Documentation sur Oracle Cloud Infrastructure

Meilleures pratiques de sécurité

Oracle considère la sécurité infonuagique comme sa plus haute priorité et les responsabilités en matière de sécurité sont partagées entre Oracle et vous.

Oracle et vos responsabilités

Oracle évalue régulièrement les mises à jour de correctifs critiques et les correctifs de sécurité ainsi que les correctifs de tiers pertinents à mesure qu'ils deviennent disponibles et applique les correctifs pertinents conformément aux processus de gestion du changement applicables. Les vulnérabilités de sécurité sont corrigées à une fréquence régulière.

Vous devez effectuer les opérations suivantes :

  • Suivez les vulnérabilités et effectuez régulièrement des analyses de sécurité et des évaluations de sécurité sur les systèmes de base de données HeatWave.
  • Lisez et évaluez les informations relatives aux mises à jour de correctifs critiques, aux alertes de sécurité et aux bulletins. Voir Alertes de sécurité.
  • Appliquer des mises à niveau logicielles critiques et des mesures correctives.
  • Si vous avez besoin d'informations supplémentaires qui ne sont pas traitées, soumettez une demande de service au sein de votre système de soutien désigné. Voir Création d'une demande de soutien.

Fonctions de sécurité

Oracle vous offre diverses fonctionnalités telles que le chiffrement en transit, le masquage de données et le plan de suppression pour assurer la sécurité de vos données.

Tableau 3-1 : Fonctions de sécurité

Fonction Meilleure pratique
Contrôle de l'accès à la base de données et gestion des comptes Utilisez les fonctions de sécurité MySQL pour contrôler l'accès et gérer votre compte. Voir Contrôle de l'accès et gestion des comptes.
Service de vérification OCI Utilisez le service de vérification OCI pour enregistrer automatiquement les appels à tous les points d'extrémité d'API (interface de programmation d'applications) publiques pris en charge dans votre location en tant qu'événements de journal. Les événements de journal contiennent des détails tels que la source, la cible ou l'heure à laquelle l'activité d'API s'est produite. Voir Consultation des journaux du service de vérification et Aperçu du service de vérification.
Plugiciel de vérification MySQL Enterprise Utilisez le plugiciel de vérification MySQL Enterprise pour produire un fichier journal contenant un enregistrement de vérification de l'activité du serveur. Le contenu des journaux inclut le moment où les clients se connectent et se déconnectent, ainsi que les actions qu'ils effectuent lorsqu'ils sont connectés, telles que les bases de données et les tables auxquelles ils accèdent. Vous pouvez ajouter des statistiques pour l'heure et la taille de chaque interrogation afin de détecter les valeurs aberrantes. Par défaut, les journaux du plugiciel de vérification sont désactivés et vous devez définir des filtres pour activer la journalisation de tous les événements pouvant faire l'objet d'une vérification pour tous les utilisateurs. Voir Privilèges MySQL par défaut et Plugiciel de vérification MySQL Enterprise.
Plugiciel authentication_oci Utilisez le plugiciel MySQL authentication_oci pour mapper les utilisateurs MySQL aux utilisateurs et aux groupes existants définis dans le service GIA. Voir Authentification à l'aide du plugiciel authentication_oci.
Plugiciel connection-control Par défaut, le service HeatWave prend en charge le plugiciel connection-control pour fournir un moyen de dissuasion qui ralentit les attaques par force brute contre les comptes d'utilisateur MySQL. Voir Plugiciels et composants.
Chiffrement au repos Vos données au repos sont toujours chiffrées à l'aide de clés gérées par Oracle ou de clés fournies par le client. Voir Sécurité des données.
Chiffrement en transit Vous pouvez utiliser le chiffrement en transit pour un utilisateur donné afin de sécuriser vos données. Voir Sécurité des données.
Masquage des données Utilisez le masquage des données pour protéger vos données sensibles. Voir Masquage des données.
Plan de suppression Utilisez le plan de suppression pour protéger le système de base de données contre les opérations de suppression. Voir Option avancée : Plan de suppression.
Gestion des identités et des accès En tant qu'administrateur de la sécurité, affectez des privilèges minimaux aux utilisateurs. Utilisez les politiques GIA pour contrôler l'accès et l'utilisation des ressources MySQL. Voir Politiques IAM.
Certificat de sécurité Un certificat de sécurité est un document numérique qui confirme que son sujet est le responsable de la clé publique du certificat. Vous pouvez laisser le service HeatWave définir un certificat de sécurité ou utiliser votre propre certificat sur Oracle Cloud Infrastructure. Voir Option avancée : Connexions.
Composant validate_password HeatWave Le service applique des mots de passe forts avec le composant validate_password. Assurez-vous que vos applications sont conformes aux exigences de mot de passe. Voir Plugiciels et composants.
Réseau en nuage virtuel (VCN)
  • Configurez les groupes de sécurité de réseau ou les listes de sécurité du VCN pour limiter les adresses IP publiques autorisées à une seule adresse IP ou à un petit intervalle d'adresses IP. Voir Création d'un réseau en nuage virtuel.
  • Configurez le système de base de données MySQL pour utiliser des sous-réseaux privés de votre VCN. Pour vous connecter à votre système de base de données MySQL à partir d'un réseau externe, utilisez une session d'hôte bastion ou une connexion RPV. Si vous pouvez vous connecter à votre système de base de données sur Internet uniquement, limitez les adresses IP publiques autorisées à une seule adresse IP ou à un petit intervalle d'adresses IP, et utilisez le chiffrement en transit. Voir Équilibreur de charge de réseau.