Les clients contrôlent et surveillent l'accès à leurs services, y compris l'accès réseau à leurs machines virtuelles (au moyen des réseaux VLAN de couche 2 et des pare-feu mis en oeuvre dans la MV du client), l'authentification pour accéder à la MV et l'authentification pour accéder aux bases de données s'exécutant dans les MV. Oracle contrôle et surveille l'accès aux composants d'infrastructure gérés par Oracle. Le personnel d'Oracle n'est pas autorisé à accéder aux services du client, y compris les MV et les bases de données du client.

Les clients accèdent aux bases de données Oracle exécutées sur Exadata Cloud@Customer au moyen d'une connexion (marquée VLAN) de couche 2 depuis leur équipement jusqu'aux bases de données s'exécutant dans la MV du client à l'aide de méthodes de connexion Oracle Database standard, telles qu'Oracle Net sur le port 1521. Les clients accèdent à la MV exécutant les bases de données Oracle au moyen de méthodes Oracle Linux standard, telles que SSH basée sur un jeton sur le port 22.

• Défense en profondeur

  Exadata Cloud@Customer offre un certain nombre de contrôles pour assurer la confidentialité, l'intégrité et la responsabilisation tout au long du service.

  Tout d'abord, Exadata Cloud@Customer est construit à partir de l'image de système d'exploitation renforcée fournie par Exadata Database Machine. Pour plus d'informations, voir Aperçu de la sécurité d'Oracle Exadata Database Machine. Cela sécurise l'environnement d'exploitation de base en limitant l'image d'installation aux seuls ensembles logiciels requis, en désactivant les services inutiles et en mettant en oeuvre des paramètres de configuration sécurisés dans tout le système.

  En plus d'hériter de toute la puissance de la plate-forme mature d'Exadata Database Machine, car Exadata Cloud@Customer fournit des systèmes pour les clients, d'autres choix de configuration par défaut sécurisés sont implémentés dans les instances de service. Par exemple, tous les espaces-table de base de données nécessitent un chiffrement transparent des données (TDE), une application rigoureuse des mots de passe pour les utilisateurs et les superutilisateurs initiaux de la base de données et une amélioration des règles de vérification et d'événement.

  Exadata Cloud@Customer constitue également un déploiement et un service complets, de sorte qu'il est soumis à des vérifications externes de normes telles que PCI, HIPPA et ISO27001. Ces exigences de vérification externe imposent des fonctions de service à valeur ajoutée supplémentaires telles que le balayage antivirus, l'alerte automatisée pour les modifications inattendues du système et les balayages de vulnérabilités quotidiens pour tous les systèmes d'infrastructure gérés par Oracle dans le parc.

• Moindre privilège

  Pour garantir que les processus n'ont accès qu'aux privilèges dont ils ont besoin, les normes de programmation sécurisée d'Oracle (Oracle Secure Coding Standards) exigent le paradigme du moindre privilège.

  Chaque processus et démon doit être exécuté en tant qu'utilisateur normal sans privilège, sauf si l'utilisateur peut prouver qu'il a besoin d'un niveau de privilège plus élevé. Cela permet de limiter les problèmes ou les vulnérabilités imprévus à l'espace des utilisateurs sans privilège et de ne pas compromettre un système entier.

  Ce principe s'applique également aux membres de l'équipe des opérations Oracle qui utilisent des comptes nommés individuels pour accéder à l'infrastructure Oracle Exadata Cloud@Customer pour la maintenance ou le dépannage. Ce n'est qu'en cas de nécessité qu'ils utiliseront l'accès vérifié à des niveaux de privilège plus élevés pour résoudre un problème. La plupart des problèmes étant résolus par l'automatisation, nous utilisons également le principe du moindre privilège en n'autorisant pas les opérateurs humains à accéder à un système, sauf si l'automatisation est incapable de résoudre le problème.

• Vérification et responsabilisation

  Lorsque cela est nécessaire, l'accès au système est autorisé, mais tous les accès et toutes les actions sont consignés et suivis à des fins de responsabilisation.

  Cela permet à Oracle et aux clients de savoir ce qui a été fait sur le système et quand cela s'est produit. Ces faits nous permettent non seulement de rester en conformité avec les besoins en matière de rapports pour les vérifications externes, mais aussi de faire correspondre une modification avec un changement de comportement perçu dans l'application.

