Politiques de zone de sécurité

Lors de la création et de la mise à jour de ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide ces opérations en fonction des politiques dans la zone de sécurité. En cas de violation d'une politique, l'opération est refusée.

Lorsque vous créez une zone de sécurité, vous lui affectez une recette, qui est un ensemble de politiques de zone de sécurité.

Votre location comporte une recette prédéfinie nommée Recette de sécurité maximale, qui comprend un certain nombre de politiques de zone de sécurité organisées. Oracle gère cette recette et vous ne pouvez pas la modifier. Vous pouvez toutefois créer vos propres recettes qui répondent à vos exigences de sécurité particulières.

Les zones de sécurité catégorisent les politiques par principe de sécurité, par exemple Restreindre le déplacement des ressources. Chaque politique a une incidence sur une ou plusieurs ressources en nuage, telles que les ressources de calcul, de réseau, de stockage d'objets et de base de données.

Note

Les politiques de base de données ne s'appliquent pas à Oracle Exadata Cloud@Customer.

Note

Les politiques de gestion du calcul s'appliquent aux configurations d'instance et aux groupes d'instances. Voir Utilisation des configurations d'instance et des groupes d'instances.

Restreindre le déplacement des ressources

Pour assurer l'intégrité des données, certaines ressources dans une zone de sécurité ne peuvent pas être déplacées vers un compartiment en dehors de la zone de sécurité, car cela peut être moins sécurisé. Vous ne pouvez également pas déplacer une ressource existante vers un compartiment dans une zone de sécurité, sauf si toutes les politiques de la zone de sécurité sont respectées.

Le tableau suivant décrit les politiques de zone de sécurité qui limitent le déplacement des ressources.


Politique	Types de ressource	Description
`deny attached_boot_volume_not_in_security_zone_move_to_compartment_in_security_zone`	Stockage par blocs	Vous ne pouvez pas déplacer un volume de démarrage attaché qui n'est pas dans une zone de sécurité vers un compartiment dans une zone de sécurité.
`deny block_volume_in_security_zone_move_to_compartment_not_in_security_zone`	Stockage par blocs	Vous ne pouvez pas déplacer un volume par blocs dans la zone de sécurité vers un compartiment qui ne se trouve pas dans la même zone de sécurité.
`deny boot_volume_in_security_zone_move_to_compartment_not_in_security_zone`	Stockage par blocs	Vous ne pouvez pas déplacer un volume de démarrage dans la zone de sécurité vers un compartiment qui ne se trouve pas dans la même zone de sécurité.
`deny instance_in_security_zone_move_to_compartment_not_in_security_zone`	Calcul	Vous ne pouvez pas déplacer une instance dans la zone de sécurité vers un compartiment qui n'est pas dans la même zone de sécurité.
`deny instance_not_in_security_zone_move_to_compartment_in_security_zone`	Calcul	Vous ne pouvez pas déplacer une instance vers la zone de sécurité à partir d'un compartiment qui n'est pas dans la même zone de sécurité.
`deny db_instance_move_to_compartment_not_in_security_zone`	Base de données (tous types)	Vous ne pouvez pas déplacer une base de données dans la zone de sécurité vers un compartiment qui n'est pas dans la même zone de sécurité.
`deny database_with_dataguard_association_move_to_compartment_in_security_zone`	Base de données (systèmes de base de données sans système d'exploitation et sur machine virtuelle, systèmes de base de données Exadata)	Vous ne pouvez pas déplacer une base de données vers la zone de sécurité si son association Data Guard ne se trouve pas dans la même zone de sécurité.
`deny file_system_in_security_zone_move_to_compartment_not_in_security_zone`	Stockage de fichiers	Vous ne pouvez pas déplacer un système de fichiers dans la zone de sécurité vers un compartiment qui n'est pas dans la même zone de sécurité.
`deny mount_target_in_security_zone_move_to_compartment_not_in_security_zone`	Stockage de fichiers	You can't move a mount target (File Storage) in the security zone to a compartment that's not in the same security zone.
`deny bucket_in_security_zone_move_to_compartment_not_in_security_zone`	Stockage d'objets	Vous ne pouvez pas déplacer un seau dans la zone de sécurité vers un compartiment qui n'est pas dans la même zone de sécurité.
`deny LPG_gateway`	VCN	Vous ne pouvez pas ajouter une passerelle d'appairage local à un VCN dans la zone de sécurité et vous ne pouvez pas déplacer une passerelle d'appairage local vers la zone de sécurité.
`deny subnet_in_security_zone_move_to_compartment_not_in_security_zone`	VCN	Vous ne pouvez pas déplacer un sous-réseau dans la zone de sécurité vers un compartiment qui n'est pas dans la même zone de sécurité.

