Sécurité pour les services de base

Oracle Cloud Infrastructure Compute vous permet de provisionner et de gérer des hôtes de calcul, appelés instances. Vous pouvez lancer les instances selon vos besoins afin de répondre à vos exigences en matière de calcul et d'application. Une fois qu'une instance est lancée, vous pouvez y accéder en toute sécurité à partir de votre ordinateur, la redémarrer, attacher et déconnecter des volumes , et l'arrêter lorsque vous n'en avez plus besoin. Toutes les modifications apportées aux lecteurs locaux de l'instance sont perdues lorsque vous mettez fin à cette dernière. Les modifications apportées aux volumes attachés à l'instance et enregistrées sont conservées.

Oracle Cloud Infrastructure offre des instances Bare Metal et de machine virtuelle :

Bare Metal

Une instance de calcul bare metal vous donne accès à un serveur physique dédié pour de meilleures performances et une isolation fiable. Une fois qu'un client a mis fin à son instance Bare Metal, le serveur fait l'objet d'un processus de nettoyage automatisé du disque et du microprogramme afin de garantir l'isolement entre les clients.

Machine virtuelle

Une machine virtuelle est un environnement de calcul indépendant qui fonctionne sur un matériel Bare Metal physique. La virtualisation permet de faire fonctionner plusieurs machines virtuelles isolées les unes des autres. Les machines virtuelles sont idéales pour exécuter les applications qui n'exigent pas les performances et les ressources (UC, mémoire, bande passante réseau, stockage) de toute une machine physique.

Une instance Oracle Cloud Infrastructure VM Compute s'exécute sur le même matériel qu'une instance Bare Metal, à l'aide des mêmes composants : matériel, microprogramme, pile logicielle et infrastructure réseau optimisés pour le cloud.

Toutes les instances Oracle Cloud Infrastructure utilisent par défaut le shell sécurisé (SSH) basé sur une clé. Les clients fournissent les clés publiques SSH à Oracle Cloud Infrastructure et utilisent les clés privées SSH pour accéder aux instances. Oracle recommande l'utilisation du SSH basé sur une clé pour accéder aux instances Oracle Cloud Infrastructure. Le protocole SSH basé sur un mot de passe pourrait être vulnérable aux attaques en force et n'est pas recommandé.

Vous pouvez exécuter les images Oracle Cloud Infrastructure sécurisées par les dernières mises à jour de sécurité Oracle Linux sur les instances Oracle Cloud Infrastructure. Les images Oracle Linux exécutent Unbreakable Enterprise Kernel (UEK) et prennent en charge des fonctionnalités de sécurité avancées telles que Ksplice pour appliquer des patches de sécurité sans les réinitialiser. En plus d'Oracle Linux, Oracle Cloud Infrastructure met à disposition la liste des autres images de plate-forme de système d'exploitation, notamment CentOS, Ubuntu et Windows Server. Toutes les images de plate-forme comportent des valeurs par défaut sécurisées, y compris des pare-feu au niveau du système d'exploitation activés par défaut.

Vous pouvez également utiliser vos propres images personnalisées. Toutefois, certaines stratégies de zone de sécurité autorisent uniquement l'utilisation d'images de plate-forme dans les compartiments associés à une zone de sécurité.

Utilisez le service Vulnerability Scanning pour vérifier régulièrement les instances à la recherche de vulnérabilités de sécurité potentielles, telles que des patches manquants ou des ports ouverts. Le service génère des rapports avec des mesures et des détails concernant ces vulnérabilités, et affecte à chacune un niveau de risque.

Instances spécialisées

Oracle Cloud Infrastructure offre des fonctionnalités qui vous permettent de personnaliser les instances pour des workloads spécialisés et des exigences de sécurité.