  Toutes les composantes de l'infrastructure disposent de capacités de vérification pour s'assurer que toutes les actions sont prises en compte. Les clients ont également la possibilité de configurer la vérification de leur base de données et de la configuration des MV invitées et peuvent choisir de les intégrer à d'autres systèmes de vérification d'entreprise.

• Automatisation des opérations en nuage

  En éliminant les opérations manuelles requises pour effectuer le provisionnement, l'application de correctifs, la maintenance, le dépannage et la configuration des systèmes, la probabilité d'erreur est réduite et une configuration sécurisée est assurée.

  Le service est conçu pour être sécurisé et en automatisant toutes les tâches de provisionnement, de configuration et la plupart des autres tâches opérationnelles, il est possible d'éviter les configurations manquées et de s'assurer que tous les chemins nécessaires dans le système sont bien fermés.

• Image de système d'exploitation renforcée
  • Installation de programmes minimaux :

    Seuls les programmes nécessaires au fonctionnement d'un système efficace sont installés. Grâce à l'installation d'un ensemble plus restreint de programmes, la surface d'attaque du système d'exploitation est réduite et le système reste plus sûr.

  • Sécuriser la configuration :

    De nombreux paramètres de configuration non par défaut sont définis lors de l'installation afin de renforcer la sécurité du système et de son contenu. Par exemple, SSH est configuré pour n'écouter que sur certaines interfaces réseau, sendmail est configuré pour n'accepter que les connexions localhost, et de nombreuses autres restrictions similaires sont mises en place lors de l'installation.

  • Exécuter uniquement les services nécessaires :

    Tous les services qui peuvent être installés sur le système, mais qui ne sont pas requis pour un fonctionnement normal, sont désactivés par défaut. Par exemple, alors que NFS est un service souvent configuré par les clients à diverses fins d'application, il est désactivé par défaut car il n'est pas nécessaire pour les opérations normales de base de données. Les clients peuvent choisir de configurer les services en fonction de leurs besoins.

• Surface d'attaque minimisée

  Dans le cadre de l'image renforcée, la surface d'attaque est réduite par la désactivation des services.

• Fonctions de sécurité supplémentaires activées (mots de passe grub, démarrage sécurisé)
  • Tirant parti des capacités d'image Exadata, Exadata Cloud@Customer bénéficie de fonctionnalités intégrées à l'image de base telles que les mots de passe grub et le démarrage sécurisé, et de beaucoup d'autres.
  • Au moyen de la personnalisation, les clients peuvent souhaiter renforcer la sécurité de leur système avec des configurations supplémentaires détaillées plus loin dans ce chapitre.
• Méthodes d'accès sécurisé
  • Accès aux serveurs de bases de données par SSH à l'aide de codes de chiffrement forts. Les chiffrements faibles sont désactivés par défaut.
  • Accès aux bases de données par le biais de connexions Oracle Net chiffrées. Par défaut, nos services sont disponibles à l'aide de canaux chiffrés et un client Oracle Net configuré par défaut utilisera des sessions chiffrées.
  • Accès aux diagnostics au moyen de l'interface Web Exadata MS (https).
• Vérification et journalisation

  Par défaut, la vérification est activée pour les opérations administratives et ces dossiers de vérification sont communiqués aux systèmes internes OCI pour vérification et génération d'alerte automatisées, le cas échéant.

• Considérations relatives au délai de déploiement
  • Contenu et sensibilité du téléchargement du fichier de portefeuille : Le téléchargement du fichier de portefeuille obtenu par un client pour permettre le déploiement contient des informations sensibles et doit être traité de manière appropriée pour garantir la protection de son contenu. Le contenu du téléchargement du fichier de portefeuille n'est pas nécessaire une fois le déploiement terminé, il doit donc être détruit pour éviter toute fuite d'informations.
  • Serveur de plan de contrôle (CPS) :
    • Les exigences de déploiement pour le serveur de plan de contrôle comprennent l'autorisation d'accès HTTPS sortant afin que le serveur puisse se connecter à Oracle et activer l'administration, la surveillance et la maintenance à distance. Pour plus de détails, consultez le guide de déploiement.
    • Les responsabilités des clients comprennent la sécurité physique de l'équipement Exadata Cloud@Customer dans leur centre de données. Bien qu'Exadata Cloud@Customer utilise de nombreuses fonctions de sécurité logicielle, la compromission des serveurs physiques doit être traitée par la sécurité physique du client pour garantir la sécurité du contenu des serveurs.