Restreindre l'association des ressources

Tous les composants requis pour une ressource dans une zone de sécurité doivent également être situés dans la même zone de sécurité. Les ressources qui ne sont pas dans une zone de sécurité peuvent être vulnérables et les ressources dans une autre zone de sécurité peuvent avoir une sécurité plus faible.

Le tableau suivant décrit les politiques de zone de sécurité qui limitent l'association de ressources.


Politique	Types de ressource	Description
`deny attached_block_volume_not_in_security_zone_move_to_compartment_in_security_zone`	Stockage par blocs	Vous ne pouvez pas déplacer un volume de stockage par blocs vers la zone de sécurité s'il est attaché à une instance de calcul qui n'est pas dans la même zone de sécurité.
`deny block_volume_in_security_zone_attach_to_instance_not_in_security_zone`	Calcul	You can't attach a block storage volume in the security zone to a Compute instance that isn't in the same security zone.
`deny block_volume_not_in_security_zone_attach_to_instance_in_security_zone`	Calcul	Vous ne pouvez pas attacher un volume de stockage par blocs à une instance de calcul dans la zone de sécurité si le volume n'est pas dans la même zone de sécurité.
`deny boot_volume_not_in_security_zone_attach_to_instance_in_security_zone`	Calcul	Vous ne pouvez pas attacher un volume de démarrage à une instance de calcul dans la zone de sécurité si le volume n'est pas dans la même zone de sécurité.
`deny boot_volume_in_security_zone_attach_to_instance_not_in_security_zone`	Calcul	Vous ne pouvez pas attacher un volume de démarrage dans la zone de sécurité à une instance de calcul qui n'est pas dans la même zone de sécurité.
`deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zone`	Calcul, Gestion du calcul	Vous ne pouvez pas lancer une instance de calcul dans la zone de sécurité si son volume de démarrage n'est pas dans la même zone de sécurité.
`deny instance_not_in_security_zone_launch_from_boot_volume_in_security_zone`	Calcul, Gestion du calcul	Vous ne pouvez pas lancer une instance de calcul à l'aide d'un volume de démarrage dans la zone de sécurité si l'instance n'est pas dans la même zone de sécurité.
`deny instance_in_security_zone_in_subnet_not_in_security_zone`	Calcul, Gestion du calcul	A Compute instance in the security zone can't use a subnet if it's not in the same security zone.
`deny dataguard_association_with_db_instances_not_in_security_zones`	Base de données (systèmes de base de données sans système d'exploitation et sur machine virtuelle, systèmes de base de données Exadata)	Une base de données dans la zone de sécurité ne peut pas avoir d'association Data Guard avec une autre base de données (principale/de secours) qui n'est pas dans la même zone de sécurité.
`deny db_instance_subnet_not_in_security_zone`	Base de données (tous types)	Une base de données dans la zone de sécurité ne peut pas utiliser un sous-réseau s'il n'est pas dans la même zone de sécurité.
`deny db_resource_association_not_in_security_zone`	Base de données (systèmes de base de données Exadata)	Les ressources d'infrastructure Exadata dans la zone de sécurité ne peuvent pas être associées à des bases de données conteneurs ou à des grappes de machines virtuelles qui ne sont pas dans la même zone de sécurité.
`deny mount_target_in_security_zone_created_with_subnet_not_in_security_zone`	Stockage de fichiers	Une cible de montage (stockage de fichiers) dans la zone de sécurité ne peut pas utiliser un sous-réseau s'il n'est pas dans la même zone de sécurité.
`deny mount_target_not_in_security_zone_create_with_subnet_in_security_zone`	Stockage de fichiers	Vous ne pouvez pas créer une cible de montage (stockage de fichiers) qui utilise un sous-réseau dans une zone de sécurité si la cible de montage n'est pas dans la même zone de sécurité.
`deny file_system_in_security_zone_export_via_mount_target_not_in_security_zone`	Stockage de fichiers	Vous ne pouvez pas exporter un système de fichiers dans la zone de sécurité au moyen d'une cible de montage (stockage de fichiers) qui n'est pas dans la même zone de sécurité.
`deny file_system_not_in_security_zone_export_via_mount_target_in_security_zone`	Stockage de fichiers	Vous ne pouvez pas exporter un système de fichiers au moyen d'une cible de montage (stockage de fichiers) si le système de fichiers n'est pas dans la même zone de sécurité.

