Documentation sur Oracle Cloud Infrastructure

Gérer la sécurité des bases de données avec Oracle Data Safe

À propos d'Oracle Data Safe

Votre politique d'entreprise exige que vous surveilliez vos bases de données et conserviez les enregistrements de vérification. Vos développeurs demandent des copies des données de production pour cette nouvelle application, et vous demandez quels types d'informations sensibles il contiendra. Pendant ce temps, vous devez vous assurer que les activités de maintenance récentes n'ont pas laissé de failles de configuration de sécurité critiques sur vos bases de données de production et que les modifications de personnel n'ont pas laissé de comptes d'utilisateur inactifs sur les bases de données. Oracle Data Safe vous assiste dans ces tâches et est inclus dans votre service Exadata Database*.

Oracle Data Safe est un centre de contrôle unifié qui vous aide à gérer les exigences quotidiennes de sécurité et de conformité des bases de données Oracle, peu importe qu'elles s'exécutent dans Oracle Cloud Infrastructure, sur Cloud@Customer, sur place ou dans tout autre nuage.

Le service de sécurité des données prend en charge l'évaluation des contrôles de sécurité, l'évaluation de la sécurité des utilisateurs, la surveillance de l'activité des utilisateurs et la conformité des données pour la base de données en évaluant la sensibilité des données et en masquant les données sensibles pour les bases de données hors production.

Le service de sécurité des données comprend les fonctions suivantes :

  • Évaluation de la sécurité : Les erreurs de configuration et la dérive de configuration sont des contributeurs importants aux violations de données. Utilisez l'évaluation de la sécurité pour évaluer la configuration de votre base de données et la comparer aux meilleures pratiques d'Oracle et de l'industrie. Rapports d'évaluation de la sécurité sur les domaines de risque et vous avisent lorsque les configurations changent.
  • Évaluation des utilisateurs : De nombreuses violations commencent par un compte d'utilisateur compromis. L'évaluation des utilisateurs vous aide à repérer les comptes de base de données les plus à risque - les comptes qui, s'ils sont compromis, pourraient causer le plus de dommages - et à prendre des mesures proactives pour les sécuriser. Les références d'évaluation des utilisateurs permettent de savoir facilement quand de nouveaux comptes sont ajoutés ou quand les privilèges d'un compte sont modifiés. Utilisez les événements OCI pour recevoir des avis proactifs lorsqu'une base de données s'écarte de sa référence.
  • Vérification de l'activité : La compréhension et la production de rapports sur l'activité des utilisateurs, l'accès aux données et les modifications apportées aux structures de base de données prennent en charge les exigences de conformité réglementaire et peuvent faciliter les enquêtes après un incident. L'audit d'activité collecte les enregistrements d'audit des bases de données et vous aide à gérer les stratégies d'audit. Les données clés de vérification permettent d'identifier facilement les politiques de vérification inefficaces, tandis que les alertes basées sur les données de vérification vous avisent de manière proactive des activités à risque.
  • Détection de données sensibles : Il est essentiel de savoir quelles données sensibles sont gérées dans vos applications pour la sécurité et la confidentialité. La détection de données balaye votre base de données pour rechercher plus de 150 types de données sensibles différents et pour vous aider à comprendre quels sont les types et les quantités de données sensibles stockés. Utilisez ces rapports pour formuler des politiques de vérification, développer des modèles de masquage de données et créer des politiques de contrôle d'accès efficaces.
  • Masquage de données : Réduire la quantité de données sensibles gérées par votre organisation vous aide à satisfaire aux exigences de conformité et aux réglementations de confidentialité des données. Le masquage des données vous aide à éliminer les risques liés aux bases de données hors production en remplaçant les informations sensibles par des données masquées. Avec les modèles de masquage réutilisables, plus de 50 formats de masquage inclus et la possibilité de créer facilement des formats personnalisés pour les exigences uniques de votre organisation, le masquage de données peut simplifier vos opérations de développement et de test d'applications.
  • Gestion du pare-feu SQL : Protection contre les risques tels que les attaques par injection SQL ou les comptes compromis. Oracle SQL Firewall est une nouvelle fonctionnalité de sécurité intégrée au noyau Oracle Database 23ai qui offre une protection de pointe contre ces risques. La fonction Pare-feu SQL d'Oracle Data Safe vous permet de gérer et de surveiller de manière centralisée les politiques de pare-feu SQL pour les bases de données cibles. Le service de sécurité des données vous permet de collecter les activités SQL autorisées d'un utilisateur de base de données, de générer et d'activer la politique avec des listes d'autorisation des énoncés SQL approuvés et des chemins de connexion à la base de données, et fournit une vue complète de toutes les violations du pare-feu SQL dans le parc des bases de données cibles.

