Documentation sur Oracle Cloud Infrastructure

Sécurisation du service de base de données

Recommandations en matière de sécurité

Cette section répertorie les recommandations de sécurité pour la gestion des instances Oracle Cloud Infrastructure Database. Des recommandations pour la configuration sécurisée de bases de données Oracle sont offertes dans Oracle Database Security Guide. Dans cette documentation, le terme "système de base de données" fait référence aux déploiements Oracle Database à l'aide du service Base de données de base, du service Exadata Database sur une infrastructure dédiée et de la base de données d'intelligence artificielle autonome sur une infrastructure Exadata dédiée. (Notez que certains sujets ne s'appliquent peut-être pas à Autonomous AI Database dans les situations où Oracle gère les fonctionnalités décrites.)

Contrôle de l'accès à la base de données

  • Les utilisateurs s'authentifient auprès de la base de données à l'aide de leur mot de passe. Nous recommandons que ces mots de passe soient forts. Pour obtenir des directives sur la sélection de mots de passe de base de données Oracle, voir les directives de sécurisation des mots de passe. De plus, la base de données Oracle fournit un script PL/SQL permettant de vérifier la complexité du mot de passe de base de données. Ce script est situé dans $ORACLE_HOME/rdbms/admin/UTLPWDMG.SQL. Pour obtenir des instructions sur l'exécution du script UTLPWDMG.SQL afin de vérifier la complexité du mot de passe, voir comment imposer la vérification de la complexité des mots de passe.
  • En plus du mot de passe de base de données, vous pouvez utiliser des groupes de sécurité de réseau VCN ou des listes de sécurité pour imposer le contrôle de l'accès réseau aux instances de base de données. Nous vous recommandons de configurer des groupes de sécurité de réseau ou des listes de sécurité de réseau VCN pour autoriser l'accès avec le privilège minimal aux bases de données des clients dans Oracle Cloud Infrastructure Database.

  • Les systèmes de base de données créés au sein d'un sous-réseau public peuvent envoyer le trafic sortant directement à Internet. Les systèmes de base de données créés au sein d'un sous-réseau privé n'ont pas de connectivité Internet et le trafic Internet (sortant et entrant) ne peut pas atteindre l'instance directement. Si vous essayez de définir un itinéraire vers un système de base de données dans un sous-réseau privé à l'aide d'une passerelle Internet, l'itinéraire est ignoré.

    Pour l'application de correctifs de SE et la sauvegarde d'un système de base de données dans un sous-réseau privé, vous pouvez utiliser une passerelle de service ou une passerelle NAT pour vous connecter à vos points d'extrémité d'application de correctifs ou de sauvegarde.

    Dans un réseau en nuage virtuel (VCN), vous pouvez utiliser des règles de sécurité ainsi qu'un sous-réseau privé pour restreindre l'accès à un système de base de données. Dans les déploiements sur plusieurs niveaux, un sous-réseau privé et des règles de sécurité VCN peuvent être utilisés pour restreindre l'accès au système de base de données à partir des niveaux d'application.

Durabilité des données

  • Nous vous recommandons d'accorder des autorisations de suppression de base de données (DATABASE_DELETE, DB_SYSTEM_DELETE) à un jeu minimal possible d'utilisateurs et de groupes IAM. Cela réduit la perte de données en raison de suppressions accidentelles par un utilisateur autorisé ou en raison de suppressions malveillantes. N'accordez les autorisations DELETE qu'aux administrateurs de location et de compartiment.
  • Vous pouvez utiliser RMAN pour effectuer des sauvegardes périodiques des bases de données, où les copies de sauvegarde chiffrées sont stockées dans le stockage local (volumes par blocs, par exemple) ou Oracle Cloud Infrastructure Object Storage. RMAN chiffre chaque sauvegarde d'une base de données à l'aide d'une clé de chiffrement unique. En mode transparent, la clé de chiffrement est stockée dans Oracle Wallet. Les sauvegardes RMAN vers le stockage d'objets nécessitent la configuration d'une passerelle Internet (IGW) et de groupes de sécurité de réseau VCN ou des listes de sécurité pour permettre l'accès sécurisé au stockage d'objets. Pour plus d'informations sur la configuration du VCN pour la sauvegarde des bases de données sans système d'exploitation, voir Sauvegarder une base de données dans le stockage d'objets à l'aide de RMAN. Pour des informations sur la sauvegarde et les bases de données Exadata, voir Gestion des sauvegardes de base de données Exadata à l'aide de bkup_api.

