Documentation sur Oracle Cloud Infrastructure

Zone d'atterrissage principale d'OCI

L'utilisation de zones d'atterrissage est une bonne pratique généralement acceptée pour l'adoption du nuage. Que votre organisation soit petite ou grande, vous pouvez tirer parti d'un environnement sécurisé et évolutif basé sur l'architecture de référence d'Oracle Cloud Infrastructure (OCI).

Le but des zones d'atterrissage est d'aider les organisations à débarquer des charges de travail critiques avec succès et efficacité. Tous les composants technologiques de base sont couverts, y compris les services d'identité, de réseau, de stockage, de calcul et de sécurité. Toutes les conceptions d'infrastructure-code éprouvées (IaC) sont automatisées dans le processus de déploiement et peuvent être provisionnées en un seul clic.

La zone d'atterrissage de base OCI unifie les initiatives de zone d'atterrissage Oracle Enterprise Landing Zone (OELZ) et Center for Internet Security (CIS). Cette zone d'atterrissage fournit une architecture de référence qui peut vous aider à atteindre une plus grande agilité, extensibilité et sécurité dans les environnements en nuage. Il est construit à partir du cadre de zone d'atterrissage d'OCI, basé sur une architecture modulaire, qui vous permet de déployer et d'adapter rapidement et facilement une infrastructure en nuage. Elle inclut également les meilleures pratiques en matière de sécurité et de conformité, en appliquant CIS OCI Foundations Benchmark v2.0 pour vous aider à démarrer avec un niveau de sécurité élevé et à soutenir vos objectifs de conformité.

Architecture

L'architecture de la zone d'atterrissage commence par la conception de compartiments pour votre location, en plus de la création de groupes et de politiques pour assurer une séparation appropriée des fonctions. Il provisionne des compartiments dans un compartiment parent désigné pour tous vos services d'infrastructure de base, ce qui permet à vos équipes de gérer plus efficacement les ressources OCI. Un groupe d'administrateurs spécifique est affecté à chaque compartiment de la zone d'atterrissage, qui dispose des autorisations nécessaires pour gérer les ressources du compartiment et accéder aux ressources d'autres compartiments.

Cette conception prend également en charge le provisionnement de plusieurs réseaux en nuage virtuels, soit en tant que réseaux autonomes, soit en tant que porte-parole dans une architecture de concentrateur et de satellite. Les réseaux en nuage virtuels peuvent être configurés pour déployer un VCN central, jusqu'à une topologie de réseau VCN à trois niveaux, ou ils peuvent être adaptés à des cas d'utilisation spécifiques, tels que la prise en charge des déploiements Oracle Exadata Database Service ou Oracle Kubernetes Engine (OKE). Prêt à l'emploi, les réseaux en nuage virtuels sont préconfigurés avec le routage approprié et des interfaces entrantes et sortantes sécurisées.

La zone d'atterrissage de base OCI comprend plusieurs services de sécurité préconfigurés qui prennent en charge les points de référence OCI CIS déployés et intégrés dans le cadre de l'architecture globale, ce qui garantit une sécurité robuste. Ces services de sécurité natifs OCI comprennent Cloud Guard, Flow Logs, Connector Hub, Vault, Vulnerability Scanning Service, Bastion et Security Zones. Les administrateurs peuvent configurer des avis à l'aide de sujets et d'événements pour rester informés des modifications apportées aux ressources déployées.

Le diagramme suivant présente l'architecture de référence de la zone d'atterrissage de base OCI.

Diagramme montrant l'architecture simplifiée de la zone d'atterrissage de base OCI

La zone d'atterrissage de base d'OCI est composée d'un jeu de modules conçus pour être flexibles, faciles à utiliser et utiles pour aligner les déploiements de client avec les recommandations de référence de la base OCI CIS.

