Documentation sur Oracle Cloud Infrastructure

Sécurisation du service de gestion Java

Cette rubrique fournit des informations de sécurité et des recommandations relatives à Java Management Service.

Le service Java Management Service (JMS) surveille les déploiements Java sur les instances Oracle Cloud Infrastructure (OCI) et les instances s'exécutant dans les centres de données des clients. Elle permet d'observer et de gérer l'utilisation de Java dans votre entreprise.

Responsabilités en matière de sécurité

Pour utiliser JMS en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, comme les contrôles de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.
  • Chiffrement des données : Oracle utilise le chiffrement standard d'Oracle Cloud Infrastructure pour toutes les données stockées au repos dans JMS. Aucune configuration supplémentaire n'est nécessaire.

    Les utilisateurs JMS n'utilisent pas directement les clés de chiffrement. En interne, JMS stocke les données dans une base de données autonome, qui utilise Oracle Cloud Infrastructure Vault pour stocker en toute sécurité des clés de chiffrement. Oracle gère et sécurise ces ressources.

  • Durabilité des données : Oracle configure le service JMS pour les sauvegardes quotidiennes. Aucune configuration de sauvegarde supplémentaire de votre part n'est nécessaire.

Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

  • Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.
  • Sécurité de l'agent :
    • Installez l'agent sur l'instance avec le privilège minimal. Ne l'installez pas en tant que root.
    • Obtenez une clé d'installation. Vérifiez l'expiration de la clé et le nombre d'instances d'installation.
    • Supprimez la clé après l'installation de l'agent.
    • Vérifiez que les ports ou le mandataire sont configurés correctement pour autoriser uniquement la connexion de l'agent à OCI.
    • Configurez l'agent pour qu'il balaie uniquement les répertoires voulus et avec la fréquence voulue.

Tâches de sécurité initiales

Utilisez cette liste de vérification pour identifier les tâches que vous effectuez pour sécuriser JMS dans une nouvelle location Oracle Cloud Infrastructure.

Si vous débutez avec JMS, voir Configuration d'Oracle Cloud Infrastructure pour Java Management Service.

Tâche Informations supplémentaires
Utiliser les politiques GIA pour accorder l'accès aux utilisateurs et aux ressources Politiques GIA

Tâches de sécurité régulières

Après avoir commencé à utiliser JMS, utilisez cette liste de vérification pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Tâche Informations supplémentaires
Tenir l'agent à jour Application de correctifs
Vérifier la sécurité Vérification

Politiques GIA

Utilisez des stratégies pour limiter l'accès à JMS.

Une politique indique qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, voir Fonctionnement des politiques.

Affectez à un groupe les privilèges minimaux nécessaires à l'exercice de ses responsabilités. Chaque politique comporte un verbe qui décrit les actions que le groupe est autorisé à effectuer. De l'accès le plus restreint à l'accès le plus élevé, les verbes disponibles sont les suivants : inspect, read, use et manage.

Autoriser un groupe à gérer les parcs d'un compartiment

Créez des politiques pour permettre au groupe FLEET_MANAGERS de gérer les parcs dans le compartiment Fleet_Compartment.

ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCY
Autoriser les instances d'un groupe dynamique à gérer les agents d'un compartiment

Créez des politiques pour permettre au groupe dynamique JMS_DYNAMIC_GROUP de déployer et d'utiliser des agents dans le service d'agent de gestion du compartiment Fleet_Compartment.

ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
Allow service javamanagementservice to manage metrics IN COMPARTMENT Fleet_Compartment where target.metrics.namespace='java_management_service'

Pour plus d'informations sur le déploiement d'agents de gestion, voir Exécuter les conditions requises pour le déploiement d'agents de gestion.

Pour plus d'informations sur les politiques JMS, voir Informations détaillées sur le service Java Management Service.

Application de correctifs

Assurez-vous que vos ressources JMS exécutent les dernières mises à jour de sécurité.

Si vous avez désactivé la fonction de mise à niveau automatique de l'agent de gestion, vous devez rechercher manuellement les mises à jour de l'agent et du plugiciel JMS. Voir Mettre à niveau les agents de gestion.

Vérification

Localisez les journaux d'accès et les autres données de sécurité pour JMS.

Le service de vérification enregistre automatiquement tous les appels d'API aux ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service de vérification pour surveiller toutes les activités des utilisateurs dans votre location. Comme tous les appels de console, de trousse SDK et de ligne de commande (interface de ligne de commande) sont effectués par l'intermédiaire de nos API, toute l'activité provenant de ces sources est incluse. Les enregistrements de vérification sont disponibles au moyen d'une API d'interrogation authentifiée et filtrable ou ils peuvent être extraits en tant que fichiers par lots à partir du stockage d'objets. Le contenu du journal de vérification inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Voir Affichage des événements du journal de vérification.