Déployer une zone d'atterrissage sécurisée qui respecte la norme CIS Foundations Benchmark pour Oracle Cloud

Pour exécuter vos charges de travail dans Oracle Cloud, vous avez besoin d'un environnement sécurisé que vous pouvez utiliser efficacement. Cette architecture de référence fournit un modèle de zone d'atterrissage basé sur Terraform qui est certifié par le Centre pour la sécurité Internet (CIS) pour répondre aux directives de sécurité prescrites dans la référence des fondations CIS Oracle Cloud Infrastructure. Voir https://www.cisecurity.org pour obtenir la certification.

Architecture

L'architecture commence par la conception de compartiment pour la location, ainsi que par les groupes et les politiques de séparation des fonctions. Dans la zone d'atterrissage, le provisionnement V2 des compartiments de la zone d'atterrissage dans un compartiment parent désigné est pris en charge. Un groupe disposant des autorisations appropriées pour gérer les ressources du compartiment et accéder aux ressources requises dans d'autres compartiments est affecté à chacun des compartiments de la zone d'atterrissage.

La zone d'atterrissage V2 permet de provisionner plusieurs réseaux en nuage virtuels, en mode autonome ou en tant que parties constituantes d'une architecture Hub et satellite. Les réseaux en nuage virtuels peuvent suivre une topologie de réseau à trois niveaux standard à usage général ou être orientés vers des topologies spécifiques, telles que la prise en charge des déploiements Oracle Exadata Database Service. Ils sont prêts à l'emploi configurés avec le routage nécessaire, avec leurs interfaces entrantes et sortantes correctement sécurisées.

La zone d'atterrissage comprend divers services de sécurité préconfigurés qui peuvent être déployés en tandem avec l'architecture globale pour une sécurité renforcée. Ces services sont Oracle Cloud Guard, les journaux de flux, le centre de connecteurs du service Oracle Cloud Infrastructure, la chambre forte avec des clés gérées par le client, Oracle Cloud Infrastructure Vulnerability Scanning Service, l'hôte bastion Oracle Cloud Infrastructure et Oracle Security Zones. Les avis sont définis à l'aide de rubriques et d'événements pour alerter les administrateurs des modifications apportées aux ressources déployées.

Le diagramme suivant illustre cette architecture de référence.

Description de l'illustration oci-cis-landingzone.png

oci-cis-landingzone-oracle.zip

L'architecture comprend les composants suivants :

• Location

  Une location est une partition sécurisée et isolée qu'Oracle configure dans Oracle Cloud lors de votre inscription à Oracle Cloud Infrastructure. Vous pouvez créer, organiser et gérer vos ressources dans Oracle Cloud au sein de votre location. Une location est synonyme d'une société ou d'une organisation. Habituellement, une société aura une seule location et reflétera sa structure organisationnelle au sein de cette location. Une seule location est généralement associée à un seul abonnement, et un seul abonnement n'a généralement qu'une seule location.

• Politiques

  Une politique Oracle Cloud Infrastructure Identity and Access Management spécifie qui peut accéder à quelles ressources et comment. L'accès est octroyé au niveau du groupe et du compartiment, ce qui permet d'écrire une politique qui donne à un groupe un type d'accès spécifique dans un compartiment spécifique, ou à la location.

• Compartiments

  Les compartiments sont des partitions logiques inter-régions dans une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser vos ressources dans Oracle Cloud, contrôler l'accès aux ressources et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous devez définir des politiques qui spécifient qui peut accéder aux ressources et les actions qui peuvent être exécutées.

  Les ressources de ce modèle de zone d'atterrissage sont provisionnées dans les compartiment suivants :

  • Compartiment englobant recommandé contenant tous les compartiments listés ci-dessous.
  • Compartiment de réseau pour toutes les ressources de réseau, y compris les passerelles de réseau requises.
  • Compartiment de sécurité pour la journalisation, la gestion des clés et les ressources d'avis.
  • Compartiment d'application pour les services liés aux applications, notamment les services de calcul, de stockage, de fonctions, de flux, les noeuds Kubernetes, la passerelle d'API, etc.
  • Compartiment de base de données pour toutes les ressources de base de données.
  • Compartiment facultatif pour l'infrastructure Oracle Exadata Database Service.

  Les icônes grisées du diagramme indiquent les services qui ne sont pas provisionnés par le modèle.

  Cette conception compartimentée reflète une structure fonctionnelle de base observée dans différentes organisations, où les responsabilités informatiques sont généralement réparties entre les administrateurs de réseau, de sécurité, de développement d'applications et de base de données.

