Política de Acesso ao Banco de Dados

Filtros


Atalhos para busca

Premissas

  • A implementação da política recomendada e descrita neste documento deve ser realizada pelo cliente e em conjunto com o responsável pela administração do banco de dados (DBA).
  • Recomenda-se a criação de regras de firewall no ambiente do cliente que restrinjam a servidores de aplicação e acesso ao banco de dados somente para IPs conhecidos, como os utilizados pela Consinco (gateway primário e contingência), evitando desta forma acesso de origem desconhecida.
  • Recomenda-se também que o usuário de sistema “CONSINCO” utilizado para logon no ERP (conta default com nível de administrador) seja desativado, alterando o seu status para “Bloqueado” no módulo Segurança. Com a desativação deste usuário, todo acesso ao ERP deverá ser nominal e as alterações, se ocorrem, ficarão vinculadas a pessoa em questão. A orientação é que usuários da Consinco recebam no campo CODUSUARIO o prefixo C5 (ex: C5JOAOSILVA).
  • As medidas descritas neste documento visam aumentar o nível de segurança para acesso as informações na base de dados do ERP, evitando acessos indevidos e também intervenções que não sejam do conhecimento do cliente. Outras medidas de segurança devem ser adotadas pelo cliente para restringir e assegurar que o acesso ao banco de dados do ERP ocorrerá somente por pessoas autorizadas e de forma consensual.
  • Recomenda-se o uso periódico da ferramenta da Oracle DBSAT (Oracle Database Security Assessment Tool) para detectar vulnerabilidades e riscos de segurança de acesso ao banco de dados.
  • Recomenda-se fortemente a ativação da auditoria nativa do banco de dados Oracle, afim de assegurar rastreabilidade em alterações realizadas no ambiente. Porém, recomenda-se cautela no nível de detalhe escolhido, principalmente para o owner utilizado pelo ERP (CONSINCO), em decorrência de degradação de performance e ocupação de espaço.
  • Recomenda-se o uso de senhas fortes e a troca periódica das senhas de acesso.
  • Recomenda-se habilitar a expiração de senha para usuários nominais ou de uso do suporte, exceto usuários utilizados por aplicações (ex: CONSINCO, CONSINCOMONITOR, INTEGRACAO).
  • A Consinco reserva-se no direito de atualizar, modificar, incluir ou excluir informações deste documento a qualquer momento, sem aviso prévio, decorrente da evolução de seus produtos e tecnologias utilizadas.

Introdução

Esta política visa assegurar que todo acesso a base de dados pelo atendimento de suporte da Consinco seja controlado e registrado, impedindo intervenções sem o prévio conhecimento de nossos clientes. O acesso para consulta dos registros e dos objetos do banco de dados ocorrerá por meio de usuário com acesso de somente leitura, podendo a critério do cliente permanecer liberado de forma permanente para o suporte remoto da Consinco, o que pode possibilitar uma agilidade maior no atendimento de suporte.

Para situações que envolvam qualquer tipo de manutenção em registros ou a modificação de objetos de banco de dados do ERP na base de dados de produção, será necessário uma autorização prévia do cliente.

Esta autorização deverá ser solicitada e aprovada ou rejeitada por meio de trâmites no chamado referente ao atendimento de suporte em questão. Se aprovado, a Consinco utilizará um usuário específico com privilégios
de modificação na base de dados do ERP para a realização deste trabalho. A critério do cliente, pode-se optar em gerar uma nova senha para este usuário a cada atendimento ou manter uma senha permanente e bloquear a conta do usuário após o atendimento ser concluído.

A política em questão contempla os seguintes usuários de banco de dados:

C5SUPORTE: Novo usuário com permissão de somente leitura dos registros e objetos da base de dados do ERP em produção. A critério do cliente, este usuário pode permanecer liberado com a finalidade de agilizar o atendimento de suporte. Neste caso, é indicado que a senha deste usuário permaneça a mesma.

C5ANALISTA: Novo usuário com permissão para alterações em registros e objetos da base de dados do ERP em produção, porém, com gestão do cliente. É recomendado que seja disponibilizada uma nova senha a cada liberação de acesso ou o bloqueio e desbloqueio da conta caso opte-se em trabalhar com a mesma senha. O controle da senha ou a liberação da conta fica sob responsabilidade do cliente.

CONSINCO: Usuário já existente com os privilégios necessários para o funcionamento do ERP, conforme pré-requisitos do produto. Com a implementação desta política, o uso deste usuário passa a ser restrito as aplicações do ERP. A senha deste usuário deve ficar sob gestão e responsabilidade do cliente.