• Les instances protégées renforcent la sécurité du microprogramme sur les hôtes Bare Metal et les machines virtuelles afin de le défendre contre les logiciels malveillants au niveau de l'initialisation. Pour plus d'informations, reportez-vous à: Instances protégées.
• Le calcul confidentiel crypte et isole les données en cours d'utilisation et les applications qui les traitent. Pour plus d'informations, reportez-vous à : Informatique confidentielle.
• Les hôtes de machine virtuelle dédiés vous permettent d'exécuter des instances de machine virtuelle OCI Compute sur des serveurs dédiés qui constituent un locataire unique et qui ne sont pas partagés avec d'autres clients. Pour plus d'informations, reportez-vous à: Hôtes de machine virtuelle dédiés.

Pour plus d'informations, reportez-vous à :

• Présentation de Compute
• Sécurisation de Compute

Le service Oracle Cloud Infrastructure Networking vous permet de définir un réseau privé personnalisable (VCN ou réseau cloud virtuel), qui applique l'isolation logique de vos ressources Oracle Cloud Infrastructure. Comme pour votre réseau sur site dans vos centres de données, vous pouvez configurer un VCN avec des sous-réseaux, des tables de routage, des passerelles et des règles de pare-feu.

Les concepts clés de configuration réseau associés à un réseau cloud virtuel sont les suivants :

Sous-réseau

Subdivision principale d'un VCN. Les sous-réseaux peuvent être publics ou privés. Un sous-réseau privé empêche les ressources lancées dans ce sous-réseau de disposer d'adresses IP publiques.

Passerelle Internet

Routeur virtuel qui fournit une connectivité Internet publique à partir d'un VCN. Par défaut, un réseau cloud virtuel récemment créé ne dispose d'aucune connectivité Internet.

Passerelle de routage dynamique

Routeur virtuel qui fournit un chemin pour le trafic privé entre un VCN et le réseau d'un centre de données. Un DRG est utilisé avec un VPN IPSec ou Oracle Cloud Infrastructure FastConnect.

Passerelle NAT

Routeur virtuel qui fournit aux ressources cloud sans adresse IP publique un accès à Internet sans exposition aux connexions Internet entrantes.

Passerelle de service

Routeur virtuel qui accorde à des ressources cloud un accès privé aux services Oracle tels qu'Object Storage sans utiliser de passerelle Internet ou de passerelle NAT.

Table de routage

Tables de routage virtuelles qui ont des règles pour acheminer le trafic des sous-réseaux vers des destinations en dehors du VCN par le biais de passerelles ou d'instances Compute spécialement configurées.

Liste de sécurité

Règles de pare-feu virtuel qui indiquent les types de trafic (protocole et port) autorisés vers et depuis les ressources. Vous pouvez définir des règles individuelles pour qu'elles soient avec ou sans état et qu'elles affectent toutes les ressources du sous-réseau cible.

Groupe de sécurité réseau

Règles de pare-feu virtuel qui définissent les entrées et sorties autorisées pour les ressources membres du groupe. Vous pouvez définir des règles individuelles pour qu'elles soient avec ou sans conservation de statut.

Utilisez des listes de sécurité, des groupes de sécurité réseau ou une combinaison des deux pour contrôler le trafic de niveau paquet entrant et sortant des ressources de votre VCN. Par exemple, vous pouvez autoriser le trafic SSH entrant de n'importe quel emplacement vers un sous-réseau ou un groupe d'instances en configurant une règle entrante avec conservation de statut dont le CIDR source est 0.0.0.0/0 et le port TCP de destination est 22. Chaque VCN dispose d'une liste de sécurité par défaut qui autorise uniquement SSH et certains types de trafic entrant ICMP important, et autorise tout le trafic sortant.

Créez des sous-réseaux privés pour vous assurer que les ressources du sous-réseau n'ont pas d'accès Internet, même si le VCN dispose d'une passerelle Internet fonctionnelle, et même si les règles de sécurité et les règles de pare-feu autorisent le trafic. Certaines stratégies de zone de sécurité autorisent uniquement l'utilisation de sous-réseaux privés. Vous pouvez utiliser le service Bastion pour créer des sessions SSH sécurisées et temporaires à partir d'Internet vers des ressources dans un sous-réseau privé.

