Compartilhar via

Otimizar a segurança para sua carga de trabalho do Oracle

  • Artigo

A segurança é crucial para qualquer arquitetura. O Azure oferece uma ampla gama de ferramentas para proteger efetivamente sua carga de trabalho do Oracle. Este artigo descreve as recomendações de segurança para o painel de controle do Azure relacionadas às cargas de trabalho do aplicativo Oracle implantadas em VMs (máquinas virtuais) no Azure. Para obter mais informações sobre recursos de segurança no Oracle Database, consulte Guia de segurança do Oracle Database.

A maioria dos bancos de dados armazena dados confidenciais. As medidas de segurança somente no nível do banco de dados não são suficientes para proteger toda a arquitetura na qual essas cargas de trabalho serão protegidas. A defesa em profundidade é uma abordagem abrangente de segurança na qual você implementa várias camadas de mecanismos de defesa para proteger os dados. Você não depende de uma única medida de segurança em um nível específico, como mecanismos de segurança de rede. Use a estratégia de defesa em profundidade para empregar uma combinação de várias medidas de segurança de camada para criar uma postura de segurança robusta.

Você pode arquitetar uma abordagem de defesa em profundidade para cargas de trabalho oracle usando uma estrutura de autenticação e autorização forte, segurança de rede protegida e criptografia de dados inativos e dados em trânsito. Você pode implantar cargas de trabalho oracle como um modelo de nuvem iaaS (infraestrutura como serviço) no Azure. Reveja a matriz de responsabilidade compartilhada para entender melhor as tarefas e responsabilidades específicas atribuídas ao provedor de nuvem e ao cliente.

Você deve avaliar periodicamente os serviços e tecnologias empregados para garantir que suas medidas de segurança se alinhem com o cenário de ameaças em mudança.

Usar o gerenciamento de identidade centralizado

O gerenciamento de identidades é uma estrutura fundamental que rege o acesso a recursos importantes. O gerenciamento de identidades se torna crítico quando você trabalha com várias pessoas, como estagiários temporários, funcionários de meio período ou funcionários em tempo integral. Esses indivíduos exigem diferentes níveis de acesso que você precisa monitorar, manter e revogar prontamente conforme necessário.

Sua organização pode melhorar a segurança das VMs do Windows e do Linux no Azure integrando-se ao Microsoft Entra ID, que é um serviço de gerenciamento de identidades e acesso totalmente gerenciado.

Implantar cargas de trabalho em sistemas operacionais Windows ou Linux

Você pode usar Microsoft Entra ID com SSO (logon único) para acessar aplicativos Oracle e implantar bancos de dados Oracle em sistemas operacionais Linux e sistemas operacionais Windows. Integre seu sistema operacional com Microsoft Entra ID para aprimorar sua postura de segurança.

Melhore a segurança de suas cargas de trabalho Oracle no IaaS do Azure, garantindo que você proteja seu sistema operacional para eliminar vulnerabilidades que os invasores podem explorar para prejudicar seu banco de dados Oracle.

Para obter mais informações sobre como melhorar a segurança do Oracle Database, consulte Diretrizes de segurança para cargas de trabalho Oracle no acelerador de zona de destino do Azure Máquinas Virtuais.

Recomendações

  • Use pares de chaves SSH (Secure Shell) para acesso à conta do Linux em vez de senhas.

  • Desabilite as contas do Linux protegidas por senha e habilite-as somente sob solicitação por um curto período.

  • Desabilite o acesso de entrada para contas do Linux com privilégios, como contas raiz e oracle, o que permite o acesso de entrada somente a contas personalizadas.

  • Use o sudo comando para conceder acesso a contas privilegiadas do Linux, como contas raiz e oracle, de contas personalizadas em vez de uma entrada direta.

  • Certifique-se de capturar logs de trilha de auditoria do Linux e sudo acessar logs nos Logs do Azure Monitor usando o utilitário de syslog do Linux.

  • Aplique patches de segurança e patches do sistema operacional e atualizações regularmente somente de fontes confiáveis.

  • Implemente restrições para limitar o acesso ao sistema operacional.

  • Restringir o acesso não autorizado a servidores.

  • Controle o acesso ao servidor no nível da rede para aprimorar a segurança geral.

  • Considere usar o daemon de firewall do Linux como uma camada extra de proteção, além de NSGs (grupos de segurança de rede) do Azure.

  • Configure o daemon do firewall do Linux para ser executado automaticamente na inicialização.

  • Verifique as portas de escuta de rede para determinar possíveis pontos de acesso. Use o comando do Linux netstat –l para listar essas portas. Verifique se os NSGs do Azure ou o daemon do firewall do Linux controlam o acesso a essas portas.

