Diretrizes de segurança para cargas de trabalho Oracle no acelerador de zona de aterrissagem de Máquinas Virtuais do Azure

Este artigo descreve como executar com segurança cargas de trabalho Oracle no acelerador de zona de aterrissagem de Máquinas Virtuais do Azure em cada estágio de seu ciclo de vida. O artigo discute componentes de design específicos e fornece sugestões focadas sobre a segurança de IaaS (infraestrutura como serviço) do Azure para cargas de trabalho Oracle.

Visão geral

A segurança é essencial para qualquer arquitetura. O Azure oferece uma gama abrangente de ferramentas para ajudá-lo a proteger efetivamente sua carga de trabalho Oracle. O objetivo deste artigo é fornecer recomendações de segurança para o plano de controle do Azure relacionadas a cargas de trabalho de aplicativos Oracle implantadas em Máquinas Virtuais. Para obter informações detalhadas e diretrizes de implementação sobre medidas de segurança no Oracle Database, consulte Guia de segurança do Oracle Database.

A maioria dos bancos de dados armazena dados confidenciais. Implementar a segurança apenas no nível do banco de dados não é suficiente para proteger a arquitetura onde você implanta essas cargas de trabalho. A defesa em profundidade é uma abordagem abrangente de segurança que implementa várias camadas de mecanismos de defesa para proteger os dados. Em vez de depender de uma única medida de segurança em um nível específico, como focar apenas em mecanismos de segurança de rede, a estratégia de defesa em profundidade usa uma combinação de diferentes medidas de segurança de camada para criar uma postura de segurança robusta. Você pode arquitetar a abordagem de defesa profunda para cargas de trabalho Oracle usando uma estrutura de autenticação e autorização forte, segurança de rede reforçada e criptografia de dados em repouso e dados em trânsito.

Você pode implantar cargas de trabalho Oracle como um modelo de nuvem IaaS no Azure. Revisite a matriz de responsabilidade compartilhada para uma compreensão mais clara das tarefas e responsabilidades específicas atribuídas ao provedor de nuvem e ao cliente. Para obter mais informações, consulte Responsabilidade compartilhada na nuvem.

Você deve avaliar periodicamente os serviços e tecnologias que usa para garantir que suas medidas de segurança estejam alinhadas com o cenário de ameaças em constante mudança.

Usar o gerenciamento centralizado de identidades

O gerenciamento de identidades é uma estrutura fundamental que rege o acesso a recursos importantes. O gerenciamento de identidades torna-se fundamental quando você trabalha com diferentes tipos de pessoal, como estagiários temporários, funcionários de meio período ou funcionários de tempo integral. Esse pessoal requer diferentes níveis de acesso que precisam ser monitorados, mantidos e prontamente revogados conforme necessário. Há quatro casos de uso de gerenciamento de identidades distintos a serem considerados para suas cargas de trabalho Oracle, e cada caso de uso requer uma solução de gerenciamento de identidades diferente.

• Aplicativos Oracle: os usuários podem acessar aplicativos Oracle sem precisar reinserir suas credenciais depois de serem autorizados por meio de logon único (SSO). Use a integração do Microsoft Entra ID para acessar aplicativos Oracle. A tabela a seguir lista a estratégia de SSO com suporte para cada solução Oracle.

  Aplicativo Oracle	Link para o documento
  Suíte E-Business (EBS)	Habilitar SSO para EBS R12.2
  JD Edwards (JDE)	Configurar o SSO do JDE
  PeopleSoft	Habilitar SSO para PeopleSoft
  Hyperion	Documento de suporte Oracle #2144637.1
  Siebel	Documento de suporte Oracle #2664515.1

• Segurança em nível de sistema operacional (SO): as cargas de trabalho Oracle podem ser executadas em diferentes variantes do sistema operacional Linux ou do sistema operacional Windows. As organizações podem melhorar a segurança de suas máquinas virtuais (VMs) Windows e Linux no Azure integrando-as ao Microsoft Entra ID. Para saber mais, veja:

  • Entre em uma VM Linux no Azure usando o Microsoft Entra ID e o OpenSSH.
    • A partir de julho de 2023, o Oracle Linux (OL) e o Red Hat Enterprise Linux (RHEL) são 100% compatíveis com binários, o que significa que quaisquer instruções relacionadas ao RHEL são aplicáveis ao OL.
    • A partir de julho de 2023, a IBM deixou de compartilhar abertamente o código-fonte do RHEL. É possível que OL e RHEL possam divergir no futuro, o que invalidará a declaração anterior.
  • Entre em uma VM do Windows no Azure usando a ID do Microsoft Entra.