• Réseau en nuage virtuel (VCN) et sous-réseau

  Un VCN est un réseau défini par logiciel personnalisable, configuré dans une région Oracle Cloud Infrastructure. À l'instar des réseaux de centre de données traditionnels, ces derniers vous permettent de contrôler votre environnement de réseau. Un VCN peut disposer de plusieurs blocs CIDR sans chevauchement que vous pouvez modifier après avoir créé le VCN. Vous pouvez segmenter un VCN en sous-réseaux, dont la portée peut concerner une région ou un domaine de disponibilité. Un sous-réseau est constitué d'un intervalle contigu d'adresses qui ne chevauchent pas les autres sous-réseaux dans le réseau en nuage virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  Par défaut, le modèle déploie un VCN standard à trois niveaux à usage général avec un sous-réseau public et deux sous-réseaux privés. Un sous-réseau public est utilisé pour les équilibreurs de charge et les serveurs bastion. Les niveaux d'application et de base de données sont attachés à des sous-réseaux privés distincts. Le modèle peut également créer des réseaux en nuage virtuels pour prendre en charge le déploiement de charges de travail spécifiques, telles qu'Oracle Exadata Database Service.

• Passerelle Internet

  La passerelle Internet permet le trafic entre les sous-réseaux publics d'un VCN et l'Internet public.

• Passerelle de routage dynamique

  La passerelle DRG est un routeur virtuel qui fournit un chemin pour le trafic réseau privé entre les réseaux sur place et les réseaux en nuage virtuels. Il peut également être utilisé pour acheminer le trafic entre des réseaux en nuage virtuels de la même région ou d'une région à l'autre.

• Passerelle NAT

  Une passerelle NAT permet aux ressources privées d'un VCN d'accéder à des hôtes sur Internet, sans les exposer aux connexions Internet entrantes.

• Passerelle de service

  La passerelle de service fournit l'accès d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic entre le réseau VCN et le service Oracle circule sur la matrice réseau Oracle et ne passe pas par Internet.

• Oracle Services Network

  L'OSN (Oracle Services Network) est un réseau conceptuel dans Oracle Cloud Infrastructure qui est réservé aux services Oracle. Ces services ont des adresses IP publiques accessibles sur Internet. Les hôtes en dehors d'Oracle Cloud peuvent accéder au réseau OSN en privé à l'aide d'Oracle Cloud Infrastructure FastConnect ou d'une connexion RPV. Les hôtes de vos réseaux en nuage virtuels peuvent accéder au réseau OSN en privé au moyen d'une passerelle de service.

• Groupes de sécurité de réseau

  Le groupe de sécurité de réseau agit comme un pare-feu virtuel pour vos ressources en nuage. Avec le modèle de sécurité "confiance zéro" d'Oracle Cloud Infrastructure, tout le trafic est refusé et vous pouvez contrôler le trafic réseau dans un VCN. Un groupe de sécurité de réseau se compose d'un jeu de règles de sécurité qui s'applique seulement à un jeu spécifié de cartes vNIC dans un seul réseau VCN.

• Événements

  Les services Oracle Cloud Infrastructure émettent des événements, qui sont des messages structurés décrivant les modifications apportées aux ressources. Des événements sont émis pour les opérations de création, de lecture, de mise à jour ou de suppression (CRUD), les modifications d'état du cycle de vie des ressources et les événements système qui ont une incidence sur les ressources en nuage.

• Avis

  Le service Oracle Cloud Infrastructure Notifications diffuse des messages vers des composants répartis au moyen d'un modèle d'abonnement de publication, afin d'offrir des messages sécurisés, hautement fiables, à faible latence et durables pour les applications hébergées sur Oracle Cloud Infrastructure.

• Chambre forte

  Oracle Cloud Infrastructure Vault vous permet de gérer, de manière centrale, les clés de chiffrement qui protègent vos données et les données d'identification secrètes que vous utilisez pour sécuriser l'accès à vos ressources dans le nuage. Vous pouvez utiliser le service de chambre forte pour créer et gérer des chambres fortes, des clés et des clés secrètes.

• Journaux
  Le service de journalisation est un service hautement évolutif entièrement géré qui permet d'accéder aux types de journal suivants à partir de vos ressources en nuage :

  • Journaux du service de vérification : Journaux liés à des événements émis par le service Vérification.
  • Journaux de service : Journaux émis par des services individuels tels que passerelle d'API, événements, fonctions, équilibreur de charge, stockage d'objets et journaux de flux VCN.
  • Journaux personnalisés : Journaux contenant des informations de diagnostic provenant d'applications personnalisées, d'autres fournisseurs de services infonuagiques ou d'un environnement sur place.
• Connecteurs de service

  Le centre de connecteur de service Oracle Cloud Infrastructure est une plate-forme de bus de messages en nuage qui orchestre le déplacement des données entre les services dans OCI. Vous pouvez utiliser des connecteurs de service pour déplacer des données d'un service source vers un service cible. Les connecteurs de service vous permettent également de spécifier une tâche (telle qu'une fonction) à exécuter sur les données avant leur transmission au service cible.

