Conectar o Oracle Data Safe ao Exadata e Autonomous Databases

Essa arquitetura de referência destaca as diferentes maneiras de conectar os bancos de dados Exadata e Autonomous ao Oracle Data Safe. Ele também descreve as medições de segurança que você precisa fazer para fornecer uma implantação segura de uma conexão com um banco de dados de destino específico.

O Oracle Data Safe é um serviço de Nuvem regional totalmente integrado com foco na segurança de dados. Ele fornece um conjunto completo e integrado de recursos do Oracle Cloud Infrastructure (OCI) para proteger dados confidenciais e regulamentados em bancos de dados da Oracle.

O Oracle Data Safe fornece serviços de segurança essenciais para o Oracle Autonomous Database e bancos de dados em execução na OCI. O Data Safe também suporta bancos de dados on-premises, Oracle Exadata Cloud@Customer e implementações multicloud. Todos os clientes do Oracle Database podem reduzir o risco de uma violação de dados e simplificar a conformidade usando o Data Safe para avaliar a configuração e o risco do usuário, monitorar e auditar a atividade do usuário e descobrir, classificar e mascarar dados confidenciais.

As leis de conformidade, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) e a Lei de Privacidade do Consumidor da Califórnia (CCPA), exigem que as empresas protejam a privacidade de seus clientes. A execução de uma variedade de bancos de dados hospedados em um ambiente seguro e eficiente requer uma maneira de gerenciar a segurança desses dados. O Oracle Data Safe ajuda você a entender a sensibilidade dos dados, avaliar riscos para os dados, mascarar dados confidenciais, implementar e monitorar controles da segurança, avaliar segurança de usuário, monitorar atividades do usuário e atender aos requisitos da conformidade com segurança de dados.

Depois de adicionar um banco de dados como destino, o Data Safe identifica, categoriza e prioriza riscos e fornece relatórios de avaliação abrangentes sobre:

• Parâmetros de segurança
• Controles de segurança em uso
• Atribuições e privilégios de usuário

O Data Safe ajuda com vários requisitos de conformidade, como identificar onde os dados confidenciais estão localizados, mascarar dados confidenciais para uso não relacionado à produção, capturar dados de auditoria com segurança e assim por diante.

Os padrões de conformidade de Auditoria representam um conjunto de políticas de Auditoria que ajudam a acelerar a conformidade com os padrões regulatórios. Eles também ajudam a avaliar se você está aderindo aos requisitos de conformidade de banco de dados. Durante a Auditoria de Atividades, duas políticas de padrões de conformidade de auditoria podem ser ativadas para rastrear as atividades do administrador:

• Configuração do CIS (Center for Internet Security) - disponível para o Oracle Database 12.2 e versões posteriores.
• STIG (Security Technical Implementation Guidelines) - disponíveis para oOracle Database 21c e versões posteriores.

Além disso, as bases de dados também contêm dados confidenciais e pessoais. Diferentes leis e padrões de privacidade de dados, como os seguintes, se aplicam conforme necessário:

• GDPR da UE - Regulamento Geral de Proteção de Dados da União Europeia
• PCI-DSS - O Payment Card Industry Data Security Standard e
• HIPPA- Lei de Portabilidade e Responsabilidade de Seguros de Saúde

Essas leis de privacidade exigem que você proteja os dados pessoais.

Mascaramento de dados, também conhecido como mascaramento estático de dados, é o processo de substituir permanentemente dados confidenciais por dados fictícios com aparência realista.

O Data Safe pode descobrir e classificar dados confidenciais com base em uma biblioteca de mais de 150 tipos de dados confidenciais predefinidos. Isso também pode ser estendido com tipos de dados personalizados.

Arquitetura

Essa arquitetura de referência descreve os seguintes bancos de dados de destino e a forma como o Data Safe se conecta a esses bancos de dados:

• Exadata Database Service ou Exadata Cloud@Customer / Regional Cloud@Customer / Região Dedicada
• Autonomous Databases

Esta arquitetura de referência discute somente bancos de dados com endereços IP privados. A configuração de um banco de dados com um endereço IP público é da perspectiva de segurança não recomendada.

Para cada implantação diferente do Data Safe discutida aqui, você também deve implantar uma zona de destino em sua tenancy. Os seguintes recursos fornecem as melhores práticas para segurança e conformidade, conceitos de zona de destino e implantação de uma zona de destino no Oracle Cloud Infrastructure usando scripts terraform:

• Estrutura bem arquitetada para o Oracle Cloud Infrastructure
• Implante uma zona de destino segura que atenda ao CIS Foundations Benchmark para Oracle Cloud
• Zonas de Destino do OCI Compatíveis com o CIS (repositório GitHub)

Observação:

Consulte o tópico Explorar Mais abaixo para obter acesso a esses recursos.

