Escolha e Implemente Sua Implantação

Use os métodos apresentados nesta seção para proteger o Oracle Autonomous Database Serverless@Azure:

  1. Usar Criptografia Transparente de Dados e o Azure Key Vault
  2. Configuração e Ativação do Oracle Database Vault
  3. Registrar o Banco de Dados no Oracle Data Safe
  4. Centralize a Autenticação e a Autorização do Usuário Integrando com o Entra ID
  5. Unifique o Pipeline de Auditoria e Banco de Dados para Exportar Dados para o Armazenamento Blob do Azure
  6. Usar o Oracle SQL Firewall para o Oracle Database 23ai

Opção 1: Usar Criptografia Transparente de Dados e o Azure Key Vault

O Oracle Transparent Data Encryption (TDE) é configurado e ativado por padrão em todos os bancos de dados do Oracle Autonomous Database Serverless.

As etapas a seguir mostrarão como validar a configuração de TDE padrão. Em seguida, ele percorrerá as etapas para implementar a criptografia gerenciada pelo cliente com o Azure Key Vault para o Oracle Autonomous Database Serverless.


Veja a seguir a descrição da ilustração adbs-key-vault-arch.png
Descrição da ilustração adbs-key-vault-arch.png

adbs-key-vault-arch-oracle.zip

Para implementar o plano apresentado aqui, você deve primeiro atender aos seguintes pré-requisitos:

  • Implante a instância do Oracle Autonomous Database Serverless usando a Console do Microsoft Azure
  • Criar o Azure Key Vault (Padrão ou Premium)
  • Criar uma chave RSA de 2048 bits no Azure Key Vault
  • Criar um controlador de serviços para o Autonomous Database

Para usar o TDE e o cofre de chaves do Azure, execute as seguintes etapas:

  1. Designe as políticas de acesso do vault do controlador de serviços ao controlador de serviços do azure para a instância do Oracle Autonomous Database Serverless:
    1. Vá para a instância do Azure Key Vault.
    2. Clique em Definições e, em seguida, clique em Acessar Configuração.
    3. Clique em Política de Acesso ao Vault.
    4. Clique em Ir para acessar políticas.
  2. Criar a Política de Acesso ao Vault:
    1. Selecione as Permissões:
      • Get
      • List
      • Criptografar
      • Sign
      • Verificar
    2. Clique em Próximo.
  3. Selecione o controlador de serviços que foi criado para a instância do Oracle Autonomous Database Serverless
    1. Continue a clicar em Próximo até você começar a Revisar e Criar.
    2. Clique em Criar.
  4. Colete as informações a seguir a serem usadas na Oracle Cloud Infrastructure (OCI) para configurar o Oracle Autonomous Database Serverless para gerenciamento de chaves.
    • URI do Vault
    • Nome da Chave
  5. Na instância do Azure Key Vault, copie o nome da chave.
  6. Na OCI, vá para a sua instância do Oracle Autonomous Database Serverless.
    1. Clique em Ações.
    2. Clique em Gerenciar Chave de Criptografia.
    3. Clique em Criptografar usando uma chave gerenciada pelo cliente.
    4. No menu Tipo de Chave, selecione Azure.
    5. Preencha os seguintes campos com as informações do Azure:
      • URI do Vault (não incluir a barra final)
      • Nome de chave
    6. Clique em Salvar.
      O Autonomous Database levará um momento para ser atualizado quando mostrará novamente Disponível e você poderá ver a chave recém-designada nos Detalhes do Autonomous Database.

      O histórico de chaves também deve mostrar que a chave gerenciada pelo Cliente (Microsoft Azure) agora é a chave de criptografia mestra que está sendo usada para TDE.

  7. Acesse o banco de dados como administrador e valide a TDE.

    Abra o cliente do banco de dados e conecte-se ao banco de dados recém-provisionado. Depois de se conectar, use CloudShell ou similar para executar esta consulta SQL para validar se seu banco de dados tem uma Chave Principal de TDE e se seus tablespaces são criptografados usando AES256.

