Diretrizes de segurança para cargas de trabalho Oracle no acelerador de zona de aterrissagem de Máquinas Virtuais do Azure

Este artigo descreve como executar com segurança cargas de trabalho Oracle no acelerador de zona de aterrissagem de Máquinas Virtuais do Azure em cada estágio de seu ciclo de vida. O artigo discute componentes de design específicos e fornece sugestões focadas sobre a segurança IaaS (infraestrutura como serviço) do Azure para cargas de trabalho Oracle.

Descrição geral

A segurança é essencial para qualquer arquitetura. O Azure oferece uma gama abrangente de ferramentas para ajudá-lo a proteger efetivamente sua carga de trabalho Oracle. O objetivo deste artigo é fornecer recomendações de segurança para o plano de controle do Azure relacionado a cargas de trabalho de aplicativos Oracle implantadas em Máquinas Virtuais. Para obter informações detalhadas e diretrizes de implementação sobre medidas de segurança no Oracle Database, consulte o guia de segurança do Oracle Database.

A maioria dos bancos de dados armazena dados confidenciais. Implementar a segurança apenas no nível do banco de dados não é suficiente para proteger a arquitetura na qual você implanta essas cargas de trabalho. Defesa aprofundada é uma abordagem abrangente à segurança que implementa várias camadas de mecanismos de defesa para proteger os dados. Em vez de depender de uma única medida de segurança em um nível específico, como focar apenas em mecanismos de segurança de rede, a estratégia de defesa em profundidade usa uma combinação de diferentes medidas de segurança de camada para criar uma postura de segurança robusta. Você pode arquitetar a abordagem de defesa aprofundada para cargas de trabalho Oracle usando uma estrutura de autenticação e autorização forte, segurança de rede reforçada e criptografia de dados em repouso e dados em trânsito.

Você pode implantar cargas de trabalho Oracle como um modelo de nuvem IaaS no Azure. Revisite a matriz de responsabilidade compartilhada para uma compreensão mais clara das tarefas e responsabilidades específicas atribuídas ao provedor de nuvem e ao cliente. Para obter mais informações, consulte Responsabilidade compartilhada na nuvem.

Você deve avaliar periodicamente os serviços e tecnologias que usa para garantir que suas medidas de segurança estejam alinhadas com o cenário de ameaças em mudança.

Use o gerenciamento centralizado de identidades

O gerenciamento de identidade é uma estrutura fundamental que rege o acesso a recursos importantes. O gerenciamento de identidade se torna crítico quando você trabalha com diferentes tipos de pessoal, como estagiários temporários, funcionários em tempo parcial ou funcionários em tempo integral. Esse pessoal requer diferentes níveis de acesso que precisam ser monitorados, mantidos e prontamente revogados, conforme necessário. Há quatro casos de uso distintos de gerenciamento de identidades a serem considerados para suas cargas de trabalho Oracle, e cada caso de uso requer uma solução de gerenciamento de identidades diferente.

• Aplicativos Oracle: os usuários podem acessar aplicativos Oracle sem precisar reinserir suas credenciais depois de serem autorizados por meio do logon único (SSO). Use a integração do Microsoft Entra ID para acessar aplicativos Oracle. A tabela a seguir lista a estratégia de SSO suportada para cada solução Oracle.

  Aplicação Oracle	Ligação para o documento
  Suíte E-Business (EBS)	Habilitar SSO para EBS R12.2
  JD Edwards (JDE)	Configurar o SSO do JDE
  PessoasSoft	Habilitar SSO para PeopleSoft
  Hiperião	Documento de suporte Oracle #2144637.1
  Siebel	Documento de suporte Oracle #2664515.1

• Segurança ao nível do sistema operativo (SO): as cargas de trabalho Oracle podem ser executadas em diferentes variantes do SO Linux ou do SO Windows. As organizações podem melhorar a segurança de suas máquinas virtuais (VMs) Windows e Linux no Azure integrando-as ao Microsoft Entra ID. Para obter mais informações, consulte:

  • Entre em uma VM Linux no Azure usando o Microsoft Entra ID e o OpenSSH.
    • A partir de julho de 2023, o Oracle Linux (OL) e o Red Hat Enterprise Linux (RHEL) são 100% compatíveis com binários, o que significa que quaisquer instruções relacionadas ao RHEL são aplicáveis ao OL.
    • A partir de julho de 2023, a IBM deixou de compartilhar abertamente o código-fonte RHEL. É possível que OL e RHEL possam divergir no futuro, o que invalidará a declaração anterior.
  • Entre em uma VM do Windows no Azure usando a ID do Microsoft Entra.

