Aperçu de la sécurité

Quelles ressources doivent être protégées?

• Données de client telles que les numéros de carte de crédit
• Données internes telles que le code source propriétaire
• Composants du système (protégés contre les attaques externes ou les surcharges intentionnelles du système)

Contre qui protéger les données?

Analysez vos flux de travail pour déterminer qui a besoin d'accéder à quelles données. Par exemple, vous devez protéger les données de vos abonnés contre les autres abonnés, mais une personne de votre organisation doit pouvoir accéder à ces données pour les gérer.

Examinez attentivement la quantité d'accès à accorder à un administrateur système. Un administrateur de système peut être en mesure de gérer les composants de votre système sans avoir besoin d'accéder aux données système.

Que se passe-t-il si les protections sur une ressource stratégique échouent?

Parfois, une faute dans votre système de sécurité n'est qu'un inconvénient. À d'autres moments, une faute peut vous endommager, vous ou vos clients. Comprendre les ramifications de la sécurité de chaque ressource vous aide à la protéger.

Service de gestion des identités et des accès (GIA)

Vous êtes responsable de la protection de vos données d'identification d'accès au nuage et de la configuration de comptes d'utilisateur individuels. Vous êtes également responsable de la gestion et de la révision de l'accès pour vos propres comptes d'employé et pour toutes les activités dans votre location.

Oracle est responsable de fournir des services de gestion des identités et des accès efficaces tels que la gestion des identités, l'authentification, l'autorisation et la vérification.

Sécurité des charges de travail

Vous êtes responsable de la protection et de la sécurisation du système d'exploitation et des couches d'application de vos instances de calcul contre les attaques et compromis. Cette protection comprend l'application de correctifs aux applications et aux systèmes d'exploitation, la configuration des systèmes d'exploitation et la protection contre les programmes malveillants et les attaques réseau.

Oracle est responsable de fournir des images sécurisées renforcées et dotées des derniers correctifs. Oracle vous permet également d'utiliser les solutions de sécurité de tierce partie que vous utilisez déjà sur place.

Classification et conformité des données

Vous êtes responsable de la classification et de l'étiquetage de vos données ainsi que du respect des obligations de conformité. Vous êtes également responsable de la vérification de vos solutions pour vous assurer qu'elles respectent vos obligations de conformité.

Sécurité de l'infrastructure hôte

Vous êtes responsable de la configuration et de la gestion sécurisées de vos services de calcul (hôtes virtuels, conteneurs), de stockage (stockage d'objets, de fichiers, de stockage local, de volumes par blocs) et de plate-forme (configuration de base de données).

Oracle partage la responsabilité avec vous afin de vous assurer que le service est configuré et sécurisé de manière optimale. Cette responsabilité inclut la sécurité des hyperviseurs et la configuration des autorisations et des contrôles d'accès au réseau.

Sécurité du réseau

Vous êtes responsable de la configuration sécuritaire des éléments du réseau, comme les réseaux virtuels, l'équilibrage de charge, les DNS et les passerelles. Vous vous assurez que les hôtes peuvent communiquer correctement et que les appareils peuvent attacher ou monter les périphériques de stockage appropriés.

Oracle est responsable de fournir une infrastructure de réseau sécurisée. La protection L3/4 DDoS est incluse avec tous les comptes Oracle Cloud Infrastructure et aucune configuration ou surveillance n'est requise.

Protection des clients et des points d'extrémité

Votre entreprise utilise divers systèmes matériels et logiciels, comme des appareils mobiles et des navigateurs, pour accéder à vos ressources en nuage. Vous devez assurer la sécurité de tous les clients et de tous les points d'extrémité que vous autorisez à accéder aux services OCI.

Sécurité physique

Oracle est responsable de la protection de l'infrastructure mondiale qui exécute les services offerts dans OCI. Cette infrastructure se compose de matériel, de logiciels, de réseaux et d'installations.