    SQL> set page 900
SQL> set linesize 900
column activation_time format a40
column tag format a150
column pdb_name format a40
column tablespace_name format a30
column algorithm format a10SP2-0158: unknown SET option "page"
SQL> SQL> SQL> SQL> SQL> SQL>
SQL> select KEY_ID,ACTIVATION_TIME,KEY_USE from V$ENCRYPTION_KEYS;

KEY_ID
------------------------------------------------------------
ACTIVATION_TIME                          KEY_USE
---------------------------------------- -----------------
ATAQECQ0Q8NaSEBa0dDOQ8EPMAAAAAAAAAAAAAAAAAA== 06-MAY-25 01.41.04.516182 PM +00:00  TDE IN PDB
AVAK/QOQ6Bac3xAJEBAQDAUAAAAAAAAAAAAAAAAAAA== 06-MAY-25 01.58.34.616781 PM +00:00  TDE IN PDB

SQL> select a.name pdb_name, b.name tablespace_name, c.ENCRYPTIONALG algorithm
  2    from v$pdbs a, v$tablespace b, v$encrypted_tablespaces c
  3   where a.con_id = b.con_id
  4     and b.con_id = c.con_id
  5     and b.ts# = c.ts#;
     2    3    4    5

PDB_NAME                                 TABLESPACE_NAME                ALGORITHM
---------------------------------------- ------------------------------ ----------
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      SYSTEM                         AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      SYSAUX                         AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      UNDOTBS1                       AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      USERS                          AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      DBFS_DATA                      AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      TEMP                           AES256

6 rows selected.

SQL>

Opção 2: Configurar e Ativar oOracle Database Vault

Configure e ative o Oracle Database Vault na sua instância do Oracle Autonomous Database Serverless para proteger os dados contra acesso não autorizado à conta privilegiada.

Você precisa criar algumas contas de banco de dados adicionais para facilitar a separação de funções do Oracle Database Vault. Após a ativação do Oracle Database Vault, crie um realm do Oracle Database Vault para separar os dados confidenciais de contas altamente privilegiadas dentro do banco de dados.

Para configurar e ativar o Oracle Database Vault:

  1. Crie contas necessárias para a configuração do Oracle Database Vault.

    A Oracle recomenda criar várias contas para garantir que você nunca seja bloqueado de seus dados. Perder a senha dessas contas pode tornar seus dados inacessíveis.

    Acesse o banco de dados do Oracle Autonomous Database Serverless e crie quatro contas de banco de dados: duas contas receberão a atribuição de Proprietário do Database Vault e duas contas receberão a atribuição de Gerente de Contas do Database Vault.

    Use o código de exemplo a seguir para criar as contas em que <user_name> é o nome usado para identificar a conta associada. 

    Connected to:
Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
Version 23.8.0.25.05

SQL> create user DBOWNER identified by "<user_name>";
User created.

SQL> create user DBVACCTMGR identified by "<user_name>";
User created.

SQL> create user DBOWNER_BACKUP identified by "<user_name>";
User created.

SQL> create user DBVACCTMGR_BACKUP identified by "<user_name>";
User created.

SQL> grant connect, resource to DBOWNER;
Grant succeeded.

SQL> grant connect, resource to DBOWNER_BACKUP;
Grant succeeded.

SQL> grant connect, resource to DBVACCTMGR;
Grant succeeded.

SQL> grant connect, resource to DBVACCTMGR_BACKUP;
Grant succeeded.

SQL> show con_name;

CON_NAME
------------------------------
G283BFEA6ED35C8_MULTICLOUDWEBI
NAR01

SQL> select * from dba_dv_status;

NAME                STATUS
------------------  ----------------
DV_APP_PROTECTION   NOT CONFIGURED
DV_CONFIGURE_STATUS FALSE
DV_ENABLE_STATUS    FALSE
SQL>
  2. Configure e ative o Oracle Database Vault.
    1. Faça log-in no banco de dados como admin e execute o pacote a seguir para configurar o Oracle Database Vault.
      SQL>
SQL> EXEC DBMS_CLOUD_MCADM.CONFIGURE_DATABASE_VAULT('DBVOWNER', 'DBVACCTMGR');
 
PL/SQL procedure successfully completed.
      Depois de configurar o Oracle Database Vault, ative-o. Após a ativação do Oracle Database Vault, as contas com a atribuição Proprietário do Database Vault podem gerenciar a configuração do vault e as contas com a atribuição Gerente de Contas do Database Vault podem criar e gerenciar contas no banco de dados. Agora você pode aproveitar a separação de funções no banco de dados.
    2. Reinicie o banco de dados.
      Na página da instância de banco de dados no OCI, clique em Mais Ações e selecione Reiniciar.
    3. Valide se o Oracle Database Vault está configurado e ativado usando o código de exemplo a seguir.
      Connected to:
Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
Version 23.0.0.25.0

SQL> SELECT * FROM DBA_DV_STATUS;

NAME                     STATUS
------------------------ ----------------
DV_APP_PROTECTION        NOT CONFIGURED
DV_CONFIGURE_STATUS      TRUE
DV_ENABLE_STATUS         TRUE

SQL>
    4. Conceder atribuições do Oracle Database Vault a contas de backup:
      
SQL> grant DV_OWNER to DBOWNER_BACKUP;

Grant succeeded.

SQL> grant DV_ACCTMGR to DBVACCTMGR_BACKUP;

Grant succeeded.

SQL>
  3. Crie um realm para separar dados confidenciais de contas privilegiadas.
    1. Antes de criar o realm, faça log-in como admin e valide se a conta privilegiada tem acesso aos dados confidenciais; nesse caso, os dados de recursos humanos (HR):
      SQL> show user;
USER is "ADMIN"
SQL> select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8;

EMPLOYEE_ID FIRST_NAME      LAST_NAME                 SALARY
----------- --------------- ------------------------- ----------
        100 Steven          King                         24000
        101 Neena           Yang                         17000
        102 Lex             Garcia                       17000
        103 Alexander       James                         9000
        104 Bruce           Miller                        6000
        105 David           Williams                      4800
        106 Valli           Jackson                       4800

7 rows selected.

SQL>
    2. Acesse o Oracle Autonomous Database Serverless como usuário com a atribuição de Proprietário do Database Vault. Execute este bloco PL/SQL para criar um realm chamado Protect HR Data:
      SQL> begin
  2  DVSYS.DBMS_MACADM.CREATE_REALM(
  3     realm_name => 'Protect HR Data'
  4    , description => 'This Realm will protect HR data from unauthorized privileged user access'
  5    , enabled => 'Y'
  6    , realm_type => DBMS_MACADM.MANDATORY_REALM );
  7  end;
  8  /
PL/SQL procedure successfully completed.

SQL>
    3. Adicione os objetos de banco de dados que devem ser protegidos pelo realm. Execute este bloco PL/SQL para adicionar todas as tabelas no esquema HR ao realm Proteger Dados do HR:
      SQL> begin
  DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
    realm_name => 'Protect HR Data',
    object_owner => 'HR',
    object_name => '%',
    object_type => 'TABLE');
end;
/ 
2    3    4    5    6    7    8

PL/SQL procedure successfully completed.

SQL>
    4. Execute este bloco PL/SQL para adicionar a conta de esquema de RH, bem como um Gerente de RH hr_debra como Participantes Autorizados do Realm. Isso garantirá que somente a conta de serviço do aplicativo, bem como o Gerente de RH, possam acessar dados no esquema de RH. Nenhuma conta DBA ou qualquer outra conta altamente privilegiada no banco de dados poderá acessar os dados protegidos pelo Realm do Database Vault.
      SQL> begin
  DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
    realm_name => 'Protect HR Data',
    object_owner => 'HR',
    object_name => '%',
    object_type => 'TABLE');
end;
/  2    3    4    5    6    7    8

PL/SQL procedure successfully completed.

