Documentation sur Oracle Cloud Infrastructure

Création d'une zone de sécurité

Créez une zone de sécurité pour vous assurer que les ressources d'un compartiment sont conformes aux politiques de sécurité.

Avant de créer une zone de sécurité, vous devez activer le service de protection d'infrastructure en nuage dans la location. Voir Introduction au service de protection d'infrastructure en nuage.

Lorsque vous créez une zone de sécurité, vous pouvez sélectionner une recette gérée par Oracle ou une recette personnalisée.

Lorsque vous créez une zone de sécurité pour un compartiment, le service de protection d'infrastructure en nuage effectue les actions suivantes :
  • Supprime toute cible existante du service de protection d'infrastructure en nuage pour le compartiment et ses sous-compartiments.
  • Crée une cible de zone de sécurité pour le compartiment
  • Ajoute la recette de détecteur gérée par Oracle par défaut aux compartiments de la zone de sécurité

Si vous créez une zone de sécurité pour un sous-compartiment dont le compartiment parent se trouve déjà dans une zone de sécurité, le service infonuagique crée une cible de zone de sécurité distincte pour le sous-compartiment. Aucune modification n'est apportée à la cible existante pour le compartiment parent.

Le diagramme suivant illustre la configuration du service de protection d'infrastructure en nuage pour une nouvelle zone de sécurité dans un sous-compartiment :


Le compartiment parent se trouve dans une zone de sécurité et le compartiment enfant se trouve dans une autre zone de sécurité. Chaque compartiment est associé à une cible de zone de sécurité différente dans le service de protection d'infrastructure en nuage. La cible de zone de sécurité pour le compartiment enfant est associée aux recettes de détecteur par défaut.

Voir l'image pleine dimension.

Attention

Pour une flexibilité maximale, évitez d'affecter une zone de sécurité au compartiment racine de la location. Les zones de sécurité appliquées au compartiment racine peuvent limiter les actions possibles sur l'ensemble d'une location. Bien que cette configuration puisse être préférable pour des cas d'utilisation spécifiques, elle est trop restrictive pour la plupart des utilisateurs.
    1. Dans la page de liste Zones de sécurité, sélectionnez le compartiment dans lequel créer la zone de sécurité. Si vous avez besoin d'aide pour trouver la page de liste ou le filtre de compartiment, voir Liste d'une zone de sécurité.
    2. Sélectionnez Créer une zone de sécurité.

      Si le compartiment sélectionné est déjà associé à une zone de sécurité, ce bouton est désactivé.

    3. Dans le panneau Créer une zone de sécurité, sous Recette de zone de sécurité, sélectionnez l'une des options suivantes :
      • Géré par Oracle : La zone de sécurité utilise la recette de sécurité maximale.
      • Géré par le client : La zone de sécurité utilise une recette personnalisée que vous sélectionnez.

      Si la recette se trouve dans un autre compartiment, sélectionnez Changer de compartiment.

    4. Entrez un nom et une description pour la zone de sécurité.

      Évitez de révéler des informations sensibles lors de la désignation ou de la description des zones de sécurité.

      Vous ne pouvez pas modifier le nom d'une zone de sécurité après sa création.

    5. Vérifiez le compartiment de la zone de sécurité.
    6. (Facultatif) Appliquez des marqueurs à la zone de sécurité.

      Si vous êtes autorisé à créer une ressource, vous êtes également autorisé à appliquer des marqueurs à structure libre à cette ressource. Pour appliquer un marqueur défini, vous devez être autorisé à utiliser l'espace de noms de marqueur. Voir Marqueurs de ressource. Vous pouvez également appliquer des marqueurs à une zone de sécurité après l'avoir créée.

    7. Choisissez l'une des options suivantes :
      • Pour créer la zone de sécurité maintenant, sélectionnez Créer une zone de sécurité.
      • Pour enregistrer la configuration de ressources en tant que configuration Terraform, sélectionnez Enregistrer en tant que pile.

        Pour plus d'informations sur l'enregistrement des piles à partir des définitions de ressource, voir Création d'une pile à partir d'une page de création de ressource.

    The new security zone is in the Creating state. L'association du compartiment et de ses sous-compartiments à la zone de sécurité peut prendre quelques minutes. Une fois le processus terminé, la zone de sécurité est à Actif.

    Si le compartiment de cette zone de sécurité contient des ressources existantes, vous pouvez vérifier si l'une d'elles viole des politiques dans la recette de la zone.

  • Utilisez la commande oci cloud-guard security-zone create et les paramètres requis pour créer une zone de sécurité :

    oci cloud-guard security-zone create --compartment-id <compartment_ocid> --display-name <security_zone_name> --security_zone-recipe-id <security_zone_recipe_ocid> [OPTIONS]

    Pour la liste complète des indicateurs et des options de variable pour les commandes de l'interface de ligne de commande, voir Informations de référence sur la ligne de commande.

  • Exécutez l'opération CreateSecurityZone pour créer une zone de sécurité.