Un VCN peut être configuré pour la connectivité Internet ou connecté à votre centre de données privé via un site à site VPNor FastConnect. FastConnect offre une connexion privée entre le routeur en périphérie d'un réseau existant et les passerelles de routage dynamique. Le trafic ne passe pas par Internet.

Pour plus d'informations, reportez-vous à :

• Moyens de sécuriser le réseau
• Contrôle accès
• Règles de sécurité
• Sécurisation de Networking : réseau cloud virtuel, équilibreurs de charge et DNS

Oracle Cloud Infrastructure offre plusieurs solutions de stockage répondant à vos besoins de performances et de durabilité :

stockage local,

Stockage sauvegardé sur NVMe sur les instances de calcul, avec des IOPS élevées.

Block Volume

Volumes de stockage attachés au réseau, pouvant être attachés aux instances de calcul.

Object Storage

Service régional permettant de stocker de grandes quantités de données en tant qu'objets, ce qui garantit une cohérence et une durabilité optimales. Les objets sont organisés à l'aide de buckets.

File Storage

Système de fichiers réseau durable prenant en charge le protocole Network File System version 3.0 (NFSv3).

Le service Oracle Cloud Infrastructure Block Volume fournit un stockage persistant pouvant être associé à des instances de calcul à l'aide du protocole iSCSI. Les volumes sont stockés dans un système de stockage réseau hautes performances et prennent en charge les fonctionnalités de sauvegarde et de cliché automatisées. Les volumes et leurs sauvegardes sont accessibles uniquement à partir du réseau cloud virtuel d'un client. Ils sont cryptés au repos à l'aide de clés uniques. Pour plus de sécurité, l'authentification CHAP iSCSI peut être requise au niveau de chaque volume.

Le service Oracle Cloud Infrastructure Object Storage fournit un stockage hautement évolutif, cohérent et durable des objets. Les appels d'API via HTTPS fournissent un accès haut débit aux données. Tous les objets sont cryptés lorsqu'ils sont inactifs à l'aide de clés uniques. Par défaut, l'accès aux buckets et aux objets qu'ils contiennent nécessite une authentification.

Les stratégies de zone de sécurité nécessitent que vous chiffriez des volumes, des objets et des systèmes de fichiers à l'aide de clés gérées par le client dans le service Vault. Vous pouvez également utiliser Security Advisor pour créer rapidement les ressources de stockage et les clés requises dans une interface unique.

Utilisez les stratégies de sécurité IAM pour accorder aux utilisateurs et aux groupes des privilèges d'accès aux buckets Object Storage. Pour autoriser l'accès aux buckets par des utilisateurs ne disposant pas d'informations d'identification IAM, le propriétaire du bucket (ou un utilisateur disposant des privilèges nécessaires) peut créer des demandes préauthentifiées. Les demandes pré-authentifiées autorisent les actions autorisées sur les buckets ou les objets pendant une durée donnée.

Les buckets peuvent également être définis comme publics, ce qui permet un accès non authentifié et anonyme. Object Storage permet de vérifier qu'un objet n'a pas été endommagé accidentellement en autorisant l'envoi d'une somme de contrôle MD5 avec l'objet et son retour une fois le téléchargement terminé. Cette somme de contrôle peut être utilisée pour valider l'intégrité de l'objet. Compte tenu du risque de sécurité lié à la divulgation d'informations par inadvertance, Oracle vous recommande d'examiner attentivement l'analyse de rentabilité avant de rendre un bucket public. Certaines stratégies de zone de sécurité interdisent la création de buckets publics.