Plusieurs comptes d'utilisateurs gèrent régulièrement les composants d'Oracle Exadata Cloud@Customer. Dans toutes les machines Exadata Cloud@Customer, Oracle utilise et recommande une connexion SSH uniquement. Aucun utilisateur ou processus Oracle n'utilise un système d'authentification basé sur un mot de passe.

Vous trouverez ci-dessous les différents types d'utilisateurs créés par défaut.

• Utilisateurs par défaut : Aucun privilège de connexion

  Cette liste d'utilisateurs comprend les utilisateurs du système d'exploitation par défaut ainsi que certains utilisateurs spécialisés comme exawatch et dbmsvc. Ces utilisateurs ne doivent pas être modifiés. Ces utilisateurs ne peuvent pas se connecter au système car tous sont réglés à /bin/false.

  • exawatch :

    L'utilisateur exawatch est responsable de la collecte et de l'archivage des statistiques système tant sur les serveurs de base de données que sur les serveurs de stockage.

  • dbmsvc :

    L'utilisateur est utilisé pour le serveur de gestion dans le service de noeud de base de données du système Oracle Exadata.

  Utilisateurs NOLOGIN

  bin:x:1:1:bin:/bin:/bin/false
  daemon:x:2:2:daemon:/sbin:/bin/false
  adm:x:3:4:adm:/dev/null:/bin/false
  mail:x:8:12:mail:/var/spool/mail:/bin/false
  nobody:x:99:99:Nobody:/:/bin/false
  systemd-network:x:192:192:systemd Network Management:/:/bin/false
  dbus:x:81:81:System message bus:/:/bin/false
  rpm:x:37:37::/var/lib/rpm:/bin/false
  sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/bin/false
  rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/bin/false
  nscd:x:28:28:NSCD Daemon:/:/bin/false
  saslauth:x:999:76:Saslauthd user:/run/saslauthd:/bin/false
  mailnull:x:47:47::/var/spool/mqueue:/bin/false
  smmsp:x:51:51::/var/spool/mqueue:/bin/false
  chrony:x:998:997::/var/lib/chrony:/bin/false
  rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false
  uucp:x:10:14:Uucp user:/var/spool/uucp:/bin/false
  nslcd:x:65:55:LDAP Client User:/:/bin/false
  tcpdump:x:72:72::/:/bin/false
  exawatch:x:1010:510::/:/bin/false
  sssd:x:997:508:User for sssd:/:/bin/false
  tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/bin/false
  dbmsvc:x:12137:11137::/home/dbmsvc:/bin/false

• Utilisateurs par défaut avec accès à l'interpréteur de commandes restreint

  Ces utilisateurs peuvent accomplir une tâche définie avec un accès à l'interpréteur de commandes restreint. Ces utilisateurs ne doivent pas être modifiés car la tâche définie échouera s'ils sont modifiés ou supprimés.

  dbmmonitor : L'utilisateur dbmmonitor est utilisé pour l'utilitaire DBMCLI. Pour plus d'informations, voir Utilisation de l'utilitaire DBMCLI.

  Utilisateurs avec accès à l'interpréteur de commandes restreint

  dbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash

• Utilisateurs par défaut avec autorisations de connexion

  Ces utilisateurs dotés de privilèges sont utilisés pour accomplir la plupart des tâches du système. Ces utilisateurs ne devraient jamais être modifiés ou supprimés car cela aurait une incidence significative sur le système en cours d'exécution.

  Les clés SSH sont utilisées pour la connexion par le personnel du client et l'automatisation du nuage.

  Les clés SSH ajoutées par le client peuvent être ajoutées par la méthode UpdateVmCluster ou par les clients accédant directement à la machine virtuelle du client et gérant les clés SSH dans la machine virtuelle du client. Les clients sont responsables de l'ajout de commentaires aux clés pour les rendre identifiables. Lorsqu'un client ajoute la clé SSH au moyen de la méthode UpdateVmCluster, la clé n'est ajoutée qu'au fichier authorized_keys de l'utilisateur opc.

