Aperçu des zones de sécurité

Présentation des concepts clés et des composants liés aux zones de sécurité.

Le diagramme suivant présente un aperçu général des zones de sécurité.

Zone de sécurité

Association entre un compartiment (et aucun ou plusieurs sous-compartiments) et une recette de zone de sécurité. Les opérations de ressource dans une zone de sécurité sont validées par rapport à toutes les politiques de la recette.

Une zone de sécurité inclut un compartiment et tous ses sous-compartiments, sauf si vous supprimez explicitement un sous-compartiment de la zone de sécurité ou si vous créez une zone distincte pour le sous-compartiment.

Un compartiment ne peut pas être associé à plus d'une zone de sécurité.

Recette de zone de sécurité

Collection de politiques de zone de sécurité appliquées par Oracle Cloud Infrastructure sur les zones de sécurité qui utilisent la recette.

Politique de zone de sécurité

Exigence de sécurité pour les ressources d'une zone de sécurité. Si une zone de sécurité active une politique, toute action qui tente de violer cette dernière est refusée.

Cible de la zone de sécurité (service de protection d'infrastructure en nuage)

Compartiment dans lequel le service de protection d'infrastructure en nuage vérifie périodiquement les ressources pour détecter les violations de politique de zone de sécurité.

Une cible inclut tous les sous-compartiments, sauf si vous créez une cible distincte pour le sous-compartiment.

Une cible est associée à une ou plusieurs recettes de détecteur. Chaque recette de détecteur définit une liste de problèmes de sécurité potentiels.

Une politique de zone de sécurité diffère d'une politique GIA comme suit :

• Les administrateurs créent des politiques GIA pour permettre aux utilisateurs de gérer certaines ressources dans un compartiment.
• Une politique de zone de sécurité garantit que ces opérations de gestion sont conformes à l’architecture de sécurité maximale et aux meilleures pratiques Oracle.
• Une politique de zone de sécurité est validée, quel que soit l'utilisateur qui effectue l'opération.
• Une politique de zone de sécurité empêche certaines actions; elle n'accorde pas de capacités.

En général, les politiques de zone de sécurité sont conformes aux principes de sécurité de base suivants :

• Les ressources dans une zone de sécurité ne peuvent pas être déplacées vers un compartiment à l'extérieur de la zone de sécurité, car cela peut être moins sécurisé.
• Tous les composants requis pour une ressource dans une zone de sécurité doivent également être situés dans la même zone de sécurité. Les ressources qui ne sont pas dans une zone de sécurité peuvent être vulnérables et les ressources dans une autre zone de sécurité peuvent avoir une sécurité plus faible.

  Par exemple, une instance de calcul  dans une zone de sécurité ne peut pas utiliser un volume  de démarrage qui n'est pas dans la même zone de sécurité.

• Les ressources d'une zone de sécurité ne doivent pas être accessibles par l'Internet public.
• Les ressources d'une zone de sécurité doivent être chiffrées à l'aide de clés gérées par le client.
• Les ressources d'une zone de sécurité doivent être sauvegardées régulièrement de manière automatique.
• Les données dans une zone de sécurité sont considérées comme faisant l'objet de privilèges et ne peuvent pas être copiées en dehors de la zone de sécurité, car cela peut être moins sécurisé.
• Les ressources d'une zone de sécurité doivent uniquement utiliser des configurations et des modèles approuvés par Oracle.

Présentation des relations entre les compartiments, les zones de sécurité, les recettes et les cibles.

Après que vous avez créé une zone de sécurité pour un compartiment, celle-ci empêche automatiquement les opérations, telles que la création ou la modification de ressources, qui violent les politiques de la zone de sécurité. Toutefois, les ressources existantes qui ont été créées avant la zone de sécurité peuvent enfreindre les politiques. Les zones de sécurité s'intégrent au service de protection d'infrastructure en nuage pour identifier les violations de politique dans les ressources existantes.

Le service de protection d'infrastructure en nuage est un service Oracle Cloud Infrastructure qui fournit un tableau de bord central pour surveiller toutes vos ressources en nuage afin de détecter les failles de sécurité dans la configuration, les mesures et les journaux. Lorsqu'il détecte un problème, il peut suggérer, aider ou prendre des mesures correctives en fonction de la configuration du service de protection d'infrastructure en nuage.

Voici quelques concepts clés du service Cloud Guard :

Recette de détecteur

Définit les types de ressource en nuage et les problèmes de sécurité que le service Cloud doit surveiller.

Le service de sécurité en nuage fournit des recettes de détecteur gérées par Oracle par défaut; vous pouvez également créer des recettes personnalisées.

