Gerenciar a Segurança do Banco de Dados com o Oracle Data Safe

Sobre o Oracle Data Safe

Sua política corporativa exige que você monitore seus bancos de dados e mantenha registros de auditoria. Seus desenvolvedores estão pedindo cópias de dados de produção para esse novo aplicativo, e você está se perguntando que tipos de informações confidenciais ele conterá. Enquanto isso, você precisa ter certeza de que as atividades de manutenção recentes não deixaram lacunas críticas na configuração de segurança em seus bancos de dados de produção e que as alterações na equipe não deixaram contas de usuário inativas nos bancos de dados. O Oracle Data Safe ajuda você com essas tarefas e está incluído no seu Exadata Database Service*.

O Oracle Data Safe é um centro de controle unificado que ajuda você a gerenciar os requisitos diários de segurança e conformidade dos Bancos de Dados Oracle, independentemente de estarem em execução na Oracle Cloud Infrastructure, na Cloud@Customer, on-premises ou em qualquer outra nuvem.

O Data Safe permite que você avalie controles de segurança, avalie a segurança do usuário, monitore a atividade do usuário e trate os requisitos de conformidade de segurança de dados do seu banco de dados avaliando a confidencialidade dos seus dados, bem como mascarando dados confidenciais para bancos de dados não de produção.

O Data Safe oferece as seguintes funcionalidades:

  • Avaliação de Segurança: Erros de configuração e divergência de configuração contribuem significativamente para violações de dados. Use a avaliação de segurança para avaliar a configuração do seu banco de dados e compará-la com as melhores práticas da Oracle e do setor. A avaliação de segurança informa áreas de risco e o notifica quando as configurações são alteradas.
  • Avaliação do Usuário: Muitos vazamentos começam com uma conta de usuário comprometida. A Avaliação de Usuários ajuda a identificar as contas de banco de dados mais arriscadas - aquelas contas que, se comprometidas, poderiam causar mais danos - e a tomar medidas proativas para protegê-las. As Linhas de Base da Avaliação do Usuário facilitam o conhecimento quando novas contas são adicionadas ou os privilégios de uma conta são modificados. Use eventos do OCI para receber notificações proativas quando um banco de dados se desviar de sua linha de base.
  • Auditoria de Atividades: A compreensão e a geração de relatórios sobre a atividade do usuário, o acesso a dados e as alterações nas estruturas de banco de dados dão suporte a requisitos de conformidade regulatória e podem ajudar em investigações pós-incidentes. A auditoria de atividades coleta registros de auditoria de bancos de dados e ajuda você a gerenciar políticas de auditoria. Os insights de auditoria facilitam a identificação de políticas de auditoria ineficientes, enquanto os alertas baseados em dados de auditoria notificam você de forma proativa sobre atividades arriscadas.
  • Descoberta de Dados Confidenciais: Saber quais dados confidenciais são gerenciados em seus aplicativos é fundamental para a segurança e a privacidade. A descoberta de dados verifica mais de 150 tipos de dados confidenciais diferentes no seu banco de dados, ajudando você a entender os tipos e o volume de dados confidenciais que você está armazenando. Use esses relatórios para formular políticas de auditoria, desenvolver modelos de mascaramento de dados e criar políticas de controle de acesso eficazes.
  • Mascaramento de Dados: Minimizar a quantidade de dados confidenciais que sua organização mantém ajuda a atender aos requisitos de conformidade e atender aos regulamentos de privacidade de dados. O mascaramento de dados ajuda a remover o risco de seus bancos de dados que não são de produção substituindo informações confidenciais por dados mascarados. Com modelos de mascaramento reutilizáveis, mais de 50 formatos de mascaramento incluídos e a capacidade de criar facilmente formatos personalizados para os requisitos exclusivos da sua organização, o mascaramento de dados pode simplificar as operações de desenvolvimento e teste de aplicativos.
  • Gerenciamento de Firewall SQL: Proteja-se contra riscos, como ataques de injeção de SQL ou contas comprometidas. O Oracle SQL Firewall é um novo recurso de segurança incorporado ao kernel do Oracle Database 23ai e oferece a melhor proteção do setor contra esses riscos. O recurso Firewall SQL no Oracle Data Safe permite gerenciar e monitorar centralmente as políticas do Firewall SQL para seus bancos de dados de destino. O Data Safe permite coletar atividades SQL autorizadas de um usuário de banco de dados, gerar e ativar a política com listas de permissões de instruções SQL aprovadas e caminhos de conexão de banco de dados e fornece uma visão abrangente de quaisquer violações do Firewall SQL na frota de seus bancos de dados de destino.