Chiffrement de base de données et gestion des clés

  • Toutes les bases de données créées dans Oracle Cloud Infrastructure sont chiffrées à l'aide du chiffrement transparent des données (TDE). Notez que si vous migrez une base de données non chiffrée sur place vers Oracle Cloud Infrastructure à l'aide de RMAN, la base de données migrée ne sera pas chiffrée. Oracle exige le chiffrement de ces bases de données après leur migration vers le nuage.

    Pour savoir comment chiffrer votre base de données avec un temps d'arrêt minimal pendant la migration, voir le document technique Oracle Maximum Availability Architecture sur la conversion au chiffrement transparent des données avec Oracle Data Guard à l'aide de Fast Offline Conversion.

    Il est à noter que les systèmes de base de données de machine virtuelle utilisent le stockage par blocs d'Oracle Cloud Infrastructure au lieu du stockage local. Le stockage par blocs est chiffré par défaut.

  • Les espaces-tables créés par l'utilisateur sont chiffrés par défaut dans Oracle Cloud Infrastructure Database. Dans ces bases de données, le paramètre ENCRYPT_NEW_TABLESPACES est réglé à CLOUD_ONLY, où les espaces-tables créés dans une base de données du service Database Cloud (DBCS) sont chiffrés de façon transparente à l'aide de l'algorithme AES128, sauf si un autre algorithme est indiqué.
  • L'administrateur de la base de données crée un portefeuille Oracle Wallet local sur une nouvelle instance de base de données et initialise la clé principale TDE (chiffrement transparent des données). Le portefeuille Oracle Wallet est ensuite configuré pour "s'ouvrir automatiquement". Toutefois, un client peut choisir de définir un mot de passe pour Oracle Wallet et nous vous recommandons de définir un mot de passe fort (huit caractères ou plus, avec au moins une majuscule, une minuscule, un chiffre et un symbole spécial).
  • Nous vous recommandons de renouveler périodiquement la clé principale TDE. La période de renouvellement recommandée est de 90 jours ou moins. Vous pouvez renouveler la clé principale TDE à l'aide des commandes de base de données natives ("administer key management" dans la version 12c, par exemple) ou dbaascli. Toutes les versions précédentes de la clé principale TDE sont conservées dans Oracle Wallet.
  • Oracle Key Vault (OKV) est un boîtier de gestion des clés utilisé pour gérer les clés principales TDE Oracle. OKV peut stocker et renouveler les clés principales TDE, et en vérifier les accès. Pour obtenir des instructions sur l'installation et la configuration d'OKV dans Oracle Cloud Infrastructure, voir Gestion des clés de chiffrement Oracle Database dans Oracle Cloud Infrastructure à l'aide d'Oracle Key Vault.

Application de correctifs à une base de données

L'application des correctifs de sécurité à une base de données Oracle (mises à jour critiques d'Oracle) est impérative pour réduire les problèmes de sécurité connus et nous vous recommandons de conserver les correctifs à jour. Les jeux de correctifs et les mises à jour de jeux de correctifs (PSU) sont publiés sur une base trimestrielle. Ces publications de correctifs contiennent des correctifs de sécurité et des correctifs supplémentaires pour des bogues à incidence élevée/faible risque.

