Fonctions de sécurité dans une base de données d'intelligence artificielle autonome sur une infrastructure Exadata dédiée
Cet article décrit les principales fonctions de sécurité de la base de données avec intelligence artificielle autonome sur une infrastructure Exadata dédiée.
Notez que tout au long de cette section, le terme " vous " est généralement utilisé pour désigner tout administrateur de votre organisation qui a la responsabilité d'effectuer certaines tâches. Dans certains cas, il s'agit de l'administrateur de parc, dans d'autres, il s'agit de l'administrateur de base de données.
Outre les fonctions de sécurité standard d'Oracle AI Database, telles que l'analyse des privilèges, le chiffrement du réseau, les utilisateurs gérés de manière centralisée, les rôles d'application sécurisés, la protection transparente des données sensibles, etc., une base de données d'IA autonome dédiée ajoute Database Vault, Data Safe et d'autres fonctions de sécurité avancées sans frais supplémentaires.
Vous pouvez voir les composants de base des principales fonctions de sécurité d'une base de données dédiée à l'IA autonome, illustrés ci-dessous.
Description de l'illustration adbd-security-features.svg
Gestion des configurations
Fondée sur Oracle Cloud Infrastructure, Autonomous AI Database fournit des configurations de sécurité standard renforcées afin que vous et votre équipe n'ayez pas besoin de consacrer d'énormes quantités de temps et d'argent à la gestion des configurations dans l'ensemble de votre parc de bases de données Autonomous AI Database. Tous les comptes de service tels que SYS et System font l'objet d'une rotation tous les 90 jours. Reportez-vous à Gestion de la configuration dans la base de données d'IA autonome pour plus d'informations.
Les correctifs et les mises à jour de sécurité sont appliqués automatiquement, vous n'avez donc pas à vous soucier de maintenir la sécurité à jour. Ces capacités protègent vos bases de données et vos données hautement sensibles contre des vulnérabilités et des violations de sécurité coûteuses et potentiellement désastreuses. Pour plus de détails, consultez Maintenance du service de base de données dédiée à l'IA autonome.
Chiffrement des données
Autonomous AI Database stocke toutes les données dans un format chiffré dans Oracle Database. Seuls les utilisateurs et les applications authentifiés peuvent accéder aux données lorsqu'ils se connectent à la base de données.
Autonomous AI Database utilise le chiffrement permanent qui protège les données au repos et en transit. Toutes les données stockées et les communications réseau avec Oracle Cloud sont chiffrées par défaut. Le chiffrement ne peut pas être désactivé.
Reportez-vous à Chiffrement des données dans une base de données dédiée à l'IA autonome pour plus de détails sur le chiffrement des données et les clés de chiffrement principales.
Vérification
Oracle Autonomous AI Database sur une infrastructure Exadata dédiée fournit des capacités de vérification robustes qui vous permettent de suivre qui a fait quoi sur le service et sur des bases de données spécifiques. Grâce aux données de journalisation complètes, vous pouvez vérifier et surveiller les actions effectuées sur vos ressources, ce qui vous permet de respecter les exigences de vérification tout en réduisant les risques liés à la sécurité et à l'exploitation.
Pour plus de détails, consultez Fonctions de vérification dans une base de données dédiée à l'IA autonome.
Contrôle d'accès
Lors de la configuration de la fonction d'infrastructure Exadata dédiée, vous devez vous assurer que les utilisateurs du nuage ont accès à utiliser et à créer uniquement les types de ressource en nuage appropriés pour effectuer leur tâche. En outre, vous devez vous assurer que seuls le personnel et les applications autorisés ont accès aux bases de données d'IA autonomes créées sur l'infrastructure dédiée. Sinon, vous courez le risque d'une consommation " fugitive " de vos ressources d'infrastructure dédiées ou d'un accès inapproprié aux données critiques.
La sécurisation de l'accès à vos données et aux bases de données qui les contiennent implique plusieurs types de contrôle d'accès. Pour plus de détails, consultez Contrôle de l'accès dans une base de données dédiée à l'IA autonome.