  Les clés d'automatisation du nuage sont temporaires, propres à une tâche d'automatisation du nuage indiquée, par exemple le redimensionnement de la mémoire de grappe de machines virtuelles et uniques. Les clés d'accès à l'automatisation du nuage peuvent être identifiées par les commentaires suivants : OEDA_PUB, EXACLOUD_KEY, ControlPlane. Les clés d'automatisation du nuage sont supprimées une fois la tâche d'automatisation du nuage terminée, de sorte que les fichiers authorized_keys des comptes root, opc, oracle et grid ne doivent contenir que des clés d'automatisation du nuage pendant l'exécution des actions d'automatisation du nuage.

  Utilisateurs avec privilèges

  root:x:0:0:root:/root:/bin/bash
  oracle:x:1001:1001::/home/oracle:/bin/bash
  grid:x:1000:1001::/home/grid:/bin/bash
  opc:x:2000:2000::/home/opc:/bin/bash
  dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bash

  • root : Exigence Linux, utilisé avec parcimonie pour exécuter des commandes locales avec privilèges. root est également utilisé pour certains processus comme Oracle Trace File Analyzer Agent et ExaWatcher.
  • grid : Détient l'installation du logiciel Oracle Grid Infrastructure et exécute les processus Oracle Grid Infastructure.
  • oracle : Détient l'installation du logiciel Oracle Database et exécute les processus Oracle Database.
  • opc :
    • Utilisé par l'automatisation Oracle Cloud pour les tâches d'automatisation.
    • A la possibilité d'exécuter certaines commandes avec privilèges sans autre authentification (pour prendre en charge les fonctions d'automatisation).
    • Exécute l'agent local, également appelé "Agent DCS" qui effectue des opérations de cycle de vie pour les logiciels Oracle Database et Oracle Grid Infastructure (application de correctifs, création de base de données, etc.).
  • dbmadmin :
    • L'utilisateur dbmadmin est utilisé pour l'utilitaire d'interface de ligne de commande (DBMCLI) d'Oracle Exadata Database Machine.
    • L'utilisateur dbmadmin doit être utilisé pour exécuter tous les services sur le serveur de base de données. Pour plus d'informations, voir Utilisation de l'utilitaire DBMCLI.

Les groupes suivants sont créés par défaut sur la machine virtuelle invitée.

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-network:x:192:
dbus:x:81:
ssh_keys:x:998:
sshd:x:74:
rpm:x:37:
rpc:x:32:
unbound:x:997:
nscd:x:28:
tss:x:59:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
chrony:x:996:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
uucp:x:14:
tcpdump:x:72:
exawatch:x:510:
cgred:x:509:
fuse:x:508:
screen:x:84:
sssd:x:507:
printadmin:x:506:
docker:x:505:
dbmsvc:x:2001:
dbmadmin:x:2002:
dbmmonitor:x:2003:
dbmusers:x:2004:
floppy:x:19:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
users:x:100:
nobody:x:2001:
utmp:x:22:
utempter:x:35:
dbus:x:81:
input:x:999:
kvm:x:36:
render:x:998:
systemd-journal:x:190:
systemd-coredump:x:997:
systemd-resolve:x:193:
tss:x:59:
ssh_keys:x:996:
sshd:x:74:
unbound:x:995:
nscd:x:28:
rpc:x:32:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
chrony:x:994:
tcpdump:x:72:
cgred:x:993:
fapolicyd:x:992:
printadmin:x:991:
polkitd:x:990:
sssd:x:989:
rpm:x:37:
screen:x:84:
dnsmasq:x:988:
exawatch:x:510:
dbmsvc:x:2002:
dbmadmin:x:2003:
dbmmonitor:x:2004:
dbmusers:x:2005:
uucp:x:14:
floppy:x:19:
mausers:x:2006:
secscan:x:1009:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

En plus de toutes les fonctions Exadata expliquées dans Fonctions de sécurité d'Oracle Exadata Database Machine, les paramètres de sécurité suivants s'appliquent également.

