Guía de seguridad para Oracle Database@Azure
Este artículo profundiza en varias consideraciones y recomendaciones que se definen en el área de diseño de seguridad de Azure. Proporciona consideraciones clave de diseño y recomendaciones para las medidas de seguridad de Oracle Database@Azure.
Información general
La mayoría de las bases de datos contienen datos confidenciales que requieren una arquitectura segura más allá de las protecciones a nivel de la base de datos. La estrategia de defensa en profundidad ofrece una seguridad completa mediante la aplicación de varios mecanismos de defensa en capas. Este enfoque combina varias medidas para evitar depender únicamente de un tipo de seguridad, como las defensas de red. Estas medidas incluyen marcos de autenticación y autorización seguros, seguridad de red, cifrado de datos en reposo y cifrado de datos en tránsito. Esta estrategia multicapa es fundamental para proteger las cargas de trabajo de Oracle de manera eficaz.
Para obtener más información, consulte Guía de seguridad para Oracle Exadata Database Service en la infraestructura dedicada y Controles de seguridad de Exadata.
Consideraciones de diseño
Tenga en cuenta la guía siguiente al diseñar las pautas de seguridad de Oracle Database@Azure:
Las cargas de trabajo de Oracle Database@Azure contienen recursos que se implementan en redes virtuales y centros de datos de Azure. Tanto el plano de control de Azure como el plano de control de Oracle Cloud Infrastructure (OCI) administran estos recursos. El plano de control de Azure administra el inicio de la infraestructura y la conectividad de red. El plano de control de Oracle controla la administración de bases de datos y la administración de nodos individuales. Para obtener más información, consulte Grupos y roles de Oracle Database@Azure.
El servicio Oracle Database@Azure solo se implementa en subredes privadas en Azure. No se accede al servicio inmediatamente desde Internet.
Las subredes delegadas de Oracle Database@Azure no admiten grupos de seguridad de red (NSG).
La solución Oracle Database@Azure utiliza muchos puertos predeterminados del Protocolo de control de transmisión (TCP) para diversas operaciones. Para obtener la lista completa de puertos, consulte Asignaciones de puertos predeterminados.
Para almacenar y administrar claves con el Cifrado de datos transparente (TDE), que está habilitado de manera predeterminada, la solución Oracle Database@Azure puede usar almacenes de OCI u Oracle Key Vault. La solución Oracle Database@Azure no admite Azure Key Vault.
De forma predeterminada, la base de datos se configura mediante claves de cifrado administradas por Oracle. La base de datos también admite claves administradas por el cliente.
Para mejorar la protección de datos, use Oracle Data Safe con Oracle Database@Azure.
Los agentes que no son de Microsoft y Oracle pueden acceder al sistema operativo de Oracle Database@Azure si no modifican ni ponen en peligro el kernel del sistema operativo.
Recomendaciones de diseño
Tenga en cuenta las recomendaciones siguientes al diseñar la seguridad de Oracle Database@Azure:
Segmente el acceso a la infraestructura desde el acceso a los servicios de datos, en particular cuando distintos equipos acceden a varias bases de datos en la misma infraestructura por diversos motivos.
Use reglas de NSG para limitar el intervalo de direcciones IP de origen, lo que protege el plano de datos y el acceso a la red virtual. Para evitar el acceso no autorizado desde y hacia Internet., abra solo los puertos necesarios para la comunicación segura. Puede configurar reglas de NSG en OCI.
Configure la traducción de direcciones de red (NAT) si se requiere acceso a Internet. Configure siempre el cifrado de los datos en tránsito.
Si usa sus propias claves de cifrado, establezca un proceso riguroso de rotación de claves para mantener los estándares de seguridad y cumplimiento.
Si usa agentes que no son de Microsoft u Oracle en Oracle Database@Azure, instale estos agentes en ubicaciones en las que las revisiones de infraestructura de base de datos o cuadrícula no afecten.