SQL>
    5. Validar ADMIN não pode mais acessar dados de RH:
      SQL> 
SQL> show user;
USER is "ADMIN"
SQL> select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8;
select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8
                                                                                 *
ERROR at line 1:
ORA-01031: insufficient privileges


SQL>

Opção 3: Registrar o Banco de Dados no Oracle Data Safe

Oracle Data Safe é um centro unificado de controle para seus bancos de dados da Oracle que ajuda você a entender o sigilo de seus dados, avaliar riscos para seus dados, mascarar dados confidenciais, implementar e monitorar controle de segurança, avaliar segurança dos usuários, monitorar atividades dos usuários e tratar dos requisitos de conformidade com a segurança dos dados,

Nesta opção, você registra a instância de destino no Oracle Data Safe. Após o registro bem-sucedido, revise os resultados da Avaliação de Segurança e da Avaliação do Usuário e configure as linhas de base para cada uma delas.

Para registrar o banco de dados no Oracle Data Safe, execute as seguintes etapas:

  1. Registre o banco de dados de destino no Oracle Data Safe:
    1. Na console do OCI, clique em Oracle Database e, em seguida, em Visão Geral no Data Safe. Clique em Bancos de dados de destino no painel de navegação esquerdo e clique em Registrar banco de dados.
    2. Selecione Oracle Autonomous Database Serverless, digite as informações necessárias e clique em Registrar.
    3. Após o registro bem-sucedido do destino, o Oracle Data Safe inicia uma varredura de Avaliação de Segurança e uma varredura de Avaliação do Usuário.
  2. Revise a Avaliação de Segurança:
    1. Na página Visão Geral do Serviço Data Safe, clique em Avaliação de Segurança no painel de navegação esquerdo. Selecione a guia resumo de destino e clique no resumo de destino do seu banco de dados.
    2. Role para baixo e revise cada uma das descobertas. Se necessário, execute uma ação corretiva e inicie outra verificação. Se você estiver satisfeito com os resultados da verificação atual e aceitar as descobertas, clique em Definir como Linha de Base. Todas as verificações futuras são comparadas com a linha de base e você receberá uma notificação se a configuração do banco de dados se desviar da linha de base definida.
  3. Revisar a Avaliação do Usuário:
    1. Na página Visão Geral do Serviço Data Safe, clique em Avaliação de Segurança no painel de navegação esquerdo. Selecione a guia resumo de destino e clique no resumo de destino do seu banco de dados.
    2. Role para baixo e revise cada uma das descobertas. Se necessário, execute uma ação corretiva e inicie outra verificação. Se você estiver satisfeito com os resultados da verificação atual e aceitar as descobertas, clique em Definir como Linha de Base. Todas as verificações futuras serão comparadas com a linha de base e você receberá uma notificação se a configuração do banco de dados se desviar da linha de base definida.

Opção 4: Centralizar a Autenticação e a Autorização do Usuário Integrando com o Entra ID

O gerenciamento de usuários e credenciais para usuários do Oracle Database pode se tornar rapidamente um fardo administrativo desafiador à medida que o número de instâncias de bancos de dados se multiplica.

A Oracle vem criando soluções inovadoras para mitigar esse problema há décadas. O Oracle Autonomous Database honra os tokens OAuth2 emitidos pelo Entra ID (anteriormente Active Directory), a plataforma de identidade na nuvem da Microsoft. Esse recurso permite gerenciar usuários e atribuições em uma solução de identidade de nuvem central, enquanto o Oracle Autonomous Database usa essas credenciais para controles de acesso baseados em política.