• Cofre de Chaves do Azure para armazenar credenciais: o Cofre de Chaves é uma ferramenta poderosa para aplicativos e serviços de nuvem que você pode usar para proteger o armazenamento de segredos, como senhas e cadeias de conexão de banco de dados. Você pode usar o Cofre de Chaves para armazenar credenciais para VMs Windows e Linux de maneira centralizada e segura, independentemente do sistema operacional.

  • Você pode evitar a necessidade de armazenar credenciais em texto sem formatação em seu código ou arquivos de configuração usando o Cofre de Chaves. Você pode recuperar as credenciais do Cofre de Chaves em tempo de execução, o que adiciona uma camada adicional de segurança ao seu aplicativo e ajuda a impedir o acesso não autorizado às suas VMs. O Cofre de Chaves se integra perfeitamente a outros serviços do Azure, como Máquinas Virtuais, e você pode controlar o acesso ao Cofre de Chaves usando o Azure Active Directory (Azure AD). Esse processo garante que apenas usuários e aplicativos autorizados possam acessar as credenciais armazenadas.

• Imagens reforçadas do sistema operacional: uma imagem reforçada do Center for Internet Security (CIS) para Windows ou Linux no Azure tem vários benefícios. Os benchmarks CIS são reconhecidos globalmente como as melhores práticas para proteger sistemas e dados de TI. Essas imagens são pré-configuradas para atender às recomendações de segurança do CIS, o que pode economizar tempo e esforço na proteção do sistema operacional. As imagens reforçadas do sistema operacional podem ajudar as organizações a melhorar sua postura de segurança e estar em conformidade com estruturas de segurança como o National Institute of Standards and Technology (NIST) e o Peripheral Component Interconnect (PCI).

Endurecer o sistema operacional

Certifique-se de que o sistema operacional seja protegido para eliminar vulnerabilidades que possam ser exploradas para atacar o banco de dados Oracle.

• Use pares de chaves Secure Shell (SSH) para acesso à conta do Linux em vez de senhas.
• Desative contas Linux protegidas por senha e habilite-as somente mediante solicitação por um curto período.
• Desative o acesso de login para contas Linux privilegiadas (root ou Oracle), o que permite o acesso de login apenas a contas personalizadas.
• Em vez de acesso direto de login, use sudo para conceder acesso a contas Linux privilegiadas de contas personalizadas.
• Capture logs de trilha de auditoria do Linux e logs de acesso sudo no Azure Monitor Logs usando o utilitário Linux SYSLOG.
• Aplique patches de segurança e patches ou atualizações do sistema operacional regularmente apenas de fontes confiáveis.
• Implemente restrições para limitar o acesso ao sistema operacional.
• Restrinja o acesso não autorizado ao servidor.
• Controle o acesso ao servidor no nível da rede para aumentar a segurança geral.
• Considere usar o daemon de firewall do Linux para proteção local, além dos NSGs (grupos de segurança de rede) do Azure.
• Configure o daemon de firewall do Linux para ser executado automaticamente na inicialização.
• Analise as portas de rede que estão sendo ouvidas para entender os pontos de acesso potenciais e certifique-se de que os NSGs do Azure ou o daemon de firewall do Linux controlem o acesso a essas portas. Use o comando netstat –l Linux para localizar as portas.
• Alias comandos Linux potencialmente destrutivos, como rm e mv, para forçá-los ao modo interativo para que você seja solicitado pelo menos uma vez antes que um comando irreversível seja executado. Os usuários avançados podem executar um comando unalias, se necessário.
• Configure os logs do sistema unificado do banco de dados Oracle para enviar cópias dos logs de auditoria do Oracle para o Azure Monitor Logs usando o utilitário Linux SYSLOG.

Usar segurança de rede

A segurança de rede é o componente fundamental de uma abordagem de segurança em camadas para cargas de trabalho Oracle no Azure.

• Usar NSGs: você pode usar um NSG do Azure para filtrar o tráfego de rede entre recursos do Azure em uma rede virtual do Azure. Um NSG contém regras de segurança que permitem ou negam tráfego de rede de entrada para recursos do Azure ou tráfego de rede de saída de recursos do Azure. Os NSGs podem filtrar o tráfego entre redes locais de e para o Azure usando intervalos de endereços IP e portas específicas. Para obter mais informações, consulte Grupo de segurança de rede.

