Funcionalidades de Oracle Database Security

Autenticación y autorización

Simplifica la gestión de usuarios mediante la configuración centralizada de autenticación y autorización de usuarios. Oracle Database se puede integrar perfectamente con los servicios de identidad empresarial, incluidos Microsoft Active Directory, Microsoft Entra ID y Oracle Cloud Infrastructure Identity and Access Management, mediante una variedad de métodos de autenticación. La autenticación multifactor se puede configurar mediante servicios de identidad externos o la API de RADIUS.

Al adoptar una estrategia sólida de autenticación y autorización, puedes evitar que las cuentas de usuario de bases de datos no autorizadas permanezcan activas después de que los empleados abandonen la organización, lo que reduce el riesgo de acceso no autorizado a datos confidenciales.

Tablas de Blockchain

Las tablas de blockchain de Oracle Database ayudan a garantizar la integridad de los datos mediante la creación de registros encadenados criptográficamente y de solo inserción que no se pueden alterar ni suprimir, lo que proporciona una pista de auditoría a prueba de alteraciones y una sólida protección contra cambios no autorizados, incluso si se omite la base de datos.

Al aprovechar la tecnología blockchain, puedes crear un registro inmutable de transacciones que no se pueden alterar ni eliminar. Esto proporciona una solución sólida cuando la integridad de los datos, la capacidad de auditoría y los registros a prueba de alteraciones son críticos, como la auditoría financiera, la trazabilidad de la cadena de suministro y los sistemas de votación seguros.

Control de acceso basado en código

Limitar el acceso a los datos a una lógica de negocio PL/SQL específica con control de acceso basado en código (CBAC). Al asociar roles de base de datos directamente a unidades de programa PL/SQL, como funciones, procedimientos y paquetes, puedes ayudar a garantizar que estos roles se activan solo mientras se ejecuta ese código específico. La unidad de programa se ejecuta con los privilegios necesarios, independientemente de los que tenga el usuario que realiza la llamada, y sin exponer esos privilegios u objetos subyacentes directamente al usuario. Mediante la implantación de CBAC, puedes aplicar el principio de privilegio mínimo, otorgando los permisos necesarios solo a una lógica de negocio específica, en lugar de a usuarios o esquemas individuales.

DBMS_CRYPTO

El paquete PL/SQL DBMS_CRYPTO se utiliza para operaciones criptográficas. Proporciona funciones de cifrado, descifrado y hash, y se puede integrar con Oracle Key Vault para la gestión de claves. DBMS_CRYPTO es especialmente útil cuando se necesita más control sobre las operaciones criptográficas en el nivel de columna, aplicación o elemento de datos individual. Esto difiere del cifrado de datos transparente en que los datos permanecen cifrados hasta que se llama al paquete DBMS_CRYPTO para descifrar los datos, lo que lo protege de usuarios con privilegios excesivos y administradores nefastos.

DbNest

DbNest permite abordar los desafíos de seguridad y aislamiento en entornos multi-inquilino de Oracle Database mediante el uso de las funciones del núcleo de Linux para crear entornos de tiempo de ejecución jerárquicos y en contenedores para bases de datos de contenedores multi-inquilino (CDB) y bases de datos conectables (PDB), de modo que garantiza que los recursos de cada inquilino estén aislados de otros.

Con el despliegue de DbNest, puedes mejorar la seguridad y el aislamiento del entorno de base de datos multi-inquilino y reducir el riesgo de ataques de aumento de privilegios y movimientos laterales.

Rol de desarrollador

Proporcione a su equipo de desarrollo el nivel de acceso adecuado con DB_DEVELOPER_ROLE. Este rol proporciona un juego equilibrado de privilegios que permite a los desarrolladores crear, modificar y desplegar objetos de base de datos, al tiempo que limita su posible impacto en las operaciones de base de datos.