*Inclui 1 milhão de registros de auditoria por banco de dados por mês se estiver usando a coleta de auditoria para Auditoria de Atividades

Conceitos Básicos

Para começar, basta registrar seu banco de dados no Oracle Data Safe:

  • Pré-requisito: Obtenha as permissões necessárias do IAM (Identity and Access Management) para registrar seu banco de dados de destino no Data Safe: Permissões para registrar um Banco de Dados Oracle Cloud@Customer
  • Selecione uma opção para conectar seu banco de dados ao Data Safe
    • Conecte-se por VPN ou FastConnect usando um ponto final privado do Data Safe

      Se você tiver o FastConnect ou o VPN Connect configurado entre seu ambiente do Cloud@Customer e uma rede virtual na nuvem (VCN) no OCI (Oracle Cloud Infrastructure), poderá registrar seu banco de dados no Oracle Data Safe usando um ponto final privado do Oracle Data Safe. Você pode criar o ponto final privado durante o registro ou antes. Você pode encontrar mais detalhes sobre como criar o ponto final privado em Criar um Ponto Final Privado do Oracle Data Safe.

    • Estabelecer conexão usando Conectores locais do serviço Data Safe

      Se você não tiver o FastConnect ou a VPN configurada entre seu ambiente Cloud@Customer e o OCI ou não quiser usá-lo no Data Safe, poderá registrar seu banco de dados no Data Safe usando um conector local do Oracle Data Safe. Você pode criar e instalar o conector local durante o registro ou antes. Você pode encontrar mais detalhes sobre como criar o conector em Criar um Conector Local do Oracle Data Safe.

  • Registrar seu banco de dados Cloud@Customer no Data Safe

Usando o Oracle Data Safe

Depois que seu banco de dados for registrado no Data Safe, você poderá aproveitar todos os recursos.

Avaliação de Segurança

As Avaliações de Segurança são programadas automaticamente uma vez por semana no Data Safe e fornecem uma visão geral da postura de segurança do seu banco de dados. Ela analisa as configurações de banco de dados, os usuários e os direitos dos usuários, bem como as políticas de segurança para descobrir riscos de segurança e melhorar a postura de segurança dos Oracle Databases em sua organização. Uma avaliação de segurança fornece descobertas com recomendações para atividades de remediação que seguem as melhores práticas para reduzir ou mitigar riscos.

Comece revisando o relatório de avaliação de segurança do seu banco de dados: Exiba a avaliação mais recente de um banco de dados de destino

Você pode encontrar mais detalhes sobre Avaliação de Segurança em Visão Geral da Avaliação de Segurança.

Avaliação do Usuário

As Avaliações do Usuário são programadas automaticamente uma vez por semana no Data Safe e ajudam a identificar contas de usuário altamente privilegiadas que podem representar uma ameaça se forem usadas incorretamente ou comprometidas. A Avaliação do Usuário analisa informações sobre seus usuários nos dicionários de dados nos bancos de dados de destino e, em seguida, calcula um risco potencial para cada usuário, com base nos privilégios do sistema e nas concessões de atribuição.

Comece revisando o relatório de avaliação do usuário para o seu banco de dados: Exiba a avaliação mais recente do usuário para um banco de dados de destino

Você pode encontrar mais detalhes sobre a Avaliação do Usuário em Visão Geral da Avaliação do Usuário.

