Documentation Oracle Cloud Infrastructure

Sécurisation de GoldenGate

Cette rubrique fournit des informations et des recommandations de sécurité pour GoldenGate.

Oracle Cloud Infrastructure GoldenGate fournit une solution de réplication de données sécurisée et facile à l'utilisation, conforme aux meilleures pratiques de sécurité du secteur.

Responsabilités en matière de sécurité

Pour utiliser GoldenGate en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.
  • Cryptage et confidentialité : des clés de cryptage et des clés secrètes pour GoldenGate sont stockées dans des portefeuilles et des coffres pour protéger vos données et la connexion à des ressources sécurisées.
  • Sécurité réseau : l'accès crypté à la console de déploiement GoldenGate est activé sur SSL sur le port 443 uniquement. Par défaut, l'accès à la console de déploiement GoldenGate est uniquement disponible à partir d'une adresse privée OCI du réseau privé du client. Des adresses publiques peuvent être configurées pour permettre un accès public chiffré à la console de déploiement GoldenGate sur SSL via le port 443.

Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :

  • Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.
  • GoldenGate Gestion des comptes de la console de déploiement : l'accès à la console de déploiement GoldenGate est géré dans la console OCI. Les comptes et les droits d'accès sont gérés dans la console de déploiement GoldenGate. En savoir plus sur les utilisateurs de déploiement.
  • Sécurité réseau : vous configurez la connectivité réseau aux sources et aux cibles (inscriptions de base de données OCI GoldenGate). Assurez-vous que ces inscriptions de base de données sont sécurisées et cryptées. Chaque inscription de base de données OCI GoldenGate peut être sécurisée à l'aide de SSL en configurant les paramètres SSL appropriés. Reportez-vous à Gestion des inscriptions de base de données.
  • Cryptage de réseau : par défaut, l'ensemble de la connectivité réseau à OCI GoldenGate est crypté via SSL avec des certificats fournis par Oracle. Assurez-vous que les clés de certificat ou de cryptage que vous fournissez sont en cours et valides.
  • Audit des événements de sécurité : la console de déploiement OCI GoldenGate consigne les événements de sécurité dans un journal. Vous pouvez accéder à ce journal et le consulter dans la sauvegarde de déploiement OCI GoldenGate. Veillez à surveiller ce journal régulièrement. En savoir plus sur les sauvegardes de déploiement.
  • Application de patches : assurez-vous que les déploiements OCI GoldenGate sont à jour. Des mises à jour sont publiées tous les mois. Vous devez effectuer la mise à niveau vers le dernier niveau de patch de déploiement dès que possible afin d'éviter toute vulnérabilité. En savoir plus sur les déploiements d'application de patches.
  • Audit de l'accès distant via l'équilibreur de charge ou le bastion : veillez à activer et à configurer de manière appropriée l'audit de tout accès distant non direct à OCI GoldenGate. Pour plus d'informations, reportez-vous à Logging for Load Balancers.

Stratégies IAM

Utilisez des stratégies pour limiter l'accès à GoldenGate.

Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.

GoldenGate Recommandations IAM :

  • Affectez aux utilisateurs et aux groupes IAM l'accès du moindre privilège aux types de ressource dans goldengate-family.
  • Pour minimiser la perte de données en raison de suppressions par inadvertance par un utilisateur autorisé ou de suppressions malveillantes, Oracle recommande d'accorder les droits d'accès GOLDENGATE_DEPLOYMENT_DELETE et GOLDENGATE_DATABASE_REGISTRATION_DELETE à un nombre d'utilisateurs et de groupes IAM limité. Accordez ces droits d'accès uniquement aux administrateurs de location et de compartiment.
  • GoldenGate n'a besoin que d'un accès de niveau USE pour capturer les données des inscriptions de base de données.

Exemples de stratégie :

Empêcher la suppression des déploiements

Créez la stratégie suivante pour autoriser le groupe ggs-users à effectuer toutes les actions sur les déploiements, à l'exception de leur suppression .

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Pour plus d'informations sur la création de stratégies GoldenGate, reportez-vous à Stratégies Oracle Cloud Infrastructure GoldenGate.