Diretrizes de segurança para cargas de trabalho Oracle no acelerador de zona de destino de Máquinas Virtuais do Azure

Este artigo descreve como executar com segurança cargas de trabalho Oracle no acelerador de zona de destino de Máquinas Virtuais do Azure em cada estágio de seu ciclo de vida. O artigo discute componentes de design específicos e fornece sugestões focadas sobre a segurança de IaaS (infraestrutura como serviço) do Azure para cargas de trabalho Oracle.

Visão geral

A segurança é essencial para qualquer arquitetura. O Azure oferece uma gama abrangente de ferramentas para ajudá-lo a proteger efetivamente sua carga de trabalho Oracle. A finalidade deste artigo é fornecer recomendações de segurança para o painel de controle do Azure relacionadas às cargas de trabalho do aplicativo Oracle implantadas em Máquinas Virtuais. Para obter informações detalhadas e diretrizes de implementação sobre medidas de segurança no Oracle Database, consulte o guia de segurança do Oracle Database.

A maioria dos bancos de dados armazena dados confidenciais. Implementar a segurança apenas no nível do banco de dados não é suficiente para proteger a arquitetura em que você implanta essas cargas de trabalho. A defesa em profundidade é uma abordagem abrangente de segurança que implementa várias camadas de mecanismos de defesa para proteger os dados. Em vez de depender de uma única medida de segurança em um nível específico, como focar apenas nos mecanismos de segurança da rede, a estratégia de defesa em profundidade usa uma combinação de medidas de segurança de diferentes camadas para criar uma postura de segurança robusta. Você pode arquitetar a abordagem de defesa detalhada para cargas de trabalho Oracle usando uma estrutura forte de autenticação e autorização, segurança de rede reforçada e criptografia de dados em repouso e dados em trânsito.

Você pode implantar cargas de trabalho do Oracle como um modelo de nuvem IaaS no Azure. Revisite a matriz de responsabilidade compartilhada para uma compreensão mais clara das tarefas e responsabilidades específicas atribuídas ao provedor de nuvem e ao cliente. Para obter mais informações, consulte Responsabilidade compartilhada na nuvem.

Você deve avaliar periodicamente os serviços e tecnologias que usa para garantir que suas medidas de segurança estejam alinhadas com o cenário de ameaças em constante mudança.

Use o gerenciamento centralizado de identidades

O gerenciamento de identidade é uma estrutura fundamental que rege o acesso a recursos importantes. O gerenciamento de identidade se torna crítico quando você trabalha com diferentes tipos de pessoal, como estagiários temporários, funcionários de meio período ou funcionários de período integral. Esse pessoal requer diferentes níveis de acesso que precisam ser monitorados, mantidos e prontamente revogados conforme necessário. Há quatro casos de uso distintos de gerenciamento de identidades a serem considerados para suas cargas de trabalho Oracle, e cada caso de uso requer uma solução de gerenciamento de identidades diferente.

• Aplicativos Oracle: os usuários podem acessar aplicativos Oracle sem precisar inserir novamente suas credenciais depois de serem autorizados por meio de logon único (SSO). Use a integração do Microsoft Entra ID para acessar aplicativos Oracle. A tabela a seguir lista a estratégia de SSO com suporte para cada solução Oracle.

  Aplicativo Oracle	Link para o documento
  E-Business Suite (EBS)	Habilitar SSO para EBS R12.2
  JD Edwards (JDE)	Configurar o SSO JDE
  PeopleSoft	Ativar SSO para PeopleSoft
  Hyperion	Documento de suporte da Oracle #2144637.1
  Siebel	Documento de suporte da Oracle #2664515.1

• Segurança no nível do sistema operacional (SO): as cargas de trabalho do Oracle podem ser executadas em diferentes variantes do sistema operacional Linux ou Windows. As organizações podem melhorar a segurança de suas VMs (máquinas virtuais) Windows e Linux no Azure integrando-as à ID do Microsoft Entra. Para saber mais, veja:

  • Entre em uma VM Linux no Azure usando a ID do Microsoft Entra e o OpenSSH.
    • A partir de julho de 2023, o Oracle Linux (OL) e o Red Hat Enterprise Linux (RHEL) são 100% compatíveis com binários, o que significa que todas as instruções relacionadas ao RHEL são aplicáveis ao OL.
    • A partir de julho de 2023, a IBM deixou de compartilhar abertamente o código-fonte do RHEL. É possível que OL e RHEL possam divergir no futuro, o que invalidará a declaração anterior.
  • Entre em uma VM do Windows no Azure usando a ID do Microsoft Entra.

