[ 2020-12-19 ]

Oracle 21c: Novedades en la seguridad de la base de datos

Finalmente, Oracle Database 20c fué sólo un versión de "preview" y no va a existir oficialmente como release (de hecho ya no está disponible para prueba en el cloud de Oracle).

Por otro lado, los primeros dias de diciembre fue disponibilizada en Always Free Autonomous Database (solamente en las siguientes regiones: IAD, PHX, LHR, FRA) y Database Cloud Service (RAC y single-instance sobre VM; single-instance en "Bare Metal") la nueva versión Oracle Database 21c y su correspondiente documentación.

Se debe tener en cuenta que 21c es un "Innovation Release", con lo cual sólo estará soportada 2 años y medio a partir de su liberación, y no tendrá disponible soporte extendido.

En este artículo, mi colega Lisandro Fernigrini explica detalladamente las diferencias entre las versiones "Innovation Release" y "Long Term Support Release" para quien quiera comprender mejor estos conceptos.

En el post "What's new in Oracle Database 20c Security?" de febrero de este año, enumeraba algunas de las nuevas funcionalidades y cambios de comportamiento relacionados con seguridad, del (en ese momento) nuevo release 20c.

Que sucederá con ellas entonces? 

Pues, al haber sido 20c una versión de prueba, todas estas funcionalidades siguen presentes también en el nuevo release 21c.

A continuación, un breve resumen de las novedades más destacadas relacionadas con funcionalidades de seguridad para la nueva versión.

General Security

  • Nuevo tipo de tablas Oracle Blockchain.

Autenticación y autorización

  • Perfiles de usuario nuevos y actualizados para cumplir con los requerimientos de STIG y CIS.
  • Cambio gradual de la contraseña de base de datos para aplicaciones (“Gradual Database Password Rollover”). 
  • Se fuerza a que el password file sea obligatoriamente “case sensitive”.
  • Se permite imponer una restricción de longitud mínima de contraseña para todas las PDBs.
  • Posibilidad de poder especificar la ubicación del Wallet de CMU (Centrally Managed Users) y el archivo dsi.ora a través de una "property" de base de datos.
  • Se incorpora la vista USER_APPLICATION_ROLES al diccionario de datos.
  • La autenticación por Windows ya no utiliza por defecto NTLM.
  • Nuevo privilegio de sistema y parámetro de inicio para mejorar la seguridad en el diagnóstico de eventos.
  • Capacidad de utilizar múltiples Principales de Kerberos con un único cliente de base de datos. 
  • Se soporta múltiples Wallets para distintas conexiones SSL en procesos.
  • Las conexiones de la base de datos Oracle a los servidores Kerberos ahora están predeterminadas por TCP.
  • Queda soportado Micro Edition Suite (MES) para FIPS 140.2.
  • Soporte de Oracle SQL*Loader para Object Store Credentials.

Cifrado

  • Soporte para DBMS_CRYPTO Asymmetric Key Operations.

Auditoria

  • Los cambios realizados en las políticas de Auditoria Unificada se hacen efectivos inmediatamente.
  • Políticas predefinidas de Auditoria Unificada para cumplir con los requerimientos de STIG y CIS.
  • Políticas de Auditoría Unificada aplicadas al usuario actual.
  • Auditoria para servicios Oracle XML DB HTTP y FTP.
  • La Auditoria Unificada sobre un “Objeto Editado” (Editioned Object) es aplicada ahora a todas sus ediciones.
  • Destino de SYSLOG para políticas comunes de Auditoría Unificada.
  • Queda obsoleto el uso de auditoria tradicional.

Database Vault:

  • Ahora es posible proteger la sentencia ADMINISTER KEY MANAGEMENT aplicando reglas de comandos de Oracle Database Vault.
  • Las columnas REALM_NAME y  RULE_SET_NAME de la vista DBA_DV_SIMULATION_LOG utilizan ahora tipo de datos VARCHAR2.
  • Capacidad para evitar que las políticas locales de Oracle Database Vault bloqueen operaciones comunes.
  • Se permite ahora la instalación y desinstalación de Oracle Label y Oracle Database Vault Security en PDBs. 
  • No es necesario deshabilitar Oracle Database Vault antes de los upgrades.

Label Security:

  • Se permite ahora la instalación y desinstalación de Oracle Label Security en PDBs.

Advance Security - Data Encryption and Redaction

  • Uso compartido de la Master Encryption Key de TDE por parte de todos los procesos de Oracle.
  • Capacidad de poder controlar “heartbeats” en PDBs en modo Isolated y United. 
  • Posibilidad de definir el algoritmo de encriptación para el tablespace por defecto (default tablespace). 
  • Capacidad de poder a una librería PKCS#11 son sufrir baja de servicios.
  • Mejoras de performance utilizando un gran número de claves TDE con Wallets u Oracle Key Vault.

No hay comentarios:

Publicar un comentario