O fluxo de autenticação é mostrado no diagrama abaixo e descrito nas etapas a seguir:


Veja a seguir a descrição do azure-authentication.png
Descrição da ilustração azure-authentication.png

azure-authentication-oracle.zip

  1. O usuário do Azure solicita acesso à instância do Oracle Autonomous Database Serverless.
  2. O cliente ou aplicativo do banco de dados solicita um código de autorização do ID do Entra.
  3. Entra ID autentica o usuário e retorna o código de autorização.
  4. A ferramenta auxiliar ou o aplicativo usa o código de autorização com o Entra ID para trocá-lo pelo token OAuth2.
  5. O cliente do banco de dados envia o token de acesso OAuth2 para o banco de dados Oracle. O token inclui as atribuições do aplicativo de banco de dados às quais o usuário foi designado no registro do aplicativo Entra ID para o banco de dados.
  6. A instância do Oracle Autonomous Database Serverless usa a chave pública Entra ID para verificar se o token de acesso foi criado pelo Entra ID.

Para implementar o plano apresentado aqui, você deve primeiro atender aos seguintes pré-requisitos:

  • Configure o Oracle Autonomous Database Serverless como uma aplicação empresarial do Microsoft Azure Entra ID (os tutoriais são referenciados na seção Explorar Mais).
  • Configure o SQL Developer Client para autenticação perfeita do Azure Entra ID.

Para integrar a autenticação com o Microsoft Entra ID, execute as seguintes etapas:

  1. Configure o Oracle Autonomous Database Serverless para usar o aplicativo empresarial no ID do Entra do Azure para autenticação.

    O procedimento a seguir instrui o Oracle Autonomous Database Serverless a usar a tenancy do Entra ID como um provedor de identidades e vincula especificamente os tokens OAuth2 emitidos pelo aplicativo empresarial para autorização ao banco de dados.

    1. Acesse a instância do Oracle Database Actions (SQL Developer Web).
    2. No painel esquerdo, selecione a Conexão apropriada.
    3. Clique em Views no menu acima da barra de pesquisa.
    4. Na barra de pesquisa, informe o nome da view, como MULTICLOUD_DEMO_AZURE_CONFIGS, para localizar rapidamente sua view e, em seguida, clique no nome da view.
    5. Informe o seguinte código SQL com o ID do tenant associado e o URI do aplicativo:
      BEGIN
    DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type   => 'AZURE_AD',
        params => JSON_OBJECT('tenant_id' VALUE '<tenant_id>',
                              'application_id' VALUE 'f2c359b4-c3f9-4415-a333-332340376e59',
                              'application_id_uri' VALUE '<application_id_uri>'),
        force => TRUE
    );
END;
  2. Criar uma associação de usuário:
    1. Crie um esquema de usuário no Oracle Autonomous Database Serverless e associe esse usuário ao ID do principal de usuário no Entra ID. A definição de um usuário global indica que o assunto do token Entra ID é usado para afirmar a identidade do usuário do banco de dados.
      Para esse caso de uso, é usado um mapeamento um a um de Entra ID Subject to Database. Para implantações maiores, um administrador pode optar por configurar mapeamentos de usuário de esquema compartilhado com base nas associações de atribuição e grupo no Entra ID.
    2. Conceda recursos de conexão ao usuário do banco de dados na instância do Oracle Database Actions (SQL Developer Web):
      CREATE USER <azure_user_name> IDENTIFIED GLOBALLY AS 'AZURE_USER=<azure_user_name>';