Exadata Database Service ou Exadata Cloud@Customer

O Oracle Exadata Database Service fornece o Oracle Exadata Database Machine como um serviço em um data center da Oracle Cloud Infrastructure (OCI).

O Exadata Cloud@Customer, um serviço gerenciado, fornece um Exadata Database Service hospedado no data center on-premises.

Serviço de Banco de Dados Exadata

O Exadata Database Service não precisa se conectar à rede on-premises porque ele é implantado na OCI e pode, portanto, usar o ponto final Privado diretamente. Depois de configurar a conectividade necessária, os bancos de dados poderão ser configurados como destinos no Data Safe usando o assistente.

Exadata Cloud@Customer

Para conectar um banco de dados de destino do Exadata Cloud@Customer, há duas opções:

• Conector on-premises
• Ponto final privado

No diagrama a seguir, as conexões são mostradas entre o Oracle Cloud e o data center on-premises. O diagrama mostra as opções a serem escolhidas. Se houver uma conexão VPN site a site ou OCI FastConnect, você poderá usar um ponto final privado para estabelecer conexão com seus bancos de dados do Data Safe de destino do Exadata Cloud@Customer. Se não houver VPN ou OCI FastConnect, você poderá implantar um conector local para estabelecer conexão com seus bancos de dados de destino do Exadata Cloud@Customer Data Safe. Esse conector local estabelecerá conexão com o Data Safe por meio de um túnel TLS.

Descrição da ilustração Data-Safe-Exa-adb.png

data-safe-exa-adb-oracle.zip

Lembre-se de que, conforme mostrado no diagrama, um túnel de automação contínuo, persistente e seguro conecta a infraestrutura do CPS no data center local à VCN administrativa gerenciada pela Oracle na região do OCI para fornecer comandos de automação na nuvem aos clusters de VMs. Este é um túnel de saída para a infraestrutura do CPS e não pode ser usado para conexões do Data Safe. Para obter mais informações, consulte o link abaixo em 'Architecture Exadata Cloud@Customer'.

O ambiente Exadata Cloud@Customer é suportado pela Oracle usando o Oracle Operator Access Control (OpCtl). OpCtl é um serviço de gerenciamento de acesso privilegiado (PAM) da OCI que oferece aos clientes um mecanismo técnico para controlar melhor como a equipe da Oracle pode acessar sua infraestrutura do Exadata Cloud@Customer (ExaC@C). Para obter uma leitura detalhada sobre isso, consulte o link Controle de Acesso do Operador Oracle abaixo. Os seguintes recursos descrevem as arquiteturas e a configuração em detalhes:

• Arquitetura do Exadata Cloud@Customer
• Arquitetura do Exadata Database Service
• Configurar banco de dados Cloud@Customer usando ponto final privado
• Configurar o banco de dados do Cloud@Customer usando o assistente
• Simplifique a Segurança de seus Bancos de Dados Oracle on-premises com o Oracle Data Safe
• Controles de Segurança do Exadata Database Service

Observação:

Consulte o tópico Explorar Mais abaixo para obter acesso a esses recursos.

Autonomous Databases

O banco de dados autônomo em infraestrutura compartilhada está disponível com o Data Safe. Os Autonomous Databases podem ser registrados por meio do assistente ou por um único clique na página de detalhes do Autonomous Database. As etapas para conectar o banco de dados autônomo da Dedicated Region Cloud@Customer são discutidas nesta parte da documentação do Data Safe.

Componentes da Arquitetura

Essas arquiteturas têm os seguintes componentes:

• Tenancy

  O Oracle Autonomous Transaction Processing é um serviço de banco de dados autônomo, autoprotegido e autorreparável, otimizado para cargas de trabalho de processamento de transações. Você não precisa configurar nem gerenciar nenhum hardware, nem instalar nenhum software. O Oracle Cloud Infrastructure controla a criação do banco, bem como o backup, a aplicação de patches, o upgrade e o ajuste do banco.

• Região

  Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, chamados domínios de disponibilidade. Regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).

• Compartimento

  Os compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar seus recursos no Oracle Cloud, controlar o acesso aos recursos e definir cotas de uso. Para controlar o acesso aos recursos em um determinado compartimento, você define políticas que especificam quem pode acessar os recursos e quais ações eles podem executar.

• Domínios de disponibilidade

  Domínios de disponibilidade são data centers stand-alone e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que oferece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou refrigeração ou a rede interna do domínio de disponibilidade. Portanto, é improvável que uma falha em um domínio de disponibilidade afete os outros domínios de disponibilidade da região.

