As conexões com o Autonomous Database são feitas pela Internet pública, opcionalmente, com Regras de Controle de Acesso (ACL) definidas ou usando um ponto final privado dentro de uma Rede Virtual na Nuvem (VCN) em sua tenancy.

Quando você especifica uma configuração de ponto final privado, isso só permite o tráfego da rede virtual na nuvem especificada e bloqueia o acesso ao banco de dados de todos os IPs públicos ou VCNs públicos. A configuração de um ponto final privado permite manter todo o tráfego de e para o seu banco de dados fora da internet pública. Com um ponto final privado, quando o acesso público é ativado com Permitir acesso público, a instância tem um ponto final privado e um ponto final público:

• O nome do host privado, o URL do ponto final e o endereço IP privado permitem que você estabeleça conexão com o banco de dados na VCN em que o banco de dados reside.

• O nome do host público permite que você se conecte ao banco de dados de endereços IP públicos específicos ou de VCNs específicas se essas VCNs estiverem configuradas para estabelecer conexão privada com o Autonomous Database usando um Gateway de Serviço.

Muitos aplicativos fornecem suporte para mais de um tipo de conexão, mas cada tipo de conexão com o Autonomous Database usa autenticação de certificado e conexão de banco de dados TCPS (TCP Seguro) usando o TLS 1.2 padrão. Isso garante que não haja acesso não autorizado ao Autonomous Database e que as comunicações entre o cliente e o servidor sejam totalmente criptografadas e não possam ser interceptadas ou alteradas.

Por padrão, o Autonomous Database suporta conexões TLS Mútuas (mTLS) (use a porta 1522 para estabelecer conexão com o mTLS). Você tem a opção de configurar uma instância do Autonomous Database para suportar conexões mTLS e TLS (use a porta 1521 ou 1522 para estabelecer conexão com o TLS).

Há vantagens para os clientes usando a autenticação TLS com o Autonomous Database, incluindo as seguintes:

• As conexões TLS não exigem que você faça download de uma wallet. Para conexões TLS que usam o Driver JDBC Thin com JDK8 ou mais recente, não é necessária uma wallet. Isso inclui conexões provenientes dos clientes, como SQL Developer e SQL Command Line (SQLcl).

• Os clientes que estabelecem conexão com TLS não precisam se preocupar com a rotação da wallet. A rotação da wallet é um procedimento comum para conexões mTLS.

• As conexões TLS podem ser mais rápidas (fornecendo menos latência de conexão). A autenticação TLS pode fornecer latência de conexão reduzida em comparação com mTLS.

• As conexões TLS e mTLS não são mutuamente exclusivas. A autenticação mTLS (TLS mútuo) está ativada por padrão e sempre disponível. Quando você ativa a autenticação TLS, pode usar a autenticação mTLS ou TLS.

• O uso da autenticação TLS não compromete a comunicação entre um cliente e o Autonomous Database totalmente criptografada.

Consulte Exibir Nomes TNS e Strings de Conexão de uma Instância do Autonomous Database para obter detalhes sobre como obter as strings de conexão mTLS da sua Instância do Autonomous Database.

Sobre a Autenticação mTLS (TLS mútuo)

Usando a autenticação Mutual Transport Layer Security (mTLS), os clientes se conectam por meio de uma conexão de banco de dados TCPS (Secure TCP) usando o TLS 1.2 padrão com um certificado de autoridade de certificação (CA) cliente confiável.

Com autenticação mútua, o aplicativo cliente e o Autonomous Database se autenticam. O Autonomous Database usa a autenticação mTLS por padrão. Use a porta 1522 para estabelecer conexão com uma instância do Autonomous Database com mTLS (a designação de porta 1522 não pode ser alterada).

A autenticação TLS mútuo exige que o cliente faça download ou obtenha um certificado de CA cliente confiável para conexão com uma instância do Autonomous Database. O Autonomous Database então usa o certificado para autenticar o cliente. Isso fornece maior segurança e especifica os clientes que podem se comunicar com uma instância do Autonomous Database.

A autenticação por certificação com TLS mútuo usa uma chave criptografada armazenada em uma carteira no cliente (no qual o aplicativo está em execução) e no servidor (no qual o serviço de banco de dados do Autonomous Database está em execução). A chave do cliente deve corresponder à chave do servidor para estabelecer uma conexão. Uma wallet contém um conjunto de arquivos incluindo a chave e outras informações necessárias para estabelecer conexão com a instância do Autonomous Database. Toda a comunicação entre o cliente e o servidor é criptografada.

Para proteger a conexão com a instância do Autonomous Database, um administrador de serviços faz download das credenciais de cliente ( arquivos de wallet) do Autonomous Database. Se você não for administrador de serviços do Autonomous Database, seu administrador fornecerá a você as credenciais de cliente. Consulte Fazer Download das Credenciais do Cliente (Wallets) para obter mais informações.

A figura a seguir mostra conexões seguras de cliente com o Oracle Autonomous Database pela Internet pública usando conexões TLS Mútuas. Se você configurar o seu banco de dados para usar pontos finais privados, a internet pública não será usada e a conexão usará um ponto final privado dentro de uma Rede Virtual na Nuvem (VCN) em sua tenancy.

Descrição da ilustração autônoma-database.eps

Consulte Exibir Nomes TNS e Strings de Conexão de uma Instância do Autonomous Database para obter detalhes sobre como obter as strings de conexão mTLS da sua Instância do Autonomous Database.

A maioria das organizações protege redes e dispositivos em uma rede usando um firewall. Um firewall controla o tráfego de rede de entrada e saída usando regras que permitem o uso de determinadas portas e o acesso a determinados computadores (ou, mais especificamente, endereços IP ou nomes de host). Uma função importante de um firewall é fornecer separação entre redes internas e a internet pública.

Quando o Autonomous Database estiver configurado para acesso usando a internet pública, configure o firewall para permitir o acesso aos servidores do Autonomous Database.

Para acessar o Autonomous Database protegido por um firewall, o firewall deve permitir o uso da porta especificada na conexão do banco de dados ao se conectar aos servidores na conexão. Use a porta 1522 para conexões mTLS do Autonomous Database (você pode ver o número da porta na string de conexão do arquivo tnsnames.ora no arquivo credentials ZIP). Por exemplo, consulte o valor port no seguinte arquivo tnsnames.ora:

db2022adb_high = (description = ( 
                address=(protocol=tcps)
                (port=1522)
                (host=adb.example.oraclecloud.com))
                (connect_data=(service_name=example_high.adb.oraclecloud.com))
                (security=(ssl_server_dn_match=yes)))

Seu firewall deve permitir o acesso aos servidores no domínio .oraclecloud.com usando a porta 1522. Para estabelecer conexão com o Autonomous Database, dependendo da configuração de rede da sua organização, talvez seja necessário usar um servidor proxy para acessar essa porta ou solicitar que o administrador de rede abra essa porta.

Consulte Intervalos de Endereços IP para obter informações sobre os intervalos de endereços IP públicos no Oracle Cloud Infrastructure. Você deve permitir o tráfego para esses blocos CIDR para garantir o acesso a uma instância do Autonomous Database em um ponto final público.

O AC (Application Continuity) oculta paralisações de usuários finais e aplicativos, recuperando o trabalho em andamento para sessões de banco de dados impactadas após paralisações. O Continuidade de Aplicativos executa essa recuperação abaixo do aplicativo para que a interrupção apareça para o aplicativo como uma execução um pouco atrasada.

Consulte Usar o Continuidade de Aplicativos no Autonomous Database para obter mais informações sobre o Application Continuity.