Refuser l'accès public

Les ressources d'une zone de sécurité ne doivent pas être accessibles par l'Internet public.

When you create a private subnet , Compute instances launched in that subnet can't have public IP addresses. Cette restriction garantit que les instances de calcul dans le sous-réseau n'ont pas d'accès Internet. Pour les instances de calcul d'un sous-réseau privé, une passerelle de service permet l'accès privé aux services publics tels que le service de stockage d'objets. Voir Aperçu du service de réseau.

Le tableau suivant décrit les politiques de zone de sécurité qui limitent l'accès au réseau.


Politique	Types de ressource	Description
`deny cloud_shell_public_network`	Cloud Shell	Les hôtes Cloud Shell dans une zone de sécurité ne peuvent pas avoir d'accès au réseau public.
`deny db_instance_public_access`	Base de données (tous types)	Les bases de données dans la zone de sécurité ne peuvent pas être affectées à des sous-réseaux publics. Elles doivent utiliser des sous-réseaux privés.
`deny public_load_balancer`	Équilibreur de charge	Les équilibreurs de charge d'une zone de sécurité ne peuvent pas être publics. Tous les équilibreurs de charge doivent être privés.
`deny public_buckets`	Stockage d'objets	Les seaux de stockage d'objets dans la zone de sécurité ne peuvent pas être publics.
`deny DRG_gateway`	VCN	Vous ne pouvez pas ajouter une passerelle DRG (Dynamic Routing Gateway) à un réseau VCN dans la zone de sécurité.
`deny internet_gateway`	VCN	Vous ne pouvez pas ajouter une passerelle Internet à un VCN (réseau en nuage virtuel) dans la zone de sécurité.
`deny LPG_gateway`	VCN	Vous ne pouvez pas ajouter une passerelle d'appairage local à un VCN dans la zone de sécurité et vous ne pouvez pas déplacer une passerelle d'appairage local vers la zone de sécurité.
`deny NAT_gateway`	VCN	Vous ne pouvez pas ajouter une passerelle NAT (traduction d'adresse réseau) à un réseau VCN dans la zone de sécurité.
`deny SGW_gateway`	VCN	Vous ne pouvez pas ajouter une passerelle SGW (passerelle sécurisée) à un VCN dans la zone de sécurité.
`deny public_subnets`	VCN	Les sous-réseaux dans la zone de sécurité ne peuvent pas être publics. Ils doivent être privés.

Chiffrement requis

Les ressources d'une zone de sécurité doivent être chiffrées à l'aide de clés gérées par le client. Les données doivent être chiffrées en transit et au repos.

Oracle Cloud Infrastructure Vault vous permet de gérer les clés de chiffrement principales qui protègent les données et les données d'identification de clé secrète que vous utilisez pour accéder en toute sécurité aux ressources. Vous pouvez également effectuer une rotation régulière des clés de chiffrement.

De nombreux services s'intègrent au service de chambre forte pour le chiffrement, notamment le service de stockage d'objets et le service de volume par blocs.

Le tableau suivant décrit les politiques de zone de sécurité qui imposent le chiffrement.


