Conecte o Oracle Data Safe a Oracle Databases em ambientes de nuvem multicloud e híbrida
O Oracle Data Safe fornece serviços de segurança essenciais para o Oracle Autonomous Database e bancos de dados em execução na OCI. O Data Safe também suporta bancos de dados on-premises, Oracle Exadata Cloud@Customer e implementações de banco de dados Oracle multicloud. Todos os clientes do Oracle Database podem reduzir o risco de uma violação de dados e simplificar a conformidade usando o Data Safe para avaliar a configuração e o risco do usuário, monitorar e auditar a atividade do usuário e descobrir, classificar e mascarar dados confidenciais.
As leis de conformidade, como o Regulamento Geral de Proteção de Dados (GDPR) da União Europeia (UE) e a Lei de Privacidade do Consumidor da Califórnia (CCPA), exigem que as empresas protejam a privacidade de seus clientes. O Oracle Data Safe ajuda você a entender a sensibilidade dos dados, avaliar riscos para os dados, mascarar dados confidenciais, implementar e monitorar controles da segurança, avaliar segurança de usuário, monitorar atividades de usuário e atender aos requisitos da conformidade com segurança de dados.
- Parâmetros de segurança
- Controles de segurança em uso
- Atribuições e privilégios de usuário
- Configuração do CIS (Center for Internet Security) - disponível para o Oracle Database 12.2 e versões posteriores.
- STIG (Security Technical Implementation Guidelines) - disponíveis para oOracle Database 21c e versões posteriores.
- GDPR da UE - Regulamento Geral de Proteção de Dados da União Europeia
- PCI-DSS - The Payment Card Industry Data Security Standard e
- HIPPA- Lei de Portabilidade e Responsabilidade de Seguros de Saúde
Arquitetura
- Data Safe se conectando a implementações de banco de dados multicloud em ambientes de nuvem que não são do Microsoft Azure
- Conexão do Data Safe com bancos de dados no Microsoft Azure usando o ODSA (Database Service)
- Estrutura bem arquitetada para o Oracle Cloud Infrastructure
- Implante uma zona de destino segura que atenda ao CIS Foundations Benchmark para Oracle Cloud
- Zonas de Destino do OCI Compatíveis com o CIS (repositório GitHub)
Observação:
Consulte "Explorar Mais", abaixo, para obter acesso a esses recursos.Data Safe se conectando a bancos de dados em um ambiente multicloud
Quando os Oracle Databases são implantados em um ambiente multicloud, eles podem ser vistos como bancos de dados implantados on-premises. O ponto final privado ou o conector on-premises pode ser usado. O diagrama a seguir mostra as opções de conexão para bancos de dados implantados em, por exemplo, AWS e/ou Microsoft Azure. Qualquer provedor de nuvem que possa hospedar bancos de dados Oracle pode ser usado nesta configuração. A conexão com os bancos de dados implantados em um provedor de nuvem usando o ponto final privado ou o conector local do Data Safe permite que o Data Safe inspecione os bancos de dados.
Descrição da ilustração datasafe-multi-odsa-01.png
datasafe-multi-odsa-01-oracle.zip
Conexão do Data Safe com bancos de dados no Microsoft Azure usando o ODSA (Database Service)
A conexão do Data Safe com os bancos de dados que fazem parte do Oracle Database Service for Azure (ODSA) é a mesma de outros bancos de dados baseados na OCI. No entanto, há alguns detalhes que você deve considerar ao usar o serviço ODSA. O diagrama a seguir ilustra a arquitetura do ODSA:
Descrição da ilustração datasafe-multi-odsa-02.png
datasafe-multi-odsa-02-oracle.zip
Como os bancos de dados são configurados em um compartimento do ODSA separado, pode ser necessário fazer alguns ajustes nas políticas para fornecer acesso a esses recursos.
