Sélectionner et mettre en oeuvre votre déploiement

Utilisez les méthodes présentées dans cette section pour sécuriser Oracle Autonomous Database Serverless@Azure :

Utiliser Transparent Data Encryption et Azure Key Vault
Configurer et activer Oracle Database Vault
Enregistrer la base de données dans Oracle Data Safe
Centraliser l'authentification et l'autorisation des utilisateurs grâce à l'intégration avec Entra ID
Unifier la vérification et le pipeline de base de données pour exporter des données vers Azure Blob Storage
Utiliser Oracle SQL Firewall pour Oracle Database 23ai

Option 1 : Utiliser Transparent Data Encryption et Azure Key Vault

Oracle Transparent Data Encryption (TDE) est configuré et activé par défaut dans toutes les bases de données Oracle Autonomous Database Serverless.

Les étapes suivantes vous montreront comment valider la configuration TDE par défaut. Ensuite, il décrit les étapes de mise en oeuvre du chiffrement géré par le client avec Azure Key Vault pour Oracle Autonomous Database Serverless.

Description de l'illustration adbs-key-vault-arch.png

adbs-key-vault-arch-oracle.zip

Pour mettre en oeuvre le plan présenté ici, vous devez d'abord respecter les préalables suivants :

Déployer l'instance Oracle Autonomous Database Serverless à l'aide de la console Microsoft Azure
Créer la chambre forte de clés Azure (Standard ou Premium)
Créer une clé RSA 2048 bits dans Azure Key Vault
Créer un principal de service pour Autonomous Database

Pour utiliser une chambre forte de clés TDE et Azure, procédez comme suit :

Affectez les politiques d'accès à la chambre forte du principal de service au principal de service azur pour l'instance Oracle Autonomous Database Serverless :
1. Allez à l'instance Azure Key Vault.
2. Cliquez sur Paramètres, puis sur Accéder à la configuration.
3. Cliquez sur Politique d'accès à la chambre forte.
4. Cliquez sur Aller aux politiques d'accès.
Créez la politique d'accès au service de chambre forte :
1. Sélectionner les autorisations :
  - Commande Get
  - Liste
  - Chiffrer
  - Sign
  - Vérifier
2. Cliquez sur Suivant.
Sélectionnez le principal de service créé pour l'instance Oracle Autonomous Database Serverless
1. Continuez pour cliquer sur Suivant jusqu'à ce que vous obteniez l'évaluation et la création.
2. Cliquez sur Créer.
Collectez les informations suivantes à utiliser dans Oracle Cloud Infrastructure (OCI) pour configurer Oracle Autonomous Database Serverless pour la gestion des clés.
- URI de chambre forte
- Nom de la clé
Dans l'instance Azure Key Vault, copiez le nom de la clé.
Dans OCI, allez à votre instance Oracle Autonomous Database Serverless.
1. Cliquez sur Actions supplémentaires.
2. Cliquez sur Gérer la clé de chiffrement.
3. Cliquez sur Chiffrer à l'aide d'une clé gérée par le client.
4. Dans le menu Key Type (Type de clé), sélectionnez Azure.
5. Remplissez les champs suivants avec les informations d'Azure :
  - URI de chambre forte (ne pas inclure la barre oblique de fin)
  - Nom de la clé
6. Cliquez sur Enregistrer.
  La mise à jour de la base de données Autonomous Database prendra un moment lorsqu'elle affichera à nouveau Disponible et que vous pourrez voir la nouvelle clé affectée dans les détails de la base de données Autonomous Database.
  L'historique des clés doit également indiquer que la clé gérée par le client (Microsoft Azure) est désormais la clé de chiffrement principale utilisée pour TDE.

Connectez-vous à la base de données en tant qu'administrateur et validez TDE.

Ouvrez le client de base de données et connectez-vous à la nouvelle base de données provisionnée. Une fois connecté, utilisez CloudShell ou une commande similaire pour exécuter cette interrogation SQL afin de valider que votre base de données a une clé principale TDE et que vos espaces-tables sont chiffrés à l'aide de AES256.

