Sécurité
Alors que les entreprises continuent d'adopter les technologies en nuage, la sécurité est devenue une considération essentielle pour les organisations de toutes tailles. Avec l'augmentation des cybermenaces et des violations de données, les organisations doivent s'assurer que l'infrastructure infonuagique est sécurisée et répond aux exigences de conformité. Oracle Cloud Infrastructure (OCI) fournit une gamme d'outils et de services de sécurité pour vous aider à protéger vos actifs et à maintenir la conformité réglementaire.
Utilisez les meilleures pratiques suivantes pour vous assurer que votre infrastructure en nuage est sécurisée, fiable et conforme.
Gestion des identités et des accès
Dans le paysage numérique en constante évolution, la sécurité est d'une importance capitale. À mesure que les organisations passent à l'informatique en nuage, il devient impératif de disposer d'un cadre de sécurité robuste. OCI fournit un ensemble complet d'outils et de services pour assurer la sécurité de vos données et de vos applications. Un des aspects fondamentaux de l'offre de sécurité d'OCI est la gestion des identités et des accès (IAM).
Le service IAM est l'épine dorsale de l'architecture de sécurité d'OCI. Il offre aux administrateurs la possibilité de gérer l'accès des utilisateurs et les autorisations d'accès aux ressources dans OCI. Il vous permet de contrôler qui a accès à quoi, en vous assurant que seuls les utilisateurs autorisés peuvent accéder aux ressources critiques. Le service IAM fournit une plate-forme centralisée permettant de gérer l'accès aux ressources OCI telles que les services de calcul, de stockage et de réseau.
Pour assurer la sécurité de vos systèmes, mettez en oeuvre les meilleures pratiques IAM, telles que l'accès à moindre privilège et l'authentification multifacteur. L'accès avec le privilège minimal garantit que les utilisateurs ne disposent que du niveau d'accès minimal requis pour effectuer des fonctions, ce qui réduit le risque d'accès non autorisé aux ressources sensibles. L'authentification multifacteur ajoute une couche de sécurité supplémentaire en obligeant les utilisateurs à fournir plusieurs formes d'authentification, telles qu'un mot de passe et un jeton.
En plus du service IAM, OCI fournit d'autres outils et services de sécurité, tels que le service de protection d'infrastructure en nuage, qui assure une surveillance continue et une correction automatisée des menaces de sécurité. Just in Time Access (JIT) permet un accès temporaire limité dans le temps aux ressources uniquement en cas de besoin, ce qui réduit la surface d'attaque. Les outils de sécurité de réseau tels que les listes de sécurité, les groupes de sécurité de réseau et le filtrage de réseau de sous-réseau vous permettent de contrôler le flux de trafic au sein de votre réseau.
Pour assurer la conformité aux réglementations de l'industrie et aux exigences de souveraineté des données, OCI fournit des fonctions telles que les contrôles de résidence des données et la possibilité de choisir l'emplacement géographique où les données sont stockées. L'intégration SIEM d'OCI vous permet de centraliser les journaux de sécurité et de les analyser pour détecter les incidents de sécurité, tandis que la détection et la prévention des intrusions (IDP) fournissent une surveillance en temps réel des activités malveillantes. L'inspection SSL permet d'inspecter le trafic chiffré pour détecter tout contenu malveillant, tandis que l'inspection du trafic du sous-réseau inter VCN et l'inspection du trafic inter VCN fournissent un contrôle granulaire sur le flux de trafic entre les réseaux en nuage virtuels.
Protection d'infrastructure en nuage
Le service Protection d'infrastructure en nuage pour OCI est un outil de sécurité essentiel qui fournit une détection continue des menaces et des mesures correctives automatisées pour sécuriser votre infrastructure en nuage. Il est conçu pour surveiller vos ressources OCI afin de détecter les menaces à la sécurité en temps réel et aviser les administrateurs des risques potentiels. Le service de protection d'infrastructure en nuage comprend des politiques prédéfinies qui permettent des actions de mesures correctives automatisées, telles que la désactivation des clés d'accès ou l'arrêt des instances en cas de violation de politique.
