Documentation sur Oracle Cloud Infrastructure

Sécurisation de GoldenGate

Cette rubrique fournit des informations de sécurité et des recommandations pour GoldenGate.

Oracle Cloud Infrastructure GoldenGate fournit une solution de réplication des données sécurisée et facile à utiliser, conformément aux meilleures pratiques de sécurité de l'industrie.

Responsabilités en matière de sécurité

Pour utiliser GoldenGate en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, comme les contrôles de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.
  • Chiffrement et confidentialité : Les clés de chiffrement et les clés secrètes pour GoldenGate sont stockées dans des portefeuilles et des chambres fortes pour protéger vos données et se connecter à des ressources sécurisées.
  • Sécurité du réseau : L'accès chiffré à la console de déploiement GoldenGate est activé sur SSL uniquement sur le port 443. Par défaut, l'accès à la console de déploiement GoldenGate n'est disponible qu'à partir d'un point d'extrémité privé OCI dans le réseau privé du client. Des points d'extrémité publics peuvent être configurés pour permettre l'accès public chiffré à la console de déploiement GoldenGate par SSL sur le port 443.

Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

  • Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.
  • GoldenGate Console de déploiement - Gestion de compte : L'accès à la console de déploiement GoldenGate est géré dans la console OCI. Les comptes et les autorisations sont gérés dans la console de déploiement GoldenGate. En savoir plus sur les utilisateurs du déploiement.
  • Sécurité du réseau : Vous configurez la connectivité réseau aux sources et aux cibles (enregistrements de base de données OCI GoldenGate). Assurez-vous que ces enregistrements de base de données sont sécurisés et chiffrés. Chaque enregistrement de base de données OCI GoldenGate peut être sécurisé à l'aide de SSL en configurant les paramètres SSL appropriés. Voir Gestion des enregistrements de base de données.
  • Chiffrement du réseau : : La connectivité réseau à OCI GoldenGate est chiffrée par défaut sur SSL à l'aide de certificats fournis par Oracle. Assurez-vous que les certificats ou les clés de chiffrement que vous fournissez sont courants et valides.
  • Vérification des événements de sécurité : La console de déploiement GoldenGate pour OCI enregistre les événements de sécurité. Vous pouvez accéder à ce journal et le consulter à partir de la sauvegarde du déploiement de GoldenGate pour OCI. Veillez à vérifier ce journal régulièrement. En savoir plus sur les sauvegardes de déploiement.
  • Application de correctifs : : Assurez-vous que les déploiements d'OCI GoldenGate sont à jour. Des mises à jour sont publiées chaque mois. Vous devez effectuer une mise à niveau vers le dernier niveau de correctif dès que possible pour éviter que vos déploiements soient vulnérables. En savoir plus sur l'application de correctifs aux déploiements.
  • Vérification de l'accès distant sur l'équilibreur de charge ou l'hôte bastion : Assurez-vous que l'audit de tout accès distant qui n'est pas direct à OCI GoldenGate est activé et configuré de manière appropriée. Voir Journalisation pour les équilibreurs de charge pour plus d'informations.

Politiques GIA

Utilisez des politiques pour limiter l'accès à GoldenGate.

Une politique indique qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, voir Fonctionnement des politiques.

GoldenGate Recommandations du service IAM :

  • Affectez un accès avec privilège minimal aux utilisateurs et aux groupes IAM aux types de ressource dans goldengate-family.
  • Pour minimiser la perte de données en raison de suppressions par inadvertance par un utilisateur autorisé ou de suppressions malveillantes, Oracle recommande d'accorder aux autorisations GOLDENGATE_DEPLOYMENT_DELETE et GOLDENGATE_DATABASE_REGISTRATION_DELETE le jeu minimal possible d'utilisateurs et de groupes IAM. Attribuez ces autorisations aux administrateurs de location et de compartiment uniquement.
  • GoldenGate n'a besoin que d'un accès de niveau USE pour saisir les données des enregistrements de base de données.

Exemples de politique :

Empêcher la suppression des déploiements

Créez cette politique pour permettre au groupe ggs-users d'effectuer toutes les actions sur les déploiements, sauf les supprimer .

Allow group ggs-users to manage goldengate-family in tenancy where request.permission!='GOLDENGATE_DEPLOYMENT_DELETE'

Pour plus d'informations sur la création de politiques GoldenGate, voir Politiques pour Oracle Cloud Infrastructure GoldenGate.