Al adoptar este rol, puedes reducir el riesgo de que los desarrolladores con privilegios excesivos realicen cambios que comprometan la seguridad o la integridad de tu base de datos, lo que ayuda a garantizar que los equipos de desarrollo tengan acceso suficiente para crear y probar aplicaciones sin comprometer la seguridad general del sistema.

Auditoría detallada

Las organizaciones necesitan insights precisos sobre el acceso a datos confidenciales para satisfacer las demandas de seguridad y conformidad. La auditoría detallada (FGA) permite la auditoría dirigida basada en condiciones en el nivel de fila y columna dentro de la base de datos y especificar manejadores personalizados que pueden disparar una alerta sobre actividades sospechosas. Esto ofrece una auditoría centrada en el alto valor que ayuda a detectar actividades no autorizadas en datos confidenciales. FGA mejora la visibilidad de la seguridad al tiempo que minimiza el impacto en el rendimiento y la sobrecarga de auditoría. Las capacidades únicas de FGA, como la auditoría basada en valores (por ejemplo, la auditoría solo cuando alguien selecciona un salario de empleado por encima de un determinado umbral) y los controladores personalizados, refuerzan la seguridad de Oracle Database y ayudan a los clientes a cumplir los exigentes requisitos de auditoría.

Renovación gradual de contraseñas

La administración de contraseñas en varias aplicaciones y bases de datos es compleja y, a menudo, genera tiempo de inactividad, incluso con estrategias de planificación y sincronización cuidadosas.

La renovación gradual de contraseñas de Oracle permite a los administradores cambiar contraseñas sin interrumpir el servicio. Tanto las contraseñas antiguas como las nuevas funcionan durante el periodo de renovación, lo que permite a los equipos de aplicaciones actualizar las credenciales sin tiempo de inactividad. Esto ayuda a garantizar el acceso continuo y ayuda a las organizaciones a cumplir los requisitos de conformidad para cambiar periódicamente la contraseñas, simplificando la gestión y reduciendo las interrupciones.

Tablas inmutables

Protege tus tablas de Oracle Database frente a amenazas internas y daños accidentales en los datos con tablas inmutables. Estas tablas de solo adición evitan modificaciones de datos no autorizadas por parte de usuarios internos y modificaciones de datos accidentales resultantes de errores humanos, lo que ayuda a garantizar que los datos sigan siendo precisos y actualizados al tiempo que mantiene su integridad y seguridad. Las tablas inmutables no sirven para abordar requisitos en los que los datos no se puedan cambiar después de insertarlos.

Perfiles de bloqueo

Implementar controles de seguridad detallados para cada PDB con perfiles de bloqueo, lo que permite a los administradores de CDB restringir operaciones o funciones específicas. Por ejemplo, un perfil de bloqueo puede impedir que los usuarios de PDB ejecuten determinadas sentencias SQL o impedir la ejecución de procedimientos que accedan a la red.

ACL de red

Las listas de control de acceso de red (ACL) controlan el acceso de red de salida desde la base de datos mediante paquetes de la utilidad PL/SQL, como UTL_TCP, UTL_HTTP, UTL_SMTP y UTL_INADDR. Define reglas detalladas basadas en nombres de host, puertos y privilegios para controlar el acceso de los usuarios y evitar conexiones no autorizadas. Esto proporciona una capa adicional de protección contra la filtración de datos.

Cifrado de red

Cifrar las conexiones de base de datos entre clientes y servidores es una práctica de seguridad óptima que garantiza una comunicación segura.

Oracle Database ofrece dos métodos para proteger los datos en tránsito: seguridad de capa de transporte (TLS) y cifrado de red nativo. TLS es un protocolo estándar del sector que proporciona cifrado sólido, autenticación y no repudio. Requiere certificados de servidor y configuración tanto del cliente como del servidor, convirtiéndolo en la fórmula ideal para entornos con estrictos requisitos de cumplimiento o seguridad. Por el contrario, el cifrado de red nativa es más sencillo de implementar; solo requiere un parámetro del lado del servidor y funciona de manera transparente para la mayoría de las aplicaciones. Negocia el algoritmo soportado más fuerte automáticamente, sin necesidad de certificados ni cambios de cliente.