• Azure Key Vault para armazenar credenciais: o Key Vault é uma ferramenta poderosa para aplicativos e serviços na nuvem que você pode usar para proteger o armazenamento de segredos, como senhas e cadeias de conexão de banco de dados. Você pode usar o Cofre da Chave para armazenar credenciais para VMs Windows e Linux de forma centralizada e segura, independentemente do sistema operacional.

  • Você pode evitar a necessidade de armazenar credenciais em texto sem formatação em seu código ou arquivos de configuração usando o Cofre da Chave. Você pode recuperar as credenciais do Cofre da Chave em tempo de execução, o que adiciona uma camada adicional de segurança ao seu aplicativo e ajuda a impedir o acesso não autorizado às suas VMs. O Cofre da Chave integra-se perfeitamente com outros serviços do Azure, como Máquinas Virtuais, e você pode controlar o acesso ao Cofre da Chave usando o Azure Ative Directory (Azure AD). Esse processo garante que apenas usuários e aplicativos autorizados possam acessar as credenciais armazenadas.

• Imagens reforçadas do SO: uma imagem protegida do Center for Internet Security (CIS) para Windows ou Linux no Azure tem vários benefícios. Os benchmarks CIS são reconhecidos globalmente como as melhores práticas para proteger sistemas e dados de TI. Essas imagens são pré-configuradas para atender às recomendações de segurança do CIS, o que pode economizar tempo e esforço na proteção do sistema operacional. As imagens reforçadas do SO podem ajudar as organizações a melhorar a sua postura de segurança e a cumprir com estruturas de segurança como o National Institute of Standards and Technology (NIST) e o Peripheral Component Interconnect (PCI).

Fortalecer o SO

Certifique-se de que o sistema operacional esteja protegido para eliminar vulnerabilidades que possam ser exploradas para atacar o banco de dados Oracle.

• Use pares de chaves Secure Shell (SSH) para acesso à conta Linux em vez de senhas.
• Desative contas Linux protegidas por senha e habilite-as somente mediante solicitação por um curto período.
• Desative o acesso de login para contas Linux privilegiadas (root ou Oracle), o que permite o acesso de login apenas a contas personalizadas.
• Em vez de acesso de login direto, use sudo para conceder acesso a contas Linux privilegiadas a partir de contas personalizadas.
• Capture logs de trilha de auditoria do Linux e logs de acesso sudo no Azure Monitor Logs usando o utilitário Linux SYSLOG.
• Aplique patches de segurança e patches ou atualizações do SO regularmente apenas a partir de fontes fidedignas.
• Implemente restrições para limitar o acesso ao SO.
• Restrinja o acesso não autorizado ao servidor.
• Controle o acesso ao servidor no nível da rede para melhorar a segurança geral.
• Considere usar o daemon de firewall do Linux para proteção local, além dos NSGs (grupos de segurança de rede) do Azure.
• Configure o daemon de firewall do Linux para ser executado automaticamente na inicialização.
• Analise as portas de rede que estão sendo ouvidas para entender os possíveis pontos de acesso e certifique-se de que os NSGs do Azure ou o daemon de firewall do Linux controlem o acesso a essas portas. Use o comando netstat –l Linux para encontrar as portas.
• Alias comandos Linux potencialmente destrutivos, como rm e mv, para forçá-los no modo interativo para que você seja solicitado pelo menos uma vez antes que um comando irreversível seja executado. Os usuários avançados podem executar um comando unalias, se necessário.
• Configure os logs do sistema unificado do banco de dados Oracle para enviar cópias dos logs de auditoria Oracle para os Logs do Azure Monitor usando o utilitário Linux SYSLOG.

Usar a segurança de rede

A segurança de rede é o componente fundamental de uma abordagem de segurança em camadas para cargas de trabalho Oracle no Azure.

• Usar NSGs: você pode usar um NSG do Azure para filtrar o tráfego de rede entre os recursos do Azure em uma rede virtual do Azure. Um NSG contém regras de segurança que permitem ou negam tráfego de rede de entrada para recursos do Azure ou tráfego de rede de saída de recursos do Azure. Os NSGs podem filtrar o tráfego entre redes locais de e para o Azure usando intervalos de endereços IP e portas específicas. Para obter mais informações, consulte Grupo de segurança de rede.