Par exemple, supposons que vous ayez configuré une politique pour surveiller vos groupes de sécurité de réseau et détecter toute modification apportée au groupe. Dans ce cas, le service de protection d'infrastructure en nuage surveille en permanence le groupe de sécurité pour détecter les modifications et vous avise en cas de violation de politique. Vous pouvez identifier les modifications non autorisées apportées à votre groupe de sécurité, telles que l'ajout de nouvelles règles, et prendre des mesures correctives pour prévenir les violations de sécurité.
Le service de protection d'infrastructure en nuage s'intègre aux plates-formes SIEM, ce qui vous permet d'exporter des événements de sécurité et des journaux vers des plates-formes de tierce partie pour une visibilité améliorée et des capacités de détection des menaces. En tirant parti de l'intégration SIEM au service de protection d'infrastructure en nuage, vous pouvez centraliser les événements de sécurité et les gérer plus efficacement, en fournissant des informations complètes sur la sécurité de vos ressources OCI.
Accès juste à temps
OCI fournit un accès juste à temps (JIT) qui permet aux administrateurs d'accorder un accès temporaire à des ressources spécifiques dans l'environnement en nuage. Cela ajoute une couche de sécurité supplémentaire pour réduire le risque d'accès non autorisé aux ressources en limitant la durée d'accès. JIT Access peut être utilisé avec Identity and Access Management (IAM) et Least Privilege Access pour améliorer davantage la sécurité de votre infrastructure en nuage.
Par exemple, un administrateur peut configurer l'accès JIT pour un développeur qui nécessite un accès temporaire à une instance à des fins de dépannage. L'administrateur peut spécifier la durée de l'accès, le rôle de l'utilisateur et les autorisations requises pour accéder à l'instance. Une fois la durée spécifiée expirée, l'accès de l'utilisateur à l'instance est automatiquement révoqué, ce qui réduit le risque d'accès non autorisé.
L'accès JIT peut être configuré à l'aide de la console OCI, de l'interface de ligne de commande ou de l'API REST.
Point d'accès de test virtuel
Le point d'accès au test virtuel (VTAP) est une fonction de sécurité offerte par OCI qui fournit la saisie de paquets pour le trafic réseau et collecte des données pour l'analyse du réseau. Avec VTAP, les administrateurs réseau peuvent détecter et prévenir les menaces de sécurité en capturant le trafic réseau à des fins d'examen et d'analyse.
La capture de paquets est le processus de capture du trafic réseau à des fins d'examen et d'analyse, ce qui est essentiel pour détecter les menaces de sécurité. Avec le VTAP, OCI fournit un service natif pour la saisie et l'analyse complètes du réseau, ce qui contribue à améliorer la sécurité de votre environnement en nuage.
Dans OCI, le VTAP source saisit le trafic en fonction d'un filtre de saisie, l'encapsule avec le protocole VXLAN et le met en miroir vers la cible désignée. Cela permet une surveillance et une analyse en temps réel du trafic en miroir à l'aide d'outils d'analyse du trafic standard. En outre, les administrateurs peuvent stocker le trafic pour une analyse médico-légale plus complète à une date ultérieure.
Le VTAP peut mettre en miroir le trafic provenant de diverses sources, notamment une carte VNIC d'instance de calcul unique dans un sous-réseau, un équilibreur de charge-service (LBaaS), une base de données OCI, une grappe de machines virtuelles Exadata et une base de données Autonomous Data Warehouse au moyen d'un point d'extrémité privé.
Listes de sécurité et groupes de sécurité de réseau
Les listes de sécurité et les groupes de sécurité de réseau sont des composants essentiels de l'offre de sécurité de réseau d'OCI. Les listes de sécurité permettent aux administrateurs de créer facilement des listes d'adresses IP et de les appliquer à des ressources spécifiques. Cela leur permet de restreindre le trafic réseau vers et depuis ces ressources. Par exemple, un administrateur peut créer une liste de sécurité qui autorise uniquement le trafic provenant d'un intervalle d'adresses IP spécifique à accéder à une application Web hébergée dans OCI.
Les groupes de sécurité de réseau permettent aux administrateurs de définir des règles qui réglementent le trafic réseau entre les ressources. Cela leur permet de contrôler quelles ressources peuvent communiquer entre elles et les types de trafic autorisés. Par exemple, un administrateur peut créer une règle de groupe de sécurité de réseau qui autorise uniquement le trafic SSH depuis un intervalle d'adresses IP spécifique vers une instance de calcul dans OCI.