*Inclut 1 million d'enregistrements de vérification par base de données et par mois si vous utilisez la collecte de vérification pour la vérification de l'activité

Introduction

Pour commencer, il vous suffit d'enregistrer votre base de données dans Oracle Data Safe :

  • Prérequis : Obtenez les autorisations nécessaires du service de gestion des identités et des accès (IAM) pour enregistrer la base de données cible dans le service de sécurité des données : Autorisations d'enregistrer une base de données Oracle Cloud auprès d'Oracle Data Safe
  • Connexion de la base de données au service de sécurité des données

    • Si votre base de données s'exécute dans un réseau en nuage virtuel privé (VCN), vous pouvez la connecter au service de sécurité des données au moyen d'un point d'extrémité privé du service de sécurité des données.

      Le point d'extrémité privé représente essentiellement le service Oracle Data Safe dans votre VCN avec une adresse IP privée dans un sous-réseau de votre choix.

      Vous pouvez créer le point d'extrémité privé dans le VCN de votre base de données avant l'enregistrement ou pendant le processus d'enregistrement. Vous pouvez trouver plus de détails sur la création du point d'extrémité privé sous Créer un point d'extrémité privé Oracle Data Safe.

  • Enregistrer la base de données dans le service de sécurité des données

Utilisation d'Oracle Data Safe

Une fois votre base de données enregistrée dans le service de sécurité des données, vous pouvez tirer parti de toutes les fonctions.

Évaluation de la sécurité

Les évaluations de sécurité sont programmées automatiquement une fois par semaine dans le service de sécurité des données et fournissent une image globale de la sécurité de votre base de données. Elle analyse les configurations de base de données, les utilisateurs et les droits des utilisateurs, ainsi que les politiques de sécurité pour détecter les risques de sécurité et améliorer la sécurité des bases de données Oracle dans votre organisation. Une évaluation de la sécurité fournit des conclusions et recommande des mesures correctives qui suivent les meilleures pratiques afin de réduire ou d'atténuer les risques.

Commencez par vérifier le rapport d'évaluation de la sécurité pour votre base de données : Voir la dernière évaluation pour une base de données cible

Vous pouvez trouver plus de détails sur l'évaluation de la sécurité sous Aperçu de l'évaluation de la sécurité.

Évaluation des utilisateurs

Les évaluations des utilisateurs sont automatiquement programmées une fois par semaine dans le service de sécurité des données et vous aident à identifier les comptes d'utilisateur dotés de privilèges élevés qui pourraient constituer une menace en cas d'utilisation abusive ou de compromission. L'évaluation des utilisateurs vérifie les informations sur les utilisateurs dans le dictionnaire de données pour les bases de données cibles, puis calcule un risque potentiel pour chaque utilisateur, en fonction des privilèges et des rôles de système accordés.

Commencez par consulter le rapport d'évaluation des utilisateurs pour votre base de données : Voir la dernière évaluation d'utilisateurs pour une base de données cible

Vous pouvez trouver plus de détails sur l'évaluation des utilisateurs sous Aperçu de l'évaluation des utilisateurs.

