Guide de sécurité pour le service de base de données de base

Aperçu de la sécurité

Cette rubrique présente un aperçu de la sécurité du service de base de données de base. Oracle gère la sécurité de la plupart des composants, tandis que les utilisateurs sont responsables de la sécurité de certains composants.

Les composants des services en nuage sont classés en services accessibles par l'utilisateur et en infrastructure gérée par Oracle. Le service accessible par l'utilisateur désigne les composants auxquels les utilisateurs peuvent accéder dans le cadre de leur abonnement au service de base de données de base. Il s'agit de machines virtuelles et de services de base de données communément appelés systèmes de base de données et bases de données respectivement. L'infrastructure gérée par Oracle désigne le matériel qu'Oracle détient et exploite pour prendre en charge les services accessibles aux utilisateurs. Elle se compose de formes de calcul de base de données AMD ou Intel.

Oracle gérera la sécurité et l'accès aux composants d'infrastructure gérés par Oracle. Les utilisateurs gèrent la sécurité et l'accès aux services accessibles par les utilisateurs qui incluent l'accès au système de base de données et aux services de base de données, l'accès réseau au système de base de données, l'authentification pour accéder au système de base de données et l'authentification pour accéder aux bases de données exécutées sur les systèmes de base de données. Le personnel d'Oracle n'est pas autorisé à accéder aux services accessibles par l'utilisateur.

Les utilisateurs accèdent aux bases de données Oracle exécutées sur des systèmes de base de données au moyen d'une connexion de couche 2 (marquée VLAN) depuis leur équipement à l'aide de méthodes de connexion Oracle Database standard, telles qu'Oracle Net sur le port 1521. Les utilisateurs peuvent utiliser les méthodes Oracle Linux standard pour se connecter au système de base de données exécutant les bases de données Oracle, telles que SSH basée sur un jeton sur le port 22.

Le service de base de données de base utilise plusieurs contrôles de sécurité indépendants et synergiques pour aider les organisations à créer un environnement d'exploitation sécurisé pour leurs charges de travail et leurs données. Le service de base de données de base fournit les contrôles de sécurité suivants :

Défense en profondeur pour sécuriser l'environnement d'exploitation

Le service de base de données de base offre plusieurs contrôles pour assurer la confidentialité, l'intégrité et la responsabilisation dans l'ensemble du service. Le service de base de données de base applique le principe de défense en profondeur comme suit :

  • Les machines virtuelles pour les systèmes de base de données sont créées à partir de l'image renforcée du système d'exploitation basée sur Oracle Linux 7. L'environnement d'exploitation de base est sécurisé, car l'image d'installation se limite aux seuls ensembles logiciels requis, les services inutiles sont désactivés et des paramètres de configuration sécurisés sont mis en oeuvre dans tout le système.
  • En plus d'hériter de toute la puissance de la plate-forme mature Oracle Linux, d'autres choix de configuration par défaut sécurisés sont implémentés dans les instances de service. Par exemple, tous les espaces-table de base de données nécessitent un chiffrement transparent des données (TDE), une application rigoureuse des mots de passe pour les utilisateurs et les superutilisateurs initiaux de la base de données et une amélioration des règles de vérification et d'événement.
  • Le service de base de données de base constitue également un déploiement et un service complets et est soumis à des vérifications externes de normes telles que PCI, HIPPA et ISO27001. Ces exigences de vérification externe imposent des fonctions de service à valeur ajoutée supplémentaires telles que le balayage antivirus, l'alerte automatisée pour les modifications inattendues du système et les balayages de vulnérabilités pour tous les systèmes d'infrastructure gérés par Oracle dans le parc.

Moindre privilège pour les services et les utilisateurs

Les normes de programmation sécurisée d'Oracle (Oracle Secure Coding Standards) exigent le paradigme du moindre privilège. S'assurer que les applications, les services et les utilisateurs ont accès aux fonctions dont ils ont besoin pour exécuter leurs tâches n'est qu'un aspect du principe du moindre privilège. Il est tout aussi important de s'assurer que l'accès aux fonctions, services et interfaces inutiles est limité. Le service de base de données de base applique le principe du moindre privilège comme suit :