Gestion des certificats
Lorsqu'un client tente de se connecter à une base de données IA autonome au moyen d'un service de connexion à une base de données TCPS (Secure TCP), Oracle Autonomous AI Database sur une infrastructure Exadata dédiée utilise l'authentification basée sur un certificat TLS 1.2 et TLS 1.3 standard pour authentifier la connexion. Cependant, TLS 1.3 n'est pris en charge que sur Oracle AI Database 23ai ou une version ultérieure. Que le client tente de se connecter au moyen d'un service de connexion à la base de données TCPS ou TCP, l'accès du client à la base de données est limité par les droits d'accès de l'utilisateur de base de données que le client utilise pour se connecter.
Certificat auto-signé géré par Oracle
Par défaut, Autonomous AI Database utilise des certificats auto-signés. Un certificat auto-signé est un certificat de sécurité généré par le système.
Génération de certificat
Les certificats auto-signés gérés par Oracle sont générés automatiquement lors du provisionnement d'une grappe de machines virtuelles Exadata autonome (AVMC) et s'appliquent à toutes les bases de données créées dans cette grappe.
Gestion des certificats
Les certificats auto-signés sont générés et associés automatiquement à une machine virtuelle autonome. Toutefois, vous devez télécharger le portefeuille du client de base de données du service d'intelligence artificielle autonome avant de vous connecter à vos bases de données. Avec les certificats auto-signés, la connexion à des bases de données sans portefeuille n'est pas une option. Consultez Télécharger les données d'identification de client pour obtenir des instructions sur le téléchargement d'un portefeuille pour votre base de données.
Selon les exigences, l'un des types de certificat suivants est associé à votre machine virtuelle autonome :
-
Certificat SSL de base de données : Certificat SSL pour les connexions de client de base de données.
-
Certificat SSL ORDS : Certificat SSL pour les applications Application Express (APEX).
Rotation de certificat
Pour répondre aux besoins de conformité en matière de sécurité de votre organisation, vous pouvez effectuer la rotation des certificats auto-signés gérés par Oracle à l'aide de la console ou de l'API Oracle Cloud Infrastructure. Consultez Gérer les certificats de sécurité pour une ressource de grappe de machines virtuelles Exadata autonome pour obtenir des instructions étape par étape. C'est ce qu'on appelle la rotation des certificats.
Pour les nouvelles ressources de grappe de machines virtuelles Exadata autonome (AVMC) provisionnées, les certificats auto-signés gérés par Oracle ont une validité de 13 mois à compter de leur création. La rotation d'un certificat SSL à l'aide de la console ou de l'API entraîne la rotation des certificats côté serveur et côté client et réinitialise leur validité à 13 mois. Lorsqu'un certificat côté serveur ou côté client géré par Oracle ne fait pas l'objet d'une rotation avant son expiration, Oracle le fait automatiquement et génère de nouveaux portefeuilles.
Dans le cas des certificats SSL de base de données, la rotation de certificat n'invalide pas immédiatement le certificat existant.
Dans les deux semaines suivant la rotation du certificat, vous pouvez vous connecter à vos bases de données à l'aide du portefeuille de client du service d'intelligence artificielle autonome que vous avez téléchargé avant ou après la rotation du certificat.
Après deux semaines de rotation du certificat :
-
Le portefeuille de base de données téléchargé avant la rotation du certificat n'est pas valide et ne peut pas être utilisé pour se connecter à vos bases de données.
-
Le portefeuille de base de données téléchargé en deux semaines à partir de la rotation de certificat reste actif et peut être utilisé pour se connecter à vos bases de données.
-
Tout nouveau portefeuille de base de données téléchargé au bout de deux semaines à partir de la rotation de certificat peut être utilisé pour se connecter à vos bases de données.