SQL> set page 900
SQL> set linesize 900
column activation_time format a40
column tag format a150
column pdb_name format a40
column tablespace_name format a30
column algorithm format a10SP2-0158: unknown SET option "page"
SQL> SQL> SQL> SQL> SQL> SQL>
SQL> select KEY_ID,ACTIVATION_TIME,KEY_USE from V$ENCRYPTION_KEYS;

KEY_ID
------------------------------------------------------------
ACTIVATION_TIME                          KEY_USE
---------------------------------------- -----------------
ATAQECQ0Q8NaSEBa0dDOQ8EPMAAAAAAAAAAAAAAAAAA== 06-MAY-25 01.41.04.516182 PM +00:00  TDE IN PDB
AVAK/QOQ6Bac3xAJEBAQDAUAAAAAAAAAAAAAAAAAAA== 06-MAY-25 01.58.34.616781 PM +00:00  TDE IN PDB

SQL> select a.name pdb_name, b.name tablespace_name, c.ENCRYPTIONALG algorithm
  2    from v$pdbs a, v$tablespace b, v$encrypted_tablespaces c
  3   where a.con_id = b.con_id
  4     and b.con_id = c.con_id
  5     and b.ts# = c.ts#;
     2    3    4    5

PDB_NAME                                 TABLESPACE_NAME                ALGORITHM
---------------------------------------- ------------------------------ ----------
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      SYSTEM                         AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      SYSAUX                         AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      UNDOTBS1                       AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      USERS                          AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      DBFS_DATA                      AES256
G283BFEA6ED35C8_MULTICLOUDWEBINAR01      TEMP                           AES256

6 rows selected.

SQL>

Option 2 : Configurer et activer Oracle Database Vault

Configurez et activez Oracle Database Vault dans votre instance Oracle Autonomous Database Serverless pour protéger les données contre l'accès non autorisé à un compte privilégié.

Vous devez créer des comptes de base de données supplémentaires pour faciliter la séparation des fonctions d'Oracle Database Vault. Une fois Oracle Database Vault activé, créez un domaine Oracle Database Vault pour séparer les données sensibles des comptes à privilèges élevés dans la base de données.

Pour configurer et activer Oracle Database Vault :

Créez les comptes nécessaires pour la configuration d'Oracle Database Vault.

Oracle recommande de créer plusieurs comptes pour vous assurer que vous n'êtes jamais verrouillé sur vos données. La perte du mot de passe de ces comptes pourrait rendre vos données inaccessibles.

Connectez-vous à votre base de données Oracle Autonomous Database Serverless et créez quatre comptes de base de données : deux comptes auront le rôle de responsable de Database Vault et deux comptes auront le rôle de gestionnaire de comptes Database Vault.

Utilisez l'exemple de code suivant pour créer les comptes où <user_name> est le nom utilisé pour identifier le compte associé.

Connected to:
Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
Version 23.8.0.25.05

SQL> create user DBOWNER identified by "<user_name>";
User created.

SQL> create user DBVACCTMGR identified by "<user_name>";
User created.

SQL> create user DBOWNER_BACKUP identified by "<user_name>";
User created.

SQL> create user DBVACCTMGR_BACKUP identified by "<user_name>";
User created.

SQL> grant connect, resource to DBOWNER;
Grant succeeded.

SQL> grant connect, resource to DBOWNER_BACKUP;
Grant succeeded.

SQL> grant connect, resource to DBVACCTMGR;
Grant succeeded.

SQL> grant connect, resource to DBVACCTMGR_BACKUP;
Grant succeeded.

SQL> show con_name;

CON_NAME
------------------------------
G283BFEA6ED35C8_MULTICLOUDWEBI
NAR01

SQL> select * from dba_dv_status;

NAME                STATUS
------------------  ----------------
DV_APP_PROTECTION   NOT CONFIGURED
DV_CONFIGURE_STATUS FALSE
DV_ENABLE_STATUS    FALSE
SQL>