  Vous pouvez utiliser le centre de connecteurs de service Oracle Cloud Infrastructure pour créer rapidement un cadre d'agrégation de journaux pour les systèmes SIEM.

• Protection d'infrastructure en nuage

  Oracle Cloud Guard vous aide à atteindre et à maintenir un niveau de sécurité élevé dans Oracle Cloud en surveillant la location pour les paramètres de configuration et les actions sur les ressources qui pourraient poser un problème de sécurité.

  Vous pouvez utiliser Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure. Le service de protection d'infrastructure en nuage utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources afin de détecter les faiblesses en matière de sécurité et pour surveiller les opérateurs et les utilisateurs pour certaines activités risquées. Lorsqu'une mauvaise configuration ou une activité non sécurisée est détectée, le service de protection d'infrastructure en nuage recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondant que vous pouvez définir.

• Zone de sécurité

  Une zone de sécurité est associée à un ou plusieurs compartiments et à une recette de zone de sécurité. Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, Oracle Cloud Infrastructure (OCI) valide ces opérations en fonction de la liste des politiques définies dans la recette de zone de sécurité. En cas de violation d'une politique de zone de sécurité, l'opération est refusée.

  Les zones de sécurité garantissent que vos ressources OCI sont conformes à vos politiques de sécurité, notamment le service de calcul pour Oracle Cloud Infrastructure, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes et les ressources de base de données.

• Service de balayage de vulnérabilité

  Le service de balayage de vulnérabilité d'Oracle Cloud Infrastructure améliore la sécurité dans Oracle Cloud en vérifiant régulièrement si les ports et les hôtes présentent des vulnérabilités potentielles. Le service génère des rapports avec des mesures et des détails sur ces vulnérabilités.

• Service d'hôte bastion

  Le service d'hôte bastion pour Oracle Cloud Infrastructure fournit un accès restreint à partir d'adresses IP spécifiques aux ressources OCI cibles qui n'ont pas de points d'extrémité publics utilisant des sessions SSH (Secure Shell) basées sur les identités, vérifiées et limitées dans le temps.

• Stockage d'objets

  Le service de stockage d'objets permet d'accéder rapidement à de grandes quantités de données non structurées de tous types, notamment des sauvegardes de base de données, des données analytiques et du contenu enrichi, comme des images et des vidéos. Vous pouvez stocker des données en toute sécurité, puis les extraire directement à partir d'Internet ou de la plate-forme en nuage. Vous pouvez adapter le stockage sans que la performance ou la fiabilité des services soit affectée. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archives pour le stockage "à froid" que vous stockez pendant de longues périodes et auquel vous accédez rarement.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour concevoir et configurer la sécurité de votre environnement en nuage. Vos exigences peuvent différer de l'architecture décrite ici.

• Configuration du réseau

  Pour le VCN, sélectionnez un bloc CIDR qui ne chevauche aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur place ou un autre fournisseur de nuage) auquel vous voulez configurer des connexions privées.

• Surveillance de la sécurité

  Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure. Le service de protection d'infrastructure en nuage utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources afin de détecter les faiblesses en matière de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités risquées. Lorsqu'une mauvaise configuration ou une activité non sécurisée est détectée, le service de protection d'infrastructure en nuage recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondant que vous pouvez définir.

• Provisionnement sécurisé des ressources

  Pour les ressources nécessitant une sécurité maximale, utilisez des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette définie par Oracle de politiques de sécurité basées sur les meilleures pratiques. Par exemple, les ressources d'une zone de sécurité ne doivent pas être accessibles par l'Internet public et doivent être chiffrées à l'aide de clés gérées par le client. Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations en fonction des politiques de la recette de zone de sécurité et refuse les opérations qui violent l'une des politiques.

Points à considérer

Lors de l'implémentation de cette architecture de référence, tenez compte des facteurs suivants :

• Autorisations d'accès

  Le modèle de zone d'atterrissage peut provisionner des ressources en tant qu'administrateur de la location (n'importe quel utilisateur membre du groupe Administrateurs) ou en tant qu'utilisateur disposant d'autorisations plus étroites. Voir Explorer plus pour "Modes de déploiement pour la zone d'atterrissage OCI CIS".

  Le modèle de zone d'atterrissage provisionne les ressources en tant qu'administrateur de la location (tous les utilisateurs membres du groupe Administrators) et inclut des politiques permettant à des groupes d'administrateurs distincts de gérer chaque compartiment après le provisionnement initial. Les politiques préconfigurées ne couvrent pas toutes les ressources possibles disponibles dans OCI, c'est-à-dire qu'elles s'appliquent aux ressources actuellement déployées par le modèle. Si vous ajoutez des ressources au modèle Terraform, vous devez définir les énoncés de politique supplémentaires requis.