Discutons de cela avec un exemple :
Considérez qu'un certificat SSL, par exemple C1, doit expirer et que vous avez effectué la rotation de ce certificat le 1er février. Pendant deux semaines à partir du 1er février, jusqu'au 14 février, l'ancien certificat (C1) est toujours disponible. Vous pouvez continuer à utiliser l'ancien certificat (C1) ou télécharger un nouveau portefeuille de base de données pour le certificat rotatif (C2) pour vos connexions à la base de données. Après deux semaines à partir du 1er février, c'est-à-dire à partir du 14 février, l'ancien certificat (C1) est invalidé et ne peut pas être utilisé pour les connexions à la base de données. Vous pouvez continuer à utiliser le portefeuille de base de données que vous avez téléchargé après la rotation de certificat (C2) au cours de ces deux semaines. Vous pouvez également télécharger un nouveau portefeuille de base de données et commencer à l'utiliser pour vos connexions à la base de données après deux semaines de rotation.
Vous pouvez également effectuer la rotation d'un certificat SSL de base de données dans un délai de deux semaines à partir de sa rotation la plus récente. Dans ce scénario, l'ancien certificat (qui est sur le point d'être invalidé en raison de la première rotation) est désactivé immédiatement. Le certificat suivant (résultant de la première rotation) reste actif, et un troisième certificat (résultant de la deuxième rotation) attend son activation pendant deux semaines à partir de la deuxième rotation. Tout portefeuille de base de données téléchargé avant la première rotation est invalidé peu après la deuxième rotation. Vous pouvez continuer à vous connecter à la base de données avec n'importe quel portefeuille de base de données téléchargé après la première rotation jusqu'à deux semaines après la deuxième rotation. Après deux semaines de la deuxième rotation, vous ne pouvez vous connecter à vos bases de données qu'à l'aide d'un portefeuille client téléchargé après la deuxième rotation, c'est-à-dire un portefeuille qui a été téléchargé dans les deux semaines suivant la deuxième rotation ou ultérieurement.
Dans l'exemple ci-dessus, si vous effectuez une nouvelle rotation du même certificat (C1) dans un délai de deux semaines à partir du 1er février, le certificat subit une double rotation. Dans ce cas, l'ancien certificat (certificat avant la première rotation, c'est-à-dire C1) est invalidé immédiatement. Le certificat résultant de la première rotation (C2) reste actif et un troisième certificat résultant de la deuxième rotation, par exemple C3, attendra son activation pendant deux semaines à partir de la deuxième rotation. Après deux semaines à partir de la deuxième rotation, le certificat résultant de la première rotation (C2) est également invalidé et tous les portefeuilles de base de données téléchargés avant la deuxième rotation ne peuvent pas être utilisés pour les connexions à la base de données. Vous pouvez continuer à utiliser le portefeuille de base de données que vous avez téléchargé après la rotation de certificat (C3) au cours de ces deux semaines. Vous pouvez également télécharger un nouveau portefeuille de base de données et commencer à l'utiliser pour vos connexions à la base de données après deux semaines à compter de la deuxième rotation.
Dans le cas des certificats SSL ORDS, toutes les connexions d'application existantes seront perdues avec la rotation de certificat et il est conseillé de redémarrer ORDS. La période tampon de deux semaines décrite ci-dessus ne s'applique pas lorsque vous effectuez la rotation d'un certificat SSL ORDS.
Apportez votre propre certificat (BYOC)
L'option Utiliser son propre certificat (BYOC) vous permet d'utiliser votre certificat côté serveur signé par une autorité de certification avec vos bases de données d'intelligence artificielle autonomes.
Génération de certificat
Pour utiliser votre propre certificat, vous devez d'abord le créer à l'aide du service de certificats pour Oracle Cloud Infrastructure (OCI), comme illustré dans la rubrique Création d'un certificat. Ces certificats doivent être signés et être dans le format PEM, c'est-à-dire que leur extension de fichier ne doit être que .pem, .cer ou .crt.
Installation de certificat
Après avoir créé le certificat côté serveur signé par l'autorité de certification, vous devez l'installer avec votre machine virtuelle autonome afin que toutes les bases de données qui y sont créées puissent utiliser ce certificat pour des connexions sécurisées. L'association de votre certificat BYOC à une machine virtuelle autonome est facilitée à partir de la boîte de dialogue Gérer les certificats de la console OCI. Dans cette boîte de dialogue, sélectionnez Utiliser votre propre certificat et sélectionnez le certificat que vous auriez créé précédemment dans la liste de sélection. Facultativement, vous pouvez également spécifier un certificat AC avec une autorité de certification et un ensemble AC. Toutefois, si vous sélectionnez un ensemble AC pour un certificat SSL ORDS, l'ensemble ne doit contenir que des certificats qui font partie de la chaîne de certificats. Consultez Gérer les certificats de sécurité pour une ressource de grappe de machines virtuelles Exadata autonome pour obtenir des instructions étape par étape.
