Diretrizes de segurança para Oracle Database@Azure

Este artigo baseia-se em considerações e recomendações na área de design de segurança do Azure. Ele fornece as principais considerações de projeto e recomendações para o Oracle Exadata Database@Azure.

Visão geral

A maioria dos bancos de dados contém dados confidenciais que exigem uma arquitetura altamente segura além das proteções no nível do banco de dados. Uma estratégia de defesa em profundidade consiste em vários mecanismos de defesa para ajudar a garantir uma segurança abrangente. Essa abordagem evita a dependência de um único tipo de segurança, como defesas de rede. Os mecanismos de defesa incluem estruturas de autenticação e autorização fortes, segurança de rede, criptografia de dados em repouso e criptografia de dados em trânsito. Você pode usar essa estratégia em várias camadas para ajudar a proteger as cargas de trabalho do Oracle de forma eficaz.

Para obter mais informações, consulte Guia de segurança para Oracle Exadata Database@Azure sobre infraestrutura dedicada e controles de segurança Exadata.

Considerações de design

Considere as seguintes orientações ao projetar medidas de segurança para o Oracle Exadata Database@Azure:

• O Oracle Database@Azure é um serviço de banco de dados Oracle executado no Oracle Cloud Infrastructure (OCI), que é colocalizado em datacenters da Microsoft.

  Para gerenciar recursos do Oracle Exadata Database@Azure, você precisa integrar as plataformas de nuvem do Azure e OCI. Governe cada plataforma com suas respetivas práticas recomendadas de segurança. O plano de controle do Azure gerencia o provisionamento da infraestrutura, incluindo o cluster de máquina virtual (VM) e a conectividade de rede. O console OCI lida com o gerenciamento de banco de dados e o gerenciamento de nós individuais.

• O Oracle Database@Azure é integrado às redes virtuais do Azure por meio da delegação de sub-rede.

  Observação

  O Oracle Exadata Database@Azure não tem acesso de entrada ou saída à Internet por padrão.

• Uma sub-rede cliente Oracle Database@Azure não suporta NSGs (grupos de segurança de rede).

• A solução Oracle Exadata Database@Azure usa uma lista predefinida de portas TCP (Transmission Control Protocol). Por padrão, essas portas são inacessíveis de outras sub-redes porque os NSGs dentro da OCI as gerenciam.

• Por padrão, o Oracle Exadata Database@Azure permite a criptografia de dados em repouso. Ele aplica criptografia na camada de banco de dados através do recurso de criptografia de dados transparente. Essa criptografia ajuda a proteger o contêiner (CDB$ROOT) e os bancos de dados conectáveis.

• Por padrão, o banco de dados é criptografado por meio de chaves de criptografia gerenciadas pela Oracle. As chaves usam criptografia AES-128 e são armazenadas localmente em uma carteira dentro do sistema de arquivos do cluster VM. Para obter mais informações, consulte Gerenciar criptografia de espaço de tabela.

• Armazene chaves de criptografia gerenciadas pelo cliente no OCI Vault ou no Oracle Key Vault. O Oracle Exadata Database@Azure não suporta o Azure Key Vault.

• Por padrão, os backups de banco de dados são criptografados com as mesmas chaves de criptografia primárias. Use essas chaves durante as operações de restauração.

• Instale agentes que não sejam da Microsoft e da Oracle no Oracle Exadata Database@Azure. Certifique-se de que eles não modifiquem ou comprometam o kernel do sistema operacional do banco de dados.

Recomendações de design

Considere as seguintes recomendações de segurança ao projetar sua implantação do Oracle Exadata Database@Azure:

• Separe o acesso à infraestrutura e o acesso aos serviços de dados, especialmente quando equipes diferentes acessam vários bancos de dados na mesma infraestrutura por vários motivos. Para obter isolamento de rede e gerenciamento no nível da carga de trabalho, implante clusters de VM em uma rede virtual diferente.

• Use regras NSG para limitar o intervalo de endereços IP de origem, o que ajuda a proteger o plano de dados e o acesso à rede virtual. Para impedir o acesso não autorizado, abra apenas as portas necessárias para uma comunicação segura e aplique o princípio do menor privilégio.

• Configure a NAT (conversão de endereços de rede) ou use um proxy como o Firewall do Azure ou um dispositivo virtual de rede que não seja da Microsoft se precisar de acesso de saída à Internet.

• Considere as seguintes recomendações de gerenciamento principais:

  • O Oracle Exadata Database@Azure tem integração integrada com o OCI Vault. Se você armazenar chaves de criptografia primárias no OCI Vault, as chaves também serão armazenadas na OCI, fora do Azure.

  • Se você precisar manter todos os dados e serviços no Azure, use o Oracle Key Vault.

    O Oracle Key Vault não tem integração integrada com o Oracle Exadata Database@Azure. O Oracle Key Vault no Azure não é oferecido como um serviço gerenciado. Você deve instalar a solução, integrar bancos de dados no Oracle Exadata Database@Azure e garantir que a solução permaneça altamente disponível. Para obter mais informações, consulte Criar uma imagem do Oracle Key Vault no Microsoft Azure.

    Para garantir a disponibilidade da chave de criptografia, crie uma implantação multiprimária do Oracle Key Vault. Para obter alta disponibilidade robusta, implante um cluster Oracle Key Vault multiprimário que tenha quatro nós que abrangem pelo menos duas zonas ou regiões de disponibilidade. Para obter mais informações, consulte Conceitos de cluster multiprimário do Oracle Key Vault.

  • Use o Oracle Key Vault se precisar de uma arquitetura híbrida que abranja ambientes locais ou outras plataformas de nuvem. Estes ambientes suportam esta solução.

    Observação

    O Oracle Key Vault requer licenciamento separado.

  • Comece com uma carteira armazenada localmente no armazenamento de chaves de software se você precisar finalizar sua plataforma de gerenciamento de chaves ou estiver realizando uma prova de conceito ou piloto.

    O processo de transição para um keystore depende da sua plataforma de gerenciamento de chaves. Se você escolher o OCI Vault, a transição será uma operação dinâmica. Se você escolher o Oracle Key Vault, precisará migrar manualmente suas chaves de criptografia para a plataforma Oracle Key Vault.

• Estabeleça um rigoroso processo de rotação de chaves para manter os padrões de segurança e conformidade se você usar suas próprias chaves de criptografia.

• Armazene chaves de criptografia e backups de banco de dados em ambientes separados para aumentar a segurança e minimizar o risco de comprometimento de dados.

• Mantenha chaves de criptografia antigas para operações de restauração ao executar backups de longo prazo.

• Instale agentes que não sejam da Microsoft ou Oracle no Oracle Exadata Database@Azure em locais onde os patches de infraestrutura de banco de dados ou grade não interfiram com eles.

Próximos passos

• Gerenciamento de identidade e acesso para Oracle Database@Azure
• Topologia de rede e conectividade para Oracle Database@Azure
• Continuidade de negócios e recuperação de desastres para Oracle Database@Azure