Compartir a través de

Optimización de la seguridad para la carga de trabajo de Oracle

  • Artículo

La seguridad es fundamental para cualquier arquitectura. Azure ofrece una amplia gama de herramientas para proteger eficazmente la carga de trabajo de Oracle. En este artículo se describen las recomendaciones de seguridad para el plano de control de Azure relacionado con las cargas de trabajo de aplicaciones de Oracle que se implementan en máquinas virtuales (VM) en Azure. Para obtener más información sobre las características de seguridad de Oracle Database, consulte La guía de seguridad de Oracle Database.

La mayoría de las bases de datos almacenan datos confidenciales. Las medidas de seguridad solo en el nivel de base de datos no son suficientes para proteger toda la arquitectura en la que se van a colocar estas cargas de trabajo. La defensa en profundidad es un enfoque completo de la seguridad en la que se implementan varias capas de mecanismos de defensa para proteger los datos. No se basa en una sola medida de seguridad en un nivel específico, como los mecanismos de seguridad de red. Use la estrategia de defensa en profundidad para emplear una combinación de diversas medidas de seguridad de capa para crear una posición de seguridad sólida.

Puede diseñar un enfoque de defensa en profundidad para cargas de trabajo de Oracle mediante un marco de autenticación y autorización seguro, seguridad de red protegida y cifrado de datos en reposo y datos en tránsito. Puede implementar cargas de trabajo de Oracle como un modelo de nube de infraestructura como servicio (IaaS) en Azure. Vuelva a consultar la matriz de responsabilidad compartida para comprender mejor las tareas y responsabilidades específicas asignadas al proveedor de nube y al cliente.

Debe evaluar periódicamente los servicios y las tecnologías que emplea para asegurarse de que las medidas de seguridad se alineen con el panorama de amenazas cambiante.

Uso de la administración centralizada de identidades

La administración de identidades es un marco fundamental que rige el acceso a recursos importantes. La administración de identidades es fundamental cuando trabaja con varios empleados, como internados temporales, empleados a tiempo parcial o empleados a tiempo completo. Estas personas requieren distintos niveles de acceso que necesita para supervisar, mantener y revocar rápidamente según sea necesario.

Su organización puede mejorar la seguridad de las máquinas virtuales Windows y Linux en Azure mediante la integración con Microsoft Entra ID, que es un servicio de administración de identidades y acceso totalmente administrado.

Implementación de cargas de trabajo en sistemas operativos Windows o Linux

Puede usar Microsoft Entra ID con el inicio de sesión único (SSO) para acceder a las aplicaciones de Oracle e implementar bases de datos de Oracle en sistemas operativos Linux y sistemas operativos Windows. Integre el sistema operativo con Microsoft Entra ID para mejorar su posición de seguridad.

Mejore la seguridad de las cargas de trabajo de Oracle en IaaS de Azure asegurándose de proteger el sistema operativo para eliminar las vulnerabilidades que los atacantes puedan aprovechar para dañar la base de datos de Oracle.

Para más información sobre cómo mejorar la seguridad de Oracle Database, consulte Directrices de seguridad para cargas de trabajo de Oracle en Azure Virtual Machines acelerador de zonas de aterrizaje.

Recomendaciones

  • Use pares de claves de Secure Shell (SSH) para el acceso a cuentas de Linux en lugar de contraseñas.

  • Deshabilite las cuentas linux protegidas con contraseña y habilítelas solo en solicitud durante un breve período.

  • Deshabilite el acceso de inicio de sesión para las cuentas de Linux con privilegios, como las cuentas raíz y oracle, lo que permite el acceso de inicio de sesión solo a cuentas personalizadas.

  • Use el sudo comando para conceder acceso a cuentas de Linux con privilegios, como las cuentas raíz y oracle, desde cuentas personalizadas en lugar de un inicio de sesión directo.

  • Asegúrese de capturar registros de registro de auditoría de Linux y sudo acceder a los registros en los registros de Azure Monitor mediante la utilidad syslog de Linux.

  • Aplique revisiones de seguridad y revisiones del sistema operativo y actualizaciones periódicas solo desde orígenes de confianza.

  • Implementar restricciones para limitar el acceso al sistema operativo.

  • Restringir el acceso no autorizado a los servidores.

  • Controle el acceso al servidor en el nivel de red para mejorar la seguridad general.

  • Considere la posibilidad de usar el demonio de firewall de Linux como una capa adicional de protección además de los grupos de seguridad de red (NSG) de Azure.

  • Asegúrese de configurar el demonio de firewall de Linux para que se ejecute automáticamente en el inicio.

  • Examine los puertos de escucha de red para determinar los posibles puntos de acceso. Use el comando de Linux netstat –l para enumerar esos puertos. Asegúrese de que los grupos de seguridad de red de Azure o el demonio de firewall de Linux controlan el acceso a esos puertos.