• Déploiement de base de données personnalisé avec des paramètres non par défaut.
  La commande host_access_control sert à configurer les paramètres de sécurité Exadata :

  • Mise en oeuvre de politiques relatives à l'ancienneté et la complexité des mots de passe.
  • Définition des politiques de verrouillage de compte et de temporisation de session.
  • Restriction de l'accès racine distant.
  • Restriction de l'accès réseau à certains comptes.
  • Mise en oeuvre de la bannière d'avertissement de connexion.
• account-disable : Désactive un compte d'utilisateur lorsque certaines conditions configurées sont satisfaites.
• pam-auth : Divers paramètres PAM pour les modifications de mot de passe et l'authentification de mot de passe.
• rootssh: Ajuste la valeur PermitRootLogin dans /etc/ssh/sshd_config, ce qui permet ou refuse à l'utilisateur root de se connecter au moyen de SSH..
  • Par défaut, PermitRootLogin est réglé à without-password (sans mot de passe).
  • Il est recommandé de conserver ce paramètre pour permettre le fonctionnement du sous-ensemble de l'automatisation du nuage qui utilise ce chemin d'accès (par exemple, l'application de correctifs au système d'exploitation de machine virtuelle du client). Le réglage de PermitRootLogin à no désactivera ce sous-ensemble de fonctionnalités d'automatisation du nuage.
• session-limit : Définit le paramètre * hard maxlogins dans /etc/security/limits.conf, qui est le nombre maximum de connexions pour tous les utilisateurs. Cette limite ne s'applique pas à un utilisateur avec uid=0.

  Valeur définie par défaut à * hard maxlogins 10, ce qui est la valeur sécurisée recommandée.

• ssh-macs : Spécifie les algorithmes MAC (Message Authentication Code) disponibles.
  • L'algorithme MAC est utilisé dans la version 2 du protocole pour la protection de l'intégrité des données.
  • Valeurs par défaut pour hmac-sha1, hmac-sha2-256, hmac-sha2-512 pour le serveur et le client.
  • Valeurs recommandées sécurisées : hmac-sha2-256, hmac-sha2-512 pour le serveur et le client.
• password-aging : Définit ou affiche l'ancienneté du mot de passe courant pour les comptes d'utilisateurs interactifs.
  • -M : Nombre maximal de jours pendant lequel un mot de passe peut être utilisé.
  • -m : Nombre minimum de jours autorisés entre les modifications de mot de passe.
  • -W : Nombre de jours d'avertissement avant l'expiration d'un mot de passe.
  • Valeurs par défaut réglées à -M 99999, -m 0, -W 7
  • --strict_compliance_only -M 60, -m 1, -W 7
  • Valeurs recommandées sécurisées : -M 60, -m 1, -W 7

• Agent de la MV invitée Exadata Cloud@Customer : Agent Oracle Cloud pour gérer les opérations du cycle de vie de la base de données
  • S'exécute en tant qu'utilisateur opc.
  • Le tableau des processus montre qu'il fonctionne comme un processus Java avec des noms jar, dbcs-agent-VersionNumber-SNAPSHOT.jar et dbcs-admin-VersionNumver-SNAPSHOT.jar.
• Agent Oracle Trace File Analyzer : Oracle Trace File Analyzer (TFA) fournit un certain nombre d'outils de diagnostic dans un seul ensemble, ce qui facilite la collecte d'informations de diagnostic sur Oracle Database et Oracle Clusterware, et aide à la résolution des problèmes lors de la communication avec le soutien technique d'Oracle.
  • S'exécute en tant qu'utilisateur root.
  • S'exécute en tant que démon initd ,/etc/init.d/init.tfa.
  • Les tableaux des processus affichent une application Java oracle.rat.tfa.TFAMain.

• ExaWatcher :

  • S'exécute en tant qu'utilisateurs root et exawatch.
  • S'exécute en tant que script en arrière-plan, ExaWatcher.sh et tout son processus enfant est exécuté en tant que processus Perl.
  • Le tableau des processus s'affiche sous la forme de plusieurs applications Perl.
• Oracle Database et Oracle Grid Infrastructure (Oracle Clusterware) :
  • S'exécute en tant qu'utilisateurs dbmsvc et grid.
  • Le tableau des processus présente les applications suivantes :
    • oraagent.bin, apx_* et ams_* en tant qu'utilisateur grid.
    • dbrsMain, et les applications Java, derbyclient.jar et weblogic.Server en tant qu'utilisateur oracle.
• Serveur de gestion (MS) : Partie du logiciel d'image Exadata pour gérer et surveiller les fonctions d'image.
  • S'exécute en tant qu'utilisateur dbmadmin.
  • Le tableau des processus indique qu'il est en cours d'exécution en tant que processus Java.

Règles iptables par défaut pour la MV invitée :

#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination