Proteger seus Bancos de Dados

Certifique-se de que os servidores de banco de dados, o acesso à rede e os dados reais estejam seguros.

Controlar o Acesso ao Usuário e à Rede

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

Use senhas, sub-redes privadas e grupos de segurança de rede para controlar o acesso de usuário e rede.

• Certifique-se de que as senhas usadas para autenticação no banco de dados sejam fortes.
• Anexe os sistemas de banco de dados a sub-redes privadas.

  Uma sub-rede privada não tem conectividade com a internet. Você pode usar um gateway NAT para tráfego de saída seguro e um gateway de serviço para estabelecer conexão com pontos finais de backup (armazenamento de objetos).

• Use grupos de segurança de rede ou listas de segurança para permitir apenas o acesso de rede necessário aos seus sistemas de BD.

Restringir Permissões para Exclusão de Recursos do Banco de Dados

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

Para evitar a exclusão inadvertida ou maliciosa de bancos de dados, conceda as permissões de exclusão (DATABASE_DELETE e DB_SYSTEM_DELETE) a um conjunto mínimo de usuários e grupos.

As instruções de política do IAM a seguir permitem que os usuários do BD gerenciem bancos de dados, sistemas de banco de dados e homes de banco de dados. Mas a condição where request.permission!='DB_SYSTEM_DELETE' garante que os usuários do BD não possam excluir bancos de dados.

Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'

Criptografar Dados

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

Todos os bancos de dados criados no Oracle Cloud Infrastructure são criptografados com TDE. Certifique-se de que todos os bancos de dados migrados também sejam criptografados.

Rotacione periodicamente a chave principal TDE. O período de rotação recomendado é 90 dias ou menos.

Proteger e Gerenciar Chaves

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

Use a Criptografia Transparente de Dados (TDE) para proteger e gerenciar chaves.

TDE é um recurso do Oracle Database usado para criptografar dados confidenciais. Para configurações mais complexas e para organizações maiores, é necessário um gerenciamento de chaves centralizado, pois o gerenciamento de chaves de criptografia em diferentes bancos de dados, aplicativos e servidores pode ser uma tarefa complexa. Um gerenciamento de chaves centralizado simplifica isso fornecendo uma plataforma unificada na qual todas as chaves criptográficas, Oracle Wallets, Java Keystores e outros segredos podem ser armazenados e gerenciados com segurança. Essa centralização reduz a sobrecarga administrativa, melhora a postura de segurança e garante práticas consistentes de gerenciamento de chaves em toda a empresa.

Aplicar Patches de Segurança

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

Aplicar patches de segurança do Oracle Database (Atualizações Críticas de Patches da Oracle) para mitigar problemas de segurança conhecidos e manter os patches atualizados.

Usar ferramentas de segurança do BD

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

A Ferramenta de Avaliação de Segurança do Oracle Database fornece verificações de configuração de segurança automatizadas de bancos de dados Oracle no Oracle Cloud Infrastructure. O Oracle AVDF (Audit Vault and Database Firewall) monitora os logs de auditoria de banco de dados e cria alertas.

Ativar Data Safe

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

O Data Safe é um centro de controle unificado para bancos de dados Oracle na nuvem e on-premises. Use o Data Safe para avaliar a configuração de segurança de banco de dados e dados, detectar riscos associados para contas de usuário, identificar dados confidenciais existentes, implementar controles para proteger dados e auditar a atividade do usuário.

• Estenda a política de retenção de auditoria do Data Safe para um ano.
• Mascare os dados identificados como confidenciais pela Descoberta de Dados.
• Use a Avaliação de Segurança para identificar os controles de segurança recomendados pelo Center for Internet Security (CIS), pelo Regulamento Geral de Proteção de Dados (GDPR) e pela biblioteca de Guias de Implementação Técnica de Segurança (STIG) do Departamento de Defesa.
• Configurar alertas para eventos-chave na Auditoria de Atividades do Data Safe.

Ativar Pontos Finais Privados para Autonomous Databases

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

Quando possível, use pontos finais privados com o Oracle Autonomous Database.

Um ponto final privado é usado para eliminar o acesso público a bancos de dados autônomos compartilhados. Todo o tráfego do banco de dados permanece privado usando uma VCN no Oracle Cloud Infrastructure sem a necessidade de roteamento de trânsito ou uso de um gateway de serviço.

• Use uma sub-rede privada dedicada ao definir Pontos Finais Privados.
• Para o Grupo de Segurança de Rede de Ponto Final Privado, defina uma Regra de Entrada sem monitoramento de estado com TCP de Protocolo e Porta de Destino iguais à Porta de Listener do Banco de Dados. Restrinja o label CIDR de origem apenas a sub-redes ou, para Gateways de Roteamento Dinâmico (DRGs) locais, com acesso permitido.
• Para o Grupo de Segurança de Rede de Ponto Final Privado, defina uma Regra de Saída sem monitoramento de estado com o Protocolo TCP. Restrinja o CIDR de destino apenas a sub-redes ou, para DRGs locais, com acesso permitido.

Implementar a Arquitetura de Segurança Máxima do Oracle Database

A Arquitetura de Segurança Máxima da Oracle fornece uma estrutura robusta para proteger dados confidenciais em bancos de dados. Ele oferece uma abordagem abrangente da segurança do banco de dados, com foco em três áreas críticas: avaliar, detectar e prevenir. Ao avaliar o estado atual do banco de dados, as organizações podem identificar vulnerabilidades e fraquezas que podem ser exploradas por invasores. Isso envolve a avaliação da configuração do banco de dados, dos controles de acesso do usuário e das medidas de proteção de dados.

Detectar tentativas de acesso inadequadas ou não autorizadas é a próxima camada crucial de defesa. Os recursos avançados de auditoria da Oracle permitem que as organizações monitorem atividades de banco de dados, identifiquem comportamentos suspeitos e respondam prontamente a possíveis ameaças. Ao configurar alertas e monitorar os principais eventos do banco de dados, os administradores podem detectar e mitigar ataques antes que causem danos significativos. A prevenção do acesso não autorizado aos dados é a fortaleza final na arquitetura de segurança da Oracle. Isso inclui a implementação de mecanismos de autenticação forte, listas de controle de acesso e técnicas de criptografia. Ao segregar tarefas, usar princípios de privilégio mínimo e empregar bancos de dados virtuais privados, as organizações podem garantir que apenas usuários autorizados possam acessar dados confidenciais, evitando assim modificações ou divulgações não autorizadas.

Saiba mais

• Melhores Práticas de Segurança
• Oracle Data Safe
• Autonomous Database com Ponto Final Privado
• Segurança de Bancos de Dados
• Diretrizes para proteger senhas
• Key Management
• Vault de Chaves
• Aplicando Patches a um Sistema de BD
• Atualizações de Patch Crítico
• Oracle Database Security Assessment Tool
• Uma Introdução à Arquitetura de Segurança Máxima da Oracle
• Implantando o Oracle Audit Vault and Database Firewall no Oracle Cloud Infrastructure