Controle de Acesso da Oracle
Introdução
O controle de acesso se refere às políticas, procedimentos e ferramentas que governam o acesso e o uso de recursos. Exemplos de recursos incluem um serviço de nuvem, servidor físico, arquivo, aplicação, dados em um banco de dados e dispositivo de rede.
- O princípio do menor privilégio é uma abordagem orientada ao sistema na qual as permissões do usuário e a funcionalidade do sistema são cuidadosamente avaliadas e o acesso é restrito aos recursos necessários para que os usuários ou sistemas executem suas funções.
- A negação por padrão é uma abordagem de configuração orientada à rede que nega a transmissão de todo o tráfego e, em seguida, permite especificamente apenas o tráfego necessário com base no protocolo, porta, endereço de rede de origem e endereço de rede de destino.
Políticas e Práticas de Controle de Acesso da Oracle
A Política de Controle de Acesso Lógico da Oracle se aplica a decisões de controle de acesso para todos os funcionários da Oracle e qualquer recurso de processamento de informações ao qual a Oracle tenha autoridade administrativa. Essa política não se aplica a contas de usuários finais de clientes para serviços de nuvem da Oracle. Os controles de acesso lógico para aplicações e sistemas devem fornecer funcionalidades de identificação, autenticação, autorização, responsabilidade e auditoria.
Gerenciamento de Acesso do Usuário
O acesso do usuário Oracle é fornecido por meio de um sistema de provisionamento de contas integrado ao banco de dados de Recursos Humanos da Oracle. Os privilégios de acesso são concedidos com base nas funções do cargo e exigem aprovação da gerência.
Gerenciamento de Privilégios
A autorização depende de uma autenticação bem-sucedida, pois o controle do acesso a determinados recursos depende do estabelecimento da identidade de uma entidade ou pessoa. A Oracle exige que as decisões de autorização para concessão, aprovação e revisão de acesso sejam baseadas nos seguintes princípios:
- Necessidade de saber: o usuário precisa desse acesso para desempenhar suas funções?
- Segregação de funções: o acesso resultará em um conflito de interesses?
- Princípio do menor privilégio: o acesso está restrito apenas aos recursos e informações necessários para fins comerciais legítimos?
Gerenciamento de Senhas
O uso de senhas é tratado na Política de Senhas da Oracle. A Oracle impõe políticas de senha fortes (incluindo requisitos de tamanho e complexidade) para a rede, o sistema operacional, o email, o banco de dados e outras contas da Oracle a fim de reduzir as chances de os intrusos obterem acesso aos sistemas ou ambientes por meio da exploração de contas de usuário e senhas associadas. As senhas geradas pelo sistema e atribuídas devem ser alteradas imediatamente após o recebimento.
Os funcionários da Oracle devem seguir regras de comprimento e complexidade de senhas, além de outros requisitos. Os funcionários devem manter suas credenciais de autenticação, como senhas, confidenciais e protegidas em todos os momentos e estão proibidos de compartilhar suas senhas de contas individuais com qualquer pessoa por qualquer meio. Os funcionários estão proibidos de usar qualquer senha de sistema ou aplicação da Oracle para aplicações ou sistemas que não sejam da Oracle.
Revisão e Revogação de Acesso
A Oracle exige revisões regulares das contas de redes e sistemas operacionais em relação aos níveis apropriados de acesso dos funcionários. Em caso de desligamento, falecimento ou rescisão de funcionários, a Oracle toma as medidas adequadas para encerrar imediatamente o acesso à rede e o acesso físico.
Controles de Acesso à Rede
A Oracle exige controles de rede fortes para proteção e controle dos dados da Oracle e dos clientes durante sua transmissão. A Política de Segurança de Rede da Oracle estabelece requisitos para gerenciamento de rede, acesso à rede e gerenciamento de dispositivos de rede, incluindo requisitos de autenticação e autorização para dispositivos físicos e sistemas baseados em software. As portas de rede não utilizadas devem ser desativadas.