Cible

Compartiment que le service de protection d'infrastructure en nuage doit surveiller, qui est associé à une recette du service.

Une cible peut être associée à plusieurs recettes de détecteur, mais à une seule de chaque type (configuration, activité, etc.).

Cible de zone de sécurité

Type de cible du service de protection d'infrastructure en nuage qui est également associé à une zone de sécurité. La cible surveille les ressources du compartiment pour détecter les violations de politique de zone de sécurité.

Le diagramme suivant illustre la configuration du service de protection d'infrastructure en nuage pour une nouvelle zone de sécurité :

Lorsque vous créez une zone de sécurité pour un sous-compartiment dont le compartiment parent est déjà dans une zone de sécurité, le service de protection d'infrastructure en nuage effectue les tâches suivantes :

• Crée une cible de zone de sécurité distincte pour le sous-compartiment.
• Ajoute les recettes de détecteur gérées par Oracle par défaut à la nouvelle cible de zone de sécurité

Aucune modification n'est apportée à la cible existante du service de protection d'infrastructure en nuage pour le compartiment parent.

Le diagramme suivant illustre la configuration du service de protection d'infrastructure en nuage pour une nouvelle zone de sécurité dans un sous-compartiment :

Un compartiment ne peut pas se trouver dans plusieurs zones de sécurité ni faire partie de plusieurs cibles du service de protection d'infrastructure en nuage.

Pour en savoir plus sur le service de protection d'infrastructure en nuage, voir Concepts du service de protection d'infrastructure en nuage.

Vous pouvez accéder aux zones de sécurité à l'aide de la console (interface basée sur un navigateur), des API REST, de l'interface de ligne de commande ou de trousses SDK.

Les instructions relatives à la console, aux API et à l'interface CLI sont incluses dans les rubriques de ce guide. Pour consulter la liste des trousses SDK disponibles, voir Trousses SDK et interface de ligne de commande.

Pour accéder à la console, vous devez utiliser un navigateur pris en charge. Pour aller à la page de connexion de la console, ouvrez le menu de navigation en haut de cette page et cliquez sur Console Infrastructure. Vous serez invité à entrer votre location Oracle Cloud, votre nom d'utilisateur et votre mot de passe.

Chaque service d'Oracle Cloud Infrastructure est intégré avec le service GIA aux fins d'authentification et d'autorisation, pour toutes les interfaces (console, trousse SDK ou interface de ligne de commande et API REST).

Un administrateur de votre organisation doit configurer les groupes, les compartiments et les politiques qui déterminent les utilisateurs pouvant accéder aux services et aux ressources, ainsi que le type d'accès. Par exemple, les politiques contrôlent qui peut créer des utilisateurs, créer et gérer un réseau en nuage virtuel (VCN), lancer des instances et créer des seaux.

• Si vous êtes un nouvel administrateur, voir Introduction aux politiques.
• Pour des détails précis sur l'écriture de politiques pour ce service, voir Politiques du service de protection d'infrastructure en nuage. Les types de ressource individuels pour les zones de sécurité sont inclus dans le type d'agrégation cloud-guard-family.
• Pour des détails précis sur l'écriture de politiques pour d'autres services, voir Informations de référence sur les politiques.

En plus de créer des politiques IAM, suivez ces autres meilleures pratiques de sécurité pour les zones de sécurité.

Voir Sécurisation des zones de sécurité.

Lorsque vous vous abonnez à Oracle Cloud Infrastructure, un jeu de limites de service est configuré pour votre location. Ces limites restreignent le nombre total de ressources de zones de sécurité que vous pouvez créer.

• Limites du service de protection d'infrastructure en nuage

Voir Limites de service pour obtenir les instructions de demande d'augmentation de limite.

Les ressources de zone de sécurité, comme la plupart des types de ressource dans Oracle Cloud Infrastructure, ont un identificateur unique affecté par Oracle, appelé identificateur Oracle Cloud (OCID).

Pour plus d'informations sur le format des OCID et sur les autres moyens d'identifier vos ressources, voir Identificateurs de ressource.

Les zones de sécurité s'intègrent aux autres services de surveillance d'Oracle Cloud Infrastructure.

• Le service de vérification enregistre automatiquement les appels à tous les points d'extrémité publics Cloud Guard en tant qu'entrées de journal. Ces points d'extrémité incluent toutes les opérations de zone de sécurité. Voir Aperçu du service de vérification.
• Le service d'événements permet à vos équipes de développement de répondre automatiquement lorsque l'état d'une ressource de zone de sécurité change. Voir Événements de zones de sécurité.