Documentation sur Oracle Cloud Infrastructure

La sécurité et l'authentification dans Oracle Autonomous AI Database

Oracle Autonomous AI Database stocke toutes les données dans un format chiffré dans la base de données. Seuls les utilisateurs et les applications authentifiés peuvent accéder aux données lorsqu'ils se connectent à la base de données.

Note

Oracle Autonomous AI Database prend en charge les fonctions de sécurité standard d'Oracle Database, notamment l'analyse des privilèges, le chiffrement du réseau, les utilisateurs gérés de manière centralisée, les rôles d'application sécurisés, la protection transparente des données sensibles et autres. En outre, Oracle Autonomous AI Database ajoute Label Security, Database Vault, Data Safe et d'autres fonctions de sécurité avancées sans frais supplémentaires.
  • Gestion de la configuration
    Oracle Autonomous AI Database fournit des configurations de sécurité standard renforcées qui réduisent le temps et l'argent liés à la gestion des configurations dans vos bases de données.
  • Chiffrement de données
    Oracle Autonomous AI Database utilise le chiffrement permanent qui protège les données au repos et en transit. Les données au repos et en déplacement sont chiffrées par défaut. Le chiffrement ne peut pas être désactivé.
  • Contrôle de l'accès aux données
    La sécurité de l'accès à Oracle Autonomous AI Database et à vos données utilise plusieurs types de contrôle d'accès différents :
  • Aperçu du service de vérification sur la base de données d'IA autonome
    Oracle Autonomous AI Database fournit des fonctions de vérification performantes qui vous permettent d'assurer le suivi des opérations sur le service et sur des bases de données spécifiques. Grâce aux données de journalisation complètes, vous pouvez vérifier et surveiller les actions effectuées sur vos ressources, ce qui vous permet de respecter les exigences de vérification tout en réduisant les risques liés à la sécurité et à l'exploitation.
  • Évaluation de la sécurité de votre base de données et de ses données
    Oracle Autonomous AI Database s'intègre à Oracle Data Safe pour vous aider à évaluer et à sécuriser vos bases de données.
  • Certification de conformité réglementaire
    Oracle Autonomous AI Database respecte un large éventail de normes de conformité internationales et propres à l'industrie.

Rubrique parent : Sécurité

Gestion des configurations

Oracle Autonomous AI Database fournit des configurations de sécurité standard renforcées qui réduisent le temps et l'argent nécessaire à la gestion des configurations dans vos bases de données.

Les correctifs de sécurité et les mises à jour sont effectués automatiquement, de sorte que vous ne passez pas de temps, d'argent ou d'attention à maintenir la sécurité à jour. Ces capacités protègent vos bases de données et vos données contre les vulnérabilités et les violations de sécurité coûteuses et potentiellement désastreuses.

Chiffrement des données

Oracle Autonomous AI Database Les données au repos et en déplacement sont chiffrées par défaut. Le chiffrement ne peut pas être désactivé.

Chiffrement des données au repos

Les données au repos sont chiffrées à l'aide du chiffrement transparent des données (TDE), une solution cryptographique qui protège le traitement, la transmission et le stockage des données. À l'aide du chiffrement de l'espace-table AES256, chaque base de données a sa propre clé de chiffrement et toutes les sauvegardes ont leurs propres clés de chiffrement différentes.

Par défaut, Oracle Autonomous AI Database crée et gère toutes les clés de chiffrement principales utilisées pour protéger vos données, en les stockant dans un magasin de clés PKCS 12 sécurisé sur les systèmes où réside la base de données. Si les politiques de sécurité de votre entreprise le nécessitent, Oracle Autonomous AI Database peut utiliser des clés que vous créez et gérez dans le service Oracle Cloud Infrastructure Vault. Pour plus d'informations, voir À propos du service Master Encryption Key Management sur Autonomous AI Database.

En outre, la rotation des clés gérées par le client peut être effectuée au besoin afin de respecter les politiques de sécurité de votre organisation.

Note : Lorsque vous clonez une base de données, la nouvelle base reçoit son propre nouveau jeu de clés de chiffrement.

Chiffrement des données en transit

Les clients (applications et outils) se connectent à Oracle Autonomous AI Database à l'aide des protocoles pris en charge, notamment SQL*Net, JDBC et ODBC.

