Documentation sur Oracle Cloud Infrastructure

Sécurité de vos journaux dans Log Analytics

Oracle Log Analytics assure le transfert et le stockage sécurisés des données pour vos journaux. Le service tire parti des diverses fonctions de sécurité intrinsèquement disponibles dans Oracle Cloud Infrastructure (OCI) et les étend pour sécuriser vos journaux.

Sécurité des journaux en transit

Lorsque vos données sont en transit, toute la communication entre l'extérieur d'OCI et l'intérieur d'OCI se fait au moyen du protocole https pour lequel la couche de chiffrement est activée. Cela garantit la protection des données sensibles contre les attaques d'hameçonnage sur MitM.

Sécurité des journaux au repos

Les fonctions suivantes garantissent la sécurité de vos journaux au repos dans OCI, qu'il s'agisse de données actives ou archivées :

  • Chiffrement côté serveur AES-256 : OCI chiffre et déchiffre toujours tous les volumes par blocs, volumes de démarrage, sauvegardes de volume et stockage d'objets côté serveur à l'aide de l'algorithme AES (Advanced Encryption Standard) avec un chiffrement de 256 bits. Voir Chiffrement du service de stockage d'objets et Chiffrement des volumes par blocs dans la documentation sur Oracle Cloud Infrastructure.

    Le chiffrement est activé par défaut et ne peut pas être désactivé. Par défaut, Oracle gère la clé principale de chiffrement.

  • Chiffrement côté client AES/GCM 256 bits : Les trousses SDK pour Python et SDK pour Java pour OCI prennent en charge le chiffrement côté client, qui chiffre vos données du côté client avant de les stocker localement ou de les utiliser avec d'autres services OCI. Voir Documentation sur Oracle Cloud Infrastructure : Chiffrement côté client.

  • Clés de chiffrement fournies par le client : Oracle Log Analytics vous permet d'utiliser votre propre clé de chiffrement que vous avez stockée dans le service de chambre forte OCI pour chiffrer vos journaux. Une fois que vous avez soumis votre demande de chiffrement à l'aide de vos propres clés, en communiquant avec Oracle Support, en fonction de la taille de vos données de journal, Oracle crée un volume par blocs ou un seau de stockage d'objets dédié. Cela garantit que vos données sont séparées et peuvent être cryptées de manière sélective.

    Lorsque vous activez cette fonction, vous pouvez choisir d'utiliser votre clé de chiffrement sur les volumes par blocs pour les données actives ou le stockage d'objets pour les données d'archivage.

    Pour plus de détails, voir Utiliser sa propre clé de chiffrement.

Utiliser votre propre clé de chiffrement

Les étapes suivantes fournissent le flux de travail permettant d'établir votre propre clé de chiffrement et de l'utiliser dans Oracle Log Analytics.

Sujets :

Note

AVERTISSEMENT : Éviter la perte de données

Dans l'un des scénarios suivants, la collecte de données échoue et vos données dans Oracle Log Analytics sont perdues :

  • Si vous supprimez l'ancienne ou la nouvelle clé lorsque la rotation de clé est en cours
  • Si vous supprimez la clé actuellement utilisée pour le chiffrement
  • Si vous modifiez les politiques IAM relatives au chiffrement fourni par le client, ce qui empêche les services Oracle Cloud d'accéder au stockage de données

Étapes d'utilisation de votre propre clé de chiffrement avec Oracle Log Analytics

En suivant ces étapes, vous pouvez utiliser votre propre clé de chiffrement dans Oracle Log Analytics, confirmer les clés existantes et surveiller leur affectation à l'aide des commandes oci cli :

  1. Demander l'activation de la fonction :

    Communiquez avec Oracle Support pour activer la fonction Clé de chiffrement fournie par le client pour votre location. Déposer une demande de service à partir du portail de soutien technique d'Oracle Cloud.

    Passez aux étapes suivantes seulement après qu'Oracle ait confirmé que la fonction est activée.

  2. Créer ou sélectionner une clé de chiffrement dans le service de chambre forte OCI :

    Naviguez jusqu'à OCI Sécurité, puis sélectionnez Chambre forte. Sélectionnez ou créez une chambre forte, puis créez ou sélectionnez la clé à utiliser. À l'aide du service de chambre forte OCI, vous pouvez gérer les chambres fortes, les clés et les clés secrètes. Voir la documentation sur Oracle Cloud Infrastructure : Gestion des clés.