  A tabela a seguir lista as atribuições de porta de entrada para VMs de banco de dados Oracle:

  Protocolo	Número da porta	Nome do serviço	Comentário
  TCP	22	SSH	Porta de gerenciamento para VMs Linux
  TCP	1521	Ouvinte Oracle TNS	Outros números de porta frequentemente usados para fins de segurança ou balanceamento de carga de conexão
  TCP	3389	RDP	Porta de gerenciamento para VMs do Windows

• Decida como se conectar à sua VM: a VM na qual a carga de trabalho do banco de dados Oracle reside deve ser protegida contra acesso não autorizado. O acesso de gerenciamento é confidencial devido às permissões mais altas necessárias para usuários de gerenciamento. No Azure, os usuários autorizados têm vários mecanismos disponíveis para gerenciar a VM com segurança.

  • O acesso just-in-time (JIT) do Microsoft Defender for Cloud faz uso inteligente dos mecanismos de segurança de rede do Azure para fornecer oportunidades limitadas por tempo para acessar as portas de gerenciamento em sua VM.
  • O Azure Bastion é uma solução de plataforma como serviço (PaaS) que você implanta no Azure. O Bastião do Azure hospeda uma caixa de salto.

Você pode usar qualquer uma das soluções para proteger o gerenciamento de sua VM de banco de dados Oracle. Se desejar, você pode combinar ambas as soluções para uma abordagem avançada de várias camadas.

Em geral, o acesso JIT minimiza, mas não elimina, a exposição a riscos, restringindo os tempos em que as portas de gerenciamento para SSH ou RDP estão disponíveis. O JIT deixa em aberto a possibilidade de acesso por outras sessões durante uma janela JIT obtida. Esses tailgaters ainda precisam passar pelas portas SSH ou RDP expostas, de modo que o risco de exposição é pequeno. No entanto, tais exposições podem tornar o acesso JIT menos palatável para bloquear o acesso da internet aberta.

O Bastião do Azure é essencialmente uma caixa de salto reforçada que ajuda a impedir o acesso da Internet aberta. No entanto, há inúmeras limitações ao Bastião do Azure para você considerar.

• Use X-Windows e Virtual Networking Computing (VNC): o software de banco de dados Oracle geralmente requer que você use o X-Windows porque a conectividade entre a VM Linux no Azure e seu desktop ou laptop pode atravessar firewalls e NSGs do Azure. Devido a isso, você deve usar o encaminhamento de porta SSH para encapsular as conexões X-Windows ou VNC por meio de SSH. Para obter um exemplo que usa o -L 5901:localhost:5901 parâmetro, consulte Abrir um cliente VNC e testar sua implantação.

• Opções de interconexão entre nuvens: habilite a conectividade entre cargas de trabalho de banco de dados Oracle executadas no Azure e cargas de trabalho no Oracle Cloud Infrastructure (OCI). Você pode criar links privados ou pipelines entre aplicativos usando a interconexão do Azure ou OCI entre regiões específicas no Azure e no OCI. Para obter mais informações, consulte Configurar uma interconexão direta entre o Azure e o Oracle Cloud Infrastructure. Esse artigo não aborda a criação de firewalls em ambos os lados da interconexão do Azure ou do OCI, que geralmente é um requisito para qualquer entrada ou saída em nuvens. Essa abordagem emprega as recomendações de rede do Microsoft Zero Trust.

Segurança baseada em políticas do Azure

Não há definições de política internas específicas do Azure para cargas de trabalho Oracle no acelerador de zona de aterrissagem de Máquinas Virtuais. No entanto, a Política do Azure oferece cobertura abrangente para os recursos fundamentais que são usados por qualquer solução Oracle no Azure, incluindo VMs, armazenamento e rede. Para obter mais informações, confira Definições internas do Azure Policy.

Você também pode criar políticas personalizadas para atender aos requisitos da sua organização para preencher a lacuna. Por exemplo, use políticas personalizadas do Oracle para impor criptografia de armazenamento, gerenciar regras NSG ou proibir a atribuição de endereço IP público a uma VM Oracle.