Gestion des identités et des accès

Le service de gestion des identités et des accès de l'OCI (IAM) est utilisé pour gérer et contrôler l'accès aux ressources en nuage de votre location. La zone d'atterrissage crée automatiquement des groupes et des politiques IAM pour régir l'accès aux ressources provisionnées dans votre environnement et prendre en charge la séparation des fonctions et les exigences de contrôle d'accès basé sur les rôles. En outre, vous avez la possibilité de vous fédérer avec Microsoft Active Directory de votre organisation pour une intégration transparente avec votre fournisseur d'identités tiers existant (IdP). Il existe plusieurs modules IAM, notamment des compartiments, des politiques, des groupes, des groupes dynamiques et des domaines d'identité. Pour plus d'informations, voir le référentiel GitHub, Modules IAM pour les zones de renvoi OCI.

Les politiques du service IAM pour OCI définissent qui peut accéder à des ressources spécifiques et le niveau d'accès qui leur est accordé. L'accès est géré au niveau du groupe et du compartiment, ce qui vous permet de créer des politiques qui affectent des autorisations propres à un groupe dans un compartiment ou sur l'ensemble de la location. Les compartiments sont des partitions logiques dans une location OCI. Ils sont utilisés pour organiser les ressources, gérer l'accès et appliquer des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment, vous créez des politiques qui spécifient les utilisateurs ou les groupes qui peuvent accéder aux ressources et les actions qu'ils sont autorisés à effectuer. Cette conception de compartiment suit une structure organisationnelle commune, où les responsabilités informatiques sont généralement réparties entre les équipes de réseau, de sécurité, de développement d'applications et d'administration de base de données.

Les ressources de ce modèle de zone d'atterrissage sont provisionnées dans les compartiments suivants :

  • Compartiment englobant : Compartiment parent recommandé qui contient tous les autres compartiments répertoriés ci-dessous.
  • Compartiment du réseau : Contient toutes les ressources de réseau, y compris les passerelles de réseau nécessaires, les réseaux en nuage virtuels de charge de travail et une option concentrateur et satellite.
  • Compartiment de sécurité : Contient les ressources liées à la journalisation, à la gestion des clés, au balayage de vulnérabilités, à l'hôte bastion et aux avis.
  • Compartiment de l'application : Inclut les services liés aux applications tels que le calcul, le stockage, les fonctions, les flux, les noeuds Kubernetes, la passerelle d'API, etc.
  • Compartiment de la base de données : Dédié aux ressources de base de données.
  • Compartiment Exadata (facultatif) : Compartiment permettant de provisionner l'infrastructure Oracle Exadata Database Service.

Réseaux

Vous pouvez configurer la zone d'atterrissage de base OCI pour déployer les ressources de réseau suivantes :

  • VCN : Réseau personnalisable défini par logiciel dans OCI qui vous donne un contrôle total sur votre environnement réseau, similaire aux réseaux de centre de données traditionnels. Un réseau VCN peut avoir plusieurs blocs CIDR qui ne se chevauchent pas et qui peuvent être modifiés après leur création. Vous pouvez segmenter davantage un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Chaque sous-réseau comporte un intervalle contigu d'adresses IP qui ne chevauche pas d'autres sous-réseaux du même VCN. La taille d'un sous-réseau peut être ajustée après sa création, et les sous-réseaux peuvent être publics ou privés.

    La zone d'atterrissage de base OCI peut être configurée pour déployer jusqu'à 10 réseaux en nuage virtuels :

    • 3 réseaux en nuage virtuels à trois niveaux
    • 3 réseaux en nuage virtuels d'Exadata Cloud Infrastructure
    • 3 réseaux en nuage virtuels OKE
    • 1 VCN central

    Ces réseaux en nuage virtuels peuvent être déployés en tant que réseaux autonomes ou appairés. Par défaut, aucun réseau en nuage virtuel n'est provisionné sauf s'il est sélectionné.

  • Passerelle Internet : Active le trafic entre les sous-réseaux publics d'un VCN et l'Internet public.