    Note

    Utilisez seulement une clé de chiffrement avancée 256 bits (AES-256) pour les volumes par blocs (données de stockage actif). Voir Clés de chiffrement des volumes par blocs.

  3. Notez vos informations sur la clé de chiffrement :

    Localisez et copiez l'OCID de la clé sélectionnée dans la chambre forte, l'OCID du compartiment de la chambre forte et l'OCID du compartiment dans lequel la clé est située pour utilisation dans les étapes suivantes.

  4. Configurer les politiques IAM requises :

    Assurez-vous que les énoncés de politique IAM requis sont créés pour la gestion des clés, l'accès aux données à partir de vos ressources dédiées et l'utilisation de votre clé de chiffrement par Oracle Log Analytics dans vos journaux. Voir Autoriser l'utilisation de clés fournies par le client pour le chiffrement des journaux.

  5. Affecter votre clé au stockage Oracle Log Analytics :

    Affectez votre clé à l'aide d'une demande oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Remplacez <key-id> par l'OCID de votre clé de chiffrement.
    • Réglez <key_type> à "ACTIVE_DATA" pour le stockage actif ou à "ARCHIVAL_DATA" pour le stockage d'archivage.
    • Remplacez <namespace_name> par le nom de l'espace de noms de votre location.

    Notez l'ID demande de travail de la réponse à la commande ci-dessus.

    Pour plus de détails sur la commande, les paramètres et les exemples de l'interface de ligne de commande, voir assign-encryption-key.

  6. Surveiller le statut d'affectation de la clé de chiffrement :

    Pour suivre la progression, utilisez l'ID demande de travail de la réponse ci-dessus :

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Remplacez <work_request_id> par l'ID retourné par l'appel assign-encryption-key oci cli.
    • Remplacez <namespace_name> par le nom de l'espace de noms de votre location.
    • Vérifiez le statut et les détails de la réponse. L'affectation de clé est terminée lorsque le statut de la réponse est SUCCEEDED.

    Pour plus de détails sur la commande, les paramètres et les exemples de l'interface de ligne de commande, voir get-storage-work-request.

    Exemple de réponse : 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

Une fois la fonction activée, les anciennes données de journal qui résident dans un autre emplacement continueront d'être chiffrées à l'aide des clés de chiffrement gérées par OCI. Toutes les nouvelles données qui suivent l'activation seront chiffrées à l'aide de votre propre clé de chiffrement.

Lister les clés de chiffrement du stockage

Vous pouvez vérifier quelles clés de chiffrement sont associées à votre location Oracle Log Analytics à tout moment : 

oci log-analytics storage list-encryption-key-info --namespace-name <namespace_name>

Remplacez <namespace_name> par le nom de l'espace de noms de votre location.

Exemple de réponse JSON : 

[
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ACTIVE_DATA"
  },
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ARCHIVAL_DATA"
  }
]

Pour plus de détails sur la commande, les paramètres et les exemples de l'interface de ligne de commande, voir list-encryption-key-info.

Effectuer la rotation des clés de chiffrement du stockage

La rotation périodique de vos clés de chiffrement est une bonne pratique pour renforcer la sécurité des données. Dans Oracle Log Analytics, vous pouvez effectuer la rotation de votre clé en affectant une nouvelle clé à l'aide de la commande assign-encryption-key oci cli. Les étapes ci-dessous montrent comment faire pivoter votre clé, surveiller la progression et nettoyer l'ancienne clé une fois le processus terminé.

  1. Préparer votre nouvelle clé de chiffrement :

    Générez ou sélectionnez une nouvelle clé de chiffrement dans le service de chambre forte OCI.

    Note

    Utilisez seulement une clé de chiffrement avancée 256 bits (AES-256) pour les volumes par blocs (données de stockage actif). Voir Clés de chiffrement des volumes par blocs.

    Assurez-vous qu'Oracle Log Analytics comporte les politiques IAM nécessaires pour utiliser la nouvelle clé. Voir Autoriser l'utilisation de clés fournies par le client pour le chiffrement des journaux.

  2. Affecter votre clé au stockage Oracle Log Analytics :

    Affectez votre clé à l'aide d'une demande oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Remplacez <key-id> par l'OCID de votre clé de chiffrement.
    • Réglez <key_type> à "ACTIVE_DATA" pour le stockage actif ou à "ARCHIVAL_DATA" pour le stockage d'archivage.
    • Remplacez <namespace_name> par le nom de l'espace de noms de votre location.