À l'aide de listes de sécurité et de groupes de sécurité réseau, les administrateurs peuvent réduire considérablement le risque d'accès non autorisé à vos ressources. Ils fournissent un contrôle granulaire sur le trafic réseau et permettent aux administrateurs d'appliquer le principe du privilège minimal, qui est une bonne pratique de sécurité fondamentale.
Filtrage et pare-feu de réseau de sous-réseau
OCI fournit des fonctions de sécurité de réseau pour protéger vos ressources contre les menaces externes et les accès non autorisés. Les fonctions de filtrage de réseau et de pare-feu de sous-réseau fonctionnent ensemble pour fournir un environnement réseau sécurisé.
Le filtrage de réseau de sous-réseau est un outil qui permet aux administrateurs de filtrer le trafic réseau en fonction des adresses IP ou des ports. Il vous permet de créer des règles de contrôle d'accès pour vos sous-réseaux, qui peuvent être utilisées pour bloquer ou autoriser le trafic en fonction de critères spécifiques. En filtrant le trafic au niveau du sous-réseau, vous pouvez réduire le risque d'accès non autorisé et vous protéger contre les menaces externes.
Les pare-feu sont une autre fonction de sécurité offerte par OCI qui vous permet de créer des règles pour bloquer ou autoriser le trafic réseau spécifique. Avec OCI, vous pouvez créer des règles de pare-feu pour contrôler l'accès à vos ressources en fonction de l'adresse IP source, de l'adresse IP de destination, du protocole et du numéro de port. En créant des règles de pare-feu spécifiques, vous pouvez améliorer la sécurité de votre réseau et réduire le risque d'accès non autorisé à vos ressources.
Par exemple, vous pouvez utiliser le filtrage de réseau de sous-réseau pour bloquer tout le trafic à partir d'un intervalle d'adresses IP spécifique, puis utiliser des pare-feu pour autoriser le trafic uniquement à partir d'adresses IP ou de ports spécifiques. Cette approche en couches de la sécurité du réseau peut réduire considérablement le risque d'accès non autorisé et protéger vos ressources contre les menaces externes.
Gateway
La passerelle Internet, la passerelle NAT et la passerelle de service sont des fonctions de réseau fournies par OCI qui jouent un rôle essentiel dans la maintenance d'une infrastructure réseau sécurisée et robuste.
Passerelle Internet est un service qui fournit un accès à l'Internet public à partir de votre réseau en nuage virtuel (VCN). Une passerelle Internet permet le trafic entre les instances de votre réseau VCN et Internet, ce qui vous permet d'héberger des sites Web, d'exécuter des applications nécessitant un accès Internet et de vous connecter à d'autres services en nuage.
Avec la commodité d'Internet Gateway vient des risques de sécurité accrus. Le trafic indésirable et les attaques potentielles peuvent passer par Internet. Il est essentiel de sécuriser la communication et les données partagées sur cette passerelle. L'utilisation de protocoles de chiffrement SSL/TLS est la meilleure approche pour cela.
La passerelle NAT permet aux instances privées de votre VCN d'accéder à Internet tout en conservant une position sécurisée. La passerelle NAT fournit une connectivité Internet sortante pour les instances privées qui n'ont aucune adresse IP publique qui leur est affectée. Il agit en tant que gardien entre Internet et votre réseau VCN en traduisant des adresses IP privées vers une adresse IP publique. La passerelle NAT offre un moyen sécurisé et contrôlé d'accéder à Internet sans exposer le réseau interne aux menaces externes.
La passerelle de service permet d'accéder aux services OCI à partir d'une infrastructure sur place ou d'autres fournisseurs de services en nuage. Il fournit une connexion sécurisée entre votre réseau VCN et d'autres services en nuage ou une infrastructure sur place sans nécessiter de passerelle Internet. Service Gateway est une alternative aux connexions basées sur Internet. Il offre un moyen sécurisé et privé de se connecter à d'autres fournisseurs en nuage ou à une infrastructure sur place.