Com o Oracle Database Service for Microsoft Azure (ODSA), os recursos do banco de dados residem em uma tenancy da OCI vinculada a uma conta do Microsoft Azure. No OCI, os bancos de dados e os recursos de infraestrutura são mantidos em um compartimento do ODSA. Este compartimento é criado automaticamente para recursos do ODSA durante o processo de inscrição. O ODSA Multicloud NetworkLink (veja o diagrama) e a vinculação da conta também serão configurados durante o processo de inscrição.
Um dos pré-requisitos para o ODSA é que sua tenancy deve suportar Domínios de Identidade. Além disso, a disponibilidade regional deve ser verificada. Os recursos do banco de dados do ODSA precisam ser provisionados nessas regiões.
Consulte O Modelo de Serviço Multicloud, acessível no tópico Explore Mais, abaixo para obter informações adicionais sobre o ODSA.
- Tenancy
Uma tenancy é uma partição segura e isolada que a Oracle configura no Oracle Cloud quando você se inscreve no OCI. Você pode criar, organizar e administrar seus recursos no Oracle Cloud na sua tenancy. Uma tenancy é sinônimo de uma empresa ou organização. Normalmente, uma empresa terá uma única tenancy e refletirá sua estrutura organizacional dentro dessa tenancy. Uma única tenancy geralmente está associada a uma única assinatura, e uma única assinatura geralmente tem apenas uma tenancy.
- Região
Uma região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, chamados domínios de disponibilidade. Regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou mesmo continentes).
- Compartimento
Os compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar seus recursos no Oracle Cloud, controlar o acesso aos recursos e definir cotas de uso. Para controlar o acesso aos recursos em um determinado compartimento, você define políticas que especificam quem pode acessar os recursos e quais ações eles podem executar..
- Domínios de disponibilidade
Domínios de disponibilidade são data centers stand-alone e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que oferece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou refrigeração ou a rede interna do domínio de disponibilidade. Portanto, é improvável que uma falha em um domínio de disponibilidade afete os outros domínios de disponibilidade da região.
- Domínios de falha
Um domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falhas físicas no servidor, manutenção do sistema e falhas de energia dentro de um domínio de falha.
- VCN (rede virtual na nuvem) e sub-redes
Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem total controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.
- Balanceador de carga
O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição automatizada de tráfego de um único ponto de entrada para vários servidores no back-end. O balanceador de carga fornece acesso a diferentes aplicativos.
- Gateway de serviço
O gateway de serviço fornece acesso de uma VCN a outros serviços, como o Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e nunca atravessa a internet.
- Cloud Guard
Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos em busca de pontos fracos de segurança e monitorar operadores e usuários em busca de atividades arriscadas; por exemplo, o Cloud Guard pode notificá-lo quando você tem um banco de dados em sua tenancy que não está registrado no Data Safe. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e ajuda a executar essas ações, com base nas receitas do respondedor que você pode configurar.
- FastConnect
O Oracle Cloud Infrastructure FastConnect fornece uma maneira fácil de criar uma conexão privada dedicada entre o seu data center e o Oracle Cloud Infrastructure. O FastConnect fornece opções de largura de banda mais alta e uma experiência de rede mais confiável quando comparado com conexões baseadas na internet; por exemplo, o Cloud Guard poderá notificá-lo se você tiver um banco de dados em sua tenancy que não esteja registrado no Data Safe.
- Autonomous Transaction Processing O Autonomous Transaction Processing oferece um serviço de banco de dados autônomo, autoprotegido e autorreparável que pode ser dimensionado instantaneamente para atender às demandas de uma variedade de aplicações: processamento de transações de missão crítica, transações e análises mistas, IoT, documentos JSON e assim por diante. Ao criar um Autonomous Database, você pode implantá-lo em um dos três tipos de infraestrutura do Exadata:
- Compartilhada; uma opção simples e elástica. A Oracle opera de forma autônoma todos os aspectos do ciclo de vida do banco de dados, desde o posicionamento do banco de dados até o backup e as atualizações.
- Dedicated on Public Cloud; uma opção de nuvem privada na nuvem pública. Um serviço totalmente dedicado de computação, armazenamento, rede e banco de dados para somente um tenant, oferecendo os mais altos níveis de isolamento e governança de segurança.