Culture de sécurité

Une culture axée sur la sécurité est essentielle à la création d'une organisation à l'esprit sécuritaire. Tous les membres de l'équipe OCI comprennent le rôle que joue la sécurité dans notre entreprise et ils sont activement engagés dans la gestion et l'amélioration de la sécurité de nos produits. Nous avons également mis en place les mécanismes suivants pour nous aider à créer et à maintenir une culture soucieuse de la sécurité :

• Leadership axé sur la sécurité : La haute direction participe activement à la planification, à la surveillance et à la gestion de la sécurité. Nous nous définissons et nous mesurons par rapport aux mesures de sécurité et incluons la sécurité en tant que composant dans les processus d'évaluation d'équipe.
• Expertise intégrée : Les membres de l'équipe de sécurité travaillent en étroite collaboration avec les équipes de développement de produits. Cette approche permet à notre organisation de sécurité d'acquérir une compréhension approfondie des processus de développement de produit et des architectures de système. Cette approche aide également les équipes à résoudre rapidement les problèmes de sécurité et à piloter les initiatives de sécurité plus efficacement.
• Norme de sécurité commune : Nous intégrons la sécurité dans nos produits et opérations. Par exemple, nous établissons une référence de normes de sécurité. Cette référence fournit un point de référence de sécurité unique et établit des directives claires et exploitables. Nous mettons fréquemment à jour cette base de référence pour intégrer les leçons apprises et refléter les facteurs commerciaux émergents. Nous créons également du matériel de soutien pour aider nos équipes à mettre en œuvre des contrôles de sécurité. Ces matériaux comprennent des architectures de référence, des guides de mise en œuvre et l'accès à des experts en sécurité.
• Ouverture, débat constructif et encouragement à l'escalade : Les problèmes de sécurité peuvent être résolus uniquement lorsque les personnes qui peuvent les résoudre en sont informées. Nous encourageons l'escalade et nous travaillons à créer un environnement dans lequel le signalement précoce et fréquent des problèmes est récompensé.
• Sensibilisation à la formation en matière de sécurité : Nous tenons à jour des programmes fiables de formation et de sensibilisation sur la sécurité qui renforcent notre culture de sécurité. Nous avons besoin de formations approfondies sur la sécurité pour tous les nouveaux employés et de formations annuelles de recyclage. Nous offrons également une formation en sécurité adaptée à des rôles professionnels spécifiques. Tous nos développeurs de logiciel suivent une formation sur le développement sécurisé qui établit les exigences de sécurité de base pour le développement de produits et qui décrit les meilleures pratiques en la matière. Nous offrons également des formes attrayantes et innovantes de formation à la sensibilisation à la sécurité, telles que des conférenciers invités et des forums interactifs.

Conceptions et contrôles de sécurité

Nous intégrons la sécurité dans nos produits et opérations en nuage au moyen d'une méthodologie centralisée. Cette méthodologie définit notre approche pour plusieurs domaines de sécurité de base, et ensemble ces domaines forment la base de sécurité à partir de laquelle nous construisons nos produits. Cette approche nous aide à appliquer les meilleures pratiques et les leçons apprises d'un produit à l'échelle de l'entreprise, ce qui améliore la sécurité de tous nos produits.

• Authentification de l'utilisateur et contrôle d'accès : Une approche avec privilège minimal est utilisée pour accorder l'accès aux systèmes de production. Les listes approuvées des membres de l'équipe de service sont périodiquement révisées pour révoquer l'accès lorsque le besoin ne peut être justifié. L'accès aux systèmes de production nécessite également l'authentification multifacteur (AMF). L'équipe de sécurité accorde des jetons d'authentification multifacteur et les jetons des membres inactifs sont désactivés. Tous les accès aux systèmes de production sont enregistrés et les journaux sont stockés aux fins d'analyse de la sécurité.
• Gestion des modifications : Nous suivons un processus rigoureux de gestion et de déploiement des modifications qui utilise des outils propriétaires de test et de déploiement. Toutes les modifications déployées dans notre environnement de production sont testées et approuvées avant leur publication. Ce processus garantit que les modifications fonctionnent comme prévu et peuvent être repositionnées à un état précédent pour effectuer une récupération normale à la suite de bogues ou de problèmes opérationnels. Nous effectuons également le suivi de l'intégrité des configurations système critiques pour s'assurer qu'elles correspondent à l'état attendu.
• Gestion de la vulnérabilité : Nous utilisons des équipes internes de test d' pénétration et des experts externes du secteur pour nous aider à identifier les vulnérabilités potentielles dans nos produits. Ces experts nous aident à améliorer la sécurité de nos produits et nous veillons à intégrer les leçons apprises dans nos activités de développement futur. Nous analysons également périodiquement les hôtes OCI à la recherche de vulnérabilités à l'aide de scanners conformes aux normes de l'industrie. Nous déterminons si les résultats de l'analyse s'appliquent à l'environnement OCI et si les équipes de produits appliquent les correctifs requis, au besoin.
• Réponse aux incidents : Nous avons des processus et des mécanismes solides pour nous permettre de répondre aux incidents et de les traiter lorsqu'ils se produisent. Les équipes d'intervention en cas d'incident sont prêtes à détecter les événements 24/7 et à y répondre. Les membres du personnel critique portent des appareils de pagination afin que nous puissions faire appel à l'expertise nécessaire pour résoudre les problèmes.