• Azure Key Vault para armazenar credenciais: o Key Vault é uma ferramenta poderosa para aplicativos e serviços de nuvem que você pode usar para proteger o armazenamento de segredos, como senhas e cadeias de conexão de banco de dados. Você pode usar o Key Vault para armazenar credenciais para VMs Windows e Linux de maneira centralizada e segura, independentemente do sistema operacional.

  • Você pode evitar a necessidade de armazenar credenciais em texto sem formatação em seu código ou arquivos de configuração usando o Key Vault. Você pode recuperar as credenciais do Key Vault em runtime, o que adiciona uma camada adicional de segurança ao seu aplicativo e ajuda a impedir o acesso não autorizado às suas VMs. O Key Vault se integra perfeitamente a outros serviços do Azure, como Máquinas Virtuais, e você pode controlar o acesso ao Key Vault usando a ID do Microsoft Entra. Esse processo garante que apenas usuários e aplicativos autorizados possam acessar as credenciais armazenadas.

• Imagens do sistema operacional protegidas: uma imagem protegida do CIS (Center for Internet Security) para Windows ou Linux no Azure tem vários benefícios. Os benchmarks CIS são reconhecidos globalmente como as melhores práticas para proteger sistemas e dados de TI. Essas imagens são pré-configuradas para atender às recomendações de segurança do CIS, o que pode economizar tempo e esforço na proteção do sistema operacional. As imagens reforçadas do sistema operacional podem ajudar as organizações a melhorar sua postura de segurança e cumprir estruturas de segurança como o National Institute of Standards and Technology (NIST) e o Peripheral Component Interconnect (PCI).

Fortalecer o sistema operacional

Certifique-se de que o sistema operacional esteja protegido para eliminar vulnerabilidades que possam ser exploradas para atacar o banco de dados Oracle.

• Use pares de chaves Secure Shell (SSH) para acesso à conta do Linux em vez de senhas.
• Desative as contas Linux protegidas por senha e ative-as somente mediante solicitação por um curto período.
• Desabilite o acesso de acesso para contas privilegiadas do Linux (raiz ou Oracle), o que permite o acesso de acesso somente a contas personalizadas.
• Em vez de acesso direto ao login, use sudo para conceder acesso a contas privilegiadas do Linux a partir de contas personalizadas.
• Capture logs de trilha de auditoria do Linux e logs de acesso sudo nos Logs do Azure Monitor usando o utilitário SYSLOG do Linux.
• Aplique patches de segurança e patches ou atualizações do sistema operacional regularmente apenas de fontes confiáveis.
• Implemente restrições para limitar o acesso ao sistema operacional.
• Restrinja o acesso não autorizado ao servidor.
• Controle o acesso ao servidor no nível da rede para aumentar a segurança geral.
• Considere usar o daemon de firewall do Linux para proteção local, além de NSGs (grupos de segurança de rede) do Azure.
• Configure o daemon de firewall do Linux para ser executado automaticamente na inicialização.
• Examine as portas de rede que estão sendo escutadas para entender os possíveis pontos de acesso e verifique se os NSGs do Azure ou o daemon do firewall do Linux controlam o acesso a essas portas. Use o comando netstat –l Linux para encontrar as portas.
• Alias comandos Linux potencialmente destrutivos, como rm e mv, para forçá-los a entrar no modo interativo para que você seja solicitado pelo menos uma vez antes que um comando irreversível seja executado. Usuários avançados podem executar um comando unalias, se necessário.
• Configure os logs do sistema unificado do banco de dados Oracle para enviar cópias dos logs de auditoria do Oracle para os Logs do Azure Monitor usando o utilitário SYSLOG do Linux.

Use a segurança de rede

A segurança de rede é o componente fundamental de uma abordagem de segurança em camadas para cargas de trabalho Oracle no Azure.

• Usar NSGs: você pode usar um NSG do Azure para filtrar o tráfego de rede entre recursos do Azure em uma rede virtual do Azure. Um NSG contém regras de segurança que permitem ou negam o tráfego de rede de entrada para recursos do Azure ou o tráfego de rede de saída dos recursos do Azure. Os NSGs podem filtrar o tráfego entre redes locais de e para o Azure usando intervalos de endereços IP e portas específicas. Para obter mais informações, consulte Grupo de segurança de rede.