Descoberta de Dados

A Descoberta de Dados procura colunas confidenciais em seu banco de dados. Ele vem com mais de 150 tipos confidenciais predefinidos e você também pode criar seus próprios tipos confidenciais. Você diz ao Data Discovery se deseja verificar todo o seu banco de dados ou apenas determinados esquemas e que tipo de informações confidenciais deve ser procurado, e ele encontra as colunas confidenciais que atendem aos seus critérios e as armazena em um modelo de dados confidenciais (SDM).

Comece descobrindo dados confidenciais em seu banco de dados: Criar Modelos de Dados Confidenciais

Você pode encontrar mais detalhes sobre a Descoberta de Dados em Visão Geral da Descoberta de Dados.

Máscara de Dados

O mascaramento de dados, também conhecido como mascaramento de dados estáticos, ajuda a substituir informações confidenciais em seus bancos de dados de não produção por dados realistas e totalmente funcionais com características semelhantes às dos dados originais. O Data Safe vem com formatos de mascaramento predefinidos para cada um dos tipos confidenciais predefinidos que também podem ser aproveitados para seus próprios tipos confidenciais.

Depois de saber onde os dados confidenciais são armazenados no seu banco de dados (por exemplo, após a execução da Descoberta de Dados no Data Safe), você poderá começar criando uma política de mascaramento: Criar Políticas de Mascaramento

Depois de criar uma política de mascaramento e copiar seu banco de dados de produção, você poderá mascarar sua cópia que não é de produção: Mascarar Dados Confidenciais em um Banco de Dados de Destino

Você pode encontrar mais detalhes sobre o Mascaramento de Dados em Visão Geral do Mascaramento de Dados.

Auditoria da Atividade

A Auditoria de Atividades no Oracle Data Safe ajuda a garantir a responsabilidade e melhorar a conformidade regulatória. Com a Auditoria de Atividades, você pode coletar e manter registros de auditoria por requisitos de conformidade do setor e regulamentar e monitorar as atividades dos usuários em bancos de dados Oracle com relatórios e alertas predefinidos. Por exemplo, é possível auditar o acesso a dados confidenciais, eventos relevantes para a segurança, atividades de administrador e usuário, atividades recomendadas pelos regulamentos de conformidade, como CIS (Center for Internet Security), e atividades definidas pela sua própria organização.

Se você estiver usando a coleta de auditoria no Data Safe, até 1 milhão de registros de auditoria por banco de dados de destino por mês serão incluídos no banco de dados do Cloud@Customer.

Para usar a auditoria de atividades, inicie a trilha de auditoria do seu banco de dados de destino no Data Safe: Iniciar uma Trilha de Auditoria

Depois que a trilha de auditoria for iniciada, você poderá monitorar e analisar seus dados de auditoria com relatórios de auditoria predefinidos: Exibir um Relatório de Auditoria Predefinido ou Personalizado

Você pode encontrar mais detalhes sobre Auditoria de Atividades em Visão Geral da Auditoria de Atividades.

Firewall de SQL*

O Firewall SQL no Oracle Data Safe permite gerenciar centralmente os Firewalls SQL e fornece uma visão abrangente das violações do Firewall SQL em toda a frota de seus bancos de dados de destino. O Data Safe permite coletar atividades SQL autorizadas de um usuário de banco de dados que você deseja proteger, monitorar o andamento da coleta, gerar e ativar a política com listas de permissões de instruções SQL aprovadas e caminhos de conexão de banco de dados.

Comece ativando o Firewall SQL no banco de dados de destino 23ai: Ativar Firewall SQL no Banco de Dados de Destino.

Em seguida, você precisa gerar e ativar uma política do SQL Firewall com listas de permissões para o usuário do banco de dados que deseja proteger: Gerar e Impor Políticas do SQL Firewall.

Depois de começar a impor a política do Firewall SQL, você poderá monitorar e analisar as violações nos relatórios de violação predefinidos: Exibir e Gerenciar Relatórios de Violações.

Você pode encontrar mais detalhes sobre o Firewall SQL em Visão Geral do Firewall SQL.

*O SQL Firewall só está disponível para Oracle Databases 23ai.