Sécurisation de la solution VMware

Pour utiliser la solution VMware en toute sécurité, renseignez-vous sur vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, comme les contrôles de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

• Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.

Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

• Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.

• Confidentialité : Gérez et contrôlez l'accès aux informations sensibles dans les SDDC VMware et les hôtes ESXi.
• Application de correctifs : Gardez le logiciel vSphere, NSX-T, vSAN et HCX à jour avec les derniers correctifs de sécurité pour prévenir les vulnérabilités.

Utilisez cette liste de vérification pour identifier les tâches à effectuer pour sécuriser la solution VMware dans une nouvelle location Oracle Cloud Infrastructure.

Après avoir commencé à utiliser la solution VMware, utilisez cette liste de vérification pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Utilisez des politiques pour limiter l'accès à la solution VMware.

Nous vous recommandons d'accorder des autorisations DELETE à un jeu minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données résultant de suppressions accidentelles par des utilisateurs autorisés ou d'acteurs malveillants.

Allow group SDDC_Admins to manage sddcs in tenancy

Pour plus d'informations sur les politiques de la solution VMware et pour voir d'autres exemples, voir Informations détaillées sur Oracle Cloud VMware Solution.

Accès réseau sécurisé à vos ressources dans la solution VMware

Use security lists , network security groups , or a combination of both to control packet-level traffic in and out of the resources in your VCN (virtual cloud network) . Voir Accès et sécurité.

Lorsque vous créez un sous-réseau dans un VCN, par défaut, le sous-réseau est considéré comme public et les communications Internet sont autorisées. Utilisez des sous-réseaux privés pour héberger des ressources qui ne nécessitent pas d'accès Internet. Vous pouvez également configurer une passerelle de service dans votre VCN pour permettre aux ressources d'un sous-réseau privé d'accéder à d'autres services en nuage. Voir Choix de connectivité.

Oracle recommande d'utiliser le flux de travail Créer un SDDC pour créer les réseaux VLAN dans votre VCN utilisés par les ressources du SDDC. Le flux de travail crée automatiquement des tables de routage et des groupes de sécurité pour contrôler l'accès à chaque VLAN. Après avoir créé le SDDC, vérifiez les tables de routage et les groupes de sécurité pour vous assurer que seul le trafic souhaité peut accéder aux ressources du SDDC.

Le service d'hôte bastion fournit un accès restreint et limité dans le temps aux ressources cibles qui n'ont pas de point d'extrémité public. À l'aide d'un hôte bastion, vous pouvez permettre aux utilisateurs autorisés de se connecter aux ressources cibles sur des points d'extrémité privés au moyen de sessions SSH. Une fois connecté, les utilisateurs peuvent interagir avec la ressource cible à l'aide de tout logiciel ou protocole pris en charge par SSH. Voir Gestion des hôtes bastions.

Utilisez l'hôte bastion pour restreindre l'accès aux hôtes EXSi.

Utilisez le pare-feu d'application Web (WAF) pour créer et gérer des règles de protection pour les menaces Internet, notamment les attaques par script intersites (XSS), l'injection SQL et d'autres vulnérabilités définies par OWASP. Il permet de contrer les robots indésirables et d'autoriser les robots légitimes. Le service WAF observe le trafic vers votre application Web au fil du temps et recommande de nouvelles règles à configurer. Voir Marche à suivre pour démarrer avec les politiques de périphérie de réseau.

Assurez-vous que vos ressources de solution VMware exécutent les dernières mises à jour de sécurité.

Abonnez-vous à Broadcom Security Advisories pour être avisé des versions de correctif de sécurité pour la pile logicielle VMware ( vSphere, NSX-T, vSAN et HCX). Pour plus d'informations, voir FAQ sur Oracle Cloud VMware Solution - Application de correctifs et mises à niveau.

Localiser les journaux d'accès et les autres données de sécurité pour la solution VMware

Le service de vérification enregistre automatiquement tous les appels d'API aux ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service de vérification pour surveiller toutes les activités des utilisateurs dans votre location. Comme tous les appels de console, de trousse SDK et de ligne de commande (interface de ligne de commande) sont effectués par l'intermédiaire de nos API, toute l'activité provenant de ces sources est incluse. Les enregistrements de vérification sont disponibles au moyen d'une API d'interrogation authentifiée et filtrable ou ils peuvent être extraits en tant que fichiers par lots à partir du stockage d'objets. Le contenu du journal de vérification inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Voir Affichage des événements du journal de vérification.