La passerelle Internet, la passerelle NAT et la passerelle de service sont des fonctions de réseau essentielles d'OCI qui permettent la connectivité à Internet et à d'autres fournisseurs de services en nuage tout en maintenant une posture de sécurité. Il est important de s'assurer que des mesures de sécurité appropriées sont en place, telles que le chiffrement SSL/TLS, pour empêcher l'accès non autorisé et protéger vos données.
Accès privé
L'accès privé permet une communication sécurisée entre les ressources d'un réseau en nuage virtuel (VCN) ou à partir de réseaux sur place sans passer par Internet. Cela vous aide à maintenir un haut niveau de sécurité et de contrôle sur votre environnement en nuage.
L'accès privé aide à maintenir la sécurité en empêchant l'accès non autorisé aux ressources à partir d'Internet. Cela réduit le risque de cyberattaques et de violations de données. L'accès privé garantit également que le trafic réseau reste dans le réseau de l'organisation et n'est pas exposé à l'Internet public.
Par exemple, vous pouvez avoir une instance de base de données dans un sous-réseau privé qui ne doit être accessible que par des instances spécifiques du même réseau VCN ou du même réseau sur place. En utilisant l'accès privé, vous pouvez vous assurer que la base de données n'est pas exposée au réseau Internet public et que seuls les utilisateurs et les applications autorisés peuvent y accéder.
En outre, Private Access peut vous aider à vous conformer aux réglementations qui exigent que les données soient stockées et transmises en toute sécurité, telles que le Règlement général sur la protection des données (RGPD) et la loi HIPAA (Health Insurance Portability and Accountability Act).
Passerelle d'API
Le service Passerelle d'API est un service fourni par OCI qui joue un rôle crucial dans le maintien de la sécurité d'une organisation. Il vous permet de publier des API avec des points d'extrémité privés accessibles à partir de votre réseau, réduisant ainsi le besoin de trafic Internet. Cet accès privé aux API permet de se protéger contre les accès non autorisés et les failles de sécurité potentielles.
Le service de passerelle d'API offre également une gamme de fonctions de sécurité telles que la validation, la transformation des demandes et des réponses d'API, le partage des ressources d'origine croisée (CORS), l'authentification et l'autorisation, ainsi que la limitation des demandes. Ces fonctions aident à sécuriser les points d'extrémité d'API en s'assurant que seuls les utilisateurs et appareils autorisés peuvent y accéder. La passerelle d'API facilite l'authentification grâce à la fonctionnalité native de gestion des identités et des accès (IAM) d'OCI, qui permet aux administrateurs de gérer l'accès des utilisateurs et les autorisations d'accès aux ressources dans OCI.
À l'aide du service de passerelle d'API, vous pouvez créer une ou plusieurs passerelles d'API dans un sous-réseau régional pour traiter le trafic en provenance des clients d'API et l'acheminer vers les services dorsaux. Ce service peut lier plusieurs services dorsaux, tels que des équilibreurs de charge, des instances de calcul et le service des fonctions pour OCI, en un seul point d'extrémité d'API consolidé, ce qui facilite la gestion et la sécurité.
Par exemple, vous pouvez utiliser le service de passerelle d'API pour exposer en toute sécurité une API RESTful qui permet à vos clients d'accéder à certaines données et à certains services, comme les informations sur le compte, à partir d'appareils mobiles. La passerelle d'API peut être configurée pour s'assurer que seuls les utilisateurs autorisés peuvent accéder aux données et aux services, et qu'elle peut valider et transformer les données pour s'assurer qu'elles répondent aux normes requises.
Fiducie zéro
OCI prend en charge une approche de sécurité Zero Trust qui suppose que tout le trafic réseau n'est pas approuvé, quelle que soit la source. L'accès aux ressources n'est accordé qu'aux utilisateurs autorisés sur la base du besoin de savoir et avec les autorisations appropriées. Cette approche consiste à vérifier en permanence l'identité et la sécurité des appareils et des utilisateurs avant d'accorder l'accès aux ressources.
Par exemple, le service de gestion des identités et des accès (IAM) d'OCI vous permet d'appliquer des politiques de contrôle d'accès avec privilège minimal, de mettre en oeuvre l'authentification multifacteur et de surveiller l'accès aux ressources en temps réel. En outre, l'utilisation de VPN et d'options d'accès privé, telles que FastConnect et VPN Connect, permet de sécuriser le trafic réseau et de fournir une couche supplémentaire de protection contre les accès non autorisés.