  Nous avons également un processus pour nous aider à tirer des leçons de nos incidents. Nous effectuons une analyse des causes fondamentales au moyen de notre processus d'action corrective et préventive (CAPA). Les CAPA nous aident à découvrir les lacunes et les changements que nous pouvons apporter après un incident. Les CAPA sont un langage commun que nous pouvons utiliser pour réfléchir à un problème et saisir les étapes pour améliorer la disponibilité opérationnelle future. Les actions correctives et préventives contiennent la cause fondamentale d'un problème, ce qui est requis pour le contenir ou le corriger et les étapes à suivre pour garantir que le problème ne se reproduira pas. Notre équipe de direction examine toutes les actions correctives et préventives, recherche les applications interorganisationnelles afin de connaître les leçons apprises et veille à ce que les actions soient mises en oeuvre en temps opportun.

• Journalisation et surveillance de la sécurité : Nous disposons de mécanismes automatisés pour journaliser les événements touchant la sécurité (par exemple, appels d'API et événements de réseau) dans l'infrastructure et pour surveiller tout comportement anormal dans les journaux. L'équipe de sécurité suit et trie les alertes générées par les mécanismes de surveillance.
• Sécurité du réseau : Par défaut, les communications avec les clients au moyen des services OCI utilisent les chiffrements et la configuration TLS (Transport Layer Security) les plus récents pour sécuriser les données des clients en transit et empêcher toute attaque de type "man-in-the-middle". À titre de défense supplémentaire, les commandes de client destinées aux services sont signées numériquement à l'aide de clés publiques pour empêcher toute altération. Les services déploient également des outils et des mécanismes de premier plan de l'industrie afin de réduire les attaques de refus de service distribué (DDoS) et de maintenir la haute disponibilité.
• Sécurité du plan de contrôle : Les hôtes dorsaux OCI (plan de contrôle) sont isolés de manière sécurisée des instances de client à l'aide de listes de contrôle d'accès au réseau. Vos instances sont provisionnées et gérées par des agents logiciels qui doivent interagir avec les hôtes dorsaux. Seuls les agents logiciels authentifiés et autorisés peuvent interagir avec succès avec ces hôtes dorsaux. Pour ces hôtes, les environnements de préproduction (par exemple, les environnements de développement, de test et d'intégration) sont séparés des environnements de production afin que les activités de développement et de test n'aient aucune incidence sur les systèmes de production.
• Sécurité des serveurs et gestion des médias : Notre équipe de sécurité du matériel est responsable de la conception et du test de la sécurité du matériel utilisé pour fournir les services OCI. Cette équipe travaille avec notre chaîne d'approvisionnement et teste les composants matériels pour les valider par rapport aux normes de sécurité matérielle OCI rigoureuses. Cette équipe travaille également en étroite collaboration avec nos fonctions de développement de produits pour garantir que le matériel peut être retourné à un état primitif et sûr après que les clients ont libéré le matériel.
• Suppression d'hôte sécurisé et destruction de média : Les instances OCI sont supprimées de manière sécurisée après le lancement du matériel par les clients. Cette opération de nettoyage sécurisée rétablit l'état originel du matériel. Nous avons remanié la plate-forme avec des composants matériels exclusifs qui nous permettent de nettoyer et de réinitialiser le matériel de manière sécurisée. Lorsque le matériel sous-jacent atteint sa fin de vie, il est détruit de manière sécurisée. Avant de quitter nos centres de données, les disques sont rendus inutilisables à l'aide d'appareils de destruction de supports de pointe.

Développement de logiciel sécurisé

Le développement logiciel sécurisé nécessite l'application cohérente de méthodologies conformes à des principes et à des objectifs de sécurité clairs. Nous intégrons des pratiques de sécurité dans chaque élément de notre cycle de vie de développement de produit. Nous avons des normes officielles de développement de produits de sécurité qui sont une feuille de route et un guide pour les développeurs. Ces normes portent sur les domaines de connaissance générale sur la sécurité tels que les principes de conception et les vulnérabilités communes, et fournissent des conseils spécifiques sur des sujets tels que la validation des données, la confidentialité des données et la gestion des utilisateurs.

