Segurança e Autenticação no Oracle Autonomous Database
O Oracle Autonomous Database armazena todos os dados em formato criptografado no banco de dados. Somente usuários e aplicativos autenticados podem acessar os dados quando se conectam ao banco de dados.
O Oracle Autonomous Database suporta os recursos de segurança padrão do Oracle Database, incluindo análise de privilégios, criptografia de rede, usuários gerenciados centralmente, atribuições de aplicações seguras, proteção transparente de dados confidenciais e outros. Além disso, o Oracle Autonomous Database adiciona Label Security, Database Vault, Data Safe e outros recursos avançados de segurança sem custo adicional.
- Gerenciamento de Configurações
O Oracle Autonomous Database fornece configurações de segurança padrão e reforçadas que reduzem o tempo e o dinheiro de gerenciamento de configurações em seus bancos de dados. - Criptografia de Dados
O Oracle Autonomous Database usa criptografia sempre ativa que protege os dados em repouso e em trânsito. Dados em repouso e em movimento é criptografado por padrão. A criptografia não pode ser desativada. - Controle de Acesso a Dados
A proteção do acesso ao seu Oracle Autonomous Database e aos seus dados usa vários tipos diferentes de controle de acesso: - Visão Geral de Auditoria no Autonomous Database
O Oracle Autonomous Database oferece recursos robustos de auditoria que permitem rastrear quem fez o quê no serviço e em banco de dados específicos. Dados de log abrangentes permitem auditar e monitorar ações nos seus recursos, o que ajuda a atender aos seus requisitos de auditoria e a reduzir os riscos operacionais e de segurança. - Avaliando a Segurança do Seu Banco de dados e de seus Dados
O Oracle Autonomous Database se integra ao Oracle Data Safe para ajudá-lo a avaliar e proteger seus bancos. - Certificação de Conformidade Regulatória
O Oracle Autonomous Database encontra um amplo conjunto de padrões de conformidade internacionais e específicos de um setor.
Tópico principal: Segurança
Gerenciamento de Configuração
O Oracle Autonomous Database fornece configurações de segurança padrão e reforçadas que reduzem as configurações de gerenciamento de tempo e dinheiro em seus bancos de dados.
Os patches e atualizações de segurança são feitos automaticamente, para que você não gaste tempo, dinheiro ou atenção para manter a segurança atualizada. Esses recursos protegem seus bancos de dados e dados de brechas e vulnerabilidades de segurança dispendiosas e potencialmente desastrosos.
Tópico principal: Segurança e Autenticação no Oracle Autonomous Database
Criptografia de Dados
O Oracle Autonomous Database usa criptografia sempre ativa que protege os dados em repouso e em trânsito. Dados em repouso e em movimento é criptografado por padrão. A criptografia não pode ser desativada.
Criptografia de Dados em Repouso
Os dados em repouso são criptografados usando Criptografia Transparente de Dados (TDE), uma solução criptográfica que protege o processamento, a transmissão e o armazenamento de dados. Usando a criptografia de tablespace AES256, cada banco de dados tem sua própria chave de criptografia e quaisquer backups têm suas próprias chaves de criptografia diferentes.
Por padrão, o Oracle Autonomous Database cria e gerencia todas as chaves mestras de criptografia usadas para proteger seus dados, armazenando-as em um keystore PKCS 12 seguro nos mesmos sistemas em que o banco de dados reside. Se a política de segurança de sua empresa exigir, o Oracle Autonomous Database poderá usar as chaves que você criar e gerenciar no serviço Oracle Cloud Infrastructure Vault. Para obter mais informações, consulte Sobre o Gerenciamento Mestre de Chaves de Criptografia no Autonomous Database.
Além disso, as chaves gerenciadas pelo cliente podem ser rotacionadas quando necessário para atender às políticas de segurança da sua organização.
Observação: Quando você clona um banco de dados, o novo banco de dados obtém seu próprio conjunto de chaves de criptografia.