  • Passerelle de routage dynamique (DRG) : Routeur virtuel qui facilite le trafic réseau privé entre les réseaux sur place et les réseaux en nuage virtuels. Il peut également acheminer le trafic entre des réseaux en nuage virtuels dans la même région ou entre différentes régions.
  • Passerelle NAT : Permet aux ressources privées d'un réseau VCN de lancer des connexions sortantes vers Internet sans exposer ces ressources au trafic Internet entrant.
  • Passerelle de service : Fournit l'accès d'un VCN aux services OCI, tels que le stockage d'objets. Le trafic du VCN vers ces services circule sur la structure réseau d'Oracle, évitant ainsi l'Internet public.
  • Réseau des services Oracle (OSN) : Réseau dédié au sein d'OCI pour les services Oracle, qui ont des adresses IP publiques accessibles sur Internet. Les hôtes en dehors d'OCI peuvent accéder à OSN en privé au moyen d'OCI FastConnect ou d'une connexion RPV. Les hôtes de votre VCN peuvent accéder à OSN en privé au moyen d'une passerelle de service.
  • Groupes de sécurité de réseau (NSG) : Agit en tant que pare-feu virtuel pour vos ressources en nuage. Suite au modèle de sécurité avec confiance zéro d'OCI, tout le trafic est refusé par défaut et vous pouvez contrôler le flux de trafic au sein d'un VCN. Un groupe de sécurité de réseau est constitué d'un jeu de règles de trafic entrant et sortant appliquées à un jeu spécifique de cartes d'interface réseau virtuelle (vNIC) dans un réseau VCN.
  • Zero Trust Packet Routing (ZPR) : Empêche l'accès non autorisé aux données en gérant la politique de sécurité de réseau séparément de l'architecture de réseau. ZPR utilise un langage de politique convivial basé sur une intention pour définir des chemins d'accès autorisés pour les données. Tout modèle de trafic non explicitement défini par une politique ne peut pas traverser le réseau, ce qui simplifie la protection des données et empêche l'exfiltration des données. Par défaut, ZPR n'est pas activé et nécessite une configuration.

Sécurité

Par défaut, la zone d'atterrissage de base OCI est configurée pour déployer les services de sécurité natifs en nuage suivants afin de prendre en charge la norme CIS OCI et de fournir une sécurité robuste.

  • Protection d'infrastructure en nuage : Service en nuage natif conçu pour vous aider à surveiller, à identifier et à maintenir un fort niveau de sécurité dans Oracle Cloud. Le service examine en continu vos ressources OCI pour détecter les failles de sécurité liées à la configuration et surveille les opérateurs et les utilisateurs pour détecter les activités risquées. À l'aide de recettes de détecteur personnalisables, le service de protection d'infrastructure en nuage identifie les erreurs de configuration et les menaces de sécurité potentielles. Lorsqu'il est détecté, il peut recommander des mesures correctives ou aider à les mettre en oeuvre au moyen de recettes de répondant prédéfinies. Cela vous permet de gérer de manière proactive la sécurité de vos ressources et de maintenir la conformité aux meilleures pratiques.
  • Zone de sécurité : Associée à un ou plusieurs compartiments et à une recette de zone de sécurité. Lorsque des ressources sont créées ou modifiées dans une zone de sécurité, OCI valide l'opération par rapport aux politiques de sécurité définies dans la recette de zones. En cas de violation d'une politique, l'opération est refusée. Les zones de sécurité garantissent que vos ressources OCI sont conformes aux exigences de sécurité de votre organisation pour tous les services de calcul, de réseau, de stockage d'objets, de volume par blocs et de base de données.
  • Service de balayage de vulnérabilités : Permet d'améliorer la sécurité en balayant régulièrement les ports et les hôtes pour détecter les vulnérabilités. Le service génère des rapports détaillés, y compris des mesures et des informations sur les vulnérabilités identifiées, ce qui vous aide à traiter les risques de sécurité de manière proactive.
  • Chambre forte : Permet de gérer de manière centralisée les clés de chiffrement qui protègent vos données, en plus des données d'identification de clé secrète utilisées pour sécuriser l'accès à vos ressources en nuage. Avec le service de chambre forte, vous pouvez créer et gérer des chambres fortes, des clés de chiffrement et des clés secrètes.
  • Hôte bastion : Fournit un accès sécurisé et contrôlé aux ressources OCI qui n'ont pas de points d'extrémité publics. Il permet des sessions SSH basées sur l'identité, avec des restrictions d'adresse IP spécifiques et un accès limité dans le temps. Toutes les activités sont auditées, ce qui garantit un accès distant sécurisé et traçable aux ressources critiques.