Gestion des certificats
Vous pouvez vous connecter aux bases de données d'IA autonomes associées à un côté serveur signé par une autorité de certification avec ou sans portefeuille client de base de données d'IA autonome.
-
Pour vous connecter à votre base de données à l'aide d'un portefeuille de base de données, vous devez d'abord télécharger les données d'identification du client à partir de la page Détails de la base de données à l'aide de la console OCI. Pour obtenir des instructions, voir Télécharger les données d'identification de client.
-
Pour vous connecter à votre base de données sans portefeuille client, vous devez vous assurer que :
-
Les connexions TLS unidirectionnelles sont activées au niveau AVMC. Il s'agit d'un paramètre défini à l'aide du paramètre Module d'écoute dans les options avancées lors du provisionnement de la grappe de machines virtuelles autonome. Pour plus d'informations, voir Créer une grappe de machines virtuelles Exadata autonome.
-
Le certificat côté serveur signé par l'autorité de certification est signé par une autorité de certification publique bien connue, de sorte qu'il est approuvé par le système d'exploitation client par défaut.
-
Rotation de certificat
Pour répondre aux besoins de conformité en matière de sécurité de votre organisation, vous pouvez effectuer la rotation des certificats côté serveur signés par l'autorité de certification à l'aide de la console ou de l'API Oracle Cloud Infrastructure. Consultez Gérer les certificats de sécurité pour une ressource de grappe de machines virtuelles Exadata autonome pour obtenir des instructions étape par étape.
Vous devez les faire pivoter avant leur date d'expiration, faute de quoi les bases de données de cette machine virtuelle autonome ne seront pas accessibles sur les ports TLS tant que vous n'aurez pas fourni un certificat valide. Toutefois, vous pouvez continuer à accéder aux bases de données sur un port non TLS tel que 1521.
Événements de certificat
Les événements suivants sont publiés pour la gestion des certificats de sécurité :
| Événement | Généré lorsque |
|---|---|
| sslcertificateexpiry.reminder | Une grappe de machines virtuelles Exadata autonome détermine qu'un portefeuille doit expirer dans moins de six (6) semaines. Cet événement est signalé une fois par semaine au maximum. Cet événement est déclenché lorsqu'une connexion qui utilise le portefeuille arrive à expiration. |
| sslcertificate.expiré | Le certificat SSL expire. Tous les portefeuilles de base de données avec intelligence artificielle autonome associés à cette grappe de machines virtuelles Exadata autonome expireront. |
| sslcertificaterotation.reminder | Un certificat SSL date de plus de 365 jours et recommande au client de faire pivoter le certificat. Une fois qu'un certificat SSL a atteint 365 jours d'ancienneté, ce rappel est généré une fois par semaine jusqu'à ce que la rotation du certificat soit effectuée. |
| sslcertificate.rotée | La rotation du certificat SSL est effectuée manuellement (à l'aide de la console ou de l'API Oracle Cloud Infrastructure) ou automatiquement à son expiration. |
Conseil : Abonnez-vous à ces événements à l'aide du service d'avis OCI pour les recevoir chaque fois qu'ils sont publiés. Pour plus de détails, voir Création d'un abonnement.
Reportez-vous à Événements pour une base de données d'IA autonome sur une infrastructure Exadata dédiée pour obtenir une liste complète des événements pour une base de données d'IA autonome.
Protection des données
La protection des données est un aspect essentiel de la sécurité des données dans toutes les bases de données. Les comptes de base de données privilégiés sont l'un des chemins les plus couramment utilisés pour accéder aux données des applications sensibles de la base de données. Bien que les utilisateurs dotés de privilèges tels qu'ADMIN ou les opérateurs Oracle aient besoin d'un accès large et illimité pour faciliter la maintenance de la base de données, ce même accès crée également un point d'attaque pour accéder à de grandes quantités de données.