Usar criptografia para armazenar dados

• Criptografar dados em trânsito: aplica-se ao estado dos dados que se movem de um local para outro e, geralmente, através de uma conexão de rede. Os dados em trânsito podem ser criptografados de várias maneiras, dependendo da natureza da conexão. Por padrão, você deve habilitar manualmente a criptografia de dados para dados em trânsito dentro dos datacenters do Azure. Para obter mais informações na documentação do Azure, consulte Criptografia de dados em trânsito.

  • Recomendamos que você use os recursos de criptografia de rede nativa e integridade de dados da Oracle. Para obter mais informações, consulte Configurando a criptografia de rede nativa do banco de dados Oracle e a integridade dos dados.

• Criptografar dados em repouso: você também deve proteger os dados quando eles são gravados no armazenamento, enquanto estão em repouso. Os dados confidenciais podem ser expostos ou alterados quando a mídia de armazenamento é removida ou acessada durante o uso. Portanto, os dados devem ser criptografados para garantir que apenas usuários autorizados e autenticados possam visualizá-los ou modificá-los. O Azure fornece três camadas de criptografia em repouso.

  • Todos os dados são criptografados no nível mais baixo quando persistem em qualquer dispositivo de Armazenamento do Azure com criptografia do lado do serviço de Armazenamento. A criptografia do lado do serviço garante que não seja necessário apagar ou destruir a mídia de armazenamento quando um locatário do Azure terminar de usar o armazenamento. Os dados sempre criptografados em repouso podem ser perdidos permanentemente se a chave gerenciada pela plataforma for descartada. A criptografia do lado do serviço é mais rápida e segura do que tentar excluir todos os dados do armazenamento.
  • O Azure também oferece uma oportunidade de criptografar dados armazenados duas vezes dentro da infraestrutura de armazenamento usando a criptografia de infraestrutura de armazenamento, que usa duas chaves gerenciadas por plataforma separadas.
  • Além disso, a criptografia de disco do Azure é a criptografia de dados em repouso gerenciada no sistema operacional convidado (BitLocker para Windows e DM-CRYPT para Linux).

A infraestrutura de armazenamento tem até três camadas possíveis de criptografia de dados em repouso. Se você tiver a opção Oracle Advanced Security, o banco de dados Oracle também poderá criptografar arquivos de banco de dados com TDE (transparent data encryption) e fornecer outro nível de criptografia em repouso.

A opção Oracle Advanced Security também oferece um recurso chamado edição de dados, que é uma forma de mascaramento dinâmico de dados. Quando o banco de dados recupera dados, ele mascara o valor de dados sem alterar o valor de dados armazenados.

Essas múltiplas camadas de criptografia em repouso representam a própria definição de defesa em profundidade. Se, por algum motivo, uma das formas de criptografia em repouso for comprometida, ainda existem outras camadas de criptografia para proteger os dados.

• Gerenciar chaves: se você implementar o Oracle TDE como outra camada de criptografia, é importante observar que o Oracle não oferece suporte às soluções nativas de gerenciamento de chaves, como o Cofre de Chaves, fornecidas pelo Azure ou por outros provedores de nuvem. Em vez disso, o local padrão para a carteira Oracle está dentro do sistema de arquivos da VM do banco de dados Oracle.

Para obter mais informações, consulte Provisionando o Oracle Key Vault no Azure para saber como usar o Oracle Key Vault como uma solução de gerenciamento de chaves do Azure.

Integrar trilhas de auditoria

O monitoramento de log do aplicativo é essencial para detectar ameaças à segurança no nível do aplicativo. Use a solução Microsoft Sentinel para cargas de trabalho do Oracle Database. O conector de auditoria do Banco de Dados Oracle recupera e ingere todos os registros de auditoria do banco de dados Oracle nos Logs do Azure Monitor usando uma interface SYSLOG padrão do setor. Esse processo permite que esses registros sejam revisados junto com os registros de auditoria de infraestrutura do Azure e os registros de auditoria do sistema operacional convidado (Linux ou Windows). A solução Microsoft Sentinel é uma solução SIEM (Security Information and Event Management, gerenciamento de eventos e informações de segurança) nativa da nuvem criada para sua carga de trabalho Oracle executada em uma VM Linux ou Windows. Para obter mais informações, consulte Conector de auditoria de banco de dados Oracle para Microsoft Sentinel.

Próxima etapa

Para entender como planejar os requisitos de capacidade para cargas de trabalho Oracle no Azure, consulte Planejamento de capacidade para migrar cargas de trabalho Oracle para zonas de aterrissagem do Azure.