Nos normes de développement de produit sécurisé évoluent et s'étendent au fil du temps pour répondre aux problèmes communs affectant le code, aux nouvelles menaces au fur et à mesure de leur détection et aux nouveaux cas d'utilisation par nos clients. Les normes intègrent des analyses et des leçons apprises; elles ne sont pas isolées ni un ajout "après le fait" au développement du logiciel. Ils font partie des normes spécifiques à un langage tel que C/C++, Java, PL/SQL et d'autres. Ils constituent une pierre angulaire de nos programmes et processus de développement sécurisé.

Les analyses et tests d'assurance de la sécurité vérifient les qualités de sécurité de nos produits contre divers types d'attaques. Deux grandes catégories de tests sont utilisées : l'analyse statique et l'analyse dynamique. Ces tests s'inscrivent différemment dans le cycle de développement des produits et trouvent généralement différentes catégories de problèmes, de sorte qu'ils sont utilisés ensemble par nos équipes de produits.

Sécurité du personnel

Nous nous engageons à embaucher les meilleurs, et nous investissons dans nos employés. Nous apprécions la formation, nous exigeons une formation de base sur la sécurité pour tous nos employés et nous avons également besoin d'une formation spécialisée pour tenir nos équipes informées des technologies, exploitations et méthodologies les plus récentes en matière de sécurité. Nos programmes annuels de formation d'entreprise couvrent nos programmes de sécurité de l'information et de confidentialité, entre autres. Nous collaborons également avec divers groupes de l'industrie et envoyons nos employés à des conférences spécialisées pour collaborer avec d'autres experts de l'industrie sur les défis émergents. Nos programmes de formation en matière de sécurité ont pour objectifs d'aider les employés à mieux protéger nos clients et nos produits, de leur permettre d'améliorer leurs connaissances en matière de sécurité et de poursuivre notre mission d'attirer et de retenir les meilleurs talents.

Nous embauchons des gens avec une éthique forte et un bon jugement. Nos employés font l'objet d'une sélection avant l'emploi, comme la loi le permet, y compris une vérification des antécédents judiciaires et une validation avant l'emploi. Nous utilisons également des processus d'évaluation du rendement de l'équipe et des employés pour reconnaître le bon rendement et aider nos équipes et nos employés à identifier les opportunités de croissance. La sécurité fait partie des processus d'évaluation de notre équipe. Cette approche montre le rendement des équipes par rapport à nos normes de sécurité et nous permet d'identifier les meilleures pratiques et les domaines d'amélioration pour les processus de sécurité critiques.

Sécurité physique

Les centres de données d'Oracle Cloud Infrastructure sont conçus pour assurer la sécurité et la disponibilité des données des clients. Cette conception commence par notre processus de sélection de site. Les sites de création de candidats et les emplacements des fournisseurs font l'objet d'un processus d'évaluation du risque. Ce processus tient compte des critères suivants, entre autres : les menaces environnementales, la disponibilité et la stabilité de l'énergie, la réputation et l'histoire des fournisseurs, les fonctions des installations voisines (par exemple, la fabrication à haut risque ou les cibles à haut risque), et les questions géopolitiques.

Les centres de données OCI s'alignent sur les normes ANSI/TIA-942-A de niveau 3 ou de niveau 4 du Uptime Institute and Telecommunications Industry Association (TIA) et suivent une méthodologie de redondance N2 pour le fonctionnement de l'équipement critique. Les centres de données hébergeant les services OCI utilisent des sources d'alimentation redondantes et maintiennent des sauvegardes de générateur pour éviter une panne électrique généralisée. La température et l'humidité de l'air dans les salles de serveur sont étroitement surveillées et des systèmes d'extinction d'incendie sont en place. Le personnel des centres de données est formé aux procédures de réponse aux incidents et d'escalade pour traiter les événements de sécurité ou de disponibilité qui peuvent se produire.

Notre approche par couches de la sécurité physique commence par la construction du site. Les installations du centre de données sont construites de manière durable en acier, en béton ou avec des matériaux comparables et sont conçues pour résister à l'impact d'un véhicule léger. Nos sites sont dotés de gardes de sécurité prêts à répondre aux incidents 24/7. L'extérieur de chaque site est sécurisé par des barrières de périmètre et les véhicules sont activement surveillés par des gardes et des caméras qui couvrent le périmètre du bâtiment.