Criptografia de Dados em Trânsito
Os clientes (aplicativos e ferramentas) se conectam ao Oracle Autonomous Database usando protocolos suportados, incluindo SQL*Net, JDBC e ODBC.
Os serviços de conexão do banco de dados TCP Seguro (TCPS) usam o protocolo TLS 1.2 (Transport Layer Security) padrão do setor para conexões e criptografia de dados de chave simétrica.
-
Com conexões mTLS, os usuários do Oracle Autonomous Database fazem download de uma wallet de conexão que contém todos os arquivos necessários para que um cliente se conecte usando TCPS. Distribua esta wallet somente para os usuários que precisam e têm permissão para ter acesso ao banco de dados. A configuração do cliente usa informações na wallet para executar criptografia de dados de chave simétrica.
-
Por padrão, o Autonomous Database suporta conexões mTLS (TLS Mútuo). Você tem a opção de configurar uma instância do Autonomous Database para permitir conexões mTLS e TLS. Usando conexões TLS, alguns clientes, como clientes JDBC Thin Driver, não precisarão fazer download de uma wallet se você usar uma string de conexão TLS e o TLS estiver ativado para a instância do Autonomous Database.
Consulte Conexões Seguras com o Autonomous Database com mTLS ou com TLS para obter mais informações.
Tópico principal: Segurança e Autenticação no Oracle Autonomous Database
Controle de Acesso de Dados
A proteção do acesso ao seu Oracle Autonomous Database e aos seus dados usa vários tipos diferentes de controle de acesso:
- Controle de Acesso do Cliente
O controle de acesso do cliente para uma instância do Autonomous Database é imposto por políticas de controle de acesso à rede, por meio de protocolos de conexão do cliente e pelos direitos de acesso do usuário do banco de dados que o cliente usa para estabelecer conexão. - Controle de Acesso do Usuário do Banco de Dados
O Oracle Autonomous Database é configurado com uma conta administrativa, ADMIN, usada para criar e gerenciar outras contas do banco de dados. O Oracle Autonomous Database fornece um conjunto robusto de recursos e controles, incluindo privilégios e atribuições de sistema e objeto. Os perfis de usuário permitem personalizar políticas de senha para definir e implementar uma estratégia segura de acesso do usuário ao banco de dados. - Controle de Acesso do Usuário do Oracle Cloud
Você usa os serviços do IAM (Identity and Access Management) para controlar os privilégios dos usuários do Oracle Cloud especificando as ações que esses usuários podem executar no seu Oracle Autonomous Database. - Acesso Autorizado no Autonomous Database
Somente usuários autorizados têm acesso a uma instância do Autonomous Database. - Serviço Totalmente Gerenciado do Autonomous Database
O Autonomous Database é um serviço totalmente gerenciado e a Oracle usa suas próprias tenancies do Oracle Cloud Infrastructure para executar o serviço Autonomous Database.
Tópico principal: Segurança e Autenticação no Oracle Autonomous Database
Controle de Acesso do Cliente
O controle de acesso do cliente para uma instância do Autonomous Database é imposto por políticas de controle de acesso à rede, por meio de protocolos de conexão do cliente e pelos direitos de acesso do usuário do banco de dados que o cliente usa para estabelecer conexão.
Controle de Acesso à Rede
-
Pontos Finais Privados e Listas de Segurança: Esta é a opção recomendada. Crie o seu Oracle Autonomous Database na sua rede virtual na nuvem (VCN) usando pontos finais privados. Você controla o acesso ao banco de dados usando listas de segurança e grupos de segurança de rede, o que permite especificar quem pode criar conexões com o banco de dados.
Para obter informações detalhadas sobre a criação desses recursos, consulte Configurar o Acesso à Rede com Pontos Finais Privados.