• Configuration de réseau

  Le réseau de la zone d'atterrissage peut être déployé de différentes façons : avec un ou plusieurs réseaux en nuage virtuels autonomes ou dans une architecture Hub et satellite avec le service DRG V2 pour Oracle Cloud Infrastructure. Il est également possible de configurer le réseau sans connectivité Internet. Bien que la zone d'atterrissage permette de basculer entre autonome et Hub & satellite, il est important de planifier une conception spécifique, car des actions manuelles peuvent être nécessaires lors du changement.

• Personnalisation du modèle de zone d'atterrissage

  La configuration Terraform comporte un seul module racine et des modules individuels pour provisionner les ressources. Ce modèle modulaire permet une réutilisation efficace et cohérente du code. Pour ajouter des ressources à la configuration Terraform, réutilisez les modules existants, mais remplacez la variable spécifique par la configuration requise à l'aide des fichiers de remplacement de Terraform. Par exemple, pour ajouter un nouveau compartiment, définissez un nouveau mappage d'objets de compartiment dans votre fichier override.tf avec le même nom que le mappage initial des compartiments. Pour plus de détails, consultez Personnalisation de la zone d'atterrissage.

• Guide de déploiement

  Le guide de déploiement de la zone d'atterrissage CIS pour OCI dans GitHub fournit des conseils détaillés sur la configuration de la zone d'atterrissage CIS pour OCI. Il comprend des scénarios de déploiement et des étapes de personnalisation de la zone d'atterrissage.

Déployez

Le code Terraform pour cette solution est disponible dans GitHub. Vous pouvez extraire le code dans Oracle Cloud Infrastructure Resource Manager en un seul clic, créer la pile et le déployer. Vous pouvez également télécharger le code de GitHub sur votre ordinateur, personnaliser le code et déployer l'architecture à l'aide de l'interface de ligne de commande Terraform.

• Déployer à l'aide de l'exemple de pile dans Oracle Cloud Infrastructure Resource Manager :
  1. Allez à

     Si vous n'êtes pas déjà connecté, entrez la location et les données d'identification de l'utilisateur.

  2. Sélectionnez la région dans laquelle déployer la pile.
  3. Suivez les invites à l'écran et les instructions pour créer la pile.
  4. Après avoir créé la pile, cliquez sur Actions Terraform et sélectionnez Planifier.
  5. Attendez que le travail soit terminé et vérifiez le plan.

     Pour apporter des modifications, retournez à la page Détails de la pile, cliquez sur Modifier la pile et apportez les modifications requises. Ensuite, exécutez de nouveau l'action Planifier.

  6. Si aucune autre modification n'est nécessaire, retournez à la page Détails de la pile, cliquez sur Actions Terraform et sélectionnez Appliquer.
• Déployez à l'aide du code Terraform dans GitHub :
  1. Allez à GitHub.
  2. Téléchargez ou clonez le code sur votre ordinateur local.
  3. Suivez les instructions décrites dans le README.

Informations complémentaires

Cliquez sur le lien pour en savoir plus sur la configuration et l'exploitation d'un environnement sécurisé dans Oracle Cloud.

• Cadre des meilleures pratiques pour Oracle Cloud Infrastructure
• Liste de vérification de la sécurité pour Oracle Cloud Infrastructure
• Référence CIS pour les bases d'Oracle Cloud Infrastructure
• Guide de déploiement de la zone d'atterrissage CIS d'OCI

Voir les billets de blogue suivants :

• Création d'une zone d'atterrissage multirégion sécurisée
• Modèle de démarrage rapide de zone d'atterrissage sécurisée OCI, version 2
• Modes de déploiement de zone d'atterrissage sécurisée OCI
• Comment déployer la zone d'atterrissage sécurisée OCI pour Exadata Cloud Service

Journal des modifications

Ce journal répertorie les modifications importantes :

Mai 16, 2024	Architecture mise à jour recommandée à l'aide d'un compartiment englobant pour les autres compartiments. Considérations mises à jour pour inclure le guide de déploiement de la zone d'atterrissage CIS pour OCI. Ajout d'un lien vers le Center for Internet Security (CIS).
Mai 2, 2023	Révision du diagramme d'architecture et du texte correspondant. Les sections suivantes ont été révisées dans Considérations : "Autorisations d'accès" et "Personnalisation du modèle de zone d'atterrissage". Déploiement mis à jour. Vous pouvez également effectuer un déploiement directement à partir de GitHub à l'aide du bouton Déployer vers Oracle Cloud.
Octobre 19, 2021	A révisé le diagramme d'architecture et le texte pour inclure le compartiment Oracle Exadata facultatif et l'administrateur. Amélioration du contenu des sections Architecture, Considérations et Déploiement.