  • Chaque processus et démon doit être exécuté en tant qu'utilisateur normal sans privilège, sauf si l'utilisateur peut prouver qu'il a besoin d'un niveau de privilège plus élevé. Cela permet de limiter les problèmes ou les vulnérabilités imprévus à l'espace des utilisateurs sans privilège et de ne pas compromettre un système entier.
  • Ce principe s'applique également aux membres de l'équipe des opérations Oracle qui utilisent des comptes nommés individuels pour accéder à l'infrastructure pour la maintenance et le dépannage. Ce n'est qu'en cas de nécessité qu'ils utiliseront l'accès vérifié à des niveaux de privilège plus élevés pour résoudre un problème. La plupart des problèmes étant résolus par l'automatisation, nous utilisons également le principe du moindre privilège en n'autorisant pas les opérateurs humains à accéder à un système, sauf si l'automatisation est incapable de résoudre le problème.

Vérification et responsabilisation des événements et des actions

Un système doit être en mesure de reconnaître et d'aviser les utilisateurs des incidents lorsqu'ils surviennent. De même, lorsqu'un incident ne peut pas être évité, une organisation doit être en mesure d'identifier son occurrence afin de prendre les mesures appropriées. Le service de base de données de base encourage la vérification et la responsabilisation de la façon suivante :

  • La vérification et la responsabilisation font en sorte qu'Oracle et les utilisateurs connaissent l'activité effectuée sur le système et sa durée. Ces détails nous permettent non seulement de rester en conformité avec les exigences en matière de rapports pour les vérifications externes, mais ils peuvent également aider à identifier l'activité qui a mené à un comportement inattendu.
  • Toutes les composantes de l'infrastructure disposent de capacités de vérification pour s'assurer que toutes les actions sont prises en compte. Les utilisateurs peuvent également configurer la vérification pour leur configuration de base de données et de domaine d'utilisateur (domU) et choisir de les intégrer à d'autres systèmes de vérification d'entreprise.
  • Oracle n'accède pas à l'utilisateur domU.

Automatisation des opérations en nuage

En éliminant les opérations manuelles requises pour effectuer le provisionnement, l'application de correctifs, la maintenance, le dépannage et la configuration des systèmes, la probabilité d'erreur est réduite et une configuration sécurisée est assurée.

Le service de base de données de base est conçu pour être sécurisé en automatisant toutes les opérations de provisionnement, de configuration et la majorité des autres tâches opérationnelles. Grâce à l'automatisation, il est possible d'éviter les configurations manquées et de s'assurer que tous les chemins nécessaires dans le système sont correctement configurés.

Fonctions de sécurité

Cette rubrique décrit les fonctions de sécurité disponibles dans le service de base de données de base.

Le service de base de données de base offre les fonctions de sécurité suivantes :

Image de système d'exploitation renforcée

  • Installation de programmes minimaux : Seuls les programmes nécessaires au fonctionnement d'un système efficace sont installés. Grâce à l'installation d'un ensemble plus restreint de programmes, la surface d'attaque du système d'exploitation est réduite et le système reste plus sûr.
  • Sécuriser la configuration : De nombreux paramètres de configuration non par défaut sont définis lors de l'installation afin de renforcer la sécurité du système et de son contenu. Par exemple, SSH est configuré pour n'écouter que sur certaines interfaces réseau, sendmail est configuré pour n'accepter que les connexions à l'hôte local, et de nombreuses autres restrictions similaires sont mises en place lors de l'installation.
  • Exécuter uniquement les services nécessaires : Tous les services qui peuvent être installés sur le système, mais qui ne sont pas requis pour un fonctionnement normal, sont désactivés par défaut. Par exemple, alors que NFS est un service souvent configuré par les utilisateurs à diverses fins d'application, il est désactivé par défaut car il n'est pas nécessaire pour les opérations normales de base de données. Les utilisateurs peuvent choisir de configurer les services en fonction de leurs besoins.

Surface d'attaque minimisée

Dans le cadre de l'image renforcée, la surface d'attaque est réduite par l'installation et l'exécution des seuls logiciels nécessaires à la fourniture du service.