Observabilité

La zone d'atterrissage de base OCI est configurée pour utiliser les services OCI suivants à des fins d'observabilité :

  • Journalisation : Service entièrement géré et hautement évolutif qui fournit l'accès aux journaux à partir de vos ressources en nuage. Il vous permet de voir, de gérer et d'analyser les journaux de votre location, y compris des informations de diagnostic critiques sur le rendement et l'accès aux ressources. Le service prend en charge les types de journal suivants :
    • Journaux de vérification : Enregistrements des événements émis par le service de vérification OCI.
    • Journaux de service : Journaux générés par les services natifs OCI tels que la passerelle d'API, les événements, les fonctions, l'équilibreur de charge, le stockage d'objets et les journaux de flux VCN.
    • Journaux personnalisés : Journaux provenant d'applications personnalisées, de fournisseurs de services en nuage tiers ou d'environnements sur place, fournissant des détails de diagnostic supplémentaires.
  • Événements : Messages structurés émis par les services OCI qui décrivent les modifications apportées aux ressources. Ces événements peuvent correspondre à des opérations de création, de lecture, de mise à jour ou de suppression (CRUD), à des modifications d'état du cycle de vie des ressources ou à des événements système ayant une incidence sur les ressources en nuage.
  • Avis : Diffuse des messages sécurisés, hautement fiables, à faible latence et durables vers des composants répartis à l'aide d'un modèle de publication-abonnement. Il fournit des messages pour les applications hébergées sur OCI et à l'externe, et peut être utilisé pour vous aviser lorsque des alarmes, des connecteurs de service ou des règles d'événement sont déclenchés.
  • Centre de connecteurs : Plate-forme de bus de messages en nuage qui orchestre le déplacement des données entre les services dans le nuage. Il fournit une interface unique pour définir, exécuter et surveiller les transferts de données, ce qui vous permet de déplacer des données d'un service source vers un service cible. En outre, le centre de connecteurs vous permet de spécifier des tâches, telles que l'appel d'une fonction, pour traiter les données avant leur transmission au service cible. Cela facilite la création d'un cadre d'agrégation de journaux pour les systèmes SIEM (Security Information and Event Monitoring).
  • Stockage d'objets : Permet de gérer les données en tant qu'objets dans des conteneurs, et d'accéder rapidement à de grandes quantités de données structurées et non structurées de tous types, notamment des sauvegardes de base de données, des données analytiques et des ressources multimédias, telles que des images et des vidéos. Vous pouvez stocker et extraire des données en toute sécurité à partir d'Internet et de la plate-forme en nuage, avec la possibilité d'adapter le stockage sans sacrifier les performances ou la fiabilité. Utilisez le stockage standard pour les données " chaudes " fréquemment consultées qui nécessitent une extraction rapide et immédiate et le stockage d'archives pour les données " froides " rarement consultées mais conservées pour le stockage à long terme.

Recommandations

Comment déployer la zone d'atterrissage de base OCI

Utilisez les directives suivantes pour concevoir et configurer la sécurité de votre environnement en nuage. Considérez que vos exigences spécifiques peuvent différer de l'architecture décrite ici.