Cartera de credenciales de Oracle

Una cartera (o almacén de claves) es un contenedor cifrado protegido mediante contraseña y que se utiliza para almacenar de forma segura credenciales de autenticación y firma, como claves privadas, certificados y credenciales de base de datos. En los entornos de Oracle Database, las carteras permiten una comunicación segura a través de la red al admitir TLS tanto para clientes como servidores, almacenar claves maestras de cifrado de datos transparente (TDE) y facilitar la integración con servicios externos, como Microsoft Active Directory. Las carteras también proporcionan un almacén de contraseñas externo seguro, lo que permite a las aplicaciones conectarse a la base de datos sin introducir credenciales en código. Aunque las carteras pueden contener claves maestras de TDE, Oracle recomienda gestionarlas con Oracle Key Vault para mejorar la seguridad y la gestión centralizada de claves.

Análisis de privilegios

Las aplicaciones y los usuarios suelen recibir privilegios excesivos, especialmente en entornos complejos o heredados. Esto complica que los administradores revoquen el acceso de forma segura sin arriesgar interrupciones. El análisis de privilegios captura dinámicamente qué privilegios y roles se utilizan en tiempo de ejecución. Esto permite a los administradores revocar con confianza privilegios innecesarios y aplicar un modelo con menos privilegios, lo que reduce la superficie de ataque.

Usuarios de solo lectura

Con los usuarios de solo lectura, puedes desactivar o volver a activar las capacidades de escritura de un usuario o sesión sin revocar ni volver a otorgar privilegios. Los usuarios de solo lectura permiten controlar temporalmente los privilegios de usuario o sesión para pruebas, administración o desarrollo de aplicaciones.

Real Application Security

Real Application Security atiende a la demanda de control de acceso detallado y contextual en aplicaciones modernas basadas en IA y empresariales, donde los modelos de seguridad tradicionales no son adecuados. Real Application Security proporciona un marco declarativo aplicado a la base de datos que combina la propagación de identidad segura con el control de acceso a nivel de fila y columna. Al aprovechar el control de acceso basado en atributos, Real Application Security evalúa los atributos de usuario, como el rol, el departamento o la ubicación geográfica, en tiempo de ejecución para determinar los derechos de acceso. Por ejemplo, el personal de enfermería puede ver solo las historias clínicas de los pacientes asignados a sus unidades de cuidados, mientras que los médicos pueden acceder a detalles de diagnóstico adicionales, pero los campos confidenciales, como los datos de historial de salud mental o salud reproductiva, permanecen ocultos a menos que su rol lo permita explícitamente. Al integrar la lógica de control de acceso directamente en la base de datos, Real Application Security elimina la dependencia del código de la aplicación, simplifica el desarrollo y ayuda a las organizaciones a cumplir estrictos requisitos de privacidad, seguridad y cumplimiento a escala.

Privilegios a nivel de esquema

Tradicionalmente, los privilegios en Oracle Database se han otorgado a nivel de objeto (por ejemplo, SELECT ON hr.employees) o a un nivel más amplio con privilegios del sistema (por ejemplo, SELECT ANY TABLE). Si un usuario necesitaba acceso a todas las tablas o a todos los procedimientos de un esquema, el DBA tenía que otorgar explícitamente acceso a cada objeto de forma individual o utilizar privilegios del sistema excesivamente amplios, como SELECT ANY TABLE, que creaban riesgos de seguridad.

La función de privilegios de nivel de esquema mejora la seguridad al simplificar la autorización para los objetos de base de datos, especialmente en los esquemas que a menudo agregan nuevos objetos.