• Domínios de falha

  Um domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas no servidor, manutenção do sistema e falhas de energia dentro de um domínio de falha.

• VCN (rede virtual na nuvem) e sub-redes

  Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

• Balanceador de carga

  O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição automatizada de tráfego de um único ponto de entrada para vários servidores no back-end. O balanceador de carga fornece acesso a diferentes aplicativos.

• Lista de segurança

  Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.

• Gateway NAT

  O gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões de internet de entrada.

• Gateway de serviço

  O gateway de serviço fornece acesso de uma VCN a outros serviços, como o Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e nunca atravessa a internet.

• Cloud Guard

  Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos em busca de pontos fracos de segurança e monitorar operadores e usuários em busca de atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e ajuda a executar essas ações, com base nas receitas do respondedor que você pode configurar.

• Zona de segurança

  As zonas de segurança garantem desde o início as melhores práticas de segurança da Oracle, impondo políticas como criptografia de dados e impedindo o acesso público às redes de um compartimento inteiro. Uma zona de segurança está associada a um compartimento com o mesmo nome e inclui políticas de zona de segurança ou uma "receita" que se aplica ao compartimento e seus subcompartimentos. Você não pode adicionar ou mover um compartimento padrão para um compartimento da zona de segurança.

• Armazenamento de objetos

  O armazenamento de objetos oferece acesso rápido a grandes quantidades de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de banco de dados, dados analíticos e conteúdo avançado como imagens e vídeos. Você pode armazenar de forma segura e depois recuperar dados diretamente da internet ou de dentro da plataforma da nuvem. Você pode dimensionar o armazenamento sem sofrer qualquer degradação no desempenho ou na confiabilidade de serviço. Use armazenamento padrão para armazenamento "quente" que você precisa acessar com rapidez, rapidez e frequência. Use armazenamento de arquivo compactado para armazenamento "frio" que você retém por longos períodos de tempo e acesso raro.

• FastConnect

  O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre o seu data center e o Oracle Cloud Infrastructure. FastConnect fornece opções mais altas de largura de banda e uma experiência em rede mais confiável quando comparada com conexões baseadas na internet.

• LPG (Local Peering Gateway)

  Um LPG permite que você pareie uma VCN com outra VCN na mesma região. Pareamento significa que as VCNs se comunicam usando endereços IP privados, sem que o tráfego atravesse a internet ou seja roteado por meio da sua rede local.

• Autonomous Transaction Processing
  O Autonomous Transaction Processing oferece um serviço de banco de dados autônomo, autoprotegido e autorreparável que pode ser dimensionado instantaneamente para atender às demandas de uma variedade de aplicações: processamento de transações de missão crítica, transações e análises mistas, IoT, documentos JSON e assim por diante. Ao criar um Autonomous Database, você pode implantá-lo em um dos três tipos de infraestrutura do Exadata:

  • Compartilhada; uma opção simples e elástica. A Oracle opera de forma autônoma todos os aspectos do ciclo de vida do banco de dados, desde o posicionamento do banco de dados até o backup e as atualizações.
  • Dedicated on Public Cloud; uma opção de nuvem privada na nuvem pública. Um serviço totalmente dedicado de computação, armazenamento, rede e banco de dados para somente um tenant, oferecendo os mais altos níveis de isolamento e governança de segurança.
  • Dedicado no Cloud@Customer; Autonomous Database em infraestrutura dedicada em execução no sistema Exadata Database Machine em seu data center, juntamente com a configuração de rede que o conecta ao Oracle Cloud.
• Autonomous Data Warehouse

  O Oracle Autonomous Data Warehouse é um serviço de banco de dados autônomo, autoprotegido e autorreparável, otimizado para cargas de trabalho de data warehousing. Você não precisa configurar nem gerenciar nenhum hardware, nem instalar nenhum software. O Oracle Cloud Infrastructure controla a criação do banco, bem como o backup, a aplicação de patches, o upgrade e o ajuste do banco.

• Autonomous Transaction Processing

  O Oracle Autonomous Transaction Processing é um serviço de banco de dados autônomo, autoprotegido e autorreparável, otimizado para cargas de trabalho de processamento de transações. Você não precisa configurar nem gerenciar nenhum hardware, nem instalar nenhum software. O Oracle Cloud Infrastructure controla a criação do banco, bem como o backup, a aplicação de patches, o upgrade e o ajuste do banco.

• Sistema de Banco de Dados Exadata

  O Exadata Database Service permite que você aproveite a eficiência do Exadata na nuvem. Você pode provisionar sistemas X8M flexíveis que permitem adicionar servidores de computação de banco de dados e servidores de armazenamento ao sistema à medida que suas necessidades aumentam. Os sistemas X8M oferecem redes RoCE (RDMA sobre Ethernet Convergente) para módulos com alta largura e baixa latência, memória persistente (PMEM) e software Exadata inteligente. Você pode provisionar sistemas X8M ou X9M usando uma forma equivalente a um sistema X8 com um quarto de rack e, em seguida, adicionar servidores de banco de dados e armazenamento a qualquer momento após o provisionamento.