grant connect to <azure_user_name>;
  3. Acesse o banco de dados usando o Oracle SQL Developer e o ID do Entra.
    Abra o Oracle SQL Developer e configure uma conexão com a instância do Oracle Autonomous Database Serverless usando as bibliotecas JDBC mais recentes que permitem log-in interativo com o ID do Azure Entra.
    1. No painel Conexões do Oracle SQL Developer, clique em Nova Conexão.
    2. Especifique um nome de conexão.
    3. Selecione SO como o Tipo de Autenticação.
    4. Selecione JDBC Personalizado como o Tipo de Conexão.
    5. Informe seu URL JDBC:
      jdbc:oracle:thin:@config=<jdbc_url>
    6. Verifique a conexão clicando em Testar, que abrirá um browser para log-in interativo no ID do Entra.
    7. Faça a autenticação usando o usuário que você mapeou como o Usuário Global do Banco de Dados.
      Após o log-in bem-sucedido, uma conexão SQL aberta será estabelecida.
    8. Execute show user para retornar o usuário do esquema.
      show user;
select sys_context('USERENV', 'AUTHENTICATED_IDENTITY') from dual;
    9. Verifique o contexto da sessão para mostrar que o principal autenticado mantém o principal do Entra ID.
      É usado pela trilha de auditoria unificada para associar o usuário Entra ID às transações conduzidas pelo principal autenticado.
    10. Clique em Salvar na janela de conexão do banco de dados.

Opção 5: Unificar Auditoria e Pipeline de Banco de Dados para Exportar Dados para o Armazenamento Blob do Azure

Ter fortes controles de segurança preventivos é apenas metade da batalha; as empresas também devem auditar e monitorar seus sistemas, mesmo quando não estão sob ataque.

A criação de uma trilha de auditoria da transação do banco de dados é uma maneira avançada de garantir que você tenha rastreabilidade. O Oracle Autonomous Database inclui pipelines prontos para configuração e implementação e que podem enviar esses logs de auditoria para sua escolha de armazenamento multicloud. Esta seção mostra como você pode usar facilmente o controlador de serviço Entra ID existente (criado na seção anterior) para enviar sua trilha de auditoria para o Armazenamento de Blob do Azure em um intervalo de tempo contínuo.


Veja a seguir a descrição da adbs-pipeline-export-arch.png
Descrição da ilustração adbs-pipeline-export-arch.png

adbs-pipeline-export-arch-oracle.zip

Para implementar o plano apresentado aqui, você deve primeiro atender aos seguintes pré-requisitos:

  • Ative uma trilha de auditoria unificada com o Oracle Data Safe.
  • Crie um controlador de serviços para o Oracle Autonomous Database Serverless.
  • Crie uma conta de armazenamento do Azure.
  • Crie um contêiner privado na conta de armazenamento do Azure para os logs de auditoria do Oracle Autonomous Database Serverless.

Para usar e armazenar logs de auditoria, execute as seguintes etapas:

  1. Designe a atribuição de Colaborador de Dados do Blob de Armazenamento ao controlador de serviços do Oracle Autonomous Database Serverless:
    1. No portal do Azure, selecione a conta de armazenamento criada anteriormente.
    2. Clique em Controle de Acesso (IAM).
    3. Clique em Adicionar e, em seguida, clique em Adicionar atribuição de atribuição.
    4. Use a barra de Pesquisa para procurar Colaborador de Dados de Blob de Armazenamento.
    5. Clique na atribuição Colaborador de Dados do Blob de Armazenamento.
    6. Clique em Próximo.
  2. Adicione o controlador de serviço do Oracle Autonomous Database Serverless à designação de atribuição.
    1. Na seção Membros, procure o controlador de serviços do Oracle Autonomous Database Serverless.
    2. Atribua a associação.
    3. Clique em Revisar + Atribuir.
  3. Configure os atributos do pipeline no local do Contêiner de Armazenamento do Azure.

    Abra uma Planilha SQL e execute os seguintes procedimentos SQL em que <storage_location_url> é o URL do local de armazenamento do Azure: 

    BEGIN
DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'credential_name',
  attribute_value => 'AZURE$PA' );

DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'location',
  attribute_value => '<storage_location_url>' );

DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'interval',
  attribute_value => '15' );

END;
/
  4. Para testar o pipeline de exportação e defini-lo para execução, execute as seguintes instruções:
    /* THIS RUNS THE PIPELINE ONCE*/
/
BEGIN DBMS_CLOUD_PIPELINE.RUN_PIPELINE_ONCE( pipeline_name => 'ORA$AUDIT_EXPORT' );
END;
/