Configurez et activez Oracle Database Vault.
1. Connectez-vous à la base de données en tant que admin et exécutez l'ensemble suivant pour configurer Oracle Database Vault.
```
SQL>
SQL> EXEC DBMS_CLOUD_MCADM.CONFIGURE_DATABASE_VAULT('DBVOWNER', 'DBVACCTMGR');
 
PL/SQL procedure successfully completed.
```
  Après avoir configuré Oracle Database Vault, activez-le. Une fois Oracle Database Vault activé, les comptes dotés du rôle de responsable de Database Vault peuvent gérer la configuration de la chambre forte et les comptes dotés du rôle de gestionnaire de comptes Database Vault peuvent créer et gérer des comptes dans la base de données. Vous pouvez maintenant profiter de la séparation des fonctions dans la base de données.
2. Redémarrez la base de données.
  Dans la page de l'instance de base de données dans OCI, cliquez sur Actions supplémentaires et sélectionnez Redémarrer.
3. Vérifiez qu'Oracle Database Vault est configuré et activé à l'aide de l'exemple de code suivant.
```
Connected to:
Oracle Database 23ai Enterprise Edition Release 23.0.0.0.0 - for Oracle Cloud and Engineered Systems
Version 23.0.0.25.0

SQL> SELECT * FROM DBA_DV_STATUS;

NAME                     STATUS
------------------------ ----------------
DV_APP_PROTECTION        NOT CONFIGURED
DV_CONFIGURE_STATUS      TRUE
DV_ENABLE_STATUS         TRUE

SQL>
```
4. Accorder des rôles Oracle Database Vault aux comptes de sauvegarde :
```
SQL> grant DV_OWNER to DBOWNER_BACKUP;

Grant succeeded.

SQL> grant DV_ACCTMGR to DBVACCTMGR_BACKUP;

Grant succeeded.

SQL>  
```

Créez un domaine pour séparer les données sensibles des comptes privilégiés.

Avant de créer le domaine, connectez-vous en tant que admin et vérifiez que le compte privilégié a accès aux données sensibles, dans ce cas, aux données des ressources humaines :

SQL> show user;
USER is "ADMIN"
SQL> select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8;

EMPLOYEE_ID FIRST_NAME      LAST_NAME                 SALARY
----------- --------------- ------------------------- ----------
        100 Steven          King                         24000
        101 Neena           Yang                         17000
        102 Lex             Garcia                       17000
        103 Alexander       James                         9000
        104 Bruce           Miller                        6000
        105 David           Williams                      4800
        106 Valli           Jackson                       4800

7 rows selected.

SQL>

Connectez-vous à Oracle Autonomous Database Serverless en tant qu'utilisateur doté du rôle Responsable du service de chambre forte de base de données. Exécutez ce bloc PL/SQL pour créer un domaine nommé Protect HR Data :

SQL> begin
  2  DVSYS.DBMS_MACADM.CREATE_REALM(
  3     realm_name => 'Protect HR Data'
  4    , description => 'This Realm will protect HR data from unauthorized privileged user access'
  5    , enabled => 'Y'
  6    , realm_type => DBMS_MACADM.MANDATORY_REALM );
  7  end;
  8  /
PL/SQL procedure successfully completed.

SQL>

Ajoutez les objets de base de données qui doivent être protégés par le domaine. Exécutez ce bloc PL/SQL pour ajouter toutes les tables du schéma HR au domaine Protect HR Data :

SQL> begin
  DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
    realm_name => 'Protect HR Data',
    object_owner => 'HR',
    object_name => '%',
    object_type => 'TABLE');
end;
/ 
2    3    4    5    6    7    8

PL/SQL procedure successfully completed.

SQL>

Exécutez ce bloc PL/SQL pour ajouter le compte de schéma HR ainsi qu'un gestionnaire HR hr_debra en tant que participants autorisés au domaine. Ainsi, seul le compte de service de l'application et le gestionnaire des ressources humaines peuvent accéder aux données du schéma HR. Aucun compte d'administrateur de base de données ou tout autre compte doté de privilèges élevés dans la base de données ne pourra accéder aux données protégées par le domaine Database Vault.
```
SQL> begin
  DVSYS.DBMS_MACADM.ADD_OBJECT_TO_REALM(
    realm_name => 'Protect HR Data',
    object_owner => 'HR',
    object_name => '%',
    object_type => 'TABLE');
end;
/  2    3    4    5    6    7    8

PL/SQL procedure successfully completed.

SQL>
```