Politique	Types de ressource	Description
`deny block_volume_without_vault_key`	Stockage par blocs	Les volumes par blocs dans la zone de sécurité doivent utiliser une clé de chiffrement principale gérée par le client dans le service de chambre forte. Ils ne peuvent pas utiliser la clé de chiffrement par défaut gérée par Oracle.
`deny boot_volume_without_vault_key`	Stockage par blocs	Les volumes de démarrage dans la zone de sécurité doivent utiliser une clé de chiffrement principale gérée par le client dans le service de chambre forte. Ils ne peuvent pas utiliser la clé de chiffrement par défaut gérée par Oracle.
`deny file_system_without_vault_key`	Stockage de fichiers	Les systèmes de fichiers dans la zone de sécurité doivent utiliser une clé principale de chiffrement gérée par le client dans le service de chambre forte. Ils ne peuvent pas utiliser la clé de chiffrement par défaut gérée par Oracle.
`deny buckets_without_vault_key`	Stockage d'objets	Object Storage buckets in the security zone must use a customer-managed master encryption key in the Vault service. Ils ne peuvent pas utiliser la clé de chiffrement par défaut gérée par Oracle.

Garantir la durabilité des données

Les sauvegardes automatiques doivent être effectuées régulièrement pour les ressources d'une zone de sécurité.

Le tableau suivant décrit la politique de zone de sécurité qui garantit la durabilité des données.


Politique	Types de ressource	Description
`deny database_without_backup`	Base de données (systèmes de base de données sans système d'exploitation et sur machine virtuelle, systèmes de base de données Exadata)	Les bases de données dans la zone de sécurité doivent être configurées pour effectuer des sauvegardes automatiques. Voir Sauvegarde et récupération de base de données.

Garantir la sécurité des données

Les données dans une zone de sécurité sont considérées comme faisant l'objet de privilèges et ne peuvent pas être copiées en dehors de la zone de sécurité.

Le tableau suivant décrit les politiques de zone de sécurité qui assurent la sécurité des données.


Politique	Types de ressource	Description
`deny database_not_in_security_zone_create_from_backup_in_security_zone`	Base de données (systèmes de base de données sans système d'exploitation et sur machine virtuelle, systèmes de base de données Exadata)	Vous ne pouvez pas utiliser une sauvegarde de base de données dans la zone de sécurité pour créer une base de données en dehors de cette même zone de sécurité.
`deny database_in_security_zone_create_clone_not_in_security_zone`	Base de données (systèmes de base de données sur machine virtuelle, base de données autonome)	Vous ne pouvez pas cloner une base de données dans la zone de sécurité pour créer une base de données en dehors de cette même zone de sécurité.
`deny file_system_in_security_zone_clone_to_compartment_not_in_security_zone`	Stockage de fichiers	Vous ne pouvez pas cloner un système de fichiers dans une zone de sécurité pour créer un système de fichiers qui ne soit pas dans la même zone de sécurité.

Utiliser uniquement les configurations approuvées par Oracle

Oracle exige que certaines fonctions de sécurité soient activées et configurées pour les ressources d'une zone de sécurité. Par exemple, la configuration du système d'exploitation pour une instance de calcul.

Le tableau suivant décrit les politiques de zone de sécurité qui nécessitent des configurations approuvées par Oracle.


