Introduction aux zones de sécurité

Après avoir créé des politiques GIA et activé le service de protection d'infrastructure en nuage, créez une zone de sécurité pour un compartiment et vérifiez les violations de politique de zone de sécurité éventuelles.

Créer des politiques IAM

Pour utiliser des zones de sécurité et le service de protection d'infrastructure en nuage, le type d'accès requis doit vous être accordé dans une politique IAM écrite par un administrateur, que vous utilisiez la console ou l'API REST avec une trousse SDK, l'interface de ligne de commande ou un autre outil.

Si vous n'êtes pas administrateur de votre location, demandez à l'administrateur d'effectuer ces étapes.

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Zones de sécurité, cliquez sur Aperçu.

Dans la page Aperçu, dans la section Démarrer, copiez la liste des énoncés de politique IAM requis.

Allow group <group> to use cloud-guard-config in tenancy
Allow group <group> to read cloud-guard-targets in tenancy
Allow group <group> to inspect cloud-guard-problems in tenancy
Allow group <group> to manage security-zone in tenancy

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous identité, cliquez sur Politiques.
Sélectionnez le compartiment racine de votre location.
Cliquez sur Créer une politique.
Entrez un nom et une description pour la politique.
Par exemple :
- Nom : Politique pour les zones de sécurité
- Description : Activer la création de zones de sécurité
Cliquez sur Afficher l'éditeur manuel.
Collez les énoncés de politique à partir de la console Zones de sécurité.

Remplacez <group> par le nom d'un groupe existant.
Cliquez sur Créer.

Pour en savoir plus sur les zones de sécurité et les politiques IAM du service de protection d'infrastructure en nuage, voir Politiques du service de protection d'infrastructure en nuage.

Activer le service protection d'infrastructure en nuage

Activez le service de protection d'infrastructure en nuage dans votre location avant de créer des zones de sécurité. Si le service de protection d'infrastructure en nuage est déjà activé, vous pouvez ignorer cette tâche.

Le service de protection d'infrastructure en nuage est un service Oracle Cloud Infrastructure qui fournit un tableau de bord central pour surveiller toutes vos ressources en nuage afin de détecter les failles de sécurité dans la configuration, les mesures et les journaux. Lorsqu'il détecte un problème, il peut suggérer, aider ou prendre des mesures correctives en fonction de la configuration du service de protection d'infrastructure en nuage.

Les zones de sécurité fonctionnent avec le service de protection d'infrastructure en nuage pour identifier les violations de politique de zone de sécurité dans vos ressources existantes.

L'activation du service de protection d'infrastructure en nuage implique les tâches suivantes :

Création de politiques IAM permettant au service de protection d'infrastructure en nuage de surveiller les ressources de votre location
Sélection d'une région d'inscription
Création facultative de cibles pour les compartiments que le service de protection d'infrastructure en nuage doit surveiller
Sélection facultative des recettes de détecteur pour les cibles

Pour activer le service de protection d'infrastructure en nuage, vous devez disposer des privilèges d'administrateur.

Note

Il n'est pas nécessaire de créer une cible du service de protection d'infrastructure en nuage pour un compartiment avant de créer une zone de sécurité pour le même compartiment. Lorsque vous créez une zone de sécurité, une nouvelle cible du service de protection d'infrastructure en nuage est créée automatiquement.

Pour des instructions détaillées, voir Introduction au service de protection d'infrastructure en nuage.

Créer une recette de zone de sécurité (facultatif)

Les zones de sécurité fournissent une recette gérée par Oracle appelée recette de sécurité maximale, qui applique toutes les politiques de zone de sécurité disponibles. Si vous voulez désactiver certaines politiques, vous pouvez cloner cette recette.

Avant de créer une recette de zone de sécurité personnalisée, assurez-vous de comprendre les politiques de zone de sécurité disponibles.

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Zones de sécurité, cliquez sur Revenus.
Cliquez sur l'icône Actions de la recette Recette de sécurité maximale, puis sélectionnez Cloner.
Mettez à jour le nom et la description de la nouvelle recette.

Évitez d'entrer des informations confidentielles.
Sélectionnez le compartiment dans lequel vous voulez créer la recette.

Vous pouvez créer des recettes de zone de sécurité et des zones de sécurité dans différents compartiments.
Cliquez sur Suivant.
(Facultatif) Dans la page Politiques, sélectionnez une case à cocher pour activer une politique ou désactivez la politique.

Vous pouvez filtrer la liste des politiques en sélectionnant un type de politique particulier. Vous pouvez également Rechercher des politiques par nom.
Cliquez sur Suivant.
Dans la page Vérifier, vérifiez le nombre de politiques activées et désactivées dans cette recette, puis cliquez sur Créer.

La page Détails de la recette s'affiche.

Créer une zone de sécurité

Après avoir terminé toutes les tâches préalables, vous pouvez créer une zone de sécurité pour un compartiment existant.

