Déployer les applications Oracle Financial Crime and Compliance Management dans le cloud

Oracle Financial Crime and Compliance Management est une suite complète d'applications qui aident les institutions financières à lutter contre le blanchiment d'argent et d'autres crimes financiers tout en respectant les règlements connexes. Il appuie l'éventail complet des cas d'utilisation de la criminalité financière, de la diligence raisonnable des clients à la surveillance des transactions, aux enquêtes, aux rapports réglementaires et aux connaissances en matière de gestion.

Déployez les applications Oracle Financial Crime and Compliance Management sur Oracle Cloud Infrastructure et profitez des avantages fonctionnels suivants :

• Déplacez votre infrastructure vers le cloud avec un besoin minimal à zéro pour modifier votre architecture d'application.
• Réduire le coût total de propriété en réduisant la surproduction et en passant des coûts fixes aux coûts variables.
• Réduisez le risque d'interruption des opérations commerciales et augmentez votre réactivité et votre satisfaction de la clientèle.

Architecture

Cette architecture de référence indique l'infrastructure requise pour déployer les applications Oracle Financial Crime and Compliance Management dans le cloud.

Le niveau middleware, le niveau d'application et le niveau de base de données se trouvent dans des sous-réseaux privés distincts, accessibles via un hôte bastion. L'accès externe aux applications passe par un équilibreur de charge public. Chaque niveau dispose de ressources redondantes réparties dans différents domaines de pannes, assurant ainsi un environnement d'application hautement disponible sur l'ensemble de la pile.

Description de l'illustration fccm_oci_architecture.png

L'architecture comporte les composants suivants :

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes des autres régions et de vastes distances peuvent les séparer (d'un pays à l'autre ou même d'un continent à l'autre).

• Domaine de disponibilité

  Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui permet de tolérer les pannes. Les domaines de disponibilité ne partagent pas d'infrastructure comme l'alimentation ou le refroidissement, ou le réseau de domaine de disponibilité interne. Il est donc peu probable qu'un échec dans un domaine de disponibilité affecte les autres domaines de disponibilité de la région.

• Domaine de pannes

  Un domaine de pannes est un regroupement de matériel et d'infrastructure au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes dotés d'une alimentation et d'un matériel indépendants. Lorsque vous distribuez des ressources dans plusieurs domaines de pannes, vos applications peuvent tolérer les pannes de serveur physique, la maintenance du système et les pannes de courant dans un domaine de pannes.

• Réseau cloud virtuel (VCN) et sous-réseau

  Un VCN est un réseau personnalisé et défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centres de données traditionnels, les VCN vous donnent un contrôle complet sur votre environnement de réseau. Un VCN peut comporter plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé VCN. Vous pouvez segmenter un VCN en sous-réseaux, qui peuvent être étendus à une région ou à un domaine de disponibilité. Chaque sous-réseau comprend une plage d'adresses contiguës qui ne chevauchent pas les autres sous-réseaux de VCN. Vous pouvez modifier la taille d'un sous-réseau après la création. Un sous-réseau peut être public ou privé.

• Balanceur de charge

  Le service Oracle Cloud Infrastructure Load Balancing fournit une distribution automatisée du trafic d'un point d'entrée à plusieurs serveurs d'applications dans le back-end. L'équilibreur de charge fournit un frontal aux serveurs d'applications, isolant et empêchant l'accès inutile ou non autorisé aux couches internes.

  Lorsque vous créez la couche d'application en mode cluster, vous pouvez configurer l'équilibreur de charge pour distribuer le trafic sur les serveurs de votre domaine Oracle WebLogic Server.

• Bastion host

  L'hôte bastion est une instance de calcul qui sert de point d'entrée sécurisé et contrôlé vers la topologie depuis l'extérieur du nuage. L'hôte du bastion est généralement provisionné dans une zone démilitarisée (DMZ). Il vous permet de protéger les ressources sensibles en les plaçant dans des réseaux privés auxquels vous ne pouvez pas accéder directement depuis l'extérieur du cloud. La topologie dispose d'un seul point d'entrée connu que vous pouvez surveiller et auditer régulièrement. Ainsi, vous pouvez éviter d'exposer les composants les plus sensibles de la topologie sans compromettre leur accès.

• Niveau Applications

  Le serveur Oracle Financial Crime and Compliance Management est le noeud hébergeant les binaires de produits, les services multithreads pour la gestion des métadonnées et les cadres de traitement par lots.