Recomendações

Use as recomendações a seguir como ponto de partida ao implementar o Oracle Data Safe para seus bancos de dados implantados no local e na OCI. Seus requisitos podem ser diferentes da arquitetura descrita aqui.

• VCN

  Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar às sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.

  Selecione blocos CIDR que não se sobreponham a qualquer outra rede (no Oracle Cloud Infrastructure, seu data center on-premises ou outro provedor de nuvem) para a qual você pretende configurar conexões privadas.

  Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.

  Ao projetar as sub-redes, considere o fluxo de tráfego e os requisitos de segurança. Anexe todos os recursos dentro de uma camada ou atribuição específica à mesma sub-rede, que pode servir como um limite de segurança.

  Usar sub-redes regionais.

• Segurança

  Use o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure proativamente. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos em busca de pontos fracos de segurança e para monitorar operadores e usuários em busca de atividades arriscadas; por exemplo, o Cloud Guard fornece uma receita do detector que pode alertá-lo se um banco de dados não estiver registrado no Data Safe.

  Para recursos que exigem segurança máxima, a Oracle recomenda o uso de zonas de segurança. Uma zona de segurança é um compartimento associado a uma receita de políticas de segurança definidas pela Oracle que se baseiam nas melhores práticas. Por exemplo, os recursos em uma zona de segurança não podem ser acessados pela internet pública e devem ser criptografados usando chaves gerenciadas pelo cliente. Quando você cria e atualiza recursos em uma zona do sistema de segurança, o Oracle Cloud Infrastructure valida as operações em relação às políticas da receita da zona do sistema de segurança e nega as operações que violam as políticas.

• Cloud Guard

  Clone e personalize as receitas padrão fornecidas pela Oracle para criar receitas personalizadas de detector e respondedor. Essas receitas permitem especificar quais tipos de violações de segurança geram uma advertência e quais ações podem ser executadas nelas. Por exemplo, talvez você queira detectar buckets do serviço Object Storage que tenham visibilidade definida como pública.

  Aplique o Cloud Guard no nível da tenancy para cobrir o escopo mais amplo e reduzir a carga administrativa de manutenção de várias configurações.

  Você também pode usar o recurso Lista gerenciada para aplicar determinadas configurações aos detectores.

• Grupos de segurança de rede (NSGs)

  Você pode usar NSGs para definir um conjunto de regras de entrada e saída que se aplicam a VNICs específicas. Recomendamos o uso de NSGs em vez de listas de segurança, pois os NSGs permitem separar a arquitetura de sub-rede da VCN dos requisitos de segurança do seu aplicativo.

• Largura de banda do balanceador de carga

  Ao criar o balanceador de carga, você pode selecionar uma forma predefinida que forneça uma largura de banda fixa ou especificar uma forma personalizada (flexível) na qual defina uma faixa de largura de banda e permita que o serviço dimensione a largura de banda automaticamente com base nos padrões de tráfego. Com qualquer uma das abordagens, você pode alterar a forma a qualquer momento após a criação do balanceador de carga.

Explorar Mais

Saiba mais sobre como implementar o Oracle Data Safe para Exadata e Autonomous Databases.

Revise estes recursos adicionais:

• Estrutura bem arquitetada para o Oracle Cloud Infrastructure
• Implantar uma zona de destino segura que atenda ao CIS Foundations Benchmark para Oracle Cloud
• Arquitetura Técnica do Exadata Cloud@Customer
• Arquitetura Técnica do Oracle Exadata Database Service on Dedicated Infrastructure
• Registrar Bancos de Dados Exadata Cloud@Customer Usando um Ponto Final Privado do Oracle Data Safe
• Configurar o banco de dados Cloud@Customer usando o assistente
• Simplifique a Segurança de seus Bancos de Dados Oracle on-premises com o Oracle Data Safe
• Controles de Segurança do Exadata Cloud Service
• Oracle Operator Access Control para Exadata Cloud@Customer
• OCI-landing-zones / terraform-OCI-core-landingzone (Zona de destino principal do OCI) em GitHub.
• oci-landing-zones / oci-landing-zone-operating-entities (Operating Entities Landing Zone) no GitHub

Confirmações

Autor: Jacco Steur

Colaborador: Wei Han

Alterar Log

Este log lista alterações significativas:

Junho de 13, 2025

Lista atualizada de recursos adicionais em "Explorar Mais".