-
Pontos Finais Públicos e Listas de Controle de Acesso: Crie seu Oracle Autonomous Database usando pontos finais públicos que permitem acesso de qualquer cliente com credenciais do cliente. Você controla o acesso ao seu banco de dados usando listas de controle de acesso à rede (ACLs), o que permite especificar endereços IP, blocos CIDR ou VCNs que podem se conectar ao seu banco de dados. Os IPs públicos são mais fáceis de descobrir e atacar, e os Pontos Finais Privados são recomendados quando possível.
Para obter informações detalhadas sobre como configurar uma ACL, consulte Configurar Listas de Controle de Acesso para uma Instância Existente do Autonomous Database.
Controle de Conexão do Cliente
Os clientes se conectam por meio de uma conexão de banco de dados TCPS (TCP Seguro) usando o TLS 1.2 padrão para proteger a conexão. O Oracle Autonomous Database usa certificados autoassinados. Você pode rotacionar os certificados autoassinados da console do Oracle Cloud Infrastructure para atender às necessidades da conformidade de segurança da sua organização. Consulte Alternar Wallets com Rotação Imediata.
O acesso do cliente ao banco da dados é restrito pelos direitos de acesso do usuário do banco da conexão que o cliente usa para se conectar.
Tópico principal: Controle de Acesso de Dados
Controle de Acesso do Usuário ao Banco de Dados
O Oracle Autonomous Database é configurado com uma conta administrativa, ADMIN, que é usada para criar e gerenciar outras contas de banco de dados. O Oracle Autonomous Database fornece um conjunto robusto de recursos e controles, incluindo privilégios e atribuições de sistema e objeto. Os perfis de usuário permitem personalizar políticas de senha para definir e implementar uma estratégia segura de acesso do usuário ao banco de dados.
Para obter informações básicas sobre gerenciamento de usuário padrão, consulte Contas de Usuário em Conceitos do Oracle Database. Para obter informações e orientações detalhadas, consulte Managing Security for Oracle Database Users no Oracle Database Security Guide.
Se a sua estratégia do acesso de usuário de banco de dados exige mais controles do que os fornecidos pelo gerenciamento de usuário padrão, você pode configurar o Oracle Autonomous Database para usar o Database Vault para atender a requisitos mais rigorosos.
Usando o Microsoft Active Directory para Gerenciar Usuários do Banco de Dados
Se você usar o Microsoft Active Directory como um repositório de usuários, poderá configurar seu banco de dados para autenticar e autorizar usuários doMicrosoft Active Directory. Essa integração permite consolidar o repositório de usuários e, ao mesmo tempo, implementar uma estratégia rigorosa de acesso do usuário ao banco de dados, independentemente de você usar o gerenciamento de usuários padrão ou o Database Vault.
Para obter mais informações sobre como integrar o Microsoft Active Directory aos seus bancos de dados, consulte Usar Microsoft Active Directory com Autonomous Database.
Database Vault
O Oracle Database Vault vem pré-configurado e pronto para uso. Você pode usar seus poderosos controles de segurança para restringir o acesso aos dados da aplicação por usuários privilegiados do banco de Dados, reduzindo as ameaças de risco e atendendo aos requisitos de conformidade comuns.
Você configura controles para bloquear acesso de conta privilegiada aos dados do aplicativo e controlar operações confidenciais dentro do banco de dados. Você configura caminhos confiáveis para adicionar controles de segurança adicionais a acesso autorizado a dados, objetos de banco de dados e comandos de banco de dados. O Database Vault protege os ambientes de banco de dados existentes de forma transparente, eliminando alterações caras e demoradas nos aplicativos.
Antes de usar o Database Vault, certifique-se de revisar Use o Oracle Database Vault com o Autonomous Database para entender o impacto da configuração e da ativação do Database Vault.
Para obter informações detalhadas sobre a implementação dos recursos do Database Vault, consulte o Oracle Database Vault Administrator's Guide.
Tópico principal: Controle de Acesso de Dados
Controle de Acesso do Usuário do Oracle Cloud
Você usa os serviços IAM (Identity and Access Management) para controlar os privilégios dos usuários do Oracle Cloud especificando as ações que esses usuários podem executar no seu Oracle Autonomous Database.