  A tabela a seguir lista as designações de porta de entrada para VMs de banco de dados Oracle:

  Protocolo	Número da porta	Nome do serviço	Comentário
  TCP	22	SSH	Porta de gerenciamento para VMs do Linux
  TCP	1521	Ouvinte do Oracle TNS	Outros números de porta frequentemente usados para fins de segurança ou balanceamento de carga de conexão
  TCP	3389	RDP	Porta de gerenciamento para VMs do Windows

• Decida como se conectar à sua VM: a VM na qual a carga de trabalho do banco de dados Oracle reside deve ser protegida contra acesso não autorizado. O acesso de gerenciamento é confidencial devido às permissões mais altas necessárias para usuários de gerenciamento. No Azure, os usuários autorizados têm vários mecanismos disponíveis para gerenciar a VM com segurança.

  • O acesso JIT (just-in-time) do Microsoft Defender para Nuvem faz uso inteligente dos mecanismos de segurança de rede do Azure para fornecer oportunidades de tempo limitado para acessar as portas de gerenciamento em sua VM.
  • O Azure Bastion é uma solução de PaaS (plataforma como serviço) que você implanta no Azure. O Azure Bastion hospeda uma jump box.

Você pode usar qualquer uma das soluções para proteger o gerenciamento da VM do banco de dados Oracle. Se desejar, você pode combinar as duas soluções para uma abordagem avançada em várias camadas.

Em geral, o acesso JIT minimiza, mas não elimina a exposição a riscos, restringindo os horários em que as portas de gerenciamento para SSH ou RDP estão disponíveis. O JIT deixa em aberto a possibilidade de acesso por outras sessões não autorizadas durante uma janela JIT obtida. Esses tailgaters ainda devem ultrapassar as portas SSH ou RDP expostas, portanto, o risco de exposição é pequeno. No entanto, essas exposições podem tornar o acesso JIT menos palatável para bloquear o acesso da Internet aberta.

O Azure Bastion é essencialmente uma jump box reforçada que ajuda a impedir o acesso da Internet aberta. No entanto, há várias limitações para o Azure Bastion a serem consideradas.

• Use o X-Windows e a VNC (Computação de Rede Virtual): o software de banco de dados Oracle geralmente requer que você use o X-Windows porque a conectividade entre a VM do Linux no Azure e seu desktop ou laptop pode atravessar firewalls e NSGs do Azure. Por isso, você deve usar o encaminhamento de porta SSH para encapsular as conexões X-Windows ou VNC por meio de SSH. Para obter um exemplo que usa o -L 5901:localhost:5901 parâmetro, consulte Abrir um cliente VNC e testar sua implantação.

• Opções de interconexão entre nuvens: Ative a conectividade entre cargas de trabalho de banco de dados Oracle executadas no Azure e cargas de trabalho no Oracle Cloud Infrastructure (OCI). Você pode criar links privados ou pipelines entre aplicativos usando a interconexão do Azure ou do OCI entre regiões específicas no Azure e no OCI. Para obter mais informações, consulte Configurar uma interconexão direta entre o Azure e o Oracle Cloud Infrastructure. Esse artigo não aborda a criação de firewalls em nenhum dos lados da interconexão do Azure ou do OCI, que geralmente é um requisito para qualquer entrada ou saída entre nuvens. Essa abordagem emprega as recomendações de rede do Microsoft Zero Trust.

Segurança baseada em política do Azure

Não há definições de política internas específicas do Azure para cargas de trabalho do Oracle no acelerador de zona de destino de Máquinas Virtuais. No entanto, o Azure Policy oferece cobertura abrangente para os recursos fundamentais usados por qualquer solução Oracle no Azure, incluindo VMs, armazenamento e rede. Para obter mais informações, confira Definições internas do Azure Policy.

Você também pode criar políticas personalizadas para atender aos requisitos da sua organização para preencher a lacuna. Por exemplo, use políticas personalizadas da Oracle para impor a criptografia de armazenamento, gerenciar regras de NSG ou proibir a designação de endereço IP público a uma VM Oracle.

