mejores prácticas de Oracle ExaData Security

5

¿Alguien tiene experiencia con Oracle ExaData Security? El cliente desea mover toda su base de datos Oracle al servidor central ExaData de Oracle. Por lo tanto, en la misma máquina se alojarán bases de datos de diferentes proveedores e incluso competidores. ¿De qué deberíamos estar conscientes? (Nosotros = uno de los proveedores)

Encontré el siguiente documento de Oracle: Seguridad de la máquina de la base de datos Oracle ExData Descripción general

¿Hay otros recursos relevantes sobre esto?

    
pregunta AaronS 01.12.2011 - 09:36
fuente

2 respuestas

1

No espere que el cifrado de la base de datos resuelva mágicamente estos problemas de seguridad. Cuando aún sea otro oracle db exploit hits metasploit un competidor podría usar esto para comprometer todos los datos y todas las claves de cifrado almacenadas en la base de datos. En resumen, un adversario no necesita la inyección SQL para entregar una carga útil de metasploit, ya tiene acceso a la base de datos, lo que es un ataque mucho más fácil de realizar.

Personalmente, no confiaría en mis datos almacenados en una base de datos a la que tienen acceso los competidores. Tampoco dependería de Oracle para la seguridad. Son muy lentos para implementar parches en el software de misión crítica y no manejan muy bien los 0 días. ( DOS parches fallidos para el último día de Java de 0 días, ¿en serio? Esto no inspira la confianza del consumidor.)

    
respondido por el rook 01.03.2013 - 19:13
fuente
0
  1. clústeres de producción y no producción separados, siempre puede crear varias instancias para cada uno.
  2. gestión separada, red desde la red del cliente
  3. para la red de administración, use la autenticación mutua además de la administración de su identidad.
  4. Si necesita proteger sus datos en reposo, puede usar TDE (cifrado de datos transparente)
  5. si está ofreciendo autoservicio (en una configuración de nube privada), asegúrese de activar la auditoría.

obviamente estos son algunos puntos de datos. su estrategia de seguridad debe basarse en sus requisitos, como la prevención de pérdida de datos (DLP), el cumplimiento como HIPPA y PCI, etc.

    
respondido por el Hugo R 31.07.2017 - 08:39
fuente

Lea otras preguntas en las etiquetas