Les services de connexion à la base de données TCPS (Secure TCP) utilisent le protocole TLS 1.2 (Transport Layer Security) standard pour les connexions et le chiffrement des données à clé symétrique.

  • Avec les connexions mTLS, les utilisateurs d'Oracle Autonomous AI Database téléchargent un portefeuille de connexions qui contient tous les fichiers nécessaires à la connexion d'un client à l'aide de TCPS. Distribuez ce portefeuille uniquement aux utilisateurs qui ont besoin d'un accès à la base de données et qui sont autorisés à le faire. La configuration côté client utilise les informations du portefeuille pour effectuer le chiffrement des données à clé symétrique.

  • La base de données autonome d'IA prend par défaut en charge les connexions TLS (mTLS) mutuelles. Vous avez la possibilité de configurer une instance de base de données autonome avec intelligence artificielle pour autoriser les connexions mTLS et TLS. À l'aide de connexions TLS, certains clients, tels que les clients JDBC Thin Driver, n'ont pas besoin de télécharger un portefeuille si vous utilisez une chaîne de connexion TLS et que TLS est activé pour l'instance de base de données IA autonome.

Pour plus d'informations, voir Connexions sécurisées à une base de données d'IA autonome avec mTLS ou TLS.

Contrôle d'accès aux données

La sécurisation de l'accès à Oracle Autonomous AI Database et à vos données utilise différents types de contrôle d'accès :

  • Contrôle de l'accès du client
    Le contrôle d'accès du client pour une instance de base de données d'intelligence artificielle autonome est mis en oeuvre par les politiques de contrôle d'accès au réseau, au moyen des protocoles de connexion du client et par les droits d'accès de l'utilisateur de base de données que le client utilise pour se connecter.
  • Contrôle de l'accès des utilisateurs à la base de données
    Le service Oracle Autonomous AI Database est configuré avec un compte d'administration, ADMIN, qui est utilisé pour créer et gérer d'autres comptes de base de données. Oracle Autonomous AI Database offre un ensemble robuste de fonctions et de contrôles, y compris les privilèges et les rôles de système et d'objet. Les profils d'utilisateur vous permettent de personnaliser les politiques de mot de passe pour définir et mettre en oeuvre une stratégie d'accès utilisateur de base de données sécurisée.
  • Contrôle de l'accès des utilisateurs Oracle Cloud
    Vous utilisez les services de gestion des identités et des accès (IAM) pour contrôler les privilèges de vos utilisateurs Oracle Cloud en spécifiant les actions que ces utilisateurs peuvent effectuer sur Oracle Autonomous AI Database.
  • Accès autorisé à une base de données d'IA autonome
    Seuls les utilisateurs autorisés sont autorisés à accéder à une instance de base de données d'IA autonome.
  • Service entièrement géré de base de données d'IA autonome
    La base de données d'IA autonome est un service entièrement géré et Oracle utilise ses propres locations Oracle Cloud Infrastructure pour exécuter le service de base de données d'IA autonome.

Rubrique parent : Sécurité et authentification dans Oracle Autonomous AI Database

Contrôle de l'accès des clients

Le contrôle d'accès client pour une instance de base de données Autonomous AI Database est appliqué par les politiques de contrôle d'accès au réseau, au moyen des protocoles de connexion client et par les droits d'accès de l'utilisateur de base de données que le client utilise pour se connecter.

Contrôle d'accès au réseau

Vous définissez le contrôle d'accès au réseau lorsque vous configurez Oracle Autonomous AI Database. Deux options sont à considérer.

  • Points d'extrémité privés et listes de sécurité : Il s'agit de l'option recommandée. Créez votre base de données Oracle Autonomous AI Database dans votre réseau en nuage virtuel (VCN) à l'aide de points d'extrémité privés. Vous contrôlez l'accès à votre base de données à l'aide de listes de sécurité et de groupes de sécurité de réseau, ce qui vous permet de spécifier qui peut créer des connexions à votre base de données.

    Pour des informations détaillées sur la création de ces ressources, voir Configurer l'accès au réseau à l'aide de points d'extrémité privés.

