Adicionar Regras de Segurança

Se você planeja se conectar manualmente ao seu banco de dados por meio de um ponto final privado do Oracle Data Safe, antes de registrar seu banco de dados, adicione regras de segurança à sua rede virtual na nuvem (VCN) para permitir a comunicação entre seu banco de dados e o Oracle Data Safe. O ponto final privado essencialmente representa o serviço Oracle Data Safe na sua VCN com um endereço IP privado em uma sub-rede de sua escolha.

Visão Geral

Se o seu banco de dados residir no OCI (Oracle Cloud Infrastructure), você precisará adicionar uma regra de segurança de endereço e uma regra de segurança de saída às listas de segurança da rede virtual na nuvem (VCN) do banco de dados ou ao grupo de segurança de rede (NSG) no OCI. São permitidas regras de Segurança com e sem monitoramento do estado. As regras de entrada e saída não precisam ser armazenadas na mesma lista de segurança, grupo de segurança de rede ou mesmo compartimento.

  • A regra de segurança de endereço permite que seu banco de dados receba tráfego de entrada do ponto final privado do Oracle Data Safe.

  • A regra de segurança de saída permite que o ponto final privado do Oracle Data Safe envie solicitações ao banco de dados.

Se o seu banco de dados residir fora do OCI, você só precisará adicionar uma regra de segurança de saída no OCI. Não é necessário adicionar uma regra de segurança de entrada; no entanto, em seu próprio ambiente de rede, você precisa permitir que seu banco de dados receba tráfego do ponto final privado do Oracle Data Safe.

Há duas abordagens que você pode adotar ao adicionar as regras de segurança no OCI. A primeira abordagem é permitir a comunicação entre o ponto final privado do Oracle Data Safe e todos os endereços IP do banco de dados dentro da mesma sub-rede (0.0.0.0/0) na OCI. Com essa configuração, o ponto final privado do Oracle Data Safe pode se conectar a todos os seus bancos de dados na sub-rede.

A outra abordagem deve ser mais específica configurando regras de segurança de entrada e saída separadas da seguinte forma:

  • Regra de segurança de entrada: No NSG ou na lista de segurança do seu banco de dados, adicione uma regra de entrada que permita que o endereço IP do ponto final privado do seu banco de dados na porta do banco de dados receba tráfego de entrada do endereço IP do ponto final privado do Oracle Data Safe de todas as portas.

  • Regra de segurança de saída: No NSG ou na lista de segurança do seu ponto final privado do Oracle Data Safe, adicione uma regra de saída que permita ao endereço IP do ponto final privado do Oracle Data Safe em todas as portas enviar solicitações ao endereço IP do ponto final privado do banco de dados na porta do banco de dados. Se o banco de dados tiver vários endereços IP, você precisará configurar uma regra de saída para cada endereço IP.

Para obter mais informações sobre listas de segurança e grupos de segurança de rede, consulte Acesso e Segurança na documentação do Oracle Cloud Infrastructure.

Regras de Segurança para Autonomous AI Databases

Para um Autonomous AI Database que usa um ponto final privado do Oracle Data Safe, adicione uma regra de segurança de entrada e uma regra de segurança de saída no Oracle Cloud Infrastructure.

  1. Obtenha o endereço IP privado e o NSG ou a lista de segurança do seu banco de dados.

    • Você pode encontrar as informações de rede em Rede na página do seu banco de dados na Console do Oracle Cloud Infrastructure.

    • (Autonomous AI Database on Dedicated Exadata Infrastructure) Obtenha a sub-rede ou os endereços IP flutuantes (se conhecidos) e o nome do NSG ou da lista de segurança do seu banco de dados. Pode haver até 8 endereços IP flutuantes para os nós do banco de dados.

  2. Obtenha o endereço IP privado e o NSG ou a lista de segurança do seu ponto final privado do Oracle Data Safe.

    • Você pode encontrar as informações de rede do seu ponto final privado do Oracle Data Safe na página Informações do ponto final privado no serviço Oracle Data Safe no Oracle Cloud Infrastructure.
  3. Abra a VCN do seu banco de dados.

  4. Crie uma regra de segurança de entrada no NSG ou na lista de segurança do banco de dados.

    • Exemplo de Autonomous AI Database Serverless com Acesso a Ponto Final Privado Somente: O endereço IP do ponto final privado do banco de dados (10.0.0.112/32) na porta 1522 recebe tráfego de entrada do endereço IP do ponto final privado (10.0.0.79/32) do Oracle Data Safe de todas as portas.

    • Exemplo de Autonomous AI Database na Infraestrutura Dedicada do Exadata: O ponto final privado do Banco de Dados na porta 2484 recebe tráfego de entrada do endereço IP do ponto final privado do Oracle Data Safe (de todas as portas).

  5. Crie uma regra de segurança de saída no NSG ou na lista de segurança do ponto final privado do Oracle Data Safe.

    • Exemplo de Autonomous AI Database Serverless com Acesso Somente a Ponto Final Privado: O endereço IP do ponto final privado (10.0.0.79/32) do Oracle Data Safe em todas as portas envia solicitações ao endereço IP do ponto final privado do banco de dados (por exemplo, 10.0.0.112/32) na porta do banco de dados (1522).

    • Exemplo 1 para o Autonomous AI Database na Infraestrutura Dedicada do Exadata: o ponto final privado do Oracle Data Safe (de todas as portas) envia solicitações a todos os endereços IP na sub-rede do banco de dados na porta 2484.

    • Exemplo 2 para o Autonomous AI Database na Infraestrutura Dedicada do Exadata: A regra de saída para cada endereço IP flutuante permite que o ponto final privado do Oracle Data Safe (de todas as portas) envie solicitações ao endereço IP flutuante na porta 2484.

Regras de Segurança para Bancos de Dados do Oracle Cloud

Para um Oracle Cloud Database, você precisa adicionar uma regra de segurança de endereço e uma regra de segurança de saída no Oracle Cloud Infrastructure.

  1. Obtenha o(s) endereço(s) IP e o nome do NSG do ponto final privado do seu banco de dados.

    • Você pode encontrar as informações do seu banco de dados na Console do seu banco de dados no Oracle Cloud Infrastructure.

    • Um sistema de BD bare metal ou de máquina virtual tem um endereço IP privado.

    • O Oracle Exadata Database Service on Dedicated Infrastructure pode ter vários endereços IP flutuantes para os nós do banco de dados. Também pode ter endereços IP de varredura para o sistema de banco de dados. A Oracle recomenda que você use um dos endereços IP de varredura. Você pode encontrar um endereço IP de varredura na guia Rede na guia Informações do Sistema de BD no Oracle Cloud Infrastructure. Como alternativa, você pode informar o endereço IP flutuante privado de qualquer um dos nós do banco de dados.

  2. Obtenha o endereço IP privado e o nome do NSG para o ponto final privado do Oracle Data Safe.

    • Você pode localizar as informações do ponto final privado do Oracle Data Safe na página Informações do ponto final privado no serviço Oracle Data Safe no Oracle Cloud Infrastructure.
  3. Abra a VCN do seu banco de dados.

  4. Crie uma regra de entrada no NSG do banco de dados.

    • Exemplo: O endereço IP do ponto final privado do banco de dados (10.0.0.112/32) na porta 1521 recebe tráfego de entrada do endereço IP do ponto final privado do Oracle Data Safe (10.0.0.79/32) de todas as portas.
  5. Crie uma regra de saída no NSG do seu ponto final privado do Oracle Data Safe.

    • Exemplo: O endereço IP do ponto final privado do Oracle Data Safe (10.0.0.79/32) em todas as portas envia solicitações para o endereço IP do ponto final privado do banco de dados (10.0.0.112/32) na porta 1521.

    • (Oracle Exadata Database Service on Dedicated Infrastructure) Use um dos endereços IP de verificação do banco de dados ou use o endereço IP flutuante privado de qualquer um dos nós do banco de dados. O número da porta do banco de dados é 1521.