La validation ADMIN ne permet plus d'accéder aux données RH :

SQL> 
SQL> show user;
USER is "ADMIN"
SQL> select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8;
select EMPLOYEE_ID,FIRST_NAME,LAST_NAME,SALARY from HR.EMPLOYEES where ROWNUM < 8
                                                                                 *
ERROR at line 1:
ORA-01031: insufficient privileges


SQL>

Option 3 : Enregistrer la base de données dans Oracle Data Safe

Oracle Data Safe est un centre de contrôle unifié pour les bases de données Oracle qui vous aide à comprendre la sensibilité de vos données, à évaluer les risques pour vos données, à masquer les données sensibles, à mettre en œuvre et à surveiller les contrôles de sécurité, à évaluer la sécurité des utilisateurs, à surveiller l'activité des utilisateurs et à répondre aux exigences de conformité en matière de sécurité des données.

Dans cette option, vous enregistrez l'instance cible dans Oracle Data Safe. Une fois l'inscription réussie, vérifiez les résultats de l'évaluation de la sécurité et de l'évaluation des utilisateurs et configurez les références pour chacune.

Pour enregistrer la base de données dans Oracle Data Safe, procédez comme suit :

Enregistrez la base de données cible dans Oracle Data Safe :
1. Dans la console OCI, cliquez sur Oracle Database, puis sur Aperçu sous Service de sécurité des données. Cliquez sur Bases de données cibles dans le volet de navigation de gauche et cliquez sur Enregistrer la base de données.
2. Sélectionnez Oracle Autonomous Database Serverless, entrez les informations requises et cliquez sur Enregistrer.
3. Une fois l'enregistrement de la cible réussi, Oracle Data Safe lance un balayage d'évaluation de la sécurité ainsi qu'un balayage d'évaluation des utilisateurs.
Vérifier l'évaluation de la sécurité :
1. Dans la page Aperçu du service de sécurité des données, cliquez sur Évaluation de la sécurité dans le volet de navigation de gauche. Sélectionnez l'onglet Sommaire cible, puis cliquez sur le sommaire cible de votre base de données.
2. Faites défiler l'affichage vers le bas et examinez chacune des conclusions. Si nécessaire, prenez des mesures correctives et lancez une autre analyse. Si vous êtes satisfait des résultats de balayage courants et acceptez les conclusions, cliquez sur Définir comme référence. Tous les balayages futurs sont comparés à la référence et vous recevrez un avis si la configuration de la base de données est différente de la référence définie.
Vérifier l'évaluation des utilisateurs :
1. Dans la page Aperçu du service de sécurité des données, cliquez sur Évaluation de la sécurité dans le volet de navigation de gauche. Sélectionnez l'onglet Sommaire cible, puis cliquez sur le sommaire cible de votre base de données.
2. Faites défiler l'affichage vers le bas et examinez chacune des conclusions. Si nécessaire, prenez des mesures correctives et lancez une autre analyse. Si vous êtes satisfait des résultats de balayage courants et acceptez les conclusions, cliquez sur Définir comme référence. Tous les balayages futurs seront comparés à la référence et vous recevrez un avis si la configuration de la base de données diffère de la référence définie.

Option 4 : Centraliser l'authentification et l'autorisation des utilisateurs grâce à l'intégration avec Entra ID

La gestion des utilisateurs et des données d'identification pour les utilisateurs d'Oracle Database peut rapidement devenir un fardeau administratif difficile à mesure que le nombre d'instances de base de données se multiplie.

Oracle crée des solutions innovantes pour résoudre ce problème depuis des décennies. Oracle Autonomous Database honore les jetons OAuth2 émis par Entra ID (anciennement Active Directory), la plate-forme d'identité en nuage de Microsoft. Cette fonction vous permet de gérer les utilisateurs et les rôles dans une solution d'identité en nuage centrale, tandis qu'Oracle Autonomous Database utilise ces données d'identification pour les contrôles d'accès basés sur des politiques.