- Dedicado no Cloud@Customer; Autonomous Database em infraestrutura dedicada em execução no sistema Exadata Database Machine em seu data center, juntamente com a configuração de rede que o conecta ao Oracle Cloud.
- Sistema de Banco de Dados Exadata
O Exadata Cloud Service permite que você aproveite a eficiência do Exadata na nuvem. Você pode provisionar sistemas X8M flexíveis que permitem adicionar servidores de computação de banco de dados e servidores de armazenamento ao sistema à medida que suas necessidades aumentam. Os sistemas X8M oferecem redes RoCE (RDMA sobre Ethernet Convergente) para módulos com alta largura e baixa latência, memória persistente (PMEM) e software Exadata inteligente. Você pode provisionar sistemas X8M ou X9M usando uma forma equivalente a um sistema X8 com um quarto de rack e, em seguida, adicionar servidores de banco de dados e armazenamento a qualquer momento após o provisionamento.
Recomendações
- Segurança
Use o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure proativamente. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos em busca de pontos fracos de segurança e monitorar operadores e usuários em busca de atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e ajuda a executar essas ações, com base nas receitas do respondedor que você pode definir.
Para recursos que exigem segurança máxima, a Oracle recomenda o uso de zonas de segurança. Uma zona de segurança é um compartimento associado a uma receita de políticas de segurança definidas pela Oracle que se baseiam nas melhores práticas. Por exemplo, os recursos de uma zona de segurança não devem ser acessíveis pela internet pública e devem ser criptografados usando chaves gerenciadas pelo cliente. Quando você cria e atualiza recursos em uma zona da segurança, o Oracle Cloud Infrastructure valida as operações na receita da zona da segurança usada e nega as operações que violam qualquer uma das políticas.
- Cloud Guard
Clone e personalize as receitas padrão fornecidas pela Oracle para criar receitas personalizadas de detector e respondedor. Essas receitas permitem especificar quais tipos de violações de segurança geram uma advertência e quais ações podem ser executadas nelas. Por exemplo, talvez você queira detectar buckets do serviço Object Storage que tenham visibilidade definida como pública.
Aplique o Cloud Guard no nível da tenancy para cobrir o escopo mais amplo e reduzir a carga administrativa de manutenção de várias configurações.
Você também pode usar o recurso Lista gerenciada para aplicar determinadas configurações aos detectores.
- Grupos de segurança de rede (NSGs)
Você pode usar NSGs para definir um conjunto de regras de entrada e saída que se aplicam a VNICs específicas. Recomendamos o uso de NSGs em vez de listas de segurança, pois os NSGs permitem separar a arquitetura de sub-rede da VCN dos requisitos de segurança do seu aplicativo.
- Largura de banda do balanceador de carga
Ao criar o balanceador de carga, você pode selecionar uma forma predefinida que forneça uma largura de banda fixa ou especificar uma forma personalizada (flexível) na qual defina uma faixa de largura de banda e permita que o serviço dimensione a largura de banda automaticamente com base nos padrões de tráfego. Com qualquer uma das abordagens, você pode alterar a forma a qualquer momento após a criação do balanceador de carga.
Explorar Mais
Saiba mais sobre como conectar o Oracle Data Safe a bancos de dados Oracle executados em ambientes de nuvem híbrida e multicloud.
Revise estes recursos adicionais:
- Estrutura bem arquitetada para o Oracle Cloud Infrastructure
- O que é multicloud?
- Registrar um Oracle Database em uma Instância do Serviço Compute
- Implantar uma zona de destino segura que atenda ao CIS Foundations Benchmark para Oracle Cloud
- Implementar o Oracle Data Safe para seus banco de dados on-premises e OCI implantados
- O Modelo de Serviço Multinuvem
- OCI-landing-zones / terraform-OCI-core-landingzone (Zona de destino principal do OCI) em GitHub.
- oci-landing-zones / oci-landing-zone-operating-entities (Operating Entities Landing Zone) no GitHub