Regras de Segurança para Bancos de Dados do Oracle Cloud@Customer

Para um banco de dados Oracle Cloud@Customer que usa um ponto final privado do Oracle Data Safe, crie uma regra de segurança de saída no Oracle Cloud Infrastructure.

Observação

Observação: Você não precisa criar uma regra de segurança de entrada no Oracle Cloud Infrastructure. Em vez disso, configure sua própria rede para permitir que seu banco de dados receba tráfego do ponto final privado do Oracle Data Safe.

  1. Obtenha o(s) endereço(s) IP e o nome do NSG do ponto final privado do seu banco de dados.

  2. Obtenha o endereço IP privado e o nome do NSG para o ponto final privado do Oracle Data Safe.

    • Você pode localizar as informações do ponto final privado do Oracle Data Safe na página Informações do ponto final privado no serviço Oracle Data Safe no Oracle Cloud Infrastructure.
  3. Abra a VCN do seu banco de dados.

  4. Crie uma regra de saída no NSG ou na lista de segurança para o ponto final privado do Oracle Data Safe.

    • (Oracle Exadata Database Service on Cloud@Customer Database) Configure a regra para permitir a comunicação entre o ponto final privado do Oracle Data Safe (de qualquer porta) e todos os VIPs e endereços SCAN do servidor de banco de dados (todos os três). Sempre inclua os VIPs do servidor de banco de dados na regra de segurança de saída. Por padrão, cada implantação do Oracle Exadata Database Service on Cloud@Customer é associada a um SCAN (Single Client Access Name) e o SCAN é associado a 3 endereços IP. Cada configuração do sistema de banco de dados contém nós de computação (servidores de banco de dados). Há um endereço VIP do servidor de banco de dados por nó de computação no cluster de VMs.

    • Exemplo do Oracle Exadata Database Service on Cloud@Customer: A regra de saída permite que o ponto final privado do Oracle Data Safe (de qualquer porta) envie solicitações para dois VIPs do servidor de banco de dados ( 1.1.1.3 e 1.1.1.5) e três endereços SCAN (1.1.1.6, 1.1.1.7 e 1.1.1.8) na porta 1521.

      O diagrama abaixo ilustra o ponto final privado do Oracle Data Safe, o banco de dados e a regra de segurança de saída.

      Exemplo de regra de saída para o Oracle Exadata Database Service on Cloud@Customer

      Descrição da ilustração exacc-egress-rule.png

      A captura de tela a seguir mostra a configuração de rede do Oracle Exadata Database Service on Cloud@Customer para o cluster de VMs no Oracle Cloud Infrastructure, onde você pode encontrar os endereços SCAN e os VIPs do servidor de banco de dados.

      Captura de tela da configuração de rede do Oracle Exadata Database Service on Cloud@Customer para o cluster de VMs no OCI

      Descrição da ilustração exacc-network-configuration.png

Regra de Segurança para Oracle Databases Locais

Se você estiver usando um ponto final privado do Oracle Data Safe para estabelecer conexão com seu banco de dados Oracle on-premises, precisará criar uma regra de segurança de saída na rede virtual na nuvem (VCN) do seu ponto final privado.

Observação

Observação: Você não precisa criar uma regra de segurança de entrada no Oracle Cloud Infrastructure. Em vez disso, configure sua própria rede para permitir que seu banco de dados receba tráfego do ponto final privado do Oracle Data Safe.

  1. Obtenha o endereço IP privado do seu banco de dados Oracle local.

    • O endereço IP é onde o listener do banco de dados Oracle está sendo executado (por exemplo, 10.0.0.2).

    • Para um banco de dados RAC (Real Application Cluster), você precisa especificar os endereços IP dos nós do banco de dados RAC e não os endereços IP SCAN. A especificação de todos os nós do banco de dados RAC depende de como você configurou os bancos de dados plugáveis (PDBs).

  2. Obtenha o endereço IP privado e o nome do NSG ou da lista de segurança do seu ponto final privado do Oracle Data Safe.