Le flux d'authentification est illustré dans le diagramme ci-dessous et décrit dans les étapes suivantes :

Description de l'azur-authentication.png

Description de l'illustration azure-authentication.png

azure-authentification-oracle.zip

L'utilisateur Azure demande l'accès à l'instance Oracle Autonomous Database Serverless.
Le client ou l'application de base de données demande un code d'autorisation à partir d'Entra ID.
Entra ID authentifie l'utilisateur et retourne le code d'autorisation.
L'outil ou l'application d'aide utilise le code d'autorisation avec l'ID Entra pour l'échanger contre le jeton OAuth2.
Le client de base de données envoie le jeton d'accès OAuth2 à la base de données Oracle. Le jeton inclut les rôles d'application de base de données auxquels l'utilisateur a été affecté dans l'enregistrement de l'application Entra ID pour la base de données.
L'instance Oracle Autonomous Database Serverless utilise la clé publique Entra ID pour vérifier que le jeton d'accès a été créé par Entra ID.

Pour mettre en oeuvre le plan présenté ici, vous devez d'abord respecter les préalables suivants :

Configurez Oracle Autonomous Database Serverless en tant qu'application d'entreprise Microsoft Azure Entra ID (les tutoriels sont référencés dans la section Explorer plus).
Configurer le client SQL Developer pour une authentification Azure Entra ID transparente.

Pour intégrer l'authentification à Microsoft Entra ID, procédez comme suit :

Configurez Oracle Autonomous Database Serverless pour utiliser l'application d'entreprise dans Azure Entra ID aux fins d'authentification.

La procédure suivante indique à Oracle Autonomous Database Serverless d'utiliser la location Entra ID en tant que fournisseur d'identités et lie spécifiquement les jetons OAuth2 émis par l'application d'entreprise pour autorisation à la base de données.
1. Connectez-vous à votre instance Oracle Database Actions (SQL Developer Web).
2. Dans le panneau de gauche, sélectionnez la connexion appropriée.
3. Cliquez sur Vues dans le menu au-dessus de la barre de recherche.
4. Dans la barre de recherche, entrez le nom de la vue, par exemple MULTICLOUD_DEMO_AZURE_CONFIGS, pour trouver rapidement votre vue, puis cliquez sur le nom de la vue.
5. Entrez le code SQL suivant avec l'ID locataire et l'URI d'application associés :
```
BEGIN
    DBMS_CLOUD_ADMIN.ENABLE_EXTERNAL_AUTHENTICATION(
        type   => 'AZURE_AD',
        params => JSON_OBJECT('tenant_id' VALUE '<tenant_id>',
                              'application_id' VALUE 'f2c359b4-c3f9-4415-a333-332340376e59',
                              'application_id_uri' VALUE '<application_id_uri>'),
        force => TRUE
    );
END;
```
Créez une association d'utilisateur :
1. Créez un schéma d'utilisateur dans Oracle Autonomous Database Serverless et associez cet utilisateur à l'ID principal d'utilisateur dans Entra ID. La définition d'un utilisateur global indique que le sujet du jeton Entra ID est utilisé pour affirmer l'identité de l'utilisateur de la base de données.
  Dans ce cas d'utilisation, un mappage un-à-un d'Entra ID Subject to Database est utilisé. Pour les déploiements plus importants, un administrateur peut choisir de configurer des mappages utilisateur de schéma partagé en fonction de l'appartenance aux rôles et aux groupes dans Entra ID.
2. Accordez des fonctionnalités de connexion à l'utilisateur de base de données dans l'instance Oracle Database Actions (SQL Developer Web) :
```
CREATE USER <azure_user_name> IDENTIFIED GLOBALLY AS 'AZURE_USER=<azure_user_name>';

grant connect to <azure_user_name>;
```
Connectez-vous à la base de données à l'aide d'Oracle SQL Developer et d'un ID interne.
Ouvrez Oracle SQL Developer et configurez une connexion à l'instance Oracle Autonomous Database Serverless à l'aide des dernières bibliothèques JDBC qui permettent une connexion interactive avec Azure Entra ID.
1. Dans le panneau Connexions à Oracle SQL Developer, cliquez sur Nouvelle connexion.
2. Spécifiez un nom de connexion.
3. Sélectionnez Système d'exploitation comme type d'authentification.
4. Sélectionnez JDBC personnalisé comme type de connexion.
5. Entrez votre URL JDBC :
```
jdbc:oracle:thin:@config=<jdbc_url>
```
6. Vérifiez la connexion en cliquant sur Tester, qui ouvrira un navigateur pour la connexion interactive à Entra ID.
7. Authentifiez-vous à l'aide de l'utilisateur que vous avez mappé en tant qu'utilisateur global de base de données.
  Une fois la connexion établie, une connexion SQL ouverte est établie.
8. Exécutez show user pour retourner l'utilisateur du schéma.
```
show user;
select sys_context('USERENV', 'AUTHENTICATED_IDENTITY') from dual;
```
9. Vérifiez le contexte de la session pour montrer que le principal authentifié conserve le principal Entra ID.
  Elle est utilisée par la piste de vérification unifiée pour associer l'utilisateur Entra ID aux transactions effectuées par le principal authentifié.
10. Cliquez sur Enregistrer dans la fenêtre de connexion à la base de données.