O serviço IAM fornece vários tipos de componentes para ajudá-lo a definir e implementar uma estratégia segura de acesso do usuário à nuvem:
-
Compartimento: Um conjunto de recursos relacionados. Compartimentos são um componente fundamental do Oracle Cloud Infrastructure para organizar e isolar seus recursos na nuvem.
-
Grupo: Um conjunto de usuários que precisam do mesmo tipo de acesso a um determinado conjunto de recursos ou compartimento.
-
Grupo Dinâmico: Um tipo especial de grupo que contém recursos que correspondem às regras definidas por você. Dessa forma, a associação pode ser alterada dinamicamente à medida que os recursos correspondentes são criados ou excluídos.
-
Política: Um grupo de instruções que especificam quem pode acessar quais recursos e como. O acesso é concedido no nível do grupo e do compartimento, o que significa que você escreve uma instrução de política que fornece a um grupo específico um tipo específico de acesso a um tipo específico de recurso em um compartimento específico.
Desses, a política é a principal ferramenta usada para controlar o acesso porque ela fornece as opções "Quem", "Como", "O que" e "Onde" de uma única restrição de acesso. Uma instrução de política tem este formato:
O formato de uma instrução de política é:
Allow
group <group-name>
to <control-verb>
<resource-type>
in compartment <compartment-name>
-
group <group-name>
especifica "Quem" fornecendo o nome de um grupo existente do serviço IAM. -
to <control-verb>
especifica "Como" usando um destes verbos de controle predefinidos:inspect
: a capacidade de listar recursos do tipo fornecido, sem acesso a informações confidenciais ou a metadados especificados pelo usuário que possam fazer parte desses recursos.read
:inspect
mais a capacidade de obter metadados especificados pelo usuário e o próprio recurso real.use
:read
mais a capacidade de trabalhar com recursos existentes, mas não de criá-los ou excluí-los. Além disso, "trabalhar com" significa operações distintas para diferentes tipos de recursos.manage
: todas as permissões para o tipo de recurso, incluindo criação e exclusão.
-
<resource-type>
especifica o item "O que" usando um tipo de recurso predefinido. Os valores de tipo de recurso para recursos da infraestrutura são:autonomous-databases
autonomous-backups
Você pode criar instruções da política que se refiram ao valor do tipo de recurso
tag-namespaces
se a tag for usada em sua tenancy. -
in compartment <compartment-name>
especifica "Onde" fornecendo o nome de um compartimento existente do IAM.
Para obter informações sobre como o serviço IAM e seus componentes funcionam e como usá-los, consulte Visão Geral do Oracle Cloud Infrastructure Identity and Access Management. Para obter respostas rápidas para perguntas comuns sobre o serviço IAM, consulte as Perguntas Mais Frequentes sobre o Identity and Access Management.
Tópico principal: Controle de Acesso de Dados
Acesso Autorizado no Autonomous Database
Somente usuários autorizados têm permissão de acesso a uma instância do Autonomous Database.
Os Operadores do Oracle Cloud não têm autorização para acessar seu Autonomous Database. Quando o acesso ao seu banco de dados for necessário para solucionar ou mitigar um problema, você poderá permitir que um Operador de Nuvem acesse um banco de dados por um tempo limitado.
Você permite que um Operador de Nuvem acesse o banco de dados executando o procedimento DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS
. Isso significa que, se você registrar uma solicitação de serviço no Suporte do Oracle Cloud ou entrar em contato com o representante de suporte e os Operadores do Oracle Cloud precisarem acessar seu banco de dados, também será necessário ativar o acesso do operador executando DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS
.
Cada acesso ao banco de dados pelos Operadores do Oracle Cloud é registrado com um ID e um motivo de solicitação.
Consulte Gerenciar o Acesso do Oracle Cloud Operator e Exibir Ações de Operações do Oracle Cloud Infrastructure para obter mais informações.