    Pour plus de détails sur la commande, les paramètres et les exemples de l'interface de ligne de commande, voir assign-encryption-key.

  3. Surveiller le statut d'affectation de la clé de chiffrement :

    Pour suivre la progression, utilisez l'ID demande de travail de la réponse ci-dessus :

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Remplacez <work_request_id> par l'ID retourné par l'appel assign-encryption-key oci cli.
    • Remplacez <namespace_name> par le nom de l'espace de noms de votre location.
    • Vérifiez le statut et les détails de la réponse. L'affectation de clé est terminée lorsque le statut de la réponse est SUCCEEDED.

    Pour plus de détails sur la commande, les paramètres et les exemples de l'interface de ligne de commande, voir get-storage-work-request.

    Exemple de réponse : 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

  4. Supprimer l'ancienne clé :

    Assurez-vous que la rotation est terminée en vérifiant que la réponse à l'appel get-storage-work-request est SUCCEEDED. Après avoir vérifié que l'appel list-encryption-key-info affiche désormais uniquement la nouvelle clé, vous pouvez supprimer en toute sécurité l'ancienne clé du service de chambre forte OCI. Voir Clés de chiffrement du stockage de liste.

Conseils utiles pour effectuer la rotation de vos clés de chiffrement dans Oracle Log Analytics

  • Les deux clés sont nécessaires lors de la rotation

    Lorsque vous démarrez la rotation des clés, les anciennes et les nouvelles clés doivent rester actives et accessibles. L'ancienne clé garantit que les données chiffrées existantes peuvent être lues et rechiffrées à l'aide de la nouvelle clé.

  • Ajouter une nouvelle clé pour démarrer la rotation

    Commencez la rotation en ajoutant votre nouvelle clé de chiffrement à l'aide de la commande assign-encryption-key oci cli. Voir Effectuer la rotation des clés de chiffrement du stockage.

  • Aucune période d'attente obligatoire après la fin de la rotation

    Vous n'avez pas à attendre un nombre défini de jours. Une fois la rotation des clés terminée, l'ancienne clé n'est plus nécessaire et peut être supprimée en toute sécurité du service de chambre forte OCI.

  • Durée de rotation

    • Si l'archivage n'est pas activé :

      Type de clé ACTIVE_DATA : Les données actives et la sauvegarde de données active sont chiffrées avec la clé spécifiée et les deux sont pivotées. La rotation de la sauvegarde active des données peut généralement prendre 1 To = heures, 10 To = jours, 100 To = semaines. Plus vous disposez de données, plus la rotation peut prendre de temps.

    • Si l'archivage est activé :

      Type de clé ACTIVE_DATA : Seule la clé de données actives est pivotée. L'impact de la taille des données actives (10 To, 20 To, 100 To) n'est pas très important. La rotation se termine généralement rapidement (en minutes à une heure), quelle que soit la taille des données.

      Type de clé ARCHIVAL_DATA : Seule la clé de données d'archivage est pivotée. La rotation des données d'archivage peut généralement prendre 1 To = heures, 10 To = jours, 100 To = semaines. Plus vous disposez de données, plus la rotation peut prendre de temps.

  • Aucun temps de conservation fixe pour l'ancienne clé

    • L'ancienne clé doit être conservée jusqu'à ce que toutes les données soient chiffrées de nouveau avec la nouvelle clé et que la rotation soit confirmée.

  • Comment surveiller la progression de la rotation

    L'opération d'affectation de clé de chiffrement est asynchrone. Après avoir soumis votre demande de rotation de clés, suivez la progression à l'aide de workRequestId retourné.

    Voir Effectuer la rotation des clés de chiffrement du stockage.

    Lorsque la demande de travail se termine avec succès avec le statut SUCCEEDED et que l'appel list-encryption-key-info affiche maintenant uniquement la nouvelle clé, il est sûr de supprimer l'ancienne clé. Si la demande de travail échoue, vérifiez la réponse pour déterminer le motif de l'échec et incorporez le correctif. Pour obtenir de l'aide, communiquez avec Oracle Support.

  • Vérifier quelle clé est active

    Répertoriez les clés de chiffrement courantes pour confirmer que la nouvelle clé est en cours d'utilisation.

    Voir Clés de chiffrement du stockage de liste.

    Assurez-vous que l'ancienne clé n'est plus répertoriée avant la suppression.