Le service Oracle Cloud Infrastructure File Storage vous permet de gérer des ressources telles que des systèmes de fichiers, des cibles de montage et des ensembles d'export. Vous utilisez des stratégies IAM pour définir l'accès à ces ressources. Le style d'authentification et de vérification des droits d'accès AUTH_UNIX est pris en charge pour les demandes de client NFS distant à un système de fichiers.

Pour plus d'informations, reportez-vous à :

• Sécurisation de Block Volume
• Sécurisation d'Object Storage
• Sécurisation de File Storage

Le service Oracle Cloud Infrastructure Database offre des solutions cloud Oracle Database autonomes et co-gérées. Pour les deux types de solution de base de données, vous avez un accès complet aux fonctionnalités et aux opérations disponibles dans la base de données, mais Oracle possède et gère l'infrastructure.

• Les bases de données autonomes sont des environnements préconfigurés et entièrement gérés adaptés aux charges globales de traitement des transactions ou d'entrepôt de données.
• Les solutions co-gérées sont des systèmes de base de données Bare Metal, de machine virtuelle et Exadata que vous pouvez personnaliser avec les ressources et les paramètres qui répondent à vos besoins.

Les systèmes de base de données sont accessibles uniquement à partir de votre VCN, et vous pouvez configurer des groupes de sécurité réseau ou des listes de sécurité pour contrôler l'accès réseau à vos bases de données. Le service Database est intégré à IAM pour contrôler quels utilisateurs peuvent lancer et gérer des systèmes de base de données. Par défaut, les données sont cryptées lorsqu'elles sont inactives à l'aide du cryptage transparent des données (TDE) Oracle avec des clés maître stockées dans un portefeuille Oracle Wallet sur chaque système de base de données.

Les sauvegardes RMAN des systèmes de base de données sont cryptées et stockées dans des buckets appartenant au client dans le service Object Storage. Certaines stratégies de zone de sécurité nécessitent la configuration de sauvegardes de base de données.

L'application de patches de sécurité aux bases de données Oracle (mises à jour des patches critiques Oracle) est essentielle pour réduire les problèmes de sécurité connus. Oracle vous recommande de rester à jour en appliquant ces patches. Les ensembles de patches et les mises à jour d'ensemble de patches sont publiés tous les trimestres. Ces versions de patch contiennent des correctifs de sécurité et d'autres corrections de bug à fort impact/faible risque.

Pour plus d'informations, reportez-vous à Sécurisation de la base de données.

Oracle Cloud Infrastructure Load Balancer fournit une répartition de trafic automatisée à partir d'un point d'entrée vers plusieurs serveurs accessibles à partir de votre réseau cloud virtuel (VCN). Le service propose un équilibreur de charge avec au choix une adresse IP publique ou privée et une bande passante provisionnée. Un équilibreur de charge privé a une adresse IP du sous-réseau d'hébergement, qui est visible uniquement dans votre VCN.

Vous pouvez appliquer les configurations SSL suivantes à l'équilibreur de charge :

Terminaison SSL

L'équilibreur de charge gère le trafic SSL entrant et transmet la demande non cryptée à un serveur back-end.

SSL point à point

L'équilibreur de charge met fin à la connexion SSL avec un client de trafic entrant, puis lance une connexion SSL à un serveur back-end.

Tunneling SSL

Si vous configurez le processus d'écoute de l'équilibreur de charge pour le trafic TCP, l'équilibreur de charge achemine les connexions SSL entrantes vers les serveurs d'applications.

Par défaut, le service d'équilibreur de charge prend en charge TLS 1.2 et classe par priorité les cryptages avec confidentialité persistante suivants dans le mécanisme de cryptage TLS :

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256

Vous pouvez configurer l'accès réseau aux équilibreurs de charge en utilisant des groupes de sécurité ou des listes de sécurité de réseau cloud virtuel.

Pour plus d'informations, reportez-vous à Sécurisation du réseau : VCN, équilibreurs de charge et DNS.