Fonctions de sécurité supplémentaires activées

  • Le service de base de données de base est conçu pour être sécurisé par défaut et fournit une pile de sécurité complète, du contrôle de pare-feu de réseau aux politiques de sécurité de contrôle d'accès.
  • FIPS, SE Linux et STIG peuvent également être activés pour améliorer la sécurité des systèmes à l'aide de l'interface de ligne de commande dbcli secure-dbsystem.
  • L'outil STIG est fourni pour améliorer la conformité avec la norme STIG Oracle Linux 7 de DISA sur chaque noeud de système dans les systèmes provisionnés.

Méthodes d'accès sécurisé

  • Accès aux serveurs de bases de données par SSH à l'aide de codes de chiffrement forts. Les chiffrements faibles sont désactivés par défaut.
  • Accès aux bases de données au moyen de connexions Oracle Net chiffrées. Par défaut, nos services sont disponibles à l'aide de canaux chiffrés et un client Oracle Net configuré par défaut utilisera des sessions chiffrées.

Vérification et journalisation

Par défaut, la vérification et la journalisation n'ajoutent pas de configuration supplémentaire aux déploiements commerciaux par rapport à ce que fournit le système d'exploitation, mais il est possible d'améliorer cette configuration en ajoutant des paramètres de sécurité supplémentaires en activant STIG.

Sécurité des utilisateurs

Cette rubrique décrit la sécurité utilisateur disponible dans le service de base de données de base. Les composants du service de base de données de base sont gérés régulièrement par plusieurs comptes d'utilisateur. Oracle utilise et recommande une connexion SSH par jeton uniquement. Les utilisateurs ou processus Oracle n'utilisent pas l'authentification par mot de passe.

Les types d'utilisateur suivants sont créés par défaut :

Utilisateurs par défaut : Aucun privilège de connexion

Cette liste d'utilisateurs comprend les utilisateurs du système d'exploitation par défaut. Ces utilisateurs ne doivent pas être modifiés. Ces utilisateurs ne peuvent pas se connecter au système.

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

Utilisateurs par défaut : Avec privilèges de connexion

Ces utilisateurs dotés de privilèges sont responsables de l'exécution de la plupart des tâches du système. Ces utilisateurs ne devraient jamais être modifiés ou supprimés car cela aurait une incidence significative sur le système en cours d'exécution. Les clés SSH sont utilisées pour la connexion.

Voici la liste des utilisateurs par défaut disposant de privilèges de connexion.

  • root est une exigence Linux. Il est utilisé avec parcimonie pour exécuter des commandes avec privilèges locales. Le paramètre root est également utilisé pour certains processus tels que l'agent TFA. Il exécute l'agent local (appelé "agent DCS") qui effectue des opérations de cycle de vie pour le logiciel du SGBDR (application de correctifs, création de base de données, etc.)
  • oracle détient l'installation du logiciel Oracle Database et exécute les processus du SGBDR.
  • grid est responsable de l'installation du logiciel Oracle Grid Infrastructure et exécute les processus GI.
  • opc est utilisé par l'automatisation Oracle Cloud pour les tâches d'automatisation. L'utilisateur peut exécuter certaines commandes avec privilèges sans autre authentification (pour prendre en charge les fonctions d'automatisation).
  • mysql est un utilisateur critique. Il doit être opérationnel pour assurer le bon fonctionnement de l'agent DCS, car il est responsable du magasin de métadonnées de l'agent DCS.
root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

Paramètres de sécurité

Cette rubrique décrit les paramètres de sécurité disponibles dans le service de base de données de base. Les paramètres de sécurité par défaut fournis dans le système sont les suivants :

