Sécurisation des zones de sécurité

En général, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, comme les contrôles de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

• Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.
• Politiques de sécurité : Oracle est responsable de la définition des politiques de zone de sécurité. Ces politiques mettent en œuvre des contrôles de sécurité et des meilleures pratiques pour les ressources du client qui nécessitent une sécurité maximale, telles que les applications de production.

Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

• Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.
• Politiques de sécurité : Activez les politiques de zone de sécurité qui correspondent à vos exigences de sécurité et faites preuve de prudence lors de la désactivation des politiques dans les zones. Traitez toute violation de politique dans vos ressources existantes pour assurer la conformité.

Utilisez cette liste de vérification pour identifier les tâches que vous effectuez pour sécuriser les zones de sécurité d'une nouvelle location Oracle Cloud Infrastructure.

Après avoir commencé à utiliser les zones de sécurité, utilisez cette liste de vérification pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Utilisez des politiques IAM pour limiter l'accès administratif aux zones de sécurité.

Une politique de zone de sécurité diffère d'une politique IAM des façons suivantes :

• Une politique de zone de sécurité est validée, quel que soit l'utilisateur qui effectue l'opération.
• Une politique de zone de sécurité empêche certaines actions; elle n'accorde pas de capacités.

Nous vous recommandons d'accorder des autorisations DELETE à un jeu minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données résultant de suppressions accidentelles par des utilisateurs autorisés ou d'acteurs malveillants. N'accordez les autorisations DELETE qu'aux administrateurs de location et de compartiment.

La pratique consistant à limiter l'autorisation DELETE est particulièrement critique pour les zones de sécurité. La suppression d'une zone désactive toutes les politiques de zone de sécurité sur les ressources des compartiments de la zone et modifie donc considérablement votre niveau de sécurité.

Exemples de politiques IAM :

Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy

Allow group SecurityAdmins to manage security-recipe in compartment SecurityApps

Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Les types de ressource individuels pour les zones de sécurité sont inclus dans le type d'agrégation cloud-guard-family. Une politique qui accorde des autorisations à cloud-guard-family accorde également les mêmes autorisations aux zones de sécurité. Pour plus d'informations, voir Politiques du service de protection d'infrastructure en nuage.

Évaluez et activez les politiques de zone de sécurité pour maintenir un niveau de sécurité élevé dans Oracle Cloud Infrastructure.

Une recette est une collection de politiques de zone de sécurité que vous pouvez affecter à une zone de sécurité. Si vous activez une politique dans une recette, toute action d'utilisateur dans les zones qui utilisent la recette et qui enfreint la politique est refusée.

La recette de sécurité maximale active toutes les politiques de zone de sécurité disponibles et ne peut pas être modifiée. Affectez cette recette à de nouvelles zones de sécurité afin qu'elles aient la sécurité maximale. Si nécessaire, vous pouvez modifier la zone à tout moment et choisir une recette personnalisée qui n'active pas toutes les politiques.

Pour identifier de nouvelles politiques de zone de sécurité, consultez périodiquement la recette de sécurité maximale et les notes de version. Pour améliorer votre niveau de sécurité au fil du temps, évaluez chaque nouvelle politique et, le cas échéant, activez-la dans des recettes personnalisées.

Surveiller les zones de sécurité pour détecter les violations de politique. Localisez les journaux d'accès et autres données de sécurité pour les zones de sécurité.

Après que vous avez créé une zone de sécurité pour un compartiment, celle-ci empêche automatiquement les opérations, telles que la création ou la modification de ressources, qui violent les politiques de la zone de sécurité. Toutefois, les ressources existantes qui ont été créées avant la zone de sécurité peuvent enfreindre les politiques. Les zones de sécurité s'intègrent au pour identifier les violations de politique dans les ressources existantes. Surveillez régulièrement vos zones de sécurité pour identifier et résoudre toute violation de politique dans une zone. Voir Gestion des zones de sécurité.

Le service de vérification enregistre automatiquement tous les appels d'API aux ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service de vérification pour surveiller toutes les activités des utilisateurs dans votre location. Comme tous les appels de console, de trousse SDK et de ligne de commande (interface de ligne de commande) sont effectués par l'intermédiaire de nos API, toute l'activité provenant de ces sources est incluse. Les enregistrements de vérification sont disponibles au moyen d'une API d'interrogation authentifiée et filtrable ou ils peuvent être extraits en tant que fichiers par lots à partir du stockage d'objets. Le contenu du journal de vérification inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Voir Affichage des événements du journal de vérification.