido como CLOUD_ONLY, em que os tablespaces criados em um banco de dados do DBCS (Database Cloud Service) são criptografados de forma transparente com o algoritmo AES128, a menos que outro algoritmo seja especificado.
  • O administrador de Banco de Dados cria um Oracle Wallet local em uma instância de banco de dados recém-criada e inicializa a chave mestra TDE (Transparent Data Encryption). Em seguida, a Oracle Wallet será configurada para ser "aberta automaticamente". No entanto, um cliente pode optar por definir uma senha para o Oracle Wallet. Recomendamos que você defina uma senha forte (oito caracteres ou mais, com pelo menos uma letra maiúscula, uma pequena letra, um número e um símbolo especial).
  • Recomendamos que você alterne periodicamente a chave mestra de TDE. O período de rotação recomendado é 90 dias ou menos. Você pode rotacionar a chave mestra TDE usando comandos nativos de banco de dados ("administrar o gerenciamento de chaves" na versão 12c, por exemplo) ou a dbaascli. Todas as versões anteriores da chave mestra TDE são mantidas na Oracle Wallet.
  • O OKV (Oracle Key Vault) é um appliance de gerenciamento de chaves usado para gerenciar chaves mestras da funcionalidade Oracle TDE. O OKV pode armazenar, rotacionar e auditar acessos às chaves mestras TDE. Para obter instruções sobre como instalar e configurar o OKV no Oracle Cloud Infrastructure, consulte Gerenciando Chaves de Criptografia do Oracle Database no Oracle Cloud Infrastructure com o Oracle Key Vault.

Aplicação de Patch de Banco de Dados

A aplicação do Oracle database security patches (Oracle Critical Patch Updates) é imperativa para mitigar problemas de segurança conhecidos. Recomendamos que você mantenha os patches atualizados. Os conjuntos de patches e as PSUs (Patch Set Updates) são liberados trimestralmente. Essas liberações de patches contêm correções de segurança e correções de bugs críticos de alto impacto/baixo risco adicionais.

Para obter informações sobre os problemas de segurança mais recentes conhecidos e as correções disponíveis, consulte Atualizações de Patches Críticos, Alertas de Segurança e Boletins. Se o seu aplicativo não suportar os patches mais recentes e precisar usar um sistema de banco de dados com patches mais antigos, você poderá provisionar um sistema de banco de dados com uma versão mais antiga da edição do Oracle Database que está usando. Além de revisar as atualizações críticas de patch e alertas de segurança para o seu Oracle Database, é recomendável analisar e aplicar patch no sistema operacional provisionado com o sistema de banco de Dados.

Para obter informações sobre como aplicar patches às instâncias do Oracle Cloud Infrastructure Database, consulte Atualizar um Sistema de Banco de Dados e Aplicando Patch ao Oracle Grid Infrastructure e aos Bancos de Dados Oracle com o Utilitário dbaascli.

Verificação da Configuração de Segurança do Banco de Dados

  • A Ferramenta de Avaliação de Segurança do Oracle Database (DBSAT) fornece verificações automatizadas de configuração de segurança dos bancos de dados Oracle no Oracle Cloud Infrastructure. O DBSAT executa verificações de segurança para análise de privilégio do usuário, controles de autorização do banco de dados, políticas de auditoria, configuração do listener de banco de dados, permissões de arquivo do sistema operacional e dados confidenciais armazenados. As imagens de banco de dados Oracle no Oracle Cloud Infrastructure Database são verificadas com DBSAT antes de serem provisionadas. Após o provisionamento, Recomendamos que você verifique periodicamente bancos de dados com DBSAT e corrija quaisquer problemas encontrados. O DBSAT está disponível gratuitamente para os clientes da Oracle.

Auditoria de Segurança de Banco de Dados

O Oracle AVDF (Audit Vault and Database Firewall) monitora os logs de auditoria de banco de dados e cria alertas. Para obter instruções sobre como instalar e configurar o AVDF no Oracle Cloud Infrastructure, consulte Implantando o Oracle Audit Vault and Database Firewall no Oracle Cloud Infrastructure.

Serviço Data Safe

Recomendamos o uso do serviço Data Safe para melhorar a segurança das suas implantações de banco de dados. O Oracle Data Safe é um centro de controle unificado para seus bancos de dados Oracle que ajuda você a entender a confidencialidade de seus dados, avaliar riscos a dados, mascarar dados confidenciais, implementar e monitorar controles de segurança, avaliar a segurança do usuário, monitorar a atividade do usuário e atender aos requisitos de conformidade de segurança de dados. Consulte Conceitos Básicos para obter informações completas.

Backups de Banco de Dados

É recomendável usar backups Gerenciados (backups criados usando a Console ou a API do Oracle Cloud Infrastructure) sempre que possível. Quando você usa backups gerenciados, o sistema Oracle gerencia o usuário e as credenciais de armazenamento de objetos e rotaciona essas credenciais a cada 3 dias. O Oracle Cloud Infrastructure criptografa todos os backups gerenciados no armazenamento de objetos. Por padrão, o sistema Oracle usa a funcionalidade DTE (Database Transparent Encryption) para criptografar os backups.

Se você não estiver usando backups gerenciados, a Oracle recomenda a alteração das senhas de armazenamento de objetos em intervalos regulares.

Exemplos de Política de Segurança

Impedir a Exclusão de Instâncias do Banco de Dados

O exemplo de política a seguir permite que o grupo DBUsers execute todas as ações de gerenciamento, exceto excluir bancos de dados e artefatos.

Allow group DBUsers to manage db-systems in tenancy
 where request.permission!='DB_SYSTEM_DELETE' 
Allow group DBUsers to manage databases in tenancy
 where request.permission!='DATABASE_DELETE' 
Allow group DBUsers to manage db-homes in tenancy
 where request.permission!='DB_HOME_DELETE'