En lugar de otorgar amplios privilegios del sistema que se aplican a toda la base de datos, los DBA ahora pueden otorgar privilegios a nivel de esquema. El privilegio del sistema a nivel de esquema se aplica a los objetos actuales y futuros del esquema. Los privilegios de nivel de esquema son útiles para las aplicaciones que evolucionan con frecuencia y necesitan agregar nuevos objetos a su esquema sin otorgar privilegios excesivos a los usuarios.

Roles de aplicación seguros

Las aplicaciones modernas exigen seguridad adaptada al contexto para proteger los datos confidenciales y cumplir los requisitos de conformidad. Los roles de aplicación seguros de Oracle evitan el uso no autorizado de privilegios al permitir la activación de roles solo en condiciones controladas y definidas por la base de datos. A diferencia de los roles tradicionales, no pueden ser utilizarse con fines impropios mediante conexión directa o herramientas externas. Solo un paquete o procedimiento PL/SQL, idealmente con lógica vinculada al contexto de aplicación, puede activar un rol de aplicación seguro. Los roles de aplicación seguros proporcionan una aplicación más estricta de las políticas de acceso, reducen la superficie de ataque y ayudan a mantener una seguridad coherente, todo ello sin necesidad de realizar cambios en la lógica de la aplicación.

Protección de datos confidencial transparente

La protección de datos confidenciales transparente permite a los usuarios identificar y clasificar rápidamente datos confidenciales en tablas de base de datos y, a continuación, crear una política para proteger estos datos. La política se aplica a nivel de columna, se dirige a tipos de dato específicos y utiliza la configuración de Oracle Data Redaction u Oracle Virtual Private Database para proteger la información confidencial, como los números de tarjeta de crédito o los números de la seguridad social. Esta función permite a los usuarios crear políticas uniformes en varias bases de datos Oracle, que se pueden modificar a medida que cambian las regulaciones de cumplimiento. Las políticas de protección de datos confidenciales transparentes ofrecen una aplicación sencilla en grandes organizaciones, una auditoría simplificada y una aplicación de políticas coherente, especialmente en entornos gubernamentales con restricciones de seguridad similares.

Auditoría unificada

Las completas capacidades de auditoría de Oracle Database realizan un seguimiento del uso de privilegios, las actividades de los usuarios con privilegios elevados, el acceso a datos confidenciales, las acciones realizadas en objetos de base de datos y las modificaciones realizadas en la configuración de la base de datos. La auditoría unificada proporciona capacidades de auditoría condicionales y a nivel de columna para auditar la actividad en datos confidenciales en determinadas condiciones. Los registros de auditoría se almacenan en una pista a prueba de alteraciones.

Base de datos privada virtual

A menudo, las organizaciones tienen dificultades para aplicar el acceso detallado a los datos, especialmente cuando diferentes usuarios necesitan diferentes vistas de la misma tabla. Los métodos tradicionales se basan en la lógica de aplicaciones complejas o en vistas estáticas, que son difíciles de gestionar, auditar y proteger.

Oracle Virtual Private Database se ocupa de esto aplicando la seguridad a nivel de fila y columna directamente en la base de datos. La base de datos privada virtual agrega dinámicamente predicados de filtrado a consultas SQL, según la identidad del usuario o el contexto de la sesión. Esto ayuda a garantizar que los usuarios solo vean los datos a los que están autorizados para acceder, independientemente de cómo se conecten. Las políticas de seguridad están centralizadas, son transparentes para las aplicaciones y se adaptan a las condiciones de tiempo de ejecución, lo que ayuda a garantizar una aplicación coherente. La base de datos privada virtual protege contra la fuga de datos, soporta el cumplimiento normativo y simplifica el desarrollo de aplicaciones. La base de datos privada virtual es una solución escalable y adaptada al contexto para el control de acceso a datos. Con la base de datos privada virtual, la seguridad se aplica donde residen los datos.