Politique	Types de ressource	Description de la politique
`deny manage_bastion_resource`	Hôte bastion	Vous ne pouvez pas créer ou modifier un hôte bastion dans la zone de sécurité.
`deny detach_volume`	Stockage par blocs	Vous ne pouvez pas détacher un volume dans la zone de sécurité.
`deny manage_compute_and_block_storage_resource`	Stockage par blocs, Calcul,	Vous ne pouvez effectuer aucune des actions suivantes pour les ressources de calcul dans la zone de sécurité : Créer une instance Attacher un volume à une instance Attacher un volume de démarrage à une instance déplacer une instance vers un autre compartiment Mettre à jour un instant Effectuer certaines actions puissantes sur une instance Attacher une carte VNIC à une instance Créer un hôte dédié de machine virtuelle Modifier le compartiment pour une machine virtuelle dédiée Mettre à jour un hôte de machine virtuelle dédié Supprimer un hôte de machine virtuelle dédié Créer une connexion à la console pour une instance Mettre à jour une connexion à la console pour une instance Supprimer une connexion à la console pour une instance Créer une réservation de capacité de calcul Mettre à jour une réservation de capacité de calcul Supprimer une réservation de capacité de calcul Déplacer une réservation de capacité de calcul vers un autre compartiment Créer une instance de configuration Créer une instance à partir d'une configuration d'instance Créer un groupe d'instances Démarrer un groupe d'instances Créer un réseau en grappe Vous ne pouvez effectuer aucune des actions suivantes pour les ressources de stockage par blocs dans la zone de sécurité : Créer un volume Supprimer un volume Déplacer un volume vers un autre compartiment Supprimer une clé KMS de volume Créer une sauvegarde de volume Supprimer une sauvegarde de volume Déplacer une sauvegarde de volume vers un autre compartiment Créer une politique de sauvegarde de volume Supprimer une politique de sauvegarde de volume Créer une sauvegarde de groupe de volumes Supprimer une sauvegarde de groupe de volumes Déplacer une sauvegarde de groupe de volumes vers un autre compartiment Créer un volume de démarrage Supprimer un volume de démarrage Déplacer un volume de démarrage vers un autre compartiment Supprimer une clé KMS de volume de démarrage Créer une sauvegarde de volume de démarrage Supprimer une sauvegarde de volume de démarrage Copier une sauvegarde de volume de démarrage Déplacer une sauvegarde de volume de démarrage vers un autre compartiment Créer un groupe de volumes Supprimer un groupe de volumes Déplacer un groupe de volumes vers un autre compartiment
`deny manage_image_resource`	Calcul	Vous ne pouvez effectuer aucune des actions suivantes pour une image dans la zone de sécurité : Créer une image Mettre à jour une image Supprimer une image Déplacer une image vers un autre compartiment
`deny terminate_instance`	Calcul	Vous ne pouvez pas supprimer une instance dans la zone de sécurité.
`deny instance_without_sanctioned_image`	Calcul, Gestion du calcul	Vous devez créer une instance dans la zone de sécurité à l'aide d'une image de plate-forme. Vous ne pouvez pas créer une instance de calcul dans la zone de sécurité à partir d'une image personnalisée.
`deny delete_certificate_authority`	Gestion des certificats	Vous ne pouvez pas supprimer une autorité de certification dans la zone de sécurité.
`deny revoke_certificate_authority_version`	Gestion des certificats	Vous ne pouvez pas révoquer un certificat intermédiaire dans un ensemble d'autorité de certification dans la zone de sécurité.
`deny free_database_creation`	Base de données (tous types)	Vous ne pouvez pas créer une instance de base de données de type Toujours gratuit dans une zone de sécurité.
`deny manage_file_storage_resource`	Stockage de fichiers	Vous ne pouvez pas créer ou modifier une ressource de stockage de fichiers dans la zone de sécurité.
`deny manage_oke_service`	Moteur Kubernetes	Vous ne pouvez effectuer aucune des actions suivantes sur les ressources OKE dans la zone de sécurité : Créer une grappe Mettre à jour une grappe Supprimer une grappe Créer une configuration kubernetes Mettre à jour une configuration de point d'extrémité de grappe Créer un groupe de noeuds Mettre à jour un groupe de noeuds Supprimer un groupe de noeuds
refuser delete_all_load_balancer_back_end_sets	Équilibreur de charge	Vous ne pouvez pas supprimer les jeux dorsaux de l'équilibreur de charge dans la zone de sécurité.
`deny load_balancer_with_weak_SSL_communication`	Équilibreur de charge	La politique SSL pour un module d'écoute d'équilibreur de charge dans la zone de sécurité doit utiliser TLS 1.2 ou une version ultérieure.