Les intégrations d'OCI à des partenaires de sécurité, tels que CrowdStrike et Check Point, améliorent également la sécurité en fournissant des capacités de détection des menaces et de réponse.
Détection et prévention des intrusions et inspection SSL
OCI fournit plusieurs fonctions de sécurité pour se protéger contre les menaces du réseau, notamment la détection et prévention des intrusions (IDP) et l'inspection SSL. Avec IDP, les administrateurs peuvent surveiller le trafic réseau en temps réel et recevoir des alertes lorsque des activités suspectes sont détectées. En outre, les personnes déplacées peuvent automatiquement prendre des mesures pour empêcher les menaces identifiées de causer des dommages. L'inspection SSL permet aux administrateurs d'inspecter le trafic chiffré pour s'assurer qu'il n'est pas utilisé pour distribuer des logiciels malveillants ou d'autres contenus malveillants. Ces fonctions aident à maintenir la sécurité des environnements en nuage, offrant des couches supplémentaires de protection contre les menaces potentielles.
Par exemple, vous pouvez configurer un fournisseur d'identités pour détecter et prévenir les attaques en force brut sur vos ressources en nuage, tout en utilisant l'inspection SSL pour surveiller le trafic chiffré circulant vers et depuis les bases de données sensibles.
Inspection du trafic du sous-réseau inter-VCN et inspection du trafic inter-VCN
OCI fournit deux fonctions de sécurité puissantes, l'inspection du trafic de sous-réseau inter VCN et l'inspection du trafic inter VCN, qui permettent aux administrateurs de surveiller et d'inspecter le trafic entre les réseaux en nuage virtuels. L'inspection du trafic du sous-réseau inter VCN permet de surveiller et d'inspecter le trafic entre les sous-réseaux du même VCN, tandis que l'inspection du trafic inter VCN offre la même capacité pour le trafic qui circule entre les réseaux en nuage virtuels. Ces fonctionnalités fournissent une visibilité approfondie des flux de trafic réseau, vous permettant d'identifier les menaces potentielles et de prendre des mesures pour les prévenir. En détectant et en bloquant les tentatives d'accès non autorisées, l'inspection du trafic inter VCN et l'inspection du trafic inter VCN sous-réseau peuvent aider à maintenir la sécurité de votre environnement en nuage.
Par exemple, vous pouvez avoir plusieurs réseaux en nuage virtuels dans l'environnement OCI, chacun contenant des ressources et des applications différentes. En utilisant l'inspection du trafic inter VCN, vous pouvez vous assurer que le trafic entre ces réseaux en nuage virtuels est inspecté et que toute activité malveillante est détectée et évitée.
Cette fonction peut être particulièrement utile dans les cas où un réseau VCN contient des données sensibles ou des applications qui nécessitent des mesures de sécurité supplémentaires pour les protéger contre les accès non autorisés.
Résidence et souveraineté des données
La résidence et la souveraineté des données sont essentielles à la sécurité des entreprises qui opèrent dans plusieurs pays. Les réglementations en matière de confidentialité et de protection des données peuvent varier d'une région à l'autre, et il est essentiel de les respecter pour maintenir la sécurité des données sensibles. OCI fournit des options de résidence de données qui vous permettent de stocker vos données dans des régions ou des pays spécifiques pour répondre aux exigences réglementaires. Cela vous permet de vous conformer aux lois locales sur la protection des données et de réduire le risque de violation des données ou d'accès non autorisé en raison d'une non-conformité. En outre, les options de résidence de données d'OCI sont appuyées par de solides contrôles de sécurité, tels que le chiffrement au repos et en transit, les contrôles d'accès et les fonctions de sécurité de réseau, pour fournir un environnement sécurisé pour le stockage et le traitement des données.
Contrôle de journalisation et de détection
Le contrôle de journalisation et de détection est un outil de sécurité important qui permet aux administrateurs de surveiller et de gérer efficacement les journaux dans OCI à des fins de conformité. Grâce à cette fonction, vous pouvez suivre et analyser l'activité des utilisateurs, y compris les modifications apportées aux configurations, les tentatives d'authentification et d'autorisation et le trafic réseau, offrant une vue complète de la sécurité globale du système.