  • Points d'extrémité publics et listes de contrôle d'accès : Créez votre base de données Oracle Autonomous AI Database à l'aide de points d'extrémité publics permettant l'accès à partir de n'importe quel client avec des données d'identification de client. Vous contrôlez l'accès à votre base de données à l'aide de listes de contrôle d'accès réseau (ACL), ce qui vous permet de spécifier des adresses IP, des blocs CIDR ou des réseaux en nuage virtuels pouvant se connecter à votre base de données. Les adresses IP publiques sont plus faciles à détecter et à attaquer, et les points d'extrémité privés sont recommandés lorsque cela est possible.

    Pour des informations détaillées sur la configuration d'une liste de contrôle d'accès, voir Configurer les listes de contrôle d'accès pour une instance de base de données d'IA autonome existante.

Contrôle des connexions de clients

Les clients se connectent au moyen d'une connexion à la base de données TCPS (Secure TCP) à l'aide de la norme TLS 1.2 pour sécuriser la connexion. Oracle Autonomous AI Database utilise des certificats auto-signés. Vous pouvez effectuer une rotation des certificats auto-signés à partir de la console Oracle Cloud Infrastructure pour répondre aux exigences de conformité de votre organisation en matière de sécurité. Voir Effectuer la rotation des portefeuilles avec rotation immédiate.

L'accès du client à la base de données est limité par les droits d'accès de l'utilisateur de base de données qu'il utilise pour se connecter.

Contrôle d'accès utilisateur de base de données

Oracle Autonomous AI Database est configuré avec un compte d'administration, ADMIN, qui est utilisé pour créer et gérer d'autres comptes de base de données. Oracle Autonomous AI Database offre un ensemble robuste de fonctions et de contrôles, y compris les privilèges et les rôles de système et d'objet. Les profils d'utilisateur vous permettent de personnaliser les politiques de mot de passe pour définir et mettre en oeuvre une stratégie d'accès utilisateur de base de données sécurisée.

Pour des informations de base sur la gestion des utilisateurs standard, voir Comptes d'utilisateur dans Concepts relatifs à Oracle AI Database. Pour des informations et des conseils détaillés, voir Gestion de la sécurité pour les utilisateurs d'Oracle Database dans le Guide sur la sécurité d'Oracle AI Database.

Si votre stratégie d'accès d'utilisateur de base de données exige plus de contrôles que ceux fournis par la gestion standard des utilisateurs, vous pouvez configurer Oracle Autonomous AI Database pour qu'il utilise Database Vault afin de répondre à des exigences plus rigoureuses.

Utiliser Microsoft Active Directory pour gérer les utilisateurs de base de données

Si vous utilisez Microsoft Active Directory en tant que référentiel d'utilisateurs, vous pouvez configurer votre base de données pour authentifier et autoriser les utilisateurs de Microsoft Active Directory. Cette intégration vous permet de consolider votre référentiel d'utilisateurs tout en mettant en œuvre une stratégie rigoureuse d'accès utilisateur à la base de données, que vous utilisiez la gestion standard des utilisateurs ou Database Vault.

Pour plus d'informations sur l'intégration de Microsoft Active Directory à vos bases de données, voir Utiliser Microsoft Active Directory avec Autonomous AI Database.

Chambre forte de base de données

Oracle Database Vault est préconfiguré et prêt à l'emploi. Vous pouvez utiliser ses contrôles de sécurité performants pour limiter l'accès aux données applicatives à des utilisateurs de base de données privilégiés, ce qui réduit les risques et permet de respecter les exigences de conformité communes.

Vous configurez des contrôles pour bloquer l'accès des comptes privilégiés aux données applicatives et contrôler les opérations sensibles dans la base de données. Vous configurez des chemins approuvés pour ajouter des contrôles de sécurité supplémentaires à l'accès autorisé aux données, aux objets de base de données et aux commandes de base de données. Database Vault sécurise les environnements de base de données existants de manière transparente, ce qui élimine les modifications d'application coûteuses et longues.

Avant d'utiliser Database Vault, consultez Utiliser Oracle Database Vault avec Autonomous AI Database pour comprendre l'incidence de la configuration et de l'activation de Database Vault.

Pour des informations détaillées sur la mise en oeuvre des fonctions de Database Vault, consultez le guide de l'administrateur d'Oracle AI Database Vault.