`deny security_list_to_allow_traffic_to_restricted_port`	VCN	Vous ne pouvez pas créer ou modifier une liste de sécurité pour autoriser le trafic vers des ports non sécurisés dans la zone de sécurité.
`deny delete_network_security_group`	VCN	Vous ne pouvez pas supprimer un groupe de sécurité de réseau VCN dans la zone de sécurité.
`deny network_security_group_with_unsecure_ingress_rule`	VCN	Vous ne pouvez pas ajouter un groupe de sécurité de réseau avec une règle qui autorise le trafic entrant vers des ports non sécurisés ou des adresses IP dans la zone de sécurité.
`deny delete_vcn`	VCN	Vous ne pouvez pas supprimer un VCN dans la zone de sécurité.
`deny update_route_table`	VCN	Vous ne pouvez pas mettre à jour une table de routage de VCN dans la zone de sécurité.
`deny update_network_security_group_ingress_rule`	VCN	Vous ne pouvez pas modifier les règles de trafic entrant d'un groupe de sécurité de réseau dans la zone de sécurité.
`deny update_network_security_group_egress_rule`	VCN	Vous ne pouvez pas modifier les règles de trafic sortant d'un groupe de sécurité de réseau dans la zone de sécurité.
`deny delete_vcn_security_list`	VCN	Vous ne pouvez pas supprimer une liste de sécurité de réseau VCN dans la zone de sécurité.
`deny update_vcn_security_list_ingress_rules`	VCN	Vous ne pouvez pas modifier les règles de sécurité de trafic entrant de la liste de sécurité du VCN dans la zone de sécurité.
`deny update_vcn_security_list_egress_rules`	VCN	Vous ne pouvez pas modifier les règles de sécurité de trafic entrant de la liste de sécurité du VCN dans la zone de sécurité.
`deny update_DHCP_options`	VCN	Vous ne pouvez pas mettre à jour les options DHCP dans la zone de sécurité.
`deny update_local_peering_gateway`	VCN	Vous ne pouvez pas mettre à jour une passerelle d'appairage local dans la zone de sécurité.
`deny create_or_modify_vcn_security_list`	VCN	Vous ne pouvez pas créer ou modifier une liste de sécurité de réseau VCN dans la zone de sécurité.
`deny manage_DNS_resource`	VCN	Vous ne pouvez effectuer aucune des actions suivantes pour une ressource DNS dans la zone de sécurité : Mettre à jour un résolveur Mettre à jour un point d'extrémité de résolveur Créer une clé TSIG
`deny manage_virtual_network_resource`	VCN	Vous ne pouvez effectuer aucune des actions suivantes sur les ressources de réseau virtuel dans la zone de sécurité : RPV Créer une interconnexion Mettre à jour une interconnexion Supprimer une interconnexion Déplacer une interconnexion vers un autre compartiment Créer un groupe d'interconnexions Mettre à jour un groupe d'interconnexions Supprimer un groupe d'interconnexions Déplacer un groupe d'interconnexions vers un autre compartiment Passerelle NAT Supprimer une passerelle DRG Supprimer une passerelle NAT VCN Créer un réseau VCN Mettre à jour un réseau VCN Déplacer un réseau VCN vers un autre compartiment Créer un sous-réseau Mettre à jour un sous-réseau Supprimer un sous-réseau Déplacer un sous-réseau vers un autre compartiment Supprimer une passerelle Internet Créer une adresse IP publique Supprimer une adresse IP publique Déplacer une adresse IP publique vers un autre compartiment Supprimer une passerelle d'appairage local Visualiseur de réseau Obtenir la topologie de sous-réseau Obtenir la topologie de VCN
`deny manage_vcn_route_tables`	VCN	Vous ne pouvez effectuer aucune des actions suivantes pour une ressource de table de routage de VCN dans la zone de sécurité : Créer une table de routage Mettre à jour une table de routage Supprimer une table de routage Déplacer une table de routage vers un compartiment différent
`deny create_vcn_security_list`	VCN	Vous ne pouvez pas créer une liste de sécurité de réseau VCN dans la zone de sécurité.
`deny manage_DHCP_options_resource`	VCN	Vous ne pouvez effectuer aucune des actions suivantes sur une ressource DHCP dans la zone de sécurité : Créer des options DHCP Mettre à jour les options DHCP Supprimer les options DHCP
`deny create_drg`	VCN	Vous ne pouvez pas créer une passerelle de routage dynamique (DRG) dans la zone de sécurité.

Restrictions de politique de zones de sécurité sur les ports UDP et TCP non sécurisés

La politique Zones de sécurité vous empêche de créer des règles de liste de sécurité ou de groupe de sécurité de réseau avec des ports UDP ou TCT non sécurisés.

Si la règle est basée sur le protocole UDP, la politique Zones de sécurité interdit les ports suivants :

11
De 17 à 19
49
69
80
82
De 83 à 85 ans
389
443
656
8,080

Si la règle est basée sur le protocole TCP, la politique Zones de sécurité interdit les ports suivants :

11
De 17 à 19
21
De 23 à 25
43
49
53
De 70 à 74
De 79 à 81
88
111
123
389
636
445
500
3,306
3,389
5,901
5,985
5,986
7,001
8,000
8,080
8,443
8,888

Documentation sur Oracle Cloud Infrastructure