Diretrizes de segurança para o Oracle Database@Azure
Este artigo se baseia em considerações e recomendações na área de design de segurança do Azure . Ele fornece considerações e recomendações de design importantes para o Oracle Exadata Database@Azure.
Visão geral
A maioria dos bancos de dados contém dados confidenciais que exigem uma arquitetura altamente segura além das proteções no nível do banco de dados. Uma estratégia de defesa detalhada consiste em vários mecanismos de defesa para ajudar a garantir uma segurança abrangente. Essa abordagem impede a dependência de um único tipo de segurança, como defesas de rede. Os mecanismos de defesa incluem estruturas de autenticação e autorização fortes, segurança de rede, criptografia de dados em repouso e criptografia de dados em trânsito. Você pode usar essa estratégia de várias camadas para ajudar a proteger as cargas de trabalho do Oracle com eficiência.
Para obter mais informações, consulte Guia de segurança para Oracle Exadata Database@Azure em infraestrutura dedicada e Controles de segurança do Exadata.
Considerações sobre o design
Considere as seguintes diretrizes ao projetar medidas de segurança para o Oracle Exadata Database@Azure:
O Oracle Database@Azure é um serviço de banco de dados Oracle executado no Oracle Cloud Infrastructure (OCI), que é colocado em datacenters da Microsoft.
Para gerenciar recursos do Oracle Exadata Database@Azure, você precisa integrar as plataformas de nuvem do Azure e do OCI. Governe cada plataforma com suas respectivas práticas recomendadas de segurança. O plano de controle do Azure gerencia o provisionamento da infraestrutura, incluindo o cluster de máquina virtual (VM) e a conectividade de rede. O console do OCI lida com o gerenciamento de banco de dados e o gerenciamento de nós individuais.
O Oracle Database@Azure é integrado às redes virtuais do Azure por meio da delegação de sub-rede.
Nota
O Oracle Exadata Database@Azure não tem acesso à Internet de entrada ou saída por padrão.
Uma sub-rede cliente do Oracle Database@Azure não dá suporte a NSGs (grupos de segurança de rede).
A solução Oracle Exadata Database@Azure usa uma lista predefinida de portas protocolo TCP (Protocolo de Controle de Transmissão). Por padrão, essas portas são inacessíveis de outras sub-redes porque os NSGs dentro do OCI as gerenciam.
Por padrão, o Oracle Exadata Database@Azure habilita a criptografia de dados em repouso. Ele aplica criptografia na camada de banco de dados por meio do recurso de criptografia de dados transparente. Essa criptografia ajuda a proteger o contêiner (CDB$ROOT) e bancos de dados plugáveis.
Por padrão, o banco de dados é criptografado por meio de chaves de criptografia gerenciadas pelo Oracle. As chaves usam criptografia AES-128 e são armazenadas localmente em uma carteira dentro do sistema de arquivos do cluster de VM. Para obter mais informações, consulte Gerenciar criptografia de espaço de tabela.
Armazene chaves de criptografia gerenciadas pelo cliente em OCI Vault ou Oracle Key Vault. O Oracle Exadata Database@Azure não dá suporte ao Azure Key Vault.
Por padrão, os backups de banco de dados são criptografados com as mesmas chaves de criptografia primárias. Use essas chaves durante as operações de restauração.
Instale agentes não Microsoft e Oracle no Oracle Exadata Database@Azure. Certifique-se de que eles não modifiquem ou comprometam o kernel do sistema operacional do banco de dados.
Recomendações de design
Considere as seguintes recomendações de segurança ao projetar sua implantação do Oracle Exadata Database@Azure:
Separe o acesso à infraestrutura e o acesso aos serviços de dados, especialmente quando equipes diferentes acessam vários bancos de dados na mesma infraestrutura por vários motivos. Para obter isolamento de rede e gerenciamento no nível da carga de trabalho, implante clusters de VM em uma rede virtual diferente.
Use regras NSG para limitar o intervalo de endereços IP de origem, o que ajuda a proteger o plano de dados e o acesso à rede virtual. Para impedir o acesso não autorizado, abra apenas as portas necessárias necessárias para a comunicação segura e aplique o princípio de privilégios mínimos. Você pode configurar regras do NSG na OCI.
Configure a NAT (conversão de endereços de rede) ou use um proxy como o Firewall do Azure ou um dispositivo virtual de rede que não seja da Microsoft se você precisar de acesso à Internet de saída.
Considere as seguintes recomendações de gerenciamento de chaves:
O Oracle Exadata Database@Azure tem integração interna com o OCI Vault. Se você armazenar chaves de criptografia primárias no Cofre OCI, as chaves também serão armazenadas em OCI, fora do Azure.
Se você precisar manter todos os dados e serviços no Azure, use o Oracle Key Vault.
O Oracle Key Vault não tem integração interna com o Oracle Exadata Database@Azure. Oracle Key Vault no Azure não é oferecido como um serviço gerenciado. Você deve instalar a solução, integrar bancos de dados no Oracle Exadata Database@Azure e garantir que a solução permaneça altamente disponível. Para obter mais informações, consulte Criar uma imagem do Oracle Key Vault no Microsoft Azure.
Para garantir a disponibilidade da chave de criptografia, crie uma implantação multi-primária do Oracle Key Vault. Para alta disponibilidade robusta, implante um cluster multi-primário do Oracle Key Vault que tenha quatro nós que abrangem pelo menos duas zonas ou regiões de disponibilidade. Para obter mais informações, consulte conceitos de cluster multi-primário do Oracle Key Vault.
Use o Oracle Key Vault se precisar de uma arquitetura híbrida que abrange ambientes locais ou outras plataformas de nuvem. Esses ambientes dão suporte a essa solução.
Nota
O Oracle Key Vault requer licenciamento separado.
Comece com uma carteira armazenada localmente no repositório de chaves de software se você precisar finalizar sua plataforma de gerenciamento de chaves ou estiver realizando uma prova de conceito ou piloto.
O processo de transição para um repositório de chaves depende da plataforma de gerenciamento de chaves. Se você escolher OCI Vault, a transição será uma operação dinâmica. Se você escolher o Oracle Key Vault, precisará migrar manualmente suas chaves de criptografia para a plataforma do Oracle Key Vault.
Estabeleça um rigoroso processo de rotação de chaves para manter os padrões de segurança e conformidade se você usar suas próprias chaves de criptografia.
Armazene chaves de criptografia e backups de banco de dados em ambientes separados para aprimorar a segurança e minimizar o risco de comprometimento de dados.
Mantenha chaves de criptografia antigas para operações de restauração ao executar backups de longo prazo.
Instale agentes de outras empresas no Oracle Exadata Database@Azure em locais onde os patches de infraestrutura de banco de dados ou grid não interfiram com eles.