Tópico principal: Controle de Acesso de Dados
Serviço Totalmente Gerenciado do Autonomous Database
O Autonomous Database é um serviço totalmente gerenciado e a Oracle usa suas próprias tenancies do Oracle Cloud Infrastructure para executar o serviço Autonomous Database.
Os Operadores do Oracle Cloud não têm acesso às tenancies dos clientes e os operadores de nuvem não podem acessar a rede.
Tópico principal: Controle de Acesso de Dados
Visão Geral da Auditoria no Regime do Autonomous Database
O Oracle Autonomous Database oferece recursos avançados de auditoria que permitem rastrear quem fez o quê no serviço e em bancos de dados específicos. Dados de log abrangentes permitem auditar e monitorar ações nos seus recursos, o que ajuda a atender aos seus requisitos de auditoria e a reduzir os riscos operacionais e de segurança.
- Auditando Atividades em Nível de Serviço
Todas as ações executadas pelos usuários do Oracle Cloud nos recursos que compõem sua implantação do Oracle Autonomous Database são registradas pelo serviço Audit, independentemente da interface utilizada: Oracle Cloud Infrastructure Console, REST API, Command Line Interface (CLI), Software Development Kits (SDK) e assim sucessivamente. - Auditando Atividades do Banco de Dados
O Oracle Autonomous Database configura os bancos de dados autônomos que você cria para usar o recurso de auditoria unificada do Oracle Database.
Tópico principal: Segurança e Autenticação no Oracle Autonomous Database
Auditando Atividades no Nível de Serviço
Todas as ações executadas pelos usuários do Oracle Cloud nos recursos que compõem sua implantação do Oracle Autonomous Database são registradas pelo serviço Audit, independentemente da interface usada: Console do Oracle Cloud Infrastructure, API REST, Interface de Linha de Comando (CLI), Kits de Desenvolvimento de Software (SDK), etc.
Você pode usar o serviço Audit para executar diagnósticos, rastrear o uso de recursos, monitorar a conformidade e coletar eventos relacionados à segurança. Para obter mais informações sobre o serviço Audit, consulte Visão Geral do Serviço Audit na Documentação do Oracle Cloud Infrastructure.
Além disso, quando os usuários executam operações no seu Oracle Autonomous Database, o banco de dados publica eventos no serviço Oracle Cloud Events. O serviço Oracle Cloud Events permite criar regras para capturar esses eventos e executar ações.
Para obter mais informações sobre como o serviço Events funciona e como configurar as regras e ações que ele usa, consulte Visão Geral do Serviço Events. Para obter listagens das operações do Oracle Autonomous Database que geram eventos, consulte Tipos de Evento do Autonomous Database.
Tópico principal: Visão Geral de Auditoria no Autonomous Database
Auditando Atividades do Banco de Dados
O Oracle Autonomous Database configura os bancos de dados autônomos que você cria para usar o recurso de auditoria unificada do Oracle Database.
Esse recurso captura registros de auditoria das seguintes origens e os reúne em uma única trilha de auditoria em um formato uniforme:
- Registros de auditoria (incluindo registros de auditoria
SYS
) de políticas de auditoria unificadas e definiçõesAUDIT
- Registros de auditoria detalhados do pacote PL/SQL
DBMS_FGA
- Registros de auditoria do Oracle Database Real Application Security
- Registros de auditoria do Oracle Recovery Manager
- Registros de auditoria do Oracle Database Vault
- Registros de auditoria do Oracle Label Security
- Registros do Oracle Data Mining
- Oracle Data Pump
- Carga Direta do Oracle SQL*Loader
As informações de auditoria são mantidas por até 14 dias, após os quais são automaticamente limpas. Para reter informações de auditoria por mais tempo e analisar e relatar facilmente a atividade do banco de dados, use o Oracle Data Safe (incluído com sua assinatura do Oracle Autonomous Database).
Consulte Sobre a Auditoria do Autonomous Database para obter mais informações.