Tableau - : Paramètres de sécurité et valeurs par défaut

Paramètres de sécurité Valeurs par défaut
Complexité du mot de passe
  • Longueur minimale du mot de passe : 15
  • Nombre maximal de caractères répétés consécutifs de la même classe de caractères pour le mot de passe : 4
  • Nombre maximal de caractères répétés consécutifs pour le mot de passe : 3
  • Nombre minimal de chiffres pour le mot de passe : 1
  • Nombre minimal de catégories différentes pour la force du mot de passe : 4
  • Nombre minimal de caractères différents pour la force du mot de passe : 8
  • Nombre minimal de caractères spéciaux pour la force du mot de passe : 1
  • Nombre minimal de caractères minuscules pour la force du mot de passe : 1
  • Nombre minimal de caractères majuscules pour la force du mot de passe : 1
Configuration du compte d'utilisateur
  • Nombre maximum de jours pendant lequel un mot de passe peut être utilisé : 60
  • Nombre minimum de jours autorisés entre les modifications de mot de passe : 1
  • Algorithme de hachage de chiffrement : SHA512
  • Délai en cas d'échec de connexion : 4 secondes
Options désactivées
  • Redémarrage Ctrl-Alt-Del désactivé
  • La prise en charge DCCP est désactivée
  • Le périphérique de stockage USB est désactivé
  • Groupe d'ensembles Windows X supprimé
Configurations SSH
  • Seul le protocole SSH 2 est autorisé
  • Utilisation activée de la séparation des privilèges
  • Intervalle de temporisation d'inactivité SSH : 600 secondes
  • Authentification GSSAPI désactivée
  • Compression réglée à Différé
  • Approbation sans certificat autorisée pour la connexion SSH au système
  • Le démon SSH n'autorise pas l'authentification à l'aide d'hôtes connus
Ensembles
  • Supprimer tous les composants logiciels après l'installation des versions mises à jour
  • Le système empêche l'installation de paquetages locaux pour les logiciels, correctifs, ensembles de modifications, pilotes de périphérique ou composants du système d'exploitation non vérifiés.
Journalisation
  • Les messages système et noyau sont envoyés à l'hôte distant (rsyslog)
  • Cron configuré pour se connecter à rsyslog
  • Configurer AIDE pour l'exécution périodique
Les autres
  • Authentification requise au démarrage en modes d'utilisateur unique et de maintenance
  • Temporisation de session interactive : 600 secondes
  • Module PAM configuré dans les appareils SSSD
  • Service système PAM configuré pour stocker uniquement les représentations chiffrées des mots de passe
  • Emplacement configuré du certificat de l'autorité de certification du client dorsal LDAP SSSD
  • Serveur dorsal SSSD LDAP configuré pour utiliser TLS pour toutes les transactions
  • Désactiver le compte après l'expiration du mot de passe
  • Les utilitaires d'administration des comptes de groupe sont configurés pour stocker uniquement les représentations chiffrées des mots de passe

De plus, par défaut, les régions ONSR permettent à FIPS, SE Linux et STIG de se conformer aux normes requises. Vous pouvez améliorer la sécurité du système en activant des configurations supplémentaires. La norme de configuration (STIG) peut être définie pour respecter les normes les plus restrictives et améliorer la conformité en matière de sécurité avec la norme STIG Oracle Linux 7 de DISA. Un outil est fourni dans le cadre de l'image pour activer FIPS, SE Linux et STIG.

Processus de sécurité

Cette rubrique décrit les processus de sécurité par défaut disponibles dans le service de base de données de base. Voici la liste des processus exécutés par défaut sur la machine virtuelle utilisateur (système de base de données) également appelée domU.

Tableau - : Processus de sécurité

Processus Description
Agent domU

Agent Oracle Cloud pour gérer les opérations du cycle de vie de la base de données.

  • S'exécute en tant qu'utilisateur root
  • Le tableau des processus indique qu'il est en cours d'exécution en tant que processus Java avec les noms JAR suivants :
    • dcs-agent-VersionNumber-SNAPSHOT.jar
    • dcs-admin-VersionNumber-SNAPSHOT.jar
Agent TFA

Oracle Trace File Analyzer (TFA) fournit plusieurs outils de diagnostic dans un seul ensemble, ce qui facilite la collecte d'informations de diagnostic sur Oracle Database et Oracle Clusterware, et aide à la résolution des problèmes lors de la communication avec Oracle Support.

  • S'exécute en tant qu'utilisateur root
  • S'exécute en tant que démon initd (/etc/init.d/init.tfa)
  • Les tableaux des processus affichent une application java (oracle.rat.tfa.TFAMain)
Base de données et GI (clusterware)
  • S'exécute en tant qu'utilisateurs oracle et grid
  • Certains processus du démon CRS/clusterware s'exécutent en tant qu'utilisateur root
  • Le tableau des processus présente les applications suivantes :
    • ora_*, apx_*, ams_*, et oracle+ASM*
    • mysqld et zookeeper
    • d'autres processus issus de /u01/<version>/grid/*

Sécurité du réseau

Cette rubrique décrit la sécurité de réseau dans le service de base de données de base. Voici la liste des ports, processus et règles iptables par défaut qui sont exécutés par défaut sur la machine virtuelle utilisateur (système de base de données), également appelée domU.