    • Você pode localizar as informações do ponto final privado do Oracle Data Safe na página Informações do ponto final privado no serviço Oracle Data Safe no Oracle Cloud Infrastructure.
  3. Crie uma regra de segurança de saída no NSG ou na lista de segurança do seu ponto final privado do Oracle Data Safe.

    • Exemplo: A regra de saída permite que o endereço IP do ponto final privado (10.0.0.79/32) do Oracle Data Safe em todas as portas envie solicitações para o endereço IP privado do banco de dados (10.0.0.2/32) na porta 1521 do banco de dados.

      Regra de saída para um banco de dados Oracle local

      Descrição da ilustração s_egress-rule-onprem.png

Regras de Segurança para Bancos de Dados Oracle em Instâncias do Serviço Compute

Se seu banco de dados residir no OCI (Oracle Cloud Infrastructure), você precisará adicionar uma regra de segurança de endereço e uma regra de segurança de saída. Se seu banco de dados residir fora do OCI, crie uma regra de segurança de saída no Oracle Cloud Infrastructure e configure sua própria rede para permitir que seu banco de dados receba tráfego do ponto final privado do Oracle Data Safe.

  1. Obtenha o endereço IP e o nome do NSG ou da lista de segurança do ponto final privado do seu banco de dados.

    • Você pode encontrar as informações do seu banco de dados na Console do seu banco de dados no Oracle Cloud Infrastructure
  2. Obtenha o endereço IP e o nome do NSG ou da lista de segurança para o ponto final privado do Oracle Data Safe.

    • Você pode localizar as informações do ponto final privado do Oracle Data Safe na página Informações do ponto final privado no serviço Oracle Data Safe no Oracle Cloud Infrastructure.
  3. Crie uma regra de segurança de entrada na VCN do seu banco de dados, no Oracle Cloud Infrastructure ou em um ambiente de nuvem não Oracle.

    • Exemplo: A regra de entrada permite que o endereço IP do ponto final privado do seu banco de dados (10.0.0.112/32) na porta 1521 do banco de dados receba tráfego de entrada do endereço IP do ponto final privado (10.0.0.79/32) do Oracle Data Safe de todas as portas.

    • Se o seu banco de dados residir fora do OCI, configure sua própria rede para permitir que o banco de dados receba tráfego do ponto final privado do Oracle Data Safe.

  4. Crie uma regra de segurança de saída na VCN para o ponto final privado do Oracle Data Safe no Oracle Cloud Infrastructure.

    • Exemplo: A regra de saída permite que o endereço IP do ponto final privado do Oracle Data Safe (10.0.0.79/32) em todas as portas envie solicitações para o endereço IP do ponto final privado do banco de dados (10.0.0.112/32) na porta 1521 do banco de dados.

Regra de Segurança do Amazon RDS para Oracle

Se você estiver usando um ponto final privado do Oracle Data Safe para estabelecer conexão com o seu banco de dados Amazon RDS para Oracle, precisará criar uma regra de segurança de saída na rede virtual na nuvem (VCN) do seu ponto final privado.

Observação

Observação: Você não precisa criar uma regra de segurança de entrada no Oracle Cloud Infrastructure. Em vez disso, configure sua própria rede para permitir que seu banco de dados receba tráfego do ponto final privado do Oracle Data Safe.

  1. Obtenha o endereço IP privado do seu banco de dados Amazon RDS para Oracle.

  2. Obtenha o endereço IP privado e o nome do NSG ou da lista de segurança do seu ponto final privado do Oracle Data Safe.

    • Você pode localizar as informações do ponto final privado do Oracle Data Safe na página Informações do ponto final privado no serviço Oracle Data Safe no Oracle Cloud Infrastructure.
  3. Crie uma regra de segurança de saída no NSG ou na lista de segurança do seu ponto final privado do Oracle Data Safe.

    • Exemplo: A regra de saída permite que o endereço IP do ponto final privado (10.0.0.79/32) do Oracle Data Safe em todas as portas envie solicitações para o endereço IP privado do banco de dados (10.0.0.2/32) na porta 1521 do banco de dados.