Segurança e Autenticação no Oracle Autonomous Database

O controle de acesso do cliente para uma instância do Autonomous Database é imposto por políticas de controle de acesso à rede, por meio de protocolos de conexão do cliente e pelos direitos de acesso do usuário do banco de dados que o cliente usa para estabelecer conexão.

O Oracle Autonomous Database é configurado com uma conta administrativa, ADMIN, que é usada para criar e gerenciar outras contas de banco de dados. O Oracle Autonomous Database fornece um conjunto robusto de recursos e controles, incluindo privilégios e atribuições de sistema e objeto. Os perfis de usuário permitem personalizar políticas de senha para definir e implementar uma estratégia segura de acesso do usuário ao banco de dados.

Para obter informações básicas sobre gerenciamento de usuário padrão, consulte Contas de Usuário em Conceitos do Oracle Database. Para obter informações e orientações detalhadas, consulte Managing Security for Oracle Database Users no Oracle Database Security Guide.

Se a sua estratégia do acesso de usuário de banco de dados exige mais controles do que os fornecidos pelo gerenciamento de usuário padrão, você pode configurar o Oracle Autonomous Database para usar o Database Vault para atender a requisitos mais rigorosos.

Você usa os serviços IAM (Identity and Access Management) para controlar os privilégios dos usuários do Oracle Cloud especificando as ações que esses usuários podem executar no seu Oracle Autonomous Database.

O serviço IAM fornece vários tipos de componentes para ajudá-lo a definir e implementar uma estratégia segura de acesso do usuário à nuvem:

• Compartimento: Um conjunto de recursos relacionados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem.

• Grupo: Um conjunto de usuários que precisam do mesmo tipo de acesso a um determinado conjunto de recursos ou compartimento.

• Grupo Dinâmico: Um tipo especial de grupo que contém recursos que correspondem às regras definidas por você. Dessa forma, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos.

• Política: Um grupo de instruções que especificam quem pode acessar quais recursos e como. O acesso é concedido no nível do grupo e do compartimento, o que significa que você escreve uma instrução de política que fornece a um grupo específico um tipo específico de acesso a um tipo específico de recurso em um compartimento específico.

Desses, a política é a principal ferramenta usada para controlar o acesso porque ela fornece as opções "Quem", "Como", "O que" e "Onde" de uma única restrição de acesso. Uma instrução de política tem este formato:

O formato de uma instrução de política é:

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

• group <group-name> especifica "Quem" fornecendo o nome de um grupo existente do serviço IAM.

• to <control-verb> especifica "Como" usando um destes verbos de controle predefinidos:

  • inspect: a capacidade de listar recursos do tipo fornecido, sem acesso a informações confidenciais ou a metadados especificados pelo usuário que possam fazer parte desses recursos.
  • read: inspect mais a capacidade de obter metadados especificados pelo usuário e o próprio recurso real.
  • use: read mais a capacidade de trabalhar com recursos existentes, mas não de criá-los ou excluí-los. Além disso, "trabalhar com" significa operações distintas para diferentes tipos de recursos.
  • manage: todas as permissões para o tipo de recurso, incluindo criação e exclusão.

• <resource-type> especifica o item "O que" usando um tipo de recurso predefinido. Os valores de tipo de recurso para recursos da infraestrutura são:

  • autonomous-databases
  • autonomous-backups

  Você pode criar instruções da política que se refiram ao valor do tipo de recurso tag-namespaces se a tag for usada em sua tenancy.

• in compartment <compartment-name> especifica "Onde" fornecendo o nome de um compartimento existente do IAM.

Para obter informações sobre como o serviço IAM e seus componentes funcionam e como usá-los, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management. Para obter respostas rápidas para perguntas comuns sobre o serviço IAM, consulte as Perguntas Mais Frequentes sobre o Identity and Access Management.

Somente usuários autorizados têm permissão de acesso a uma instância do Autonomous Database.

Os Operadores do Oracle Cloud não têm autorização para acessar seu Autonomous Database. Quando o acesso ao seu banco de dados for necessário para solucionar ou mitigar um problema, você poderá permitir que um Operador de Nuvem acesse um banco de dados por um tempo limitado.

Você permite que um Operador de Nuvem acesse o banco de dados executando o procedimento DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS. Isso significa que, se você registrar uma solicitação de serviço no Suporte do Oracle Cloud ou entrar em contato com o representante de suporte e os Operadores do Oracle Cloud precisarem acessar seu banco de dados, também será necessário ativar o acesso do operador executando DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS.

Cada acesso ao banco de dados pelos Operadores do Oracle Cloud é registrado com um ID e um motivo de solicitação.

Consulte Gerenciar o Acesso do Oracle Cloud Operator e Exibir Ações de Operações do Oracle Cloud Infrastructure para obter mais informações.

O Autonomous Database é um serviço totalmente gerenciado e a Oracle usa suas próprias tenancies do Oracle Cloud Infrastructure para executar o serviço Autonomous Database.

Os Operadores do Oracle Cloud não têm acesso às tenancies dos clientes e os operadores de nuvem não podem acessar a rede.

Todas as ações executadas pelos usuários do Oracle Cloud nos recursos que compõem sua implantação do Oracle Autonomous Database são registradas pelo serviço Audit, independentemente da interface usada: Console do Oracle Cloud Infrastructure, API REST, Interface de Linha de Comando (CLI), Kits de Desenvolvimento de Software (SDK), etc.

Você pode usar o serviço Audit para executar diagnósticos, rastrear o uso de recursos, monitorar a conformidade e coletar eventos relacionados à segurança. Para obter mais informações sobre o serviço Audit, consulte Visão Geral do Serviço Audit na Documentação do Oracle Cloud Infrastructure.

Além disso, quando os usuários executam operações no seu Oracle Autonomous Database, o banco de dados publica eventos no serviço Oracle Cloud Events. O serviço Oracle Cloud Events permite criar regras para capturar esses eventos e executar ações.

Para obter mais informações sobre como o serviço Events funciona e como configurar as regras e ações que ele usa, consulte Visão Geral do Serviço Events. Para obter listagens das operações do Oracle Autonomous Database que geram eventos, consulte Tipos de Evento do Autonomous Database.

O Oracle Autonomous Database configura os bancos de dados autônomos que você cria para usar o recurso de auditoria unificada do Oracle Database.

Esse recurso captura registros de auditoria das seguintes origens e os reúne em uma única trilha de auditoria em um formato uniforme:

• Registros de auditoria (incluindo registros de auditoria SYS) de políticas de auditoria unificadas e definições AUDIT
• Registros de auditoria detalhados do pacote PL/SQL DBMS_FGA
• Registros de auditoria do Oracle Database Real Application Security
• Registros de auditoria do Oracle Recovery Manager
• Registros de auditoria do Oracle Database Vault
• Registros de auditoria do Oracle Label Security
• Registros do Oracle Data Mining
• Oracle Data Pump
• Carga Direta do Oracle SQL*Loader

As informações de auditoria são mantidas por até 14 dias, após os quais são automaticamente limpas. Para reter informações de auditoria por mais tempo e analisar e relatar facilmente a atividade do banco de dados, use o Oracle Data Safe (incluído com sua assinatura do Oracle Autonomous Database).

Consulte Sobre a Auditoria do Autonomous Database para obter mais informações.