Ports pour le service domU

Le tableau suivant fournit une liste des ports par défaut pour les services domU.

Tableau - : Matrice de port par défaut pour les services domU

Type d'interface Nom de l'interface Port Processus en cours d'exécution
Écoute sur toutes les interfaces 0.0.0.0 22 SSH
1522 SGBDR : Module d'écoute TNS
7060 Administrateur DCS
7070 Agent DCS
(2181) Zookeeper
8888, 8895 RAC : Serveur QOMS
(9000) RAC : Oracle Clusterware
68 DHCP
123 PNB
(5353) DNS multidiffusion
Interface client ens3 1521 SGBDR : Module d'écoute TNS
5000 SGBDR : Autonomous Health Framework (AHF) (comprend TFA)
ens3:1 1521 SGBDR : Module d'écoute TNS
ens3:2 1521 SGBDR : Module d'écoute TNS
ens3:3 1521 SGBDR : Module d'écoute TNS
Interconnexion de grappe ens4 1525 SGBDR : Module d'écoute TNS
(2888) Zookeeper
(3888) Zookeeper
6,000 RAC : Communication interprocessus Oracle Grid Infrastructure
7,000 RAC : Service à haute disponibilité

Règles iptables pour domU

Les règles iptables par défaut sont configurées pour les connexions ACCEPT sur les chaînes d'entrée, de transmission et de sortie.

Voici les règles iptables par défaut pour les services domU :

  • CHAIN INPUT
  • CHAIN FORWARD
  • CHAIN OUTPUT

Exemple - : Règles iptables

L'exemple suivant fournit les règles iptables par défaut pour les services domU.

iptables -L -n -v

Sortie :

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

Responsabilités de l'utilisateur concernant les paramètres de sécurité

Cette rubrique décrit les responsabilités de l'équipe des opérations Oracle Cloud et les responsabilités de l'utilisateur concernant les paramètres de sécurité dans le service de base de données de base. Le tableau suivant fournit une liste des paramètres de sécurité que les opérations Oracle Cloud et l'utilisateur doivent effectuer.

Tableau - : Responsabilités de l'équipe des opérations Oracle Cloud et de l'utilisateur pour diverses opérations

Opération Plate-forme Oracle Cloud Instances utilisateur/locataire
Responsabilité d'Oracle Cloud Responsabilité de l'utilisateur Responsabilité d'Oracle Cloud Responsabilité de l'utilisateur
DÉPLOIEMENT DE LA BASE DE DONNÉES Infrastructure logicielle et conseils pour le déploiement du service de base de données de base

Administrateur de réseau : Configurer l'infrastructure de réseau en nuage (VCN, sous-réseaux, passerelle, etc.).

Administrateur de base de données : Configurer les exigences relatives à la base de données (mémoire, stockage, calcul, version de base de données, type de base de données, etc.).

Installer le système d'exploitation, la base de données et le système Grid Infrastructure s'il est sélectionné Administrateur de base de données : Mettre à jour la version du logiciel Oracle Database, les exigences relatives à la forme des machines virtuelles (UC/mémoire), les ressources de taille de configuration du stockage de données et du stockage de récupération en fonction des charges de travail, si nécessaire (mise à niveau/déclassement des ressources).
SURVEILLANCE Sécurité physique, infrastructure, plan de contrôle, défaillances matérielles, disponibilité, capacité Aucune exigence Disponibilité de l'infrastructure pour prendre en charge la surveillance des services de l'utilisateur. Administrateur de base de données : Surveillance du système d'exploitation de l'utilisateur, des bases de données, des applications et de Grid Infrastructure
GESTION ET RÉSOLUTION DES INCIDENTS Gestion et résolution des incidents, Pièces de rechange et expédition sur site Aucune exigence Prise en charge de tout incident lié à la plate-forme sous-jacente Administrateur de base de données : Gestion et résolution des incidents pour les applications de l'utilisateur
GESTION DES CORRECTIFS Correction proactive du matériel, pile de contrôle IaaS/PaaS Aucune exigence Mise à disposition des correctifs disponibles, par exemple, jeu de correctifs Oracle Database