Contrôle de l'accès des utilisateurs Oracle Cloud

Vous utilisez les services de gestion des identités et des accès (IAM) pour contrôler les privilèges de vos utilisateurs Oracle Cloud en spécifiant les actions que ces utilisateurs peuvent effectuer sur Oracle Autonomous AI Database.

Le service GIA fournit plusieurs types de composant pour vous aider à définir et à mettre en oeuvre une stratégie d'accès sécurisée pour les utilisateurs Oracle Cloud :

  • Compartiment : Collection de ressources connexes. Les compartiments sont des composants essentiels d'Oracle Cloud Infrastructure qui permettent d'organiser et d'isoler vos ressources en nuage.

  • Groupe : Ensemble d'utilisateurs qui ont tous besoin du même type d'accès à un jeu de ressources ou à un compartiment donné.

  • Groupe dynamique : Type spécial de groupe contenant les ressources qui correspondent aux règles que vous définissez. Ainsi, l'appartenance peut changer de manière dynamique lors de la création ou de la suppression de ressources correspondantes.

  • Politique : Groupe d'énoncés spécifiant qui peut accéder à quelles ressources, et comment. L'accès est accordé au niveau du groupe et du compartiment, ce qui signifie que vous écrivez un énoncé de politique qui donne à un groupe spécifique un type d'accès spécifique à un type de ressource spécifique dans un compartiment spécifique.

Parmi ces éléments, la politique est l'outil principal utilisé pour contrôler l'accès car elle indique les paramètres "qui", "comment", "quoi" et "où" d'une contrainte d'accès unique. Un énoncé de politique a le format suivant :

Le format d'un énoncé de politique est le suivant :

Allow 
  group <group-name> 
  to <control-verb> 
  <resource-type> 
  in compartment <compartment-name>

  • group <group-name> indique le paramètre "qui" à l'aide du nom d'un groupe GIA existant.

  • to <control-verb> indique le paramètre "comment" à l'aide de l'un des verbes de contrôle prédéfinis suivants :

    • inspect : possibilité de lister les ressources du type indiqué, sans accès aux informations confidentielles ou aux métadonnées définies par l'utilisateur pouvant faire partie de cette ressource.
    • read : inspect plus la possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource proprement dite.
    • use : read plus la possibilité d'utiliser des ressources existantes, mais pas de les créer ni de les supprimer. En outre, "utiliser" implique des opérations différentes selon le type de ressource.
    • manage : Toutes les autorisations pour le type de ressource, y compris la création et la suppression.

  • <resource-type> indique le paramètre "quoi" à l'aide d'un type de ressource prédéfini. Les valeurs de resource-type pour les ressources d'infrastructure sont les suivantes :

    • autonomous-databases
    • autonomous-backups

    Vous pouvez créer des énoncés de politique qui font référence à la valeur resource-type tag-namespaces si le marquage est utilisé dans votre location.

  • in compartment <compartment-name> indique le paramètre "où" à l'aide du nom d'un compartiment GIA existant.

Pour plus d'informations sur le fonctionnement du service GIA et de ses composants et sur leur utilisation, voir Aperçu du service de gestion des identités et des accès pour Oracle Cloud Infrastructure. Pour obtenir des réponses rapides aux questions courantes sur GIA, voir la FAQ sur le service de gestion des identités et des accès.

Accès autorisé à une base de données IA autonome

Seuls les utilisateurs autorisés ont accès à une instance de base de données du service d'intelligence artificielle autonome.

Les opérateurs Oracle Cloud n'ont pas l'autorisation d'accéder à votre base de données IA autonome. Lorsque l'accès à votre base de données est nécessaire pour résoudre ou atténuer un problème, vous pouvez autoriser un opérateur de nuage à accéder à une base de données pendant une durée limitée.

Vous autorisez un opérateur de nuage à accéder à la base de données en exécutant la procédure DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS. Autrement dit, si vous soumettez une demande de service au soutien Oracle Cloud ou si vous communiquez avec le représentant du soutien technique et que les opérateurs Oracle Cloud doivent accéder à votre base de données, vous devez également activer l'accès des opérateurs en exécutant DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS.