  • Configure alias para comandos de Linux potencialmente destructivos, como rm y mv, para obligarlos a ejecutarse en modo interactivo para que se le pida al menos una vez antes de que se ejecute un comando irreversible. Los usuarios avanzados saben cómo quitar los alias si es necesario.

  • Configure los registros del sistema unificado de base de datos de Oracle para usar la utilidad syslog de Linux para enviar copias de los registros de auditoría de Oracle a los registros de Azure Monitor.

Diseño de la topología de red

La topología de red es el componente fundamental de un enfoque de seguridad por capas para cargas de trabajo de Oracle en Azure.

Coloque todos los servicios en la nube en una sola red virtual y use grupos de seguridad de red de Azure para supervisar y filtrar el tráfico. Agregue un firewall para proteger el tráfico entrante. Asegúrese de dedicar y separar de forma segura la subred donde implemente la base de datos desde Internet y la red local. Evalúe a los usuarios que acceden interna y externamente a la base de datos para ayudar a garantizar que la topología de red sea sólida y segura.

Para más información sobre la topología de red, consulte Topología de red y conectividad para Oracle en Azure Virtual Machines acelerador de zonas de aterrizaje.

Recomendaciones

  • Use grupos de seguridad de red de Azure para filtrar el tráfico de red entre los recursos de Azure de una red virtual de Azure y filtrar el tráfico entre redes locales y Azure.

  • Use Azure Firewall o una aplicación virtual de red (NVA) para proteger el entorno.

  • Proteja la máquina virtual en la que reside la carga de trabajo de Oracle Database contra el acceso no autorizado mediante características proporcionadas por Azure, como Microsoft Defender para el acceso Just-In-Time (JIT) en la nube y las características de Azure Bastion.

  • Use el reenvío de puertos SSH para las utilidades del sistema X Windows y la informática de Virtual Network (VNC) para tunelizar las conexiones a través de SSH. Para obtener más información, consulte un ejemplo que abre un cliente VNC y prueba una implementación.

  • Dirija todo el tráfico a través de una red virtual de concentrador colocando máquinas virtuales en una subred dedicada aislada de Internet y de la red local.

Uso del cifrado para proteger los datos

Cifre los datos en reposo cuando se escriban en el almacenamiento para proteger los datos. Al cifrar los datos, los usuarios no autorizados no pueden exponerlos ni modificarlos. Solo los usuarios autorizados y autenticados pueden ver o modificar los datos. Microsoft Azure ofrece varias soluciones de almacenamiento de datos, como file, disk y blob storage, para satisfacer diferentes necesidades. Estas soluciones de almacenamiento tienen características de cifrado para proteger los datos en reposo.

Cifre los datos en tránsito para proteger los datos que se mueven de una ubicación a otra, normalmente a través de una conexión de red. Puede usar varios métodos para cifrar los datos en tránsito en función de la naturaleza de la conexión. Azure ofrece muchos mecanismos para mantener los datos en tránsito privados a medida que se mueve de una ubicación a otra.

Recomendaciones

  • Comprenda cómo Microsoft cifra los datos en reposo.

  • Tenga en cuenta las características de Oracle Advanced Security, que incluyen cifrado de datos transparente (TDE) y redacción de datos.

  • Administrar claves con oracle Key Vault. Si implementa TDE de Oracle como una capa de cifrado adicional, tenga en cuenta que Oracle no admite soluciones de administración de claves de Azure, como Azure Key Vault u otras soluciones de administración de claves de proveedores de nube. La ubicación predeterminada de Oracle Wallet está en el sistema de archivos de la máquina virtual de base de datos de Oracle. Sin embargo, puede usar Oracle Key Vault como solución de administración de claves en Azure. Para más información, consulte Aprovisionamiento de Oracle Key Vault en Azure.

  • Comprender cómo Microsoft cifra los datos en tránsito.

  • Considere la posibilidad de usar la característica de cifrado de red nativa de Oracle e integridad de datos. Para obtener más información, consulte Configuring Oracle Database Native Network Encryption and Data Integrity.

Integración de rutas de auditoría de Oracle Database

La supervisión del registro de aplicaciones es esencial para detectar amenazas de seguridad en el nivel de aplicación. Azure Sentinel es una solución de administración de eventos e información de seguridad nativa de la nube (SIEM) que se puede usar para supervisar los eventos de seguridad de la carga de trabajo de Oracle.

Para más información, consulte Oracle Database audit connector for Microsoft Sentinel (Conector de auditoría de Oracle Database para Microsoft Sentinel).

Recomendaciones

  • Use la solución Microsoft Sentinel para cargas de trabajo de Oracle Database. El conector de auditoría de Oracle Database usa una interfaz syslog estándar del sector para recuperar los registros de auditoría de Oracle Database e ingerirlos en los registros de Azure Monitor.

  • Use Azure Sentinel para revisar los registros de auditoría de las aplicaciones, la infraestructura de Azure y los sistemas operativos invitados.

Paso siguiente

Supervisión de cargas de trabajo