La fonction de journalisation et de contrôle de détection d'OCI comprend des politiques de journalisation préconfigurées qui vous permettent d'identifier rapidement les menaces potentielles pour la sécurité et d'y répondre. Vous pouvez personnaliser ces politiques en fonction de vos besoins et activer des alertes automatiques pour les événements à risque élevé. Les journaux générés par Logging and Detection Control peuvent être intégrés à des systèmes tiers de gestion des informations de sécurité et des événements (SIEM) pour fournir une analyse de sécurité encore plus complète.
Par exemple, le contrôle de journalisation et de détection d'OCI peut être utilisé pour surveiller et détecter les menaces sur plusieurs ressources, telles que les instances de calcul, les équilibreurs de charge et les bases de données. En cas d'incident de sécurité potentiel, vous pouvez réagir rapidement à la menace et prendre les mesures appropriées, telles que la révocation de l'accès ou la modification des configurations, pour assurer la sécurité du système.
Responsabilité partagée
La sécurité en nuage est un modèle de responsabilité partagée dans lequel le fournisseur de services en nuage et le client ont un rôle à jouer pour assurer la sécurité des ressources. Le fournisseur de services en nuage est responsable de la sécurité de l'infrastructure en nuage sous-jacente, tandis que le client est responsable de la sécurité de ses applications et des données qu'il déploie sur le nuage.
Par exemple, dans OCI, Oracle est responsable de la sécurité physique des centres de données, de la sécurité du réseau et de la disponibilité de l'infrastructure. Vous êtes responsable de la sécurisation de vos applications, machines virtuelles et données en nuage. Assurez-vous d'avoir correctement configuré les groupes de sécurité et les règles de sécurité réseau pour empêcher tout accès non autorisé.
Chiffrement en transit et au repos
OCI fournit des outils et des services essentiels, tels que le chiffrement SSL/TLS et Oracle Key Management, pour assurer le chiffrement en transit et au repos, qui sont des éléments essentiels d'une stratégie de sécurité complète. Le cryptage permet de protéger les données sensibles contre tout accès non autorisé et de préserver la confidentialité et l'intégrité des données pendant la transmission et au repos.
Par exemple, vous pouvez utiliser le chiffrement SSL/TLS pour sécuriser le trafic réseau entre vos clients et services, en veillant à ce que les données échangées entre eux soient chiffrées et sécurisées.
De même, Oracle Key Management fournit une solution de gestion des clés sécurisée et centralisée qui vous permet de gérer et de protéger les clés de chiffrement utilisées pour sécuriser vos données dans OCI.
Authentification multifacteur
L'authentification multifacteur est une pratique de sécurité qui exige que les utilisateurs fournissent deux ou plusieurs formes d'authentification avant de pouvoir accéder à un système ou à une application. Cela permet d'empêcher l'accès non autorisé aux données et ressources sensibles, même si le mot de passe d'un utilisateur est compromis. L'authentification multifacteur est un élément important de toute stratégie de sécurité, en particulier dans le nuage, où les données et les applications sont souvent accessibles à partir d'emplacements distants.
OCI fournit l'authentification multifacteur comme fonction pour améliorer votre sécurité. Avec l'authentification multifacteur, les utilisateurs doivent fournir une deuxième forme d'authentification, telle qu'un mot de passe à usage unique ou des informations biométriques, en plus du nom d'utilisateur et du mot de passe. Cela signifie que même si le mot de passe d'un utilisateur est volé ou deviné, un attaquant devra toujours avoir accès au téléphone de l'utilisateur ou à un autre appareil physique pour accéder à votre compte.
En plus d'améliorer la sécurité, l'AMF peut également vous aider à vous conformer aux réglementations et aux normes de l'industrie. Par exemple, la norme de sécurité de l'industrie des cartes de paiement (PCI DSS) exige l'authentification multifacteur pour tous les accès à distance aux données des titulaires de carte. En mettant en œuvre l'authentification multifacteur dans votre environnement en nuage, vous pouvez répondre à ces exigences et éviter d'éventuelles amendes ou d'autres pénalités.