Attention

Pour une flexibilité maximale, évitez d'affecter une zone de sécurité au compartiment racine de la location. Les zones de sécurité appliquées au compartiment racine peuvent limiter les actions possibles sur l'ensemble d'une location. Bien que cette configuration puisse être préférable pour des cas d'utilisation spécifiques, elle est trop restrictive pour la plupart des utilisateurs.

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Zones de sécurité, cliquez sur Aperçu.
Sous Portée de la liste, sélectionnez le compartiment à protéger au moyen de la zone de sécurité.

Sélectionnez un compartiment qui n'est pas déjà associé à une zone de sécurité.

La ressource de zone de sécurité est créée dans le compartiment que vous sélectionnez.

Par défaut, la même zone de sécurité est affectée à tous les sous-compartiments que le compartiment parent.
Sélectionnez Créer une zone de sécurité.

Si le compartiment sélectionné est déjà associé à une zone de sécurité, ce bouton est désactivé.
Sélectionnez une recette de zone de sécurité.
- Géré par Oracle : Sélectionnez cette option si vous n'avez pas créé de recette gérée par le client. La zone de sécurité utilise la recette de sécurité maximale.
- Géré par le client : sélectionnez votre recette personnalisée.
Si votre recette se trouve dans un compartiment différent, cliquez sur Modifier le compartiment.
Entrez un nom et une description pour la zone de sécurité.

Évitez de révéler des informations sensibles lors de la désignation ou de la description des zones de sécurité.

Vous ne pouvez pas modifier le nom d'une zone de sécurité après sa création.
Sélectionnez Créer une zone de sécurité.

Si le compartiment sélectionné est déjà associé à une zone de sécurité, ce bouton est désactivé.

Lorsque vous créez une zone de sécurité pour un compartiment, le service de protection d'infrastructure en nuage effectue les tâches suivantes :

Supprime toute cible existante du service de protection d'infrastructure en nuage pour le compartiment et les compartiments enfants
Crée une cible de zone de sécurité pour le compartiment
Ajoute les recettes de détecteur gérées par Oracle par défaut à la cible de zone de sécurité

Si vous créez une zone de sécurité pour un sous-compartiment dont le compartiment parent se trouve déjà dans une zone de sécurité, le service infonuagique crée une cible de zone de sécurité distincte pour le sous-compartiment. Aucune modification n'est apportée à la cible existante pour le compartiment parent.

Voir les violations de politique de zone de sécurité

Si le compartiment de votre zone de sécurité comporte des ressources existantes, vous pouvez identifier celles qui violent les politiques de la zone de sécurité et prendre des mesures correctives.

Le service Protection d'infrastructure en nuage analyse régulièrement les ressources dans vos zones de sécurité pour détecter les violations de politique. Chaque violation de politique est enregistrée en tant que problème dans le service de protection d'infrastructure en nuage. Pour une nouvelle zone de sécurité, la détection des violations peut prendre jusqu'à trois heures.

Dans la page Aperçu, cliquez sur la nouvelle zone de sécurité.
La page Détails de la zone de sécurité s'affiche.
Dans la page de détails sous Compartiments associés, développez le compartiment courant pour afficher tous les sous-compartiments qui se trouvent également dans la zone de sécurité.
Si le compartiment ou un sous-compartiment comporte des violations de politique, sélectionnez Voir les détails dans le service de protection d'infrastructure en nuage.

La page Problèmes du service de protection d'infrastructure en nuage s'ouvre et affiche uniquement les problèmes détectés dans cette zone de sécurité.
Sélectionnez un problème pour voir les détails suivants :
- Une description de la politique de zone de sécurité
- Le nom et l'emplacement de la ressource qui enfreint la politique
- Le niveau de risque relatif de la violation de politique (Critique, Majeur, Mineur, etc.)
- Les actions recommandées pour corriger le problème

Voir Politiques de zone de sécurité pour obtenir la description de toutes les politiques disponibles.

Étapes suivantes

Après avoir activé le service de protection d'infrastructure en nuage et créé votre première zone de sécurité, vous pouvez tester la zone, la personnaliser ou en créer d'autres.

Tâche	Informations supplémentaires
Tester une zone en tentant de violer une des politiques de la zone	Sélectionnez une politique de zone de sécurité activée dans la recette de la zone. Par exemple, vérifiez que vous ne pouvez pas créer un sous-réseau public ou un seau de stockage d'objets public. Voir Politiques de zone de sécurité.
Créer une zone distincte dans un sous-compartiment	Création d'une zone de sécurité
Supprimer un sous-compartiment de la zone	Suppression d'un sous-compartiment d'une zone de sécurité
Supprimer une zone	Suppression d'une zone de sécurité
Personnaliser les recettes de détecteur du service de sécurité en nuage dans une cible de zone de sécurité	Personnalisation de la configuration du service de protection d'infrastructure en nuage
Vérifier les autres problèmes de sécurité détectés par le service de protection d'infrastructure en nuage	Traitement des problèmes signalés
Créer des politiques IAM afin que d'autres groupes puissent gérer les zones de sécurité	Politiques du service de protection d'infrastructure en nuage

Si vous ne pouvez pas créer ou tester une zone de sécurité avec succès, voir Dépannage des zones de sécurité.