Administrateur de base de données : Application de correctifs aux instances du locataire, tests

Administrateur de système d'exploitation : Application de correctifs au système d'exploitation

SAUVEGARDE ET RESTAURATION Sauvegarde et récupération de l'infrastructure et du plan de contrôle, recréer les machines virtuelles des utilisateurs Aucune exigence Fournir des machines virtuelles fonctionnelles et accessibles aux utilisateurs Administrateur de base de données : Instantanés / sauvegarde et récupération des données IaaS et PaaS de l'utilisateur à l'aide des capacités natives d'Oracle ou de tierce partie

Activer les fonctions de sécurité supplémentaires

Le service de base de données de base offre les fonctions de sécurité supplémentaires suivantes :

dbcli NetSecurity

L'outil dbcli NetSecurity traite le chiffrement des données pendant leur déplacement sur le réseau. Lorsque les données passent d'Oracle Database à une tierce partie ou d'un serveur à un client, elles doivent être chiffrées du côté de l'expéditeur et déchiffrées du côté du destinataire. Dans NetSecurity, les règles sont configurées avec des valeurs par défaut pour le client et le serveur lors des opérations de provisionnement et de création de répertoire de base de base de données. L'interface de ligne de commande dcs-agent fournit des commandes pour mettre à jour ces règles NetSecurity et améliorer la sécurité pour les algorithmes de chiffrement, les algorithmes d'intégrité et les types de connexion.

Par défaut, dcs-agent configure les règles par défaut suivantes pour le répertoire de base de base de données :

  • SQLNET.ENCRYPTION_SERVER=REQUIRED
  • SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
  • SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
  • SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
  • SQLNET.ENCRYPTION_CLIENT=REQUIRED
  • SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
  • SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
  • SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

Pour plus d'informations sur la mise à jour des paramètres, voir Référence de l'interface de ligne de commande d'Oracle Database.

Intégration du service de chambre forte pour OCI

Le service de base de données de base est maintenant intégré au service de chambre forte pour OCI dans toutes les régions commerciales OCI. Vous pouvez maintenant créer et gérer les clés TDE principales dans le service de chambre forte pour OCI qui protègent les bases de données. Grâce à cette fonction, vous pouvez commencer à utiliser le service de chambre forte pour OCI pour stocker et gérer les clés de chiffrement principales. Les clés du service de chambre forte pour OCI utilisées pour protéger les bases de données sont stockées dans un environnement hautement disponible.

Note :

L'intégration du service de chambre forte pour OCI n'est disponible que pour les versions Oracle Database 19.13 et ultérieures.

Grâce à l'intégration du service de chambre forte pour OCI au service de base de données, vous pouvez :

  • Contrôler et gérer de manière centralisée les clés principales TDE en activant le chiffrement des clés basé sur le service de chambre forte pour OCI lors du provisionnement des bases de données Oracle dans le service de base de données de base.
  • Les clés principales TDE sont stockées dans un service hautement disponible, durable et géré, dans lequel les clés sont protégées par des modules de sécurité matériels hautement disponibles et durables qui répondent aux normes fédérales de traitement des informations (FIPS) 140-2 Certification de sécurité de niveau 3.
  • Effectuer la rotation de vos clés pour assurer la conformité en matière de sécurité et, en cas de changement de personnel, désactiver l'accès à une base de données.
  • Migrer des clés gérées par Oracle vers des clés gérées par l'utilisateur pour les bases de données existantes.
  • Utiliser vos propres clés, autrement dit BYOK (Utiliser votre propre clé) lors de la création de bases de données avec un chiffrement géré par l'utilisateur.

Note :

  • BYOK s'applique uniquement à la base de données conteneur. Une nouvelle version de clé sera affectée à la base de données enfichable.
  • Les bases de données Oracle qui utilisent le chiffrement géré par l'utilisateur prennent en charge le clonage du système de base de données, la restauration sur place, la restauration à un autre endroit, la configuration Data Guard intra-région et les opérations propres à la base de données enfichable, comme la création de base de données enfichable et le clonage local.

Interface de ligne de commande pour activer FIPS

Oracle fournit un outil aux utilisateurs commerciaux pour améliorer la sécurité par défaut. Cet outil est utilisé pour permettre à FIPS, SE Linux et STIG de respecter les normes les plus rigoureuses.