Protéger les bases de données
Assurez-vous que les serveurs de base de données, l'accès réseau à ces serveurs et les données réelles sont sécurisés.
Contrôler l'accès utilisateur et réseau
Architecte d'entreprise, architecte de sécurité, architecte de données
- Assurez-vous que les mots de passe utilisés pour l'authentification auprès de la base de données sont forts.
- Attachez les systèmes de base de données à des sous-réseaux privés.
Un sous-réseau privé n'a pas de connectivité Internet. Vous pouvez utiliser une passerelle NAT pour sécuriser le trafic sortant et une passerelle de service pour vous connecter aux points d'extrémité de sauvegarde (stockage d'objets).
- Utilisez des groupes de sécurité de réseau ou des listes de sécurité pour autoriser uniquement l'accès réseau requis à vos systèmes de base de données.
Restreindre les autorisations pour la suppression des ressources de base de données
Architecte d'entreprise, architecte de sécurité, architecte de données
DATABASE_DELETE
et DB_SYSTEM_DELETE
) à un jeu minimal d'utilisateurs et de groupes.
Les énoncés de politique IAM suivants permettent aux utilisateurs de base de données de gérer les bases de données, les systèmes de base de données et les répertoires de base de données. Mais la condition where request.permission!='DB_SYSTEM_DELETE'
garantit que les utilisateurs de base de données ne peuvent pas supprimer les bases de données.
Allow group DBUsers to manage db-systems in tenancy where request.permission!='DB_SYSTEM_DELETE'
Allow group DBUsers to manage databases in tenancy where request.permission!='DATABASE_DELETE'
Allow group DBUsers to manage db-homes in tenancy where request.permission!='DB_HOME_DELETE'
Chiffrer des données
Architecte d'entreprise, architecte de sécurité, architecte de données
Sécuriser et gérer les clés
Architecte d'entreprise, architecte de sécurité, architecte de données
Le chiffrement transparent des données (TDE) est une fonction d'Oracle Database utilisée pour chiffrer les données sensibles. Pour les configurations plus complexes et pour les grandes entreprises, une gestion centralisée des clés est nécessaire, car la gestion des clés de chiffrement dans différentes bases de données, applications et serveurs peut être une tâche complexe. Une gestion centralisée des clés simplifie cela en fournissant une plate-forme unifiée où toutes les clés cryptographiques, les portefeuilles Oracle, les magasins de clés Java et d'autres secrets peuvent être stockés et gérés en toute sécurité. Cette centralisation réduit les frais administratifs, améliore la sécurité et garantit des pratiques de gestion des clés cohérentes à l'échelle de l'entreprise.
Appliquer des correctifs de sécurité
Architecte d'entreprise, architecte de sécurité, architecte de données
Utiliser les outils de sécurité de base de données
Architecte d'entreprise, architecte de sécurité, architecte de données
Activer la sécurité des données
Architecte d'entreprise, architecte de sécurité, architecte de données
- Étendre la politique de conservation des vérifications du service de sécurité des données à un an.
- Masquer les données identifiées comme sensibles par la détection de données.
- Utilisez l'évaluation de la sécurité pour identifier les contrôles de sécurité recommandés par le Center for Internet Security (CIS), le General Data Protection Regulation (GDPR) et la bibliothèque des guides techniques de mise en oeuvre de la sécurité du Département de la défense.
- Configurer des alertes pour les événements clés dans la vérification de l'activité du service de sécurité des données.
Activer les points d'extrémité privés pour les bases de données autonomes
Architecte d'entreprise, architecte de sécurité, architecte de données
Lorsque cela est possible, utilisez des points d'extrémité privés avec Oracle Autonomous Database.
- Utilisez un sous-réseau privé dédié lors de la définition des points d'extrémité privés.
- Pour le groupe de sécurité de réseau de point d'extrémité privé, définissez une règle de trafic entrant sans état avec le protocole TCP et le port de destination égaux au port du module d'écoute de base de données. Restreindre l'étiquette CIDR source aux sous-réseaux uniquement ou, pour les passerelles de routage dynamique sur place, avec accès autorisé.
- Pour le groupe de sécurité de réseau de point d'extrémité privé, définissez une règle de trafic sortant sans état avec le protocole TCP. Restreindre le bloc CIDR de destination uniquement aux sous-réseaux ou, pour les passerelles de routage dynamique sur place, avec accès autorisé.
Implémenter Oracle Database Maximum Security Architecture
Détecter les tentatives d'accès inappropriées ou non autorisées est la prochaine couche cruciale de la défense. Les capacités avancées de vérification d'Oracle permettent aux organisations de surveiller les activités de base de données, d'identifier les comportements suspects et de réagir rapidement aux menaces potentielles. En configurant des alertes et en surveillant les événements de base de données clés, les administrateurs peuvent détecter et atténuer les attaques avant qu'elles ne causent des dommages importants. Empêcher l'accès non autorisé aux données est la dernière forteresse de l'architecture de sécurité d'Oracle. Cela inclut la mise en œuvre de mécanismes d'authentification forts, de listes de contrôle d'accès et de techniques de chiffrement. En séparant les tâches, en utilisant les principes du privilège minimal et en utilisant des bases de données privées virtuelles, les organisations peuvent s'assurer que seuls les utilisateurs autorisés peuvent accéder aux données sensibles, empêchant ainsi les modifications ou les divulgations non autorisées.
En savoir plus
- Meilleures pratiques de sécurité
- Oracle Data Safe
- Base de données autonome avec point d'extrémité privé
- Sécurisation des bases de données
- Directives de sécurisation des mots de passe
- Gestion des clés
- Chambre forte de clés
- Application de correctifs à un système de base de données
- Mises à jour de correctifs critiques
- Outil d'évaluation de la sécurité d'Oracle Database
- Présentation de l'architecture de sécurité maximale d'Oracle
- Déploiement d'Oracle Audit Vault and Database Firewall dans Oracle Cloud Infrastructure