• Niveau Middleware
  Le niveau middleware contient les composants suivants :

  • Oracle WebLogic Server
  • Oracle Data Integrator : obligatoire uniquement si vous utilisez Oracle Financial Services Data Integration Hub
• Niveau de base de données
  Le système de base de données (DB) est une base de données Oracle avec jusqu'à trois bases de données pluggables (PDB) pour les composants suivants :

  • Schéma de configuration et schéma d'application
  • Oracle Analytics : obligatoire si vous souhaitez déployer le référentiel pour Oracle Analytics dans la même base de données
  • Oracle OLAP (Online Analytical Processing) et Oracle Hyperion Essbase : Obligatoire uniquement pour les déploiements utilisant la fonctionnalité OLAP d'Oracle Financial Services Analytical Applications

  Vous pouvez installer Oracle Database sur des instances de calcul ou provisionner des systèmes Oracle Cloud Infrastructure Database comme indiqué dans l'architecture. Utilisez l'édition haute performance.

• Passerelle NAT

  La passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet, sans exposer ces ressources à des connexions Internet entrantes.

• Passerelle Internet

  La passerelle Internet permet le trafic entre les sous-réseaux publics dans un VCN et Internet public.

Remarques

• Performances

  Vous pouvez adapter les performances de l'architecture en fonction des besoins. Vous pouvez utiliser des formes plus grandes et ajouter d'autres instances pour redistribuer le chargement.

• Sécurité

  À l'exception de l'hôte du bastion (le cas échéant) et des équilibreurs de charge, tous les composants doivent être placés dans des sous-réseaux privés.

• Disponibilité

  Dans cette architecture, les ressources redondantes sont provisionnées dans chaque couche, assurant une haute disponibilité. Vous pouvez modifier l'architecture pour répartir les ressources entre plusieurs régions. Pour plus de protection des données, vous pouvez également utiliser les fonctions de sauvegarde de base de données et de sauvegarde de volume d'Oracle Cloud Infrastructure.

• Coût

  Vous pouvez ajuster les instances de calcul et les systèmes de base de données pour utiliser des formes plus grandes lorsque la charge augmente et se rétrécit en formes plus petites lorsque la charge diminue.

Recommandations

Vos exigences peuvent différer de l'architecture décrite ici. Utilisez les recommandations suivantes comme point de départ.

• VCN

  Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher à des sous-réseaux dans VCN. Utilisez les blocs CIDR qui se trouvent dans l'espace d'adresse IP privé standard.

  Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) auquel vous avez l'intention de configurer des connexions privées.

  Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

  Lorsque vous concevez les sous-réseaux, tenez compte de vos besoins en matière de flux de trafic et de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

  Utilisez des sous-réseaux régionaux.

• Balanceur de charge

  La forme la plus petite pour l'équilibreur de charge est 100 Mbps. En fonction du nombre de connexions simultanées nécessaires et du débit, vous pouvez utiliser des formes plus grandes. Nous vous recommandons d'utiliser des noms DNS car l'adresse IP de l'équilibreur de charge ne peut pas être réservée.

• Calculer les instances

  Cette architecture utilise une instance de calcul unique dans chaque domaine d'erreur. Mais en fonction de votre charge globale, vous pouvez choisir de déployer les composants de l'application sur différentes instances de calcul.

• Systèmes de base de données

  Pour un déploiement restreint, une seule instance de base de données avec deux OCPU suffit. Cette architecture utilise un déploiement avec deux systèmes de base de données, dont l'un est une veille.

• Stockage

  Les instances de calcul de cette architecture utilisent un stockage de blocs standard ; aucune performance supplémentaire n'est requise.

• Connectivité réseau

  Pour permettre à vos administrateurs de gérer l'environnement, vous pouvez connecter la topologie cloud à votre infrastructure sur site existante à l'aide de connexions VPN IPSec site à site ou de circuits FastConnect dédiés.

  Si la topologie du cloud doit être séparée de l'infrastructure sur site, vous pouvez déployer un hôte bastion pour sécuriser l'accès à la gestion des ressources des sous-réseaux privés.

• Sécurité

  • Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure de manière proactive. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources pour détecter les faiblesses de sécurité et surveiller les opérateurs et les utilisateurs pour détecter les activités risquées. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des mesures correctives et aide à prendre ces actions, en fonction des recettes du répondeur que vous pouvez définir.

  • Pour les ressources nécessitant une sécurité maximale, Oracle vous recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette définie par Oracle de stratégies de sécurité basées sur les meilleures pratiques. Par exemple, les ressources d'une zone de sécurité ne doivent pas être accessibles à partir d'Internet public et elles doivent être cryptées à l'aide de clés gérées par le client. Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations par rapport aux stratégies de la recette de zone de sécurité et refuse les opérations qui violent l'une quelconque des stratégies.

Plus d'informations

• Applications Oracle Financial Crime and Compliance Management
• Structure des meilleures pratiques pour Oracle Cloud Infrastructure
• Apprenez-en plus sur la protection de votre topologie cloud contre les catastrophes
• En savoir plus sur l'architecture d'une topologie cloud hautement disponible