Perfiles para STIG y CIS en Oracle 21c

Con cada nueva versión de base de datos, Oracle mejora varios aspectos relacionados con la seguridad. En esta línea, con la versión 12.2 incorporó un nuevo perfil de usuario llamado ORA_STIG_PROFILE para cumplir con el estándar de configuración STIG (Security Technical Implementation Guide).

Este perfil aborda varios requisitos de STIG, como la necesidad de una función de complejidad de contraseña, tiempo de reutilización de las mismas, número máximo de intentos fallidos de login y algunos otros más.

La configuración de ORA_STIG_PROFILE en las versiones 12.2, 18c y 19c es la siguiente:

SQL> SELECT profile,resource_name,limit 

FROM dba_profiles 

WHERE profile='ORA_STIG_PROFILE' 

ORDER BY resource_name;

 

PROFILE                      RESOURCE_NAME                  LIMIT

---------------------------- ------------------------------ --------

ORA_STIG_PROFILE             COMPOSITE_LIMIT                DEFAULT

ORA_STIG_PROFILE             CONNECT_TIME                   DEFAULT

ORA_STIG_PROFILE             CPU_PER_CALL                   DEFAULT

ORA_STIG_PROFILE             CPU_PER_SESSION                DEFAULT

ORA_STIG_PROFILE             FAILED_LOGIN_ATTEMPTS          3

ORA_STIG_PROFILE             IDLE_TIME                      15

ORA_STIG_PROFILE             INACTIVE_ACCOUNT_TIME          35

ORA_STIG_PROFILE             LOGICAL_READS_PER_CALL         DEFAULT

ORA_STIG_PROFILE             LOGICAL_READS_PER_SESSION      DEFAULT

ORA_STIG_PROFILE             PASSWORD_GRACE_TIME            5

ORA_STIG_PROFILE             PASSWORD_LIFE_TIME             60

ORA_STIG_PROFILE             PASSWORD_LOCK_TIME             UNLIMITED

ORA_STIG_PROFILE             PASSWORD_REUSE_MAX             10

ORA_STIG_PROFILE             PASSWORD_REUSE_TIME            365

ORA_STIG_PROFILE             PASSWORD_VERIFY_FUNCTION       ORA12C_STIG_VERIFY_FUNCTION

ORA_STIG_PROFILE             PRIVATE_SGA                    DEFAULT

ORA_STIG_PROFILE             SESSIONS_PER_USER              DEFAULT

 

17 rows selected.

Oracle 21c: Novedades en la seguridad de la base de datos

Finalmente, Oracle Database 20c fué sólo un versión de "preview" y no va a existir oficialmente como release (de hecho ya no está disponible para prueba en el cloud de Oracle).

Por otro lado, los primeros dias de diciembre fue disponibilizada en Always Free Autonomous Database (solamente en las siguientes regiones: IAD, PHX, LHR, FRA) y Database Cloud Service (RAC y single-instance sobre VM; single-instance en "Bare Metal") la nueva versión Oracle Database 21c y su correspondiente documentación.

Se debe tener en cuenta que 21c es un "Innovation Release", con lo cual sólo estará soportada 2 años y medio a partir de su liberación, y no tendrá disponible soporte extendido.

En este artículo, mi colega Lisandro Fernigrini explica detalladamente las diferencias entre las versiones "Innovation Release" y "Long Term Support Release" para quien quiera comprender mejor estos conceptos.

En el post "What's new in Oracle Database 20c Security?" de febrero de este año, enumeraba algunas de las nuevas funcionalidades y cambios de comportamiento relacionados con seguridad, del (en ese momento) nuevo release 20c.

Que sucederá con ellas entonces? 

Pues, al haber sido 20c una versión de prueba, todas estas funcionalidades siguen presentes también en el nuevo release 21c.

A continuación, un breve resumen de las novedades más destacadas relacionadas con funcionalidades de seguridad para la nueva versión.