Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo se basa en consideraciones y recomendaciones en el área de diseño de seguridad de Azure . Proporciona consideraciones de diseño clave y recomendaciones para oracle Exadata Database@Azure.
Información general
La mayoría de las bases de datos contienen datos confidenciales que requieren una arquitectura muy segura más allá de las protecciones de nivel de base de datos. Una estrategia de defensa en profundidad consta de varios mecanismos de defensa para ayudar a garantizar una seguridad completa. Este enfoque evita la dependencia de un único tipo de seguridad, como las defensas de red. Los mecanismos de defensa incluyen marcos de autenticación y autorización seguros, seguridad de red, cifrado de datos en reposo y cifrado de datos en tránsito. Puede usar esta estrategia multicapa para ayudar a proteger las cargas de trabajo de Oracle de forma eficaz.
Para obtener más información, consulte la Guía de Seguridad para Oracle Exadata Database@Azure en infraestructura dedicada y los controles de seguridad de Exadata .
Consideraciones de diseño
Tenga en cuenta las siguientes instrucciones al diseñar medidas de seguridad para oracle Exadata Database@Azure:
Oracle Database@Azure es un servicio de base de datos de Oracle que se ejecuta en Oracle Cloud Infrastructure (OCI), que se coloca en centros de datos de Microsoft.
Para administrar los recursos de Oracle Exadata Database@Azure, debe integrar las plataformas en la nube de Azure y OCI. Controle cada plataforma con sus respectivos procedimientos recomendados de seguridad. El plano de control de Azure administra el aprovisionamiento de la infraestructura, incluido el clúster de máquina virtual (VM) y la conectividad de red. La consola de OCI controla la administración de bases de datos y la administración de nodos individuales.
Oracle Database@Azure se integra en redes virtuales de Azure a través de la delegación de subredes.
Nota:
Oracle Exadata Database@Azure no tiene acceso entrante o saliente a Internet de forma predeterminada.
Una subred cliente de Oracle Database@Azure no admite grupos de seguridad de red (NSG).
La solución Oracle Exadata Database@Azure usa una lista predefinida de puertos de protocolo de control de transmisión (TCP). De forma predeterminada, estos puertos no son accesibles desde otras subredes porque los NSG dentro de OCI los administran.
De forma predeterminada, Oracle Exadata Database@Azure habilita el cifrado de datos en reposo. Aplica el cifrado en la capa de base de datos a través de la característica de cifrado de datos transparente. Este cifrado ayuda a proteger el contenedor (CDB$ROOT) y las bases de datos conectables.
De forma predeterminada, la base de datos se cifra mediante claves de cifrado administradas por Oracle. Las claves usan el cifrado AES-128 y se almacenan localmente en una cartera dentro del sistema de archivos del clúster de máquinas virtuales. Para obtener más información, vea Gestión del cifrado del espacio de tablas.
Almacene las claves de cifrado administradas por el cliente en OCI Vault o Oracle Key Vault. Oracle Exadata Database@Azure no admite Azure Key Vault.
De forma predeterminada, las copias de seguridad de base de datos se cifran con las mismas claves de cifrado principal. Use estas claves durante las operaciones de restauración.
Instale agentes que no son de Microsoft y Oracle en oracle Exadata Database@Azure. Asegúrese de que no modifican ni ponen en peligro el kernel del sistema operativo de la base de datos.
Recomendaciones de diseño
Tenga en cuenta las siguientes recomendaciones de seguridad al diseñar la implementación de Oracle Exadata Database@Azure:
Separe el acceso a la infraestructura y el acceso a los servicios de datos, especialmente cuando los distintos equipos acceden a varias bases de datos en la misma infraestructura por varias razones. Para lograr el aislamiento de red y administración en el nivel de carga de trabajo, implemente clústeres de máquinas virtuales en otra red virtual.
Use reglas de NSG para limitar el intervalo de direcciones IP de origen, lo que ayuda a proteger el plano de datos y el acceso a la red virtual. Para evitar el acceso no autorizado, abra solo los puertos necesarios que necesite para la comunicación segura y aplique el principio de de privilegios mínimos. Puede configurar reglas de NSG en OCI.
Configure la traducción de direcciones de red (NAT) o use un proxy como Azure Firewall o una aplicación virtual de red que no sea de Microsoft si necesita acceso saliente a Internet.
Tenga en cuenta las siguientes recomendaciones de administración de claves:
Oracle Exadata Database@Azure tiene integración integrada con OCI Vault. Si almacena claves de cifrado principal en el almacén de OCI, las claves también se almacenan en OCI, fuera de Azure.
Si necesita mantener todos los datos y servicios en Azure, use Oracle Key Vault.
Oracle Key Vault no tiene integración integrada con Oracle Exadata Database@Azure. Oracle Key Vault en Azure no se ofrece como servicio administrado. Debe instalar la solución, integrar bases de datos en Oracle Exadata Database@Azure y asegurarse de que la solución sigue siendo de alta disponibilidad. Para más información, consulte Crear una imagen de Oracle Key Vault en Microsoft Azure.
Para garantizar la disponibilidad de la clave de cifrado, cree una implementación de Oracle Key Vault multi-primary. Para lograr una alta disponibilidad sólida, implemente un clúster de Oracle Key Vault multi-primary que tenga cuatro nodos que abarquen al menos dos zonas de disponibilidad o regiones. Para obtener más información, consulte conceptos de clústeres principales de Oracle Key Vault.
Use Oracle Key Vault si necesita una arquitectura híbrida que abarque entornos locales u otras plataformas en la nube. Estos entornos admiten esta solución.
Nota:
Oracle Key Vault requiere licencias independientes.
Comience con una cartera almacenada localmente en el almacén de claves de software si necesita finalizar la plataforma de administración de claves o está realizando una prueba de concepto o piloto.
El proceso de transición a un almacén de claves depende de la plataforma de administración de claves. Si elige la Bóveda de OCI, la transición es una operación dinámica. Si elige Oracle Key Vault, debe migrar manualmente las claves de cifrado a la plataforma oracle Key Vault.
Establezca un proceso riguroso de rotación de claves para mantener los estándares de seguridad y cumplimiento si usa sus propias claves de cifrado.
Almacene las claves de cifrado y las copias de seguridad de base de datos en entornos independientes para mejorar la seguridad y minimizar el riesgo de riesgo de datos.
Conserve las claves de cifrado antiguas para las operaciones de restauración cuando realice copias de seguridad a largo plazo.
Instale agentes de terceros en Oracle Exadata Database@Azure en ubicaciones donde las actualizaciones de infraestructura de base de datos o de cuadrícula no interfieran con ellos.