Autonomous AI Database vous permet de mettre en oeuvre le service Gestion de l'accès privilégié à l'aide des éléments suivants :
-
Oracle Database Vault est préconfiguré et prêt à l'emploi dans les bases de données autonomes basées sur l'IA. Vous pouvez utiliser ses contrôles de sécurité performants pour limiter l'accès aux données applicatives à des utilisateurs de base de données privilégiés, ce qui réduit les risques de menaces internes et externes et permet de respecter les exigences de conformité communes.
Vous pouvez déployer des contrôles pour bloquer l'accès des comptes privilégiés aux données applicatives et contrôler les opérations sensibles dans la base de données. Vous pouvez configurer des chemins approuvés pour ajouter des contrôles de sécurité supplémentaires régissant l'accès aux données et les modifications de base de données. Grâce à l'analyse d'exécution des privilèges et des rôles, vous pouvez accroître la sécurité des applications existantes en implémentant des privilèges minimaux et en réduisant le profil d'attaque de vos comptes de base de données. Database Vault sécurise les environnements de base de données existants de manière transparente, ce qui élimine les modifications d'application coûteuses et longues.
Oracle AI Database Vault répond principalement aux problèmes de sécurité de base de données suivants :
-
Accès du compte avec privilèges d'administration aux données d'application : Bien que l'administrateur de base de données soit l'utilisateur le plus puissant et le plus fiable, il n'a pas besoin d'accéder aux données d'application qui résident dans la base de données.
Les domaines du service de chambre forte d'Oracle AI Database autour des schémas d'application, des tables sensibles et des procédures stockées fournissent des contrôles qui empêchent les comptes privilégiés d'être exploités par des intrus et des initiés pour accéder aux données d'application sensibles. Pour plus de détails, voir Comment Oracle AI Database Vault protège les comptes d'utilisateur privilégiés dans le guide de l'administrateur d'Oracle Database 19c ou le guide de l'administrateur d'Oracle Database 26ai.
-
Séparation des fonctions pour l'accès aux données d'application : Les contrôles de séparation des fonctions d'Oracle AI Database Vault peuvent être personnalisés et les organisations ayant des ressources limitées peuvent affecter plusieurs responsabilités d'Oracle AI Database Vault au même administrateur, mais à l'aide de comptes distincts pour chaque rôle de séparation des fonctions pour réduire au minimum les dommages à la base de données si un compte est volé et utilisé. Pour plus de détails, voir Comment Oracle AI Database Vault aborde les problèmes de consolidation de base de données dans le guide de l'administrateur d'Oracle Database 19c ou le guide de l'administrateur d'Oracle Database 26ai.
Avant d'utiliser Database Vault, consultez À quoi s'attendre après avoir activé Oracle AI Database Vault dans le guide de l'administrateur d'Oracle Database 19c ou le guide de l'administrateur d'Oracle Database 26ai pour comprendre l'incidence de la configuration et de l'activation de Database Vault.
Pour plus d'informations sur la configuration et l'activation de Database Vault dans votre base de données d'intelligence artificielle autonome, voir Utiliser Oracle AI Database Vault pour gérer les privilèges d'utilisateur de base de données.
Conseil : Pour essayer le processus de configuration de Database Vault, exécutez Laboratoire 1 : Protéger les données avec Database Vault dans l'atelier Oracle Autonomous AI Database Dedicated for Security Administrators.
-
-
PAM est également utilisé pour aider à sécuriser les données pour une utilisation autorisée par le client et pour aider à protéger les données contre un accès non autorisé, ce qui inclut la prévention de l'accès aux données du client par les opérations Oracle Cloud et les membres du personnel de soutien. Le contrôle de l'accès aux opérations d'Oracle garantit que les comptes d'utilisateur utilisés par le personnel d'exploitation et de soutien d'Oracle Cloud pour surveiller et analyser la performance ne peuvent pas accéder aux données des bases de données d'intelligence artificielle autonomes. Pour plus d'informations, voir Gestion de l'accès privilégié.