Détection de données

La détection de données recherche les colonnes sensibles dans votre base de données. Il est livré avec plus de 150 types sensibles prédéfinis et vous pouvez également créer vos propres types sensibles. Vous indiquez à la fonction Détection de données si vous voulez balayer l'ensemble de votre base de données ou seulement certains schémas et le type d'informations sensibles à rechercher, et elle trouve les colonnes sensibles qui répondent à vos critères et les stocke dans un modèle de données sensibles (SDM).

Commencez par détecter les données sensibles dans votre base de données : Créer des modèles de données sensibles

Pour plus de détails sur la détection de données, voir Aperçu de la détection de données.

Masquage des données

Le masquage de données, également connu sous le nom de masquage de données statiques, vous aide à remplacer les informations sensibles ou confidentielles dans vos bases de données hors production par des données réalistes et entièrement fonctionnelles avec des caractéristiques similaires aux données initiales. Le service de sécurité des données comprend des formats de masquage prédéfinis pour chacun des types sensibles prédéfinis, qui peuvent également être utilisés pour vos propres types sensibles.

Une fois que vous savez où les données sensibles sont stockées dans votre base de données (par exemple, après l'exécution de la détection de données dans le service de sécurité des données), vous pouvez commencer par créer une politique de masquage : Créer des politiques de masquage

Après avoir créé une politique de masquage et copié votre base de données de production, vous pouvez masquer votre copie hors production : Masquer les données sensibles sur une base de données cible

Pour plus de détails sur le masquage de données, voir Aperçu du masquage de données.

Vérification de l'activité

La fonction Vérification de l'activité d'Oracle Data Safe contribue à responsabiliser et à améliorer la conformité réglementaire. Grâce à la vérification de l'activité, vous pouvez collecter et conserver les enregistrements de vérification par secteur et exigences réglementaires en matière de conformité et surveiller les activités des utilisateurs dans les bases de données Oracle à l'aide de rapports et d'alertes prédéfinis. Par exemple, vous pouvez vérifier l'accès aux données sensibles, les événements liés à la sécurité, les activités des administrateurs et des utilisateurs, les activités recommandées par des règlements de conformité tels que le Centre pour la sécurité sur Internet (CIS) et les activités définies par votre propre organisation.

Si vous utilisez la collecte de vérification dans le service de sécurité des données, jusqu'à 1 million d'enregistrements de vérification par base de données cible par mois sont inclus pour votre base de données Cloud@Customer.

Pour utiliser la vérification des activités, démarrez la piste de vérification pour la base de données cible dans le service de sécurité des données : Démarrer une piste de vérification

Une fois la piste de vérification démarrée, vous pouvez surveiller et analyser vos données de vérification à l'aide de rapports de vérification prédéfinis : Voir un rapport de vérification prédéfini ou personnalisé

Pour plus de détails sur la vérification de l'activité, voir Aperçu de la vérification de l'activité.

Pare-feu SQL*

Le pare-feu SQL d'Oracle Data Safe vous permet de gérer les pare-feu SQL de manière centralisée et fournit une vue complète des violations du pare-feu SQL dans l'ensemble du parc des bases de données cibles. Le service de sécurité des données vous permet de collecter les activités SQL autorisées d'un utilisateur de base de données que vous souhaitez protéger, de surveiller la progression de la collecte, de générer et d'activer la politique avec des listes d'autorisation des énoncés SQL approuvés et des chemins de connexion à la base de données.

Commencez par activer le pare-feu SQL dans la base de données cible 23ai : Activer le pare-feu SQL sur la base de données cible.

Vous devez ensuite générer et activer une politique de pare-feu SQL avec des listes d'autorisation pour l'utilisateur de base de données à protéger : Générer et appliquer des politiques de pare-feu SQL.

Une fois que vous avez commencé à appliquer la politique de pare-feu SQL, vous pouvez surveiller et analyser les violations dans les rapports de violation prédéfinis : Voir et gérer les rapports de violation.

Pour plus de détails sur le pare-feu SQL, voir Aperçu du pare-feu SQL.

*Le pare-feu SQL est disponible uniquement pour les bases de données Oracle 23ai.