Oracle Access Control
Introducción
El control de acceso se refiere a las políticas, procedimientos y herramientas que rigen el acceso y uso de los recursos. Los ejemplos de recursos incluyen un servicio en la nube, servidor físico, archivo, aplicación, datos en una base de datos y dispositivo de red.
- El principio de menor privilegio es un enfoque orientado al sistema, en el cual, los permisos del usuario y la funcionalidad del sistema se evalúan cuidadosamente y el acceso se restringe solo a los recursos que los usuarios o sistemas requieren para desempeñar sus funciones.
- Por defecto: denegar es un enfoque de configuración orientado a la red que deniega la transmisión de todo el tráfico, y luego permite específicamente solo el tráfico requerido en función del protocolo, puerto, dirección de red de origen y dirección de red de destino.
Políticas y prácticas de control de acceso de Oracle
La Política de Control de Acceso Lógico de Oracle aplica a las decisiones de control de acceso para todos los empleados de Oracle y cualquier instalación de procesamiento de información para la cual Oracle tenga autoridad administrativa. Esta política no aplica a las cuentas de usuario final del cliente para los servicios en la nube de Oracle. Los controles de acceso lógico para aplicaciones y sistemas deben proporcionar identificación, autenticación, autorización, rendición de cuentas y funcionalidad de auditoría.
Gestión de acceso de usuarios
El acceso de usuarios de Oracle se provisiona mediante un sistema de provisión de cuentas que está integrado con la base de datos de Recursos Humanos de Oracle. Los privilegios de acceso se otorgan según los roles laborales y requieren aprobación de la gerencia.
Gestión de privilegios
La autorización depende de una autenticación exitosa, ya que el control de acceso a recursos específicos depende de establecer la identidad de una entidad o individuo. Oracle exige que las decisiones de autorización para otorgar, aprobar y revisar el acceso se basen en los siguientes principios:
- Necesidad de saber: ¿Requiere el usuario este acceso para su función laboral?
- Segregación de funciones: ¿El acceso generará un conflicto de intereses?
- Menor privilegio: ¿Está el acceso restringido solo a aquellos recursos e información necesarios para un propósito comercial legítimo?
Gestión de contraseñas
El uso de contraseñas se aborda en la política de contraseñas de Oracle. Oracle aplica políticas de contraseñas seguras (incluyendo requisitos de longitud y complejidad) para la red de Oracle, sistema operativo, correo electrónico, base de datos y otras cuentas para reducir la probabilidad de que intrusos accedan a sistemas o entornos mediante la explotación de cuentas de usuario y contraseñas asociadas. Las contraseñas generadas y asignadas por el sistema deben cambiarse de inmediato al ser recibidas.
El personal de Oracle está obligado a seguir las reglas sobre la longitud de la contraseña, su complejidad y otros requisitos. Los empleados deben mantener sus credenciales de autenticación, como las contraseñas, confidenciales y seguras en todo momento, y tienen prohibido compartir sus contraseñas individuales de cuenta con cualquier persona por cualquier medio. Los empleados tienen prohibido usar contraseñas de sistemas o aplicaciones de Oracle para aplicaciones o sistemas que no sean de Oracle.
Revisión y revocación de accesos
Oracle requiere revisiones periódicas de las cuentas de red y del sistema operativo con respecto a los niveles de acceso apropiados para los empleados. En caso de terminación, fallecimiento o renuncia de un empleado, Oracle toma las acciones apropiadas para terminar de inmediato el acceso a la red y el acceso físico.
Controles de acceso a la red
Oracle exige controles de red estrictos para la protección y control tanto de los datos de Oracle como de los datos del cliente durante su transmisión. La Política de Seguridad de Red de Oracle establece requisitos para la gestión de red, acceso a la red y gestión de dispositivos de red, incluyendo requisitos de autenticación y autorización para dispositivos físicos y sistemas basados en software. Los puertos de red no utilizados deben desactivarse.