Otimizar a segurança para a carga de trabalho oracle

A segurança é crucial para qualquer arquitetura. O Azure oferece um vasto leque de ferramentas para proteger eficazmente a carga de trabalho oracle. Este artigo descreve recomendações de segurança para o plano de controlo do Azure relacionado com cargas de trabalho de aplicações Oracle que são implementadas em máquinas virtuais (VMs) no Azure. Para obter mais informações sobre as funcionalidades de segurança na Base de Dados Oracle, consulte o Guia de segurança da Base de Dados Oracle.

A maioria das bases de dados armazena dados confidenciais. As medidas de segurança apenas ao nível da base de dados não são suficientes para proteger toda a arquitetura para localizar estas cargas de trabalho. A defesa em profundidade é uma abordagem abrangente à segurança na qual implementa várias camadas de mecanismos de defesa para proteger dados. Não depende de uma única medida de segurança a um nível específico, como mecanismos de segurança de rede. Utilize a estratégia de defesa em profundidade para utilizar uma combinação de várias medidas de segurança de camadas para criar uma postura de segurança robusta.

Pode arquitetar uma abordagem de defesa em profundidade para cargas de trabalho Oracle através de uma arquitetura de autenticação e autorização forte, segurança de rede reforçada e encriptação de dados inativos e dados em trânsito. Pode implementar cargas de trabalho Oracle como um modelo de cloud de infraestrutura como serviço (IaaS) no Azure. Reveja a matriz de responsabilidade partilhada para compreender melhor as tarefas e responsabilidades específicas atribuídas ao fornecedor de cloud e ao cliente.

Deve avaliar periodicamente os serviços e tecnologias que utiliza para garantir que as suas medidas de segurança estão alinhadas com o cenário de ameaças em mudança.

Utilizar a gestão de identidade centralizada

A gestão de identidades é um quadro fundamental que rege o acesso a recursos importantes. A gestão de identidades torna-se fundamental quando trabalha com vários funcionários, como estagiários temporários, funcionários a tempo parcial ou funcionários a tempo inteiro. Estes indivíduos necessitam de diferentes níveis de acesso que precisa para monitorizar, manter e revogar rapidamente, conforme necessário.

A sua organização pode melhorar a segurança das VMs do Windows e do Linux no Azure ao integrar com Microsoft Entra ID, que é um serviço de gestão de acesso e identidade totalmente gerido.

Implementar cargas de trabalho em sistemas operativos Windows ou Linux

Pode utilizar Microsoft Entra ID com início de sessão único (SSO) para aceder a aplicações Oracle e implementar bases de dados Oracle em sistemas operativos Linux e sistemas operativos Windows. Integre o seu sistema operativo com Microsoft Entra ID para melhorar a sua postura de segurança.

Melhore a segurança das cargas de trabalho oracle no IaaS do Azure ao garantir que protege o seu sistema operativo para eliminar vulnerabilidades que os atacantes podem explorar para prejudicar a sua base de dados Oracle.

Para obter mais informações sobre como melhorar a segurança da Base de Dados Oracle, veja Diretrizes de segurança para cargas de trabalho Oracle no acelerador de zonas de destino do Azure Máquinas Virtuais.

Recomendações

• Utilize pares de chaves do Secure Shell (SSH) para acesso à conta Linux em vez de palavras-passe.

• Desative contas Linux protegidas por palavra-passe e ative-as apenas a pedido durante um curto período de tempo.

• Desative o acesso de início de sessão para contas Com privilégios do Linux, como contas de raiz e oracle, o que permite o acesso de início de sessão apenas a contas personalizadas.

• Utilize o sudo comando para conceder acesso a contas privilegiadas do Linux, como contas de raiz e oracle, a partir de contas personalizadas em vez de um início de sessão direto.

• Certifique-se de que captura os registos de registos de auditoria do Linux e sudo os registos de acesso nos Registos do Azure Monitor com o utilitário syslog do Linux.

• Aplique patches de segurança e patches e atualizações do sistema operativo regularmente apenas a partir de origens fidedignas.

• Implemente restrições para limitar o acesso ao sistema operativo.

• Restringir o acesso não autorizado aos servidores.

• Controlar o acesso ao servidor ao nível da rede para melhorar a segurança geral.

• Considere utilizar o daemon da firewall do Linux como uma camada adicional de proteção para além dos grupos de segurança de rede do Azure (NSGs).

• Certifique-se de que configura o daemon da firewall do Linux para ser executado automaticamente no arranque.

• Analise as portas de escuta da rede para determinar potenciais pontos de acesso. Utilize o comando Linux netstat –l para listar essas portas. Certifique-se de que os NSGs do Azure ou o daemon da firewall do Linux controlam o acesso a essas portas.

• Configure aliases para comandos Linux potencialmente destrutivos, tais como rm e mv, para forçá-los a serem executados no modo interativo para que lhe seja pedido, pelo menos, uma vez antes de ser executado um comando irreversível. Os utilizadores avançados sabem como remover os aliases, se necessário.