Chaque accès à la base de données par les opérateurs Oracle Cloud est journalisé avec un ID et un motif de demande.

Pour plus d'informations, voir Gérer l'accès des opérateurs Oracle Cloud et Voir les actions sur les opérations d'Oracle Cloud Infrastructure.

Service entièrement géré de base de données autonome avec intelligence artificielle

Autonomous AI Database est un service entièrement géré et Oracle utilise ses propres locations Oracle Cloud Infrastructure pour exécuter le service Autonomous AI Database.

Les opérateurs Oracle Cloud n'ont pas accès aux locations du client et les opérateurs en nuage ne peuvent pas accéder au réseau.

Aperçu de la vérification sur une base de données autonome avec intelligence artificielle

Oracle Autonomous AI Database offre des fonctions de vérification performantes qui vous permettent d'assurer le suivi des opérations effectuées sur le service et sur des bases de données spécifiques. Grâce aux données de journalisation complètes, vous pouvez vérifier et surveiller les actions effectuées sur vos ressources, ce qui vous permet de respecter les exigences de vérification tout en réduisant les risques liés à la sécurité et à l'exploitation.

  • Vérification des activités de niveau de service
    Toutes les actions effectuées par les utilisateurs Oracle Cloud sur les ressources qui composent votre déploiement d'Oracle Autonomous AI Database sont enregistrées par le service de vérification, quelle que soit l'interface utilisée : console Oracle Cloud Infrastructure, API REST, interface de ligne de commande, trousses SDK, etc.
  • Vérification des activités de base de données
    Oracle Autonomous AI Database configure les bases de données autonomes que vous créez pour l'utilisation de la fonction de vérification unifiée d'Oracle Database.

Rubrique parent : Sécurité et authentification dans Oracle Autonomous AI Database

Vérification des activités de niveau de service

Toutes les actions effectuées par les utilisateurs Oracle Cloud sur les ressources qui composent votre déploiement d'Oracle Autonomous AI Database sont enregistrées par le service de vérification, quelle que soit l'interface utilisée : console Oracle Cloud Infrastructure, API REST, interface de ligne de commande, trousses SDK, etc.

Vous pouvez utiliser le service de vérification pour exécuter des diagnostics, effectuer le suivi de l'utilisation des ressources, surveiller la conformité et collecter les événements liés à la sécurité. Pour plus d'informations sur le service de vérification, voir Aperçu du service de vérification dans la documentation sur Oracle Cloud Infrastructure.

De plus, lorsque les utilisateurs effectuent des opérations sur votre base de données Oracle Autonomous AI Database, celle-ci publie des événements dans le service Oracle Cloud Events. Le service Oracle Cloud Events vous permet de créer des règles pour saisir ces événements et d'effectuer des actions.

Pour plus d'informations sur le fonctionnement du service d'événements et sur la configuration des règles et des actions qu'il utilise, voir Aperçu du service d'événements. Pour obtenir les listes des opérations d'Oracle Autonomous AI Database qui génèrent des événements, voir Types d'événement d'Autonomous Database.

Vérification des activités de base de données

Oracle Autonomous AI Database configure les bases de données autonomes que vous créez pour l'utilisation de la fonction de vérification unifiée d'Oracle Database.

Cette fonction saisit les enregistrements de vérification des sources suivantes et les regroupe dans une piste de vérification unique dans un format uniforme :

  • Enregistrements de vérification (y compris les enregistrements de vérification SYS) des politiques de vérification unifiée et paramètres AUDIT
  • Enregistrements de vérification détaillés de l'ensemble PL/SQL DBMS_FGA
  • Enregistrements de vérification d'Oracle Database Real Application Security
  • Enregistrements de vérification d'Oracle Recovery Manager
  • Enregistrements de vérification d'Oracle Database Vault
  • Enregistrements de vérification d'Oracle Label Security
  • Enregistrement d'Oracle Data Mining
  • Oracle Data Pump
  • Oracle SQL*Loader Direct Load

Les informations de vérification sont conservées jusqu'à 14 jours, après quoi elles sont automatiquement épurées. Pour conserver les informations de vérification plus longtemps et pour analyser facilement l'activité de la base de données, utilisez Oracle Data Safe (inclus dans votre abonnement à Oracle Autonomous AI Database).