Pour plus d'informations sur les problèmes de sécurité connus et les correctifs disponibles les plus récents, voir le site Web affichant les mises à jour critiques, les alertes de sécurité et les bulletins. Si votre application ne prend pas en charge les derniers correctifs et doit utiliser un système de base de données avec d'anciens correctifs, vous pouvez provisionner un système de base de données avec une ancienne version de l'édition d'Oracle Database que vous utilisez. En plus de vérifier les mises à jour critiques et les alertes de sécurité pour Oracle Database, nous vous recommandons d'analyser et de corriger le système d'exploitation provisionné avec le système de base de données.

Pour plus d'informations sur l'application de correctifs aux instances Oracle Cloud Infrastructure Database, voir Mettre à jour un système de base de données et Application de correctifs à Oracle Grid Infrastructure et aux bases de données Oracle à l'aide de dbaascli.

Vérification de la configuration de la sécurité de base de données

  • L'outil d'évaluation de la sécurité d'Oracle Database (DBSAT ou Security Assessment Tool) permet d'effectuer des vérifications automatiques de la configuration de la sécurité des bases de données Oracle dans Oracle Cloud Infrastructure. DBSAT effectue des vérifications de sécurité concernant l'analyse des privilèges des utilisateurs, les contrôles d'autorisation pour la base de données, les politiques de vérification, la configuration des modules d'écoute de base de données, les autorisations pour les fichiers du système d'exploitation et les données sensibles stockées. Les images de base de données Oracle dans Oracle Cloud Infrastructure Database sont balayées avec DBSAT avant le provisionnement. Après le provisionnement, nous vous recommandons de analyser périodiquement les bases de données avec DBSAT et de corriger tout problème détecté. DBSAT est disponible sans frais pour les clients d'Oracle.

Vérification de la sécurité de la base de données

Oracle Audit Vault and Database Firewall (AVDF) surveille les journaux de vérification de la base de données et crée des alertes. Pour des instructions sur l'installation et la configuration d'AVDF dans Oracle Cloud Infrastructure, voir le document sur le déploiement d'Oracle Audit Vault and Database Firewall dans Oracle Cloud Infrastructure.

Sécurité des données

Nous vous recommandons d'utiliser le service de sécurité des données pour améliorer la sécurité de vos déploiements de base de données. Oracle Data Safe est un centre de contrôle unifié pour les bases de données Oracle, qui vous aide à comprendre la sensibilité des données, à évaluer les risques pour les données, à masquer les données sensibles, à mettre en œuvre et à surveiller les contrôles de sécurité, à évaluer la sécurité des utilisateurs, à surveiller l'activité des utilisateurs et à répondre aux exigences de conformité en matière de sécurité des données. Pour plus d'informations, voir Démarrer.

Sauvegardes de base de données

Nous vous recommandons d'utiliser des sauvegardes gérées (créées à l'aide de la console Oracle Cloud Infrastructure ou de l'API), lorsque c'est possible. Lorsque vous utilisez des sauvegardes gérées, Oracle gère l'utilisateur du magasin d'objets et les données d'identification, et renouvelle ces données d'identification tous les 3 jours. Oracle Cloud Infrastructure chiffre toutes les sauvegardes gérées dans le magasin d'objets. Oracle utilise par défaut la fonctionnalité de chiffrement transparent des bases de données pour le chiffrement des sauvegardes.

Si vous n'utilisez pas de sauvegardes gérées, Oracle recommande de modifier les mots de passe du magasin d'objets à intervalles réguliers.

Exemples de politique de sécurité

Empêcher la suppression des instances de base de données

L'exemple de politique suivant autorise le groupe DBUsers à effectuer toutes les actions de gestion à l'exception de la suppression des bases de données et des artefacts.

Allow group DBUsers to manage db-systems in tenancy
 where request.permission!='DB_SYSTEM_DELETE' 
Allow group DBUsers to manage databases in tenancy
 where request.permission!='DATABASE_DELETE' 
Allow group DBUsers to manage db-homes in tenancy
 where request.permission!='DB_HOME_DELETE'