Option 5 : Unifier la vérification et le pipeline de base de données pour exporter des données vers Azure Blob Storage

Avoir de solides contrôles de sécurité préventifs n'est que la moitié de la bataille; les entreprises doivent également auditer et surveiller leurs systèmes, même lorsqu'ils ne sont pas attaqués.

La création d'une piste de vérification de la transaction de base de données est un moyen efficace de garantir la traçabilité. Oracle Autonomous Database comprend des pipelines prêts à être configurés et déployés et qui peuvent pousser ces journaux de vérification vers le stockage multinuage de votre choix. Cette section montre comment utiliser facilement le principal de service Entra ID existant (créé dans la section précédente) pour pousser votre piste de vérification vers Azure Blob Storage sur un intervalle de temps continu.

Description d'adbs-pipeline-export-arch.png :

Description de l'illustration adbs-pipeline-export-arch.png

adbs-pipeline-export-arch-oracle.zip

Pour mettre en oeuvre le plan présenté ici, vous devez d'abord respecter les préalables suivants :

Activez une piste de vérification unifiée avec Oracle Data Safe.
Créez un principal de service pour Oracle Autonomous Database Serverless.
Créez un compte de stockage Azure.
Créez un conteneur privé dans le compte de stockage Azure pour les journaux de vérification d'Oracle Autonomous Database Serverless.

Pour utiliser et stocker les journaux de vérification :

Affectez le rôle de contributeur de données BLOB de stockage au principal de service Oracle Autonomous Database Serverless :
1. Dans le portail Azure, sélectionnez le compte de stockage que vous avez créé précédemment.
2. Cliquez sur Contrôle de l'accès (IAM).
3. Cliquez sur Ajouter, puis sur Ajouter une affectation de rôle.
4. Utilisez la barre de recherche pour rechercher Contributeur de données BLOB de stockage.
5. Cliquez sur le rôle Contributeur de données BLOB de stockage.
6. Cliquez sur Suivant.
Ajoutez le principal de service Oracle Autonomous Database Serverless à l'affectation de rôle.
1. Dans la section Membres, recherchez le principal de service Oracle Autonomous Database Serverless.
2. Affectez l'appartenance.
3. Cliquez sur Vérifier + Affecter.

Configurez les attributs de pipeline à partir de l'emplacement du conteneur de stockage Azure.

Ouvrez une feuille de calcul SQL et exécutez les procédures SQL suivantes, où <storage_location_url> est l'URL de l'emplacement de stockage Azure :

BEGIN
DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'credential_name',
  attribute_value => 'AZURE$PA' );

DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'location',
  attribute_value => '<storage_location_url>' );

DBMS_CLOUD_PIPELINE.SET_ATTRIBUTE( pipeline_name => 'ORA$AUDIT_EXPORT',
  attribute_name => 'interval',
  attribute_value => '15' );