/* IF SUCCESSFUL - THIS WILL RESET THE PIPELINE*/
/
BEGIN DBMS_CLOUD_PIPELINE.RESET_PIPELINE( pipeline_name => 'ORA$AUDIT_EXPORT', purge_data => TRUE);
END;
/

/* THIS WILL MAKE IT ACTIVE AND RUNNING ON THE SET INTERVAL */
/
BEGIN DBMS_CLOUD_PIPELINE.START_PIPELINE( pipeline_name => 'ORA$AUDIT_EXPORT' );
END;
/
    Se o pipeline estiver configurado corretamente, você verá um arquivo no contêiner de armazenamento do Blob do Azure que foi configurado nos atributos do pipeline. Com o tempo, ele criará arquivos incrementais no contêiner de armazenamento que contêm apenas os registros de trilha de auditoria unificada mais recentes.

Opção 6: Usar o Oracle SQL Firewall para o Oracle Autonomous Database Serverless 23ai

Além das listas de segurança de rede virtual e dos grupos de segurança de rede, o Oracle Autonomous Database Serverless 23ai é fornecido com o Oracle SQL Firewall.

O Oracle SQL Firewall é um recurso de defesa avançada que é executado no runtime do banco de dados e que impõe controle de acesso baseado em política e contexto aos seus dados.

Para o Oracle Database@Azure, as políticas do Firewall de SQL podem fornecer proteção de última milha contra acesso não autorizado, independentemente do ponto de entrada.


Veja a seguir a descrição da ilustração adbs-sqlfirewall-flow.png
Descrição da ilustração adbs-sqlfirewall-flow.png

adbs-sqlfirewall-flow-oracle.zip


Veja a seguir a descrição da ilustração adbs-sqlfirewall-arch.png
Descrição da ilustração adbs-sqlfirewall-arch.png

adbs-sqlfirewall-arch-oracle.zip

Para implementar o plano apresentado aqui, você deve primeiro atender aos seguintes pré-requisitos:

  • Registre o Oracle Data Safe com a instância do Oracle Autonomous Database Serverless 23ai.
  • Ative o Firewall de SQL no Oracle Data Safe (um link para instruções é fornecido na seção Explorar Mais).

Para usar o Oracle SQL Firewall para o Oracle Autonomous Database Serverless 23ai, execute as seguintes etapas:

  1. Comece a coletar tráfego SQL para o usuário que você criou para autenticação de ID do Entra:
    1. No Painel de Controle do Firewall de SQL, clique em Coletas de SQL.
    2. Especifique o usuário que você pretende criar a política do Firewall de SQL.
    3. Clique em Criar e Iniciar Coleta de SQL.
  2. Depois de gerar algum tráfego SQL com o usuário selecionado, configure a política com base nas instruções SQL capturadas:
    1. Na página de detalhes da coleta de SQL, clique em Interromper.
    2. Clique em Gerar Política de Firewall.
    3. Verifique e, opcionalmente, atualize os valores de contexto da sessão SQL permitidos, conforme desejado.
      Por exemplo, para uma instrução permitida, selecione uma linha, clique em Atualizar e, em seguida, clique no X no final da linha para remover a instrução permitida. Para testar puposes, você pode fazer isso para todas as declarações permitidas.
    4. Clique em Implantar e impor para ativar a política.
  3. Teste a política de firewall de SQL ativada.
    Usando o SQL Developer (ou qualquer Cliente SQL), acesse o banco de dados e autentique-se como o usuário do Entra ID criado para a aplicação da política do SQL Firewall (com todas as instruções SQL permitidas removidas). Após a autenticação, a mensagem de erro indica que o banco de dados passou com sucesso pelas listas de segurança e grupos de segurança de rede; no entanto, a solicitação é negada no nível de conexão SQL.
  4. Para exibir relatórios de violação, clique em Relatórios de violação no painel de navegação esquerdo do painel de controle do Firewall de SQL.