Documentação do Oracle Cloud Infrastructure

Protegendo o GoldenGate

Este tópico fornece informações e recomendações de segurança para GoldenGate.

O Oracle Cloud Infrastructure GoldenGate fornece uma solução de replicação de dados segura e fácil de usar, de acordo com as melhores práticas de segurança líderes do setor.

Responsabilidades de Segurança

Para usar o GoldenGate com segurança, saiba mais sobre suas responsabilidades sobre segurança e conformidade.

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

A Oracle é responsável pelos seguintes requisitos de segurança:

  • Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.
  • Criptografia e Confidencialidade: Chaves de criptografia e segredos para GoldenGate são armazenados em wallets e vaults para proteger seus dados e estabelecer conexão com recursos protegidos.
  • Segurança de Rede: O acesso criptografado à console de implantação GoldenGate é ativado apenas por SSL na porta 443. Por padrão, o acesso à console de implantação GoldenGate só está disponível em um ponto final privado do OCI na rede privada do cliente. É possível configurar pontos finais públicos permitindo acesso público criptografado à console de implantação GoldenGate por SSL na porta 443.

Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:

  • Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
  • GoldenGate Gerenciamento de Contas da Console de Implantação: O acesso à console de implantação GoldenGate é gerenciado na console do OCI. Contas e permissões são gerenciadas na console de implantação GoldenGate. Saiba mais sobre usuários de implantação.
  • Segurança de Rede: Você configura a conectividade de rede com origens e destinos (registros de banco de dados do OCI GoldenGate). Certifique-se de que esses registros de banco de dados sejam seguros e criptografados. Cada registro de banco de dados GoldenGate do OCI pode ser protegido usando SSL configurando os parâmetros SSL apropriados. Consulte Gerenciando Registros de Banco de Dados.
  • Criptografia de Rede: Por padrão, toda a conectividade de rede com o OCI GoldenGate é criptografada por SSL com certificados fornecidos pela Oracle. Verifique se o certificado ou as chaves de criptografia fornecidos são atuais e válidos.
  • Auditoria de Eventos de Segurança: A console de implantação do OCI GoldenGate registra eventos de segurança. Você pode acessar e revisar esse log usando o backup da implantação do OCI GoldenGate. Certifique-se de monitorar esse log regularmente. Saiba mais sobre backups de implantação.
  • Aplicação de Patch: Certifique-se de que as implantações GoldenGate do OCI estejam atualizadas. As atualizações são liberadas mensalmente e você deve fazer upgrade para o nível de patch de implantação mais recente o mais rápido possível para evitar vulnerabilidades. Saiba mais sobre implantações de patch.
  • Auditoria de Acesso Remoto no Balanceador de Carga ou no Bastion: Certifique-se de que a auditoria de qualquer acesso remoto que não seja diretamente ao OCI GoldenGate seja ativada e configurada corretamente. Consulte Registro em Log para Balanceadores de Carga para obter mais informações.

Políticas do Serviço IAM

Use políticas para limitar o acesso a GoldenGate.

Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.

GoldenGate Recomendações do serviço IAM:

  • Designe o acesso de privilégio mínimo para grupos e usuários do serviço IAM aos tipos de recursos em goldengate-family.
  • Para minimizar a perda de dados em decorrência de exclusões inadvertidas por um usuário autorizado ou exclusões maliciosas, a Oracle recomenda conceder as permissões GOLDENGATE_DEPLOYMENT_DELETE e GOLDENGATE_DATABASE_REGISTRATION_DELETE ao conjunto mínimo possível de grupos e usuários do serviço IAM. Só conceda essas permissões aos administradores de tenancies e compartimentos.
  • GoldenGate só precisa de acesso no nível USE para capturar dados de registros de banco de dados.

Exemplos de política:

Impedir a Exclusão de Implantações

Crie essa política para permitir que o grupo ggs-users execute todas as ações nas implantações, exceto excluí-las.

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Para obter mais informações sobre a criação de políticas GoldenGate, consulte Políticas do Oracle Cloud Infrastructure GoldenGate.