Détection et masquage des données sensibles
L'identification des données sensibles (telles que le numéro de carte de crédit, le numéro SSN) et leur masquage ou leur occultation au besoin améliorent la protection des données et la sécurité globale des données.
-
Oracle Autonomous AI Database sur une infrastructure Exadata dédiée prend en charge l'intégration au service Oracle Data Safe pour vous aider à évaluer et à sécuriser vos bases de données. Oracle Data Safe vous aide à comprendre la sensibilité de vos données, à évaluer les risques pour les données, à masquer les données sensibles, à mettre en œuvre et à surveiller les contrôles de sécurité, à évaluer la sécurité des utilisateurs, à surveiller les activités des utilisateurs et à répondre aux exigences de conformité en matière de sécurité des données dans vos bases de données.
Il fournit les fonctionnalités suivantes dans une console de gestion unique et conviviale :
-
L'évaluation de la sécurité vous aide à évaluer la sécurité de la configuration de votre base de données.
-
L'évaluation des utilisateurs vous aide à évaluer la sécurité des utilisateurs de la base de données et à identifier les utilisateurs à risque élevé.
-
Le service de détection de données vous aide à trouver des données sensibles dans votre base de données. Le masquage des données vous permet de masquer les données sensibles afin qu'elles soient sécurisées à des fins autres que la production.
-
La vérification de l'activité vous permet de vérifier l'activité des utilisateurs dans votre base de données afin de surveiller l'utilisation de la base de données et d'être alerté des activités inhabituelles.
Pour plus d'informations sur l'utilisation du service de sécurité des données, voir Aperçu d'Oracle Data Safe dans Utilisation d'Oracle Data Safe.
Pour utiliser Oracle Data Safe afin d'identifier et de protéger les données sensibles et réglementées de votre base de données autonome avec intelligence artificielle, vous devez enregistrer votre base de données dans le service de sécurité des données. Après avoir enregistré votre base de données dans le service de sécurité des données, vous pouvez accéder à la console du service de sécurité des données directement à partir de la page Détails de votre base de données d'intelligence artificielle autonome. Pour plus d'informations sur l'enregistrement de votre base de données, voir Enregistrer ou annuler l'enregistrement d'une base de données dédiée de l'IA autonome dans le service de sécurité des données.
-
-
Lorsqu'une interrogation émise par une application au moment de l'exécution retourne un jeu de résultats avec des informations sensibles telles que des numéros de carte de crédit ou des ID personnels, l'expurgation des données Oracle peut vous aider à masquer les détails sensibles avant de retourner le jeu de résultats à l'application. Vous pouvez mettre en oeuvre des politiques pour l'occultation de données à l'aide de l'ensemble PL/SQL
**DBMS_REDACT**. Reportez-vous à DBMS_REDACT dans Informations de référence sur les ensembles et les types PL/SQL pour Oracle Database 19c ou Informations de référence sur les ensembles et les types PL/SQL pour Oracle Database 26ai.
Certification de conformité réglementaire
La base de données autonome sur une infrastructure Exadata dédiée répond à un large éventail de normes de conformité internationales et propres à l'industrie, notamment :
-
FedRAMP High - Federal Risk and Authorization Management Program (États-Unis) Régions gouvernementales uniquement)
-
HIPAA - Health Insurance Portability and Accountability Act
-
ISO/IEC 27001:2013 - Organisation internationale de normalisation 27001
-
ISO/IEC 27017:2015 - Code de pratique pour les contrôles de sécurité de l'information basé sur ISO/IEC 27002 pour les services infonuagiques
-
ISO/IEC 27018:2014 - Code de pratique pour la protection des informations personnelles identifiables (PII) dans les nuages publics agissant en tant que processeurs d'informations personnelles
-
PCI DSS - Payment Card Industry Data Security Standard est un ensemble d'exigences visant à garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations de carte de crédit maintiennent un environnement sécurisé
-
SOC 1 - System and Organization Controls 1
-
SOC 2 - System and Organization Controls 2
Pour plus d'informations et pour obtenir la liste complète des certifications, voir Conformité d'Oracle Cloud. Voir Documents sur la conformité pour télécharger des copies des documents de certification.