  • Configuration du réseau : Lors de la sélection d'un bloc CIDR pour votre VCN, assurez-vous qu'il ne chevauche aucun autre réseau (dans OCI, votre centre de données sur place ou un autre fournisseur de nuage) auquel vous prévoyez d'établir des connexions privées.
  • Surveillance de la sécurité : Utilisez le service de protection d'infrastructure en nuage pour surveiller et maintenir la sécurité de vos ressources dans OCI. Le service de protection d'infrastructure en nuage utilise des recettes de détecteur personnalisables pour identifier les failles de sécurité dans vos ressources et suivre les activités à risque par les opérateurs et les utilisateurs. Lorsqu'un problème de configuration ou de sécurité incorrect est détecté, le service de protection d'infrastructure en nuage fournit des recommandations pour les actions correctives et peut aider à les mettre en oeuvre à l'aide de recettes de répondant prédéfinies.
  • Provisionnement sécurisé des ressources : Pour les ressources nécessitant le niveau de sécurité le plus élevé, utilisez des zones de sécurité. Une zone de sécurité est un compartiment associé à un ensemble de politiques défini par Oracle basé sur les meilleures pratiques de sécurité. Par exemple, les ressources d'une zone de sécurité doivent être inaccessibles à partir du réseau Internet public et doivent être chiffrées à l'aide de clés gérées par le client. OCI valide la création et les mises à jour de ressources dans une zone de sécurité par rapport à ces politiques, en refusant automatiquement toutes les opérations qui les violent.

Points à considérer

Lors de la mise en oeuvre de la zone d'atterrissage de base OCI, tenez compte des informations suivantes :

  • Autorisations d'accès : Lors du provisionnement initial, la zone d'atterrissage peut créer des ressources avec des privilèges d'administrateur de location. Il comprend des politiques préconfigurées qui permettent à des groupes d'administrateurs distincts de gérer chaque compartiment après la configuration initiale. Toutefois, ces politiques sont limitées aux ressources déployées par le modèle et ne couvrent pas toutes les ressources en nuage potentielles. Si vous ajoutez de nouvelles ressources au modèle Terraform, vous devez définir des énoncés de politique supplémentaires pour accorder les autorisations d'accès nécessaires.
  • Configuration du réseau : Le réseau de la zone d'atterrissage peut être déployé de différentes façons : avec un à plusieurs réseaux en nuage virtuels autonomes ou dans une architecture concentrateur et satellite. Il est également possible de configurer le réseau sans connexion Internet.
  • Guide de déploiement : Le guide de déploiement de la zone d'atterrissage de base OCI dans GitHub fournit des conseils détaillés sur la configuration de la zone d'atterrissage de base OCI. Il comprend des scénarios de déploiement et des étapes de personnalisation de la zone d'atterrissage.

Déploiement

Le code Terraform pour cette solution est disponible sur GitHub. Vous pouvez importer le code dans le gestionnaire de ressources OCI en un seul clic, créer la pile et déployer la zone d'atterrissage. Vous pouvez également télécharger le code sur votre machine locale, le personnaliser et déployer l'architecture à l'aide de l'interface de ligne de commande Terraform.

Déployer à l'aide de l'exemple de pile dans le gestionnaire de ressources

Sélectionnez Déployer vers OCI pour ouvrir le gestionnaire de ressources dans la console OCI et créer une pile.

Si vous n'êtes pas déjà connecté à la console, entrez les données d'identification de la location et de l'utilisateur.

  1. Sélectionnez la région dans laquelle déployer la pile.
  2. Suivez les invites et les instructions à l'écran pour créer la pile.
  3. Après avoir créé la pile, cliquez sur Actions Terraform, puis sélectionnez Planifier.
  4. Attendez que la tâche soit terminée, puis vérifiez le plan.
  5. Pour apporter des modifications, retournez à la page Détails de la pile, cliquez sur Modifier la pile, puis apportez les modifications requises. Exécutez ensuite de nouveau l'action Planifier.
  6. Si aucune autre modification n'est nécessaire, retournez à la page Détails de la pile, cliquez sur Actions Terraform, puis sélectionnez Appliquer.

Déployer à l'aide du code Terraform dans GitHub

  1. Allez à GitHub.
  2. Téléchargez ou clonez le code sur votre ordinateur local.
  3. Suivez les instructions décrites dans le README.

Note : OCI offre ses services en nuage dans toutes ses régions de nuage public et ses régions de nuage dédiées. Cependant, certains services spécialisés ou émergents ne sont disponibles que dans certaines régions. Pour plus d'informations, voir Disponibilité du service.