END;
/

Pour tester le pipeline d'exportation et le configurer pour qu'il s'exécute, exécutez les énoncés suivants :
```
/* THIS RUNS THE PIPELINE ONCE*/
/
BEGIN DBMS_CLOUD_PIPELINE.RUN_PIPELINE_ONCE( pipeline_name => 'ORA$AUDIT_EXPORT' );
END;
/

/* IF SUCCESSFUL - THIS WILL RESET THE PIPELINE*/
/
BEGIN DBMS_CLOUD_PIPELINE.RESET_PIPELINE( pipeline_name => 'ORA$AUDIT_EXPORT', purge_data => TRUE);
END;
/

/* THIS WILL MAKE IT ACTIVE AND RUNNING ON THE SET INTERVAL */
/
BEGIN DBMS_CLOUD_PIPELINE.START_PIPELINE( pipeline_name => 'ORA$AUDIT_EXPORT' );
END;
/
```
Si le pipeline est configuré correctement, vous verrez un fichier dans le conteneur de stockage Azure Blob qui a été configuré dans les attributs du pipeline. Au fil du temps, il créera des fichiers incrémentiels dans le conteneur de stockage qui ne contiennent que les derniers enregistrements de piste de vérification unifiée.

Option 6 : Utiliser Oracle SQL Firewall pour Oracle Autonomous Database Serverless 23ai

En plus des listes de sécurité du réseau virtuel et des groupes de sécurité de réseau, Oracle Autonomous Database Serverless 23ai est fourni avec Oracle SQL Firewall.

Oracle SQL Firewall est une fonction de défense approfondie exécutée lors de l'exécution de la base de données. Elle applique un contrôle d'accès à vos données basé sur des politiques et un contexte.

Pour Oracle Database@Azure, les politiques de pare-feu SQL peuvent fournir une protection au dernier kilomètre contre les accès non autorisés, quel que soit le point d'entrée.

Description d'adbs-sqlfirewall-flow.png :

Description de l'illustration adbs-sqlfirewall-flow.png

adbs-sqlfirewall-flow-oracle.zip

Description d'adbs-sqlfirewall-arch.png :

Description de l'illustration adbs-sqlfirewall-arch.png

adbs-sqlfirewall-arch-oracle.zip

Pour mettre en oeuvre le plan présenté ici, vous devez d'abord respecter les préalables suivants :

Enregistrez Oracle Data Safe dans l'instance Oracle Autonomous Database Serverless 23ai.
Activez le pare-feu SQL dans Oracle Data Safe (un lien vers les instructions est fourni dans la section Explorer plus).

Pour utiliser Oracle SQL Firewall pour Oracle Autonomous Database Serverless 23ai, procédez comme suit :

Commencez à collecter le trafic SQL pour l'utilisateur que vous avez créé pour l'authentification Entra ID :
1. Dans le tableau de bord du pare-feu SQL, cliquez sur Collections SQL.
2. Indiquez l'utilisateur à qui vous souhaitez créer la politique de pare-feu SQL.
3. Cliquez sur Créer et démarrer la collecte SQL.
Après avoir généré du trafic SQL avec l'utilisateur sélectionné, configurez la politique en fonction des énoncés SQL capturés :
1. Dans la page des détails de la collection SQL, cliquez sur Arrêter.
2. Cliquez sur Générer la politique de pare-feu.
3. Vérifiez et, au besoin, mettez à jour les valeurs de contexte de session SQL autorisées.
  Par exemple, pour un énoncé autorisé, sélectionnez une rangée, cliquez sur Mettre à jour, puis cliquez sur le X à la fin de la rangée pour supprimer l'énoncé autorisé. Pour tester les puposes, vous pouvez le faire pour toutes les instructions autorisées.
4. Cliquez sur Déployer et appliquer pour activer la politique.
Testez la politique de pare-feu SQL activée.
À l'aide de SQL Developer (ou de tout client SQL), connectez-vous à la base de données et authentifiez-vous en tant qu'utilisateur Entra ID créé pour l'application de la politique de pare-feu SQL (avec tous les énoncés SQL autorisés supprimés). Après l'authentification, un message d'erreur indique que la base de données a réussi à passer par les listes de sécurité et les groupes de sécurité de réseau, mais la demande est refusée au niveau de la connexion SQL.
Pour voir les rapports sur les violations, cliquez sur Rapports de violation dans le volet de navigation de gauche du tableau de bord du pare-feu SQL.