• Configure os registos do sistema unificado da base de dados Oracle para utilizar o utilitário syslog do Linux para enviar cópias dos registos de auditoria oracle para os Registos do Azure Monitor.

Conceber a topologia de rede

A topologia de rede é o componente fundamental de uma abordagem de segurança em camadas para cargas de trabalho Oracle no Azure.

Coloque todos os serviços cloud numa única rede virtual e utilize os NSGs do Azure para monitorizar e filtrar o tráfego. Adicione uma firewall para proteger o tráfego de entrada. Certifique-se de que dedica e separa de forma segura a sub-rede onde implementa a base de dados a partir da Internet e da rede no local. Avalie os utilizadores que acedem interna e externamente à base de dados para ajudar a garantir que a topologia de rede é robusta e segura.

Para obter mais informações sobre a topologia de rede, veja Topologia de rede e conectividade do Oracle no acelerador de zonas de destino do Azure Máquinas Virtuais.

Recomendações

• Utilize os NSGs do Azure para filtrar o tráfego de rede entre recursos do Azure numa rede virtual do Azure e para filtrar o tráfego entre redes no local e o Azure.

• Utilize Azure Firewall ou uma aplicação virtual de rede (NVA) para proteger o seu ambiente.

• Proteja a VM na qual a carga de trabalho da Base de Dados Oracle reside contra o acesso não autorizado através de funcionalidades fornecidas pelo Azure, como Microsoft Defender para acesso just-in-time (JIT) da Cloud e funcionalidades do Azure Bastion.

• Utilize o reencaminhamento de portas SSH para utilitários X Windows System e Rede Virtual Computing (VNC) para fazer túneis de ligações através de SSH. Para obter mais informações, veja um exemplo que abre um cliente VNC e testa uma implementação.

• Direcione todo o tráfego através de uma rede virtual hub ao colocar VMs numa sub-rede dedicada isolada da Internet e da rede no local.

Utilizar a encriptação para proteger dados

Encriptar dados inativos quando são escritos no armazenamento para proteger os dados. Quando encripta dados, os utilizadores não autorizados não podem expô-lo ou alterá-lo. Apenas os utilizadores autorizados e autenticados podem ver ou modificar os dados. O Microsoft Azure oferece várias soluções de armazenamento de dados, incluindo ficheiros, discos e armazenamento de blobs, para satisfazer diferentes necessidades. Estas soluções de armazenamento têm funcionalidades de encriptação para proteger dados inativos.

Encriptar dados em trânsito para proteger dados que se movem de uma localização para outra, normalmente através de uma ligação de rede. Pode utilizar vários métodos para encriptar dados em trânsito consoante a natureza da ligação. O Azure oferece muitos mecanismos para manter os dados em trânsito privados à medida que se movem de uma localização para outra.

Recomendações

• Compreenda como a Microsoft encripta dados inativos.

• Considere as funcionalidades da Oracle Advanced Security, que incluem encriptação de dados transparente (TDE) e redação de dados.

• Gerir chaves com o Oracle Key Vault. Se implementar o Oracle TDE como uma camada de encriptação extra, tenha em atenção que o Oracle não suporta soluções de gestão de chaves do Azure, como o Azure Key Vault ou as principais soluções de gestão de outros fornecedores de cloud. A localização predefinida do Oracle Wallet encontra-se no sistema de ficheiros da VM da base de dados Oracle. No entanto, pode utilizar o Oracle Key Vault como uma solução de gestão de chaves no Azure. Para obter mais informações, veja Aprovisionar o Oracle Key Vault no Azure.

• Compreenda como a Microsoft encripta os dados em trânsito.

• Considere utilizar a funcionalidade Encriptação de Rede Nativa Oracle e Integridade de Dados. Para obter mais informações, veja Configurar a Encriptação de Rede Nativa da Base de Dados Oracle e a Integridade dos Dados.

Integrar registos de auditoria da Base de Dados Oracle

A monitorização do registo de aplicações é essencial para detetar ameaças de segurança ao nível da aplicação. O Azure Sentinel é uma solução de gestão de eventos e informações de segurança nativa da cloud (SIEM) que pode ser utilizada para monitorizar os eventos de segurança da carga de trabalho oracle.

Para obter mais informações, veja Conector de auditoria da Base de Dados Oracle para o Microsoft Sentinel.

Recomendações

• Utilize a solução Microsoft Sentinel para cargas de trabalho da Base de Dados Oracle. O conector de auditoria da Base de Dados Oracle utiliza uma interface syslog padrão do setor para obter registos de auditoria da Base de Dados Oracle e ingeri-los nos Registos do Azure Monitor.

• Utilize o Azure Sentinel para rever os registos de auditoria de aplicações, a infraestrutura do Azure e os sistemas operativos convidados.

Passo seguinte

Monitorizar cargas de trabalho