Toutes les personnes qui entrent dans nos centres de données doivent d'abord passer la sécurité aux entrées des lieux, qui sont équipées de gardiens de sécurité. Les personnes sans carte d'identification de sécurité propre au site doivent présenter une pièce d'identité émise par le gouvernement et avoir une demande d'accès approuvée leur permettant d'accéder à l'immeuble du centre de données. Tous les employés et visiteurs doivent toujours porter des badges d'identification officiels visibles. D'autres mesures de sécurité entre l'entrée et les salles de serveurs varient en fonction de la construction du site et du profil de risque.

Les salles de serveurs du centre de données sont dotées d'une plus grande sécurité, y compris des caméras couvrant les salles de serveurs, d'un contrôle d'accès à deux facteurs et de mécanismes de protection contre les intrusions. Des barrières physiques sont placées de manière à créer des zones de sécurité isolées autour des bâtis de réseau et de serveurs, du plancher (y compris sous le plancher surélevé le cas échéant) au plafond (y compris au-dessus des carreaux de plafond s'il y a lieu).

L'accès aux centres de données est soigneusement contrôlé et suit une approche d'accès avec privilège minimal. Le personnel autorisé doit approuver tous les accès aux salles du serveur et l'accès n'est accordé que pour la période nécessaire. L'utilisation de l'accès est vérifiée et la direction du centre de données vérifie périodiquement l'accès provisionné dans le système. Les salles de serveurs sont isolées en zones sécurisées gérées zone par zone. L'accès est réservé aux zones requises par le personnel.

Opérations de sécurité

L'équipe des opérations de sécurité d'Oracle Cloud Infrastructure est responsable de la surveillance et de la sécurité des technologies uniques d'hébergement et de réseau virtuel OCI. Cette équipe travaille directement avec les ingénieurs d'Oracle qui développent ces technologies et les forme.

Nous surveillons quotidiennement les menaces émergentes sur Internet et mettons en oeuvre des plans de réponse et de défense appropriés afin de réduire les risques pour l'entreprise. Lorsque nous déterminons que des modifications urgentes sont recommandées et qu'elles relèvent de la responsabilité du client, nous émettons des bulletins d'alerte de sécurité aux clients concernés pour assurer leur protection.

Lorsqu'un problème de sécurité détecté ou signalé affecte les serveurs ou les réseaux OCI, le personnel des opérations de sécurité est disponible 24/7 pour répondre, escalader ou prendre les mesures correctives requises. Au besoin, nous escaladons et coordonnons avec des parties externes (y compris des fournisseurs de services de réseau et d'hébergement, des fournisseurs de matériel ou des organismes d'application de la loi) afin de protéger OCI, nos clients, ainsi que la sécurité et la réputation de notre réseau.

Lorsque l'équipe des opérations de sécurité répond à un problème de sécurité, elle agit conformément à notre processus documenté et toutes les actions sont consignées conformément aux exigences de conformité. Nous veillons toujours à respecter les objectifs de service et d'intégrité des données, la confidentialité et la continuité des activités.

Propriété et droits sur les données

Les clients d'Oracle Cloud Infrastructure restent tous les droits de propriété et de propriété intellectuelle sur leur contenu. Nous nous efforçons d'être transparents avec nos processus de protection des données et les demandes d'application de la loi que nous pourrions recevoir.

Confidentialité des données

OCI offre des fonctionnalités qui aident les clients à s'aligner sur les principes communs de confidentialité des données. Voir Caractéristiques de confidentialité d'Oracle Cloud Infrastructure.

Demandes d'application de la loi

Sauf indication contraire requise par la loi, Oracle informe rapidement les clients de toute citation à comparaître, de tout ordre judiciaire, administratif ou arbitraire d'une agence exécutive ou administrative ou d'une autre autorité gouvernementale qu'elle reçoit et qui se rapporte aux données personnelles qu'Oracle traite au nom des clients. À la demande du client, Oracle fournit aux clients les informations raisonnables en sa possession pertinentes pour la demande d'application de la loi ainsi que toute assistance raisonnablement requise pour répondre à la demande en temps opportun.

Conformité

Nous exerçons nos activités selon des pratiques en harmonie avec le Code de bonne pratique pour le management de la sécurité de l'information ISO/IEC 27002 dans lequel nous avons identifié un ensemble complet de contrôles de sécurité qui s'appliquent à notre entreprise. Ces contrôles de sécurité et nos opérations font l'objet d'audits externes. Nous poursuivons un large éventail de certifications, vérifications et programmes réglementaires de l'industrie et du gouvernement. Voir Conformité d'Oracle Cloud.