  • Configure aliases para comandos do Linux potencialmente destrutivos, como rm e mv, para forçá-los a serem executados no modo interativo para que você seja solicitado pelo menos uma vez antes que um comando irreversível seja executado. Os usuários avançados sabem como remover os aliases, se necessário.

  • Configure os logs do sistema unificado do banco de dados Oracle para usar o utilitário de syslog do Linux para enviar cópias dos logs de auditoria do Oracle para os Logs do Azure Monitor.

Projetar sua topologia de rede

A topologia de rede é o componente fundamental de uma abordagem de segurança em camadas para cargas de trabalho oracle no Azure.

Coloque todos os serviços de nuvem em uma única rede virtual e use NSGs do Azure para monitorar e filtrar o tráfego. Adicione um firewall para proteger o tráfego de entrada. Dedique e separe com segurança a sub-rede na qual você implanta o banco de dados da Internet e da rede local. Avalie os usuários que acessam internamente e externamente o banco de dados para ajudar a garantir que sua topologia de rede seja robusta e segura.

Para obter mais informações sobre topologia de rede, consulte Topologia de rede e conectividade para Oracle no Azure Máquinas Virtuais acelerador de zona de destino.

Recomendações

  • Use os NSGs do Azure para filtrar o tráfego de rede entre os recursos do Azure em uma rede virtual do Azure e filtrar o tráfego entre redes locais e o Azure.

  • Use Firewall do Azure ou uma NVA (dispositivo virtual) de rede para proteger seu ambiente.

  • Proteja a VM na qual a carga de trabalho do Oracle Database reside contra acesso não autorizado usando recursos fornecidos pelo Azure, como Microsoft Defender para acesso just-in-time (JIT) na nuvem e recursos do Azure Bastion.

  • Use o encaminhamento de porta SSH para utilitários X Windows System e VNC (Computação Rede Virtual) para encapsular conexões por meio de SSH. Para obter mais informações, consulte um exemplo que abre um cliente VNC e testa uma implantação.

  • Direcione todo o tráfego por meio de uma rede virtual de hub colocando VMs em uma sub-rede dedicada isolada da Internet e da rede local.

Usar criptografia para proteger dados

Criptografar dados inativos quando eles são gravados no armazenamento para proteger os dados. Quando você criptografa dados, usuários não autorizados não podem expô-los ou alterá-los. Somente usuários autorizados e autenticados podem exibir ou modificar os dados. O Microsoft Azure oferece várias soluções de armazenamento de dados, incluindo armazenamento de arquivos, discos e blobs, para atender a diferentes necessidades. Essas soluções de armazenamento têm recursos de criptografia para proteger dados inativos.

Criptografar dados em trânsito para proteger os dados que se movem de um local para outro, geralmente em uma conexão de rede. Você pode usar vários métodos para criptografar dados em trânsito, dependendo da natureza da conexão. O Azure oferece muitos mecanismos para manter os dados em trânsito privados à medida que eles se movem de um local para outro.

Recomendações

  • Entenda como a Microsoft criptografa dados inativos.

  • Considere os recursos do Oracle Advanced Security, que incluem TDE (transparent data encryption) e redação de dados.

  • Gerenciar chaves com o Oracle Key Vault. Se você implementar o Oracle TDE como uma camada de criptografia extra, observe que a Oracle não dá suporte a soluções de gerenciamento de chaves do Azure, como o Azure Key Vault ou soluções de gerenciamento de chaves de outros provedores de nuvem. O local padrão da Oracle Wallet está no sistema de arquivos da VM do banco de dados Oracle. No entanto, você pode usar o Oracle Key Vault como uma solução de gerenciamento de chaves no Azure. Para obter mais informações, consulte Provisionamento do Oracle Key Vault no Azure.

  • Entenda como a Microsoft criptografa dados em trânsito.

  • Considere usar o recurso De criptografia de rede nativa e integridade de dados do Oracle. Para obter mais informações, consulte Configuring Oracle Database Native Network Encryption and Data Integrity.

Integrar trilhas de auditoria do Oracle Database

O monitoramento de log do aplicativo é essencial para detectar ameaças de segurança no nível do aplicativo. O Azure Sentinel é uma solução de SIEM (gerenciamento de eventos e informações de segurança) nativa de nuvem que pode ser usada para monitorar os eventos de segurança da carga de trabalho do Oracle.

Para obter mais informações, consulte Conector de auditoria do Oracle Database para Microsoft Sentinel.

Recomendações

  • Use a solução do Microsoft Sentinel para cargas de trabalho do Oracle Database. O conector de auditoria do Oracle Database usa uma interface syslog padrão do setor para recuperar registros de auditoria do Oracle Database e ingeri-los nos Logs do Azure Monitor.

  • Use o Azure Sentinel para examinar os registros de auditoria de aplicativos, a infraestrutura do Azure e os sistemas operacionais convidados.

Próxima etapa

Monitorar cargas de trabalho