Tópico principal: Visão Geral de Auditoria no Autonomous Database
Avaliando a Segurança do Seu Banco e de seus Dados
O Oracle Autonomous Database se integra ao Oracle Data Safe para ajudar você a avaliar e proteger seus bancos de dados.
O Oracle Data Safe ajuda você a entender a sensibilidade de seus dados, avaliar riscos para dados, mascarar dados confidenciais, implementar e monitorar controle de segurança, avaliar segurança e monitorar atividades do usuário, além de atender aos requisitos para conformidade com segurança em seus bancos de dados.
Você usa o Oracle Data Safe para identificar e proteger dados confidenciais e regulamentados no Oracle Autonomous Database, registrando o banco de dados no Data Safe. Em seguida, você usa a console do Data Safe diretamente na página Detalhes do seu banco de dados.
Para obter mais informações sobre como usar o Data Safe, consulte Usar Recursos do Oracle Data Safe.
Tópico principal: Segurança e Autenticação no Oracle Autonomous Database
Certificação de Conformidade Regulatória
O Oracle Autonomous Database cumpre um amplo conjunto de padrões de conformidade internacionais e específicos da indústria.
Certificação | Descrição |
---|---|
C5 |
O Catálogo de Controles de Conformidade de Computação em Nuvem (C5) |
ESTRELA CSA |
A Cloud Security Alliance (CSA) Security Trust, Assurance and Risk (STAR) |
Cyber Essentials (Reino Unido) Cyber Essentials Plus (Reino Unido) |
A Oracle Cloud Infrastructure obteve a certificação Cyber Essentials e Cyber Essentials Plus nessas regiões:
|
DESC (UAE) |
Padrão de segurança CSP do centro de segurança eletrônico de Dubai |
DoD IL4/IL5 |
Autorização DISA - Nível de Impacto 5 nestas regiões:
|
ENS High (Espanha) |
O Esquema Nacional de Seguridad com o nível de acreditação Alto. |
FedRAMP - Superior |
Programa de Gerenciamento de Risco e Autorização Federal (EUA) Somente Regiões Governamentais) |
FSI (S. Coreia) |
Instituto de Segurança Financeira |
HDS |
O Código de Saúde Pública da França exige que as organizações de saúde que controlam, processam ou armazenam dados médicos ou de saúde usem provedores de serviços de infraestrutura, hospedagem e plataforma que sejam credenciados e certificados pela Hébergeur de Données de Santé (HDS) |
HIPAA |
Lei de Portabilidade e Responsabilidade do Seguro de Saúde |
HITRUST |
O Health Information Trust Alliance |
IRAP (Austrália) |
Programa de avaliadores registrados da Infosec. Região de Sydney e Melbourne |
ISMS (S. Coreia) |
O Sistema de Gestão da Segurança da Informação |
ISO/IEC 27001:2013 |
Organização Internacional de Padronização 27001 |
ISO/IEC 27017:2015 |
Código de Prática para Controles de Segurança da Informação com Base na ISO/IEC 27002 para Serviços em Nuvem |
ISO/IEC 27018:2014 |
Código de Prática para Proteção de Informações Pessoais Identificáveis (PII) em NUVENS Públicas que Atuam como Processadores PII |
MeitY (Índia) |
Ministério da Eletrônica e Tecnologia da Informação |
MTCS (Cingapura) |
MTCS (Multi-Tier Cloud Service) Nível 3 |
PASF (UK OC4) |
Polícia Garantida Instalações Seguras (PASF) nestas regiões:
|
PCI DSS |
O Payment Card Industry Data Security Standard é um conjunto de requisitos destinados a garantir que todas as empresas que processam, armazenam ou transmitem informações de cartão de crédito mantenham um ambiente seguro |
SOC 1 |
Controles de Sistema e Organização 1 |
SOC 2 |
Controles de Sistema e Organização 2 |
Para obter mais informações e uma lista completa de certificações, consulte Conformidade do Oracle Cloud.
Tópico principal: Segurança e Autenticação no Oracle Autonomous Database