Pour plus d'informations, voir À propos de la vérification de la base de données autonome sur l'IA.

Évaluation de la sécurité de la base de données et de ses données

Oracle Autonomous AI Database s'intègre à Oracle Data Safe pour vous aider à évaluer et à sécuriser vos bases de données.

Oracle Data Safe vous permet de comprendre la sensibilité de vos données, d'évaluer les risques pour les données, de masquer les données sensibles, de mettre en œuvre et de surveiller les contrôles de sécurité, d'évaluer la sécurité des utilisateurs, de surveiller les activités des utilisateurs et de répondre aux exigences de sécurité des données dans vos bases de données.

Vous utilisez Oracle Data Safe pour identifier et protéger les données sensibles et réglementées dans Oracle Autonomous AI Database en enregistrant votre base de données dans Data Safe. Vous utilisez ensuite la console du service de sécurité des données directement à partir de la page Détails de la base de données.

Pour plus d'informations sur l'utilisation du service de sécurité des données, voir Utiliser les fonctions d'Oracle Data Safe.

Certification de conformité réglementaire

Oracle Autonomous AI Database respecte un large éventail de normes de conformité internationales et propres à l'industrie.

Certification Description

C5

Catalogue des contrôles de conformité de l'informatique en nuage (C5)

CSA STAR

Security Trust, Assurance and Risk (STAR) de la Cloud Security Alliance (CSA)

Cyber Essentials (Royaume-Uni)

Cyber Essentials Plus (Royaume-Uni)

Oracle Cloud Infrastructure a obtenu la certification Cyber Essentials et Cyber Essentials Plus dans ces régions :

  • UK Gov - Sud (Londres)
  • Gouvernement du Royaume-Uni - Ouest (Newport)

DESCRIPTION (UAE)

Norme de sécurité CSP du centre de sécurité électronique de Dubaï

DoD IL4/IL5

Autorisation de niveau d'incidence 5 de la DISA dans ces régions :

  • Département de la Défense des États-Unis - Est (Ashburn)
  • Département de la Défense des États-Unis - Nord (Chicago)
  • Département de la défense des États-Unis - Ouest (Phoenix)

ENS High (Espagne)

L'Esquema Nacional de Seguridad avec le niveau d'accréditation High.

FedRAMP élevée

Programme fédéral de gestion des risques et des autorisations (É.-U.) Régions gouvernementales uniquement)

FSI (S. Corée)

L'Institut de sécurité financière

HDS

Le Code de la santé publique exige des organisations de soins de santé qui contrôlent, traitent ou stockent des données médicales ou de santé qu'elles utilisent des fournisseurs de services d'infrastructure, d'hébergement et de plateforme accrédités et certifiés par Hébergeur de Données de Santé (HDS).

HIPAA

Health Insurance Portability and Accountability Act

HITRUST

La Health Information Trust Alliance

PARI (Australie)

Programme d'évaluateurs enregistrés Infosec. Régions de Sydney et Melbourne

ISMS (S. Corée)

Système de gestion de la sécurité de l'information

Norme ISO/CEI 27001:2013

Organisation internationale de normalisation 27001

ISO/IEC 27017:2015

Code de bonne pratique pour les contrôles de sécurité de l'information basé sur la norme ISO/IEC 27002 pour les services en nuage

ISO/IEC 27018:2014

Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans les nuages publics agissant comme processeur de PII

MeitY (Inde)

Ministère de l'Électronique et des Technologies de l'Information

MTCS (Singapour)

Niveau 3 de Cloud Service (MTCS) multiniveaux

PASF (UK OC4)

Installations sécurisées assurées par la police (PASF) dans ces régions :

  • UK Gov - Sud (Londres)
  • Gouvernement du Royaume-Uni - Ouest (Newport)

PCI DSS

La norme de sécurité de l'industrie des cartes de paiement est un ensemble d'exigences visant à garantir que toutes les sociétés qui traitent, stockent ou transmettent des informations de carte de crédit disposent d'un environnement sécurisé

SOC 1

System and Organization Controls 1

SOC 2

System and Organization Controls 2

Pour plus d'informations et pour obtenir la liste complète des certifications, voir Conformité d'Oracle Cloud.