  A tabela a seguir lista as atribuições de porta de entrada para VMs de banco de dados Oracle:

  Protocolo	Número da porta	Nome do serviço	Comentário
  TCP	22	SSH	Porta de gerenciamento para VMs Linux
  TCP	1521	Ouvinte Oracle TNS	Outros números de porta frequentemente utilizados para fins de segurança ou de balanceamento de carga de ligação
  TCP	3389	RDP	Porta de gerenciamento para VMs do Windows

• Decida como se conectar à sua VM: A VM na qual a carga de trabalho do banco de dados Oracle reside deve ser protegida contra acesso não autorizado. O acesso ao gerenciamento é sensível devido às permissões mais altas necessárias para os usuários de gerenciamento. No Azure, os usuários autorizados têm vários mecanismos disponíveis para gerenciar a VM com segurança.

  • O acesso just-in-time (JIT) do Microsoft Defender for Cloud faz uso inteligente dos mecanismos de segurança de rede do Azure para fornecer oportunidades limitadas no tempo para acessar as portas de gerenciamento em sua VM.
  • O Azure Bastion é uma solução de plataforma como serviço (PaaS) que você implanta no Azure. O Azure Bastion hospeda uma caixa de salto.

Você pode usar qualquer uma das soluções para proteger o gerenciamento de sua VM de banco de dados Oracle. Se desejar, você pode combinar ambas as soluções para uma abordagem avançada de várias camadas.

Em geral, o acesso JIT minimiza, mas não elimina, a exposição a riscos, restringindo os horários em que as portas de gerenciamento para SSH ou RDP estão disponíveis. O JIT deixa em aberto a possibilidade de acesso por outras sessões durante uma janela JIT obtida. Esses tailgaters ainda devem ultrapassar as portas SSH ou RDP expostas, de modo que o risco de exposição é pequeno. No entanto, tais exposições podem tornar o acesso JIT menos palatável para bloquear o acesso a partir da Internet aberta.

O Azure Bastion é essencialmente uma caixa de salto reforçada que ajuda a impedir o acesso da Internet aberta. No entanto, há várias limitações no Azure Bastion para você considerar.

• Usar X-Windows e Virtual Networking Computing (VNC): o software de banco de dados Oracle geralmente requer que você use X-Windows porque a conectividade entre a VM Linux no Azure e seu desktop ou laptop pode atravessar firewalls e NSGs do Azure. Por isso, você deve usar o encaminhamento de porta SSH para encapsular as conexões X-Windows ou VNC por meio de SSH. Para obter um exemplo que usa o -L 5901:localhost:5901 parâmetro, consulte Abrir um cliente VNC e testar sua implantação.

• Opções de interconexão entre nuvens: habilite a conectividade entre cargas de trabalho de banco de dados Oracle executadas no Azure e cargas de trabalho no Oracle Cloud Infrastructure (OCI). Você pode criar links privados ou pipelines entre aplicativos usando a interconexão do Azure ou OCI entre regiões específicas no Azure e OCI. Para obter mais informações, consulte Configurar uma interconexão direta entre o Azure e o Oracle Cloud Infrastructure. Esse artigo não aborda a criação de firewalls em ambos os lados da interconexão Azure ou OCI, que geralmente é um requisito para qualquer entrada ou saída entre nuvens. Essa abordagem emprega as recomendações de rede Microsoft Zero Trust.

Segurança baseada em políticas do Azure

Não há definições de política internas específicas do Azure para cargas de trabalho Oracle no acelerador de zona de aterrissagem de Máquinas Virtuais. No entanto, a Política do Azure oferece uma cobertura abrangente para os recursos fundamentais que são usados por qualquer solução Oracle no Azure, incluindo VMs, armazenamento e rede. Para obter mais informações, consulte Definições de política interna da Política do Azure.

Você também pode criar políticas personalizadas para atender aos requisitos da sua organização para preencher a lacuna. Por exemplo, use políticas Oracle personalizadas para impor criptografia de armazenamento, gerenciar regras NSG ou proibir a atribuição de endereço IP público a uma VM Oracle.