  • Conserver les deux clés accessibles

    Ne supprimez pas ou ne désactivez pas l'ancienne clé tant que la rotation n'est pas terminée et validée. La perte de l'accès à l'ancienne clé pendant la rotation peut entraîner des problèmes d'accès aux données.

  • Tester d'abord avec des données plus petites

    Si possible, envisagez une rotation de test sur un jeu de données plus petit pour estimer la synchronisation dans votre environnement OCI.

En résumé, gardez les deux clés disponibles pendant la rotation, surveillez la rotation au moyen du statut de la demande de travail, supprimez l'ancienne clé seulement une fois la rotation terminée et attendez-vous à ce que la rotation des archives dure plus longtemps à mesure que la taille des données augmente. Vérifiez toujours le statut de la clé avant le nettoyage.

Retour au chiffrement géré par Oracle

Si vous rencontrez des problèmes d'extensibilité/de performance dus à la rotation des clés ou si vous ne pouvez pas tenir à jour le processus de gestion des clés, vous pouvez revenir au chiffrement géré par Oracle. Communiquez avec Oracle Support pour revenir au chiffrement géré par Oracle pour votre location. Déposer une demande de service à partir du portail de soutien technique d'Oracle Cloud.

Autoriser l'utilisation de clés fournies par le client pour le chiffrement des journaux

Oracle Log Analytics vous permet d'utiliser votre propre clé de chiffrement que vous avez stockée dans le service de chambre forte OCI pour chiffrer vos journaux. Une fois que vous avez soumis votre demande de chiffrement à l'aide de vos propres clés, en communiquant avec Oracle Support, en fonction de la taille des données de journal, Oracle crée des volumes par blocs et un seau de stockage d'objets dédiés. Cela garantit que vos données sont séparées et peuvent être cryptées de manière sélective.

Pour utiliser vos clés pour chiffrer les données de journal, vous devez d'abord fournir les autorisations suivantes aux différents services pour accéder aux clés et les utiliser :

  1. Définissez la location Log Analytics où les données sont stockées, par exemple logan_tenancy.

  2. Définissez un groupe dynamique de ressources pouvant être utilisé pour effectuer des opérations de chiffrement, par exemple encr_app_tier_group_of_logan.

  3. Autorisez le service de stockage par blocs à utiliser vos clés de chiffrement et chambres fortes stockées dans un compartiment spécifique de votre location, par exemple le compartiment encryptionTier.

  4. Autorisez le service de stockage d'objets à utiliser vos clés de chiffrement et chambres fortes stockées dans un compartiment spécifique de votre location, par exemple le compartiment encryptionTier.

  5. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de chiffrement aux volumes.

  6. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de chiffrement aux sauvegardes de volume.

  7. Autoriser le groupe dynamique défini à l'étape 2 à utiliser la délégation de clé.

  8. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de chiffrement aux seaux de stockage d'objets.

  9. Autorisez le groupe dynamique défini à l'étape 2 à avoir accès en lecture à vos clés de chiffrement.

  10. Autoriser le groupe dynamique défini à l'étape 2 à avoir accès en lecture aux chambres fortes.

Les exemples d'énoncés de politique IAM suivants sont mappés aux définitions ci-dessus :

Define tenancy logan_tenancy as <LOGAN_TENANCY_OCID>
Define dynamic-group encr_app_tier_group_of_logan as <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID>
allow service blockstorage to use keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
allow service objectstorage-<REGION_IDENTIFIER> to use keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment <CUSTOMER_VAULT_COMPARTMENT_OCID>

Veillez à remplacer <LOGAN_TENANCY_OCID>, <REGION_IDENTIFIER>, <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID>, <CUSTOMER_KEY_COMPARTMENT_OCID> et <CUSTOMER_VAULT_COMPARTMENT_OCID> dans les énoncés de politique IAM ci-dessus par les valeurs réelles.

Pour intégrer la région, collectez <LOGAN_TENANCY_OCID>, <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID> à partir d'Oracle Log Analytics.

Pour obtenir la valeur de <REGION_IDENTIFIER>, voir Régions et domaines de disponibilité.

<CUSTOMER_KEY_COMPARTMENT_OCID> est l'OCID du compartiment dans lequel se trouve la clé. <CUSTOMER_VAULT_COMPARTMENT_OCID> est l'OCID du compartiment dans lequel vous avez créé la chambre forte pour stocker les clés. Vous avez noté les OCID de compartiment dans step3 lors des étapes d'utilisation de votre propre clé de chiffrement avec Oracle Log Analytics.