Use criptografia para armazenar dados

• Criptografar dados em trânsito: aplica-se ao estado dos dados que se movem de um local para outro e, geralmente, por meio de uma conexão de rede. Os dados em trânsito podem ser criptografados de várias maneiras, dependendo da natureza da conexão. Por padrão, você deve habilitar manualmente a criptografia de dados para dados em trânsito dentro dos datacenters do Azure. Para obter mais informações na documentação do Azure, consulte Criptografia de dados em trânsito.

  • Recomendamos que você use os recursos de criptografia de rede nativa e integridade de dados da Oracle. Para obter mais informações, consulte Configurando a criptografia de rede nativa do banco de dados Oracle e a integridade dos dados.

• Criptografar dados em repouso: você também deve proteger os dados quando eles são gravados no armazenamento, enquanto estão em repouso. Os dados confidenciais podem ser expostos ou alterados quando a mídia de armazenamento é removida ou acessada durante o uso. Portanto, os dados devem ser criptografados para garantir que apenas usuários autorizados e autenticados possam visualizá-los ou modificá-los. O Azure fornece três camadas de criptografia em repouso.

  • Todos os dados são criptografados no nível mais baixo quando são persistidos em qualquer dispositivo de Armazenamento do Azure com criptografia do lado do serviço de Armazenamento. A criptografia do lado do serviço garante que não seja necessário apagar ou destruir a mídia de armazenamento quando um locatário do Azure terminar de usar o armazenamento. Os dados sempre criptografados em repouso podem ser perdidos permanentemente se a chave gerenciada pela plataforma for descartada. A criptografia do lado do serviço é mais rápida e segura do que tentar excluir todos os dados do armazenamento.
  • O Azure também oferece uma oportunidade de criptografar duas vezes os dados armazenados dentro da infraestrutura de armazenamento usando a criptografia de infraestrutura de armazenamento, que usa duas chaves gerenciadas por plataforma separadas.
  • Além disso, a criptografia de disco do Azure é a criptografia de dados em repouso gerenciada no sistema operacional convidado (BitLocker para Windows e DM-CRYPT para Linux).

A infraestrutura de armazenamento tem até três camadas possíveis de criptografia de dados em repouso. Se você tiver a opção Oracle Advanced Security, o banco de dados Oracle também poderá criptografar arquivos de banco de dados com TDE (Transparent Data Encryption) e fornecer outro nível de criptografia em repouso.

A opção Oracle Advanced Security também oferece um recurso chamado redação de dados, que é uma forma de mascaramento dinâmico de dados. Quando o banco de dados recupera dados, ele mascara o valor dos dados sem alterar o valor dos dados armazenados.

Essas várias camadas de criptografia em repouso representam a própria definição de defesa em profundidade. Se, por algum motivo, uma das formas de criptografia em repouso for comprometida, ainda existem outras camadas de criptografia para proteger os dados.

• Gerenciar chaves: se você implementar o Oracle TDE como outra camada de criptografia, é importante observar que o Oracle não dá suporte às soluções de gerenciamento de chaves nativas, como o Key Vault, fornecidas pelo Azure ou outros provedores de nuvem. Em vez disso, o local padrão da carteira Oracle está dentro do sistema de arquivos da VM do banco de dados Oracle.

Para obter mais informações, consulte Provisionando o Oracle Key Vault no Azure para saber como usar o Oracle Key Vault como uma solução de gerenciamento de chaves do Azure.

Integre trilhas de auditoria

O monitoramento de log de aplicativos é essencial para detectar ameaças de segurança no nível do aplicativo. Use a solução do Microsoft Sentinel para cargas de trabalho do Oracle Database. O conector de auditoria do Oracle Database recupera e ingere todos os registros de auditoria do banco de dados Oracle nos Logs do Azure Monitor usando uma interface SYSLOG padrão do setor. Esse processo permite que esses registros sejam revisados junto com os registros de auditoria de infraestrutura do Azure e os registros de auditoria do sistema operacional convidado (Linux ou Windows). A solução do Microsoft Sentinel é uma solução de SIEM (gerenciamento de eventos e informações de segurança) nativa de nuvem criada para sua carga de trabalho do Oracle executada em uma VM Linux ou Windows. Para obter mais informações, consulte Conector de auditoria de banco de dados Oracle para Microsoft Sentinel.

Próxima etapa

Para entender como planejar os requisitos de capacidade para cargas de trabalho do Oracle no Azure, consulte Planejamento de capacidade para migrar cargas de trabalho do Oracle para zonas de destino do Azure.