A critério do cliente, o responsável pela administração do banco de dados (DBA) pode habilitar o recurso de auditoria existente no banco de dados para as contas C5SUPORTE e C5ANALISTA.

Requisitos de Implantação

  • Criação dos usuários C5SUPORTE e C5ANALISTA
  • Criação das roles CONSINCO_SELECT e CONSINCO_MODIFY
  • Conceder o privilégio CONSINCO_SELECT para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio CONSINCO_MODIFY para o usuário C5ANALISTA
  • Conceder o privilégio Connect e Resource para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio Alter System para o usuário C5ANALISTA (¹)
  • Conceder o privilégio Alter Any Procedure para o usuário C5ANALISTA (³)
  • Conceder o privilégio Alter Any Trigger para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any Index para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any Procedure para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any Sequence para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any Synonym para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any Table para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any Trigger para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any Type para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any View para o usuário C5ANALISTA (³)
  • Conceder o privilégio Create Any Job para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any Index para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any Procedure para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any Sequence para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any Synonym para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any Table para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any Trigger para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any Type para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any View para o usuário C5ANALISTA (³)
  • Conceder o privilégio Drop Any Job para o usuário C5ANALISTA (³)
  • Conceder o privilégio Debug Any Procedure para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio Debug Connect Session para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio Select Any Dictionary para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio Unlimited tablespace para os usuários C5SUPORTE e C5ANALISTA
  • Conceder o privilégio de Select na view DBA_USERS para o usuário CONSINCO (²)
  • Conceder o privilégio Alter User para o usuário CONSINCO (²)
  • Criação da scheduler ou job para execução da procedure spC5_AtualizaGrant

¹ – Opcional, porém, é desejável o privilégio para possibilitar o encerramento das sessões em casos específicos de suporte que exigem tal procedimento para intervenção.
² – Ou para outro usuário que venha a ser utilizado na ferramenta de troca de senha, conforme descrito no capítulo “Administração das Contas”.
³ – A concessão desses privilégios permite ao Suporte e ao Desenvolvimento a atuação em determinados casos, como debug de processos e ajustes em objetos do sistema.

Atualização dos Privilégios

Para que os usuários C5SUPORTE e C5ANALISTA possam consultar os registros e os objetos do banco de dados do ERP, é necessário a criação de uma scheduler (recomendado) ou job no usuário CONSINCO para atualização periódica dos privilégios de acesso (grants). O agendamento deve invocar a sintaxe abaixo, preferencialmente com intervalo de 1 (uma) hora.

Begin
    spC5_AtualizaGrant();
End;

Administração das Contas

A Consinco disponibiliza ferramenta própria para facilitar a administração da troca das senhas ou o bloqueio e desbloqueio dos usuários de suporte. A ferramenta é destinada exclusivamente para administração das contas C5SUPORTE e C5ANALISTA. Além da troca de senha e do bloqueio e desbloqueio das contas dos usuários de suporte, a ferramenta permite ainda a geração de senhas aleatórias com tamanho de senha personalizável para facilitar a administração.

Faça o download da ferramenta e salve-a em uma estação de trabalho que contenha o Consinco Client instalado.

Para utilizar a ferramenta, é necessário realizar o logon de acesso com um usuário de banco de dados que possua privilégio de “Alter User” (conforme especificado no capítulo “Requisitos de Implantação”), caso contrário a aplicação será encerrada após o logon. Estando logado, pode-se optar em bloquear ou desbloquear uma das contas ou realizar a troca da senha. A utilização da ferramenta somente é possível após a criação dos usuários C5SUPORTE e C5ANALISTA no banco de dados.

Limitações

As versões mais antigas da ferramenta PL/SQL Developer não possuem os tratamentos para possibilitar que usuários com privilégios de visualizar objetos de outros usuários, tenham a mesma experiência de uso quando logado com o usuário dono do objeto. Assim, recomenda-se a utilização de versões mais atuais da ferramenta PL/SQL Developer para possibilitar uma melhor experiência de uso e assim ampliar a agilidade na utilização da ferramenta.

Para correta visualização dos objetos do usuário CONSINCO na ferramenta PL/SQL Developer quando logado com um dos usuários descritos neste documento, é necessário escolher a opção “<CURRENT SCHEMA>” ou “CONSINCO” na barra lateral de navegação chamada de “Object Browser”. A visualização de jobs e schedules pode depender da ativação do parâmetro “Use DBA views if avaliable” em Preferences > Options.

Informações sobre como obter a versão mais atual da ferramenta PL/SQL Developer podem ser obtidas em https://www.allroundautomations.com.

Este artigo foi útil para você?
Sim
Não
Confirmar que o artigo não foi útil