Usar criptografia para armazenar dados

• Criptografar dados em trânsito: aplica-se ao estado dos dados que se movem de um local para outro e, geralmente, através de uma conexão de rede. Os dados em trânsito podem ser criptografados de várias maneiras, dependendo da natureza da conexão. Por padrão, você deve habilitar manualmente a criptografia de dados para dados em trânsito dentro dos datacenters do Azure. Para obter mais informações na documentação do Azure, consulte Criptografia de dados em trânsito.

  • Recomendamos que você use os recursos de criptografia de rede nativa e integridade de dados da Oracle. Para obter mais informações, consulte Configurando a criptografia de rede nativa do banco de dados Oracle e a integridade dos dados.

• Criptografar dados em repouso: você também deve proteger os dados quando eles são gravados no armazenamento, enquanto estão em repouso. Os dados confidenciais podem ser expostos ou alterados quando a mídia de armazenamento é removida ou acessada durante o uso. Portanto, os dados devem ser criptografados para garantir que apenas usuários autorizados e autenticados possam visualizá-los ou modificá-los. O Azure fornece três camadas de criptografia em repouso.

  • Todos os dados são criptografados no nível mais baixo quando persistem em qualquer dispositivo de Armazenamento do Azure com criptografia do lado do serviço de Armazenamento. A criptografia do lado do serviço garante que não seja necessário apagar ou destruir a mídia de armazenamento quando um locatário do Azure termina de usar o armazenamento. Os dados sempre criptografados em repouso podem ser perdidos permanentemente se a chave gerenciada pela plataforma for descartada. A criptografia do lado do serviço é mais rápida e segura do que tentar excluir todos os dados do armazenamento.
  • O Azure também oferece uma oportunidade de criptografar duplamente os dados armazenados dentro da infraestrutura de Armazenamento usando a criptografia da infraestrutura de Armazenamento, que usa duas chaves gerenciadas por plataforma separadas.
  • Além disso, a criptografia de disco do Azure é uma criptografia de dados em repouso gerenciada no sistema operacional convidado (BitLocker para Windows e DM-CRYPT para Linux).

A infraestrutura de armazenamento tem até três camadas possíveis de criptografia de dados em repouso. Se você tiver a opção Oracle Advanced Security, o banco de dados Oracle também poderá criptografar arquivos de banco de dados com TDE (criptografia de dados transparente) e fornecer outro nível de criptografia em repouso.

A opção Oracle Advanced Security também oferece um recurso chamado edição de dados, que é uma forma de mascaramento dinâmico de dados. Quando o banco de dados recupera dados, ele mascara o valor de dados sem alterar o valor de dados armazenados.

Essas múltiplas camadas de criptografia em repouso representam a própria definição de defesa em profundidade. Se, por algum motivo, uma das formas de encriptação em repouso estiver comprometida, existem ainda outras camadas de encriptação para proteger os dados.

• Gerenciar chaves: se você implementar o Oracle TDE como outra camada de criptografia, é importante observar que a Oracle não oferece suporte às soluções nativas de gerenciamento de chaves, como o Cofre de Chaves, fornecidas pelo Azure ou outros provedores de nuvem. Em vez disso, o local padrão para a carteira Oracle está dentro do sistema de arquivos da VM do banco de dados Oracle.

Para obter mais informações, consulte Provisionando o Oracle Key Vault no Azure para saber como usar o Oracle Key Vault como uma solução de gerenciamento de chaves do Azure.

Integre trilhas de auditoria

O monitoramento do log do aplicativo é essencial para detetar ameaças à segurança no nível do aplicativo. Use a solução Microsoft Sentinel para cargas de trabalho do Oracle Database. O conector de auditoria do Banco de Dados Oracle recupera e ingere todos os registros de auditoria do banco de dados Oracle nos Logs do Azure Monitor usando uma interface SYSLOG padrão do setor. Esse processo permite que esses registros sejam revisados junto com os registros de auditoria de infraestrutura do Azure e os registros de auditoria do SO convidado (Linux ou Windows). A solução Microsoft Sentinel é uma solução de gerenciamento de eventos e informações de segurança (SIEM) nativa da nuvem criada para sua carga de trabalho Oracle executada em uma VM Linux ou Windows. Para obter mais informações, consulte Conector de auditoria de banco de dados Oracle para Microsoft Sentinel.

Próximo passo

Para entender como planejar os requisitos de capacidade para cargas de trabalho Oracle no Azure, consulte Planejamento de capacidade para migrar cargas de trabalho Oracle para zonas de aterrissagem do Azure.