Documentation Oracle Cloud Infrastructure

Sécurisation des bases de données

Recommandations de sécurité

Cette section répertorie les recommandations de sécurité pour la gestion des instances Oracle Cloud Infrastructure Database. Vous trouverez les recommandations de configuration sécurisée des bases de données Oracle dans le guide de sécurité Oracle Database. Dans cette documentation, le terme "système de base de données" fait référence aux déploiements Oracle Database à l'aide du service Base Database, d'Exadata Database Service on Dedicated Infrastructure et d'Autonomous AI Database on dedicated Exadata Infrastructure. (Notez que certaines rubriques peuvent ne pas s'appliquer à Autonomous AI Database dans les cas où Oracle gère la fonctionnalité décrite.)

Contrôle d'accès à la base de données

  • Les utilisateurs s'authentifient auprès de la base de données avec leur mot de passe. Nous recommandons que ces mots de passe soient forts. Pour plus d'informations sur le choix des mots de passe de base de données Oracle, reportez-vous à Instructions sur la sécurisation des mots de passe. En outre, la base de données Oracle fournit un script PL/SQL permettant de vérifier la complexité des mots de passe de base de données. Ce script se trouve dans $ORACLE_HOME/rdbms/admin/UTLPWDMG.SQL. Pour obtenir des instructions sur l'exécution du script UTLPWDMG.SQL afin de vérifier la complexité du mot de passe, reportez-vous à Application de la vérification de la complexité de mot de passe.
  • Outre le mot de passe de base de données, vous pouvez utiliser des groupes de sécurité ou des listes de sécurité du réseau cloud virtuel pour appliquer le contrôle d'accès réseau aux instances de base de données. Nous vous recommandons de configurer des groupes de sécurité réseau ou des listes de sécurité VCN afin d'autoriser l'accès avec le moindre privilège aux bases de données client dans Oracle Cloud Infrastructure Database.

  • Les systèmes de base de Données créés au sein d'un sous-réseau public peuvent envoyer du trafic sortant directement vers Internet. Les systèmes de base de Données créés au sein d'un sous-réseau privé n'ont pas de connectivité Internet, et les trafic Internet (sortant et entrant) ne peuvent pas accéder directement à l'instance. Si vous essayez de définir un routage vers un système de base de donnée dans un sous-réseau privé à l'aide d'une passerelle Internet, le routage est ignoré.

    Pour appliquer des patches de système d'exploitation et sauvegarder un système de base de données sur un sous-réseau privé, vous pouvez utiliser une passerelle de service ou une passerelle NAT afin de vous connecter à vos adresses d'application de patches ou de sauvegarde.

    Dans un réseau cloud virtuel (VCN), vous pouvez utiliser des règles de sécurité avec un sous-réseau privé pour restreindre l'accès à un système de base de données. Dans les déploiements à plusieurs niveaux, un sous-réseau privé et des règles de sécurité VCN peuvent être utilisés pour restreindre l'accès au système de base de données à partir des niveaux d'application.

Durabilité des données

  • Nous vous recommandons d'accorder des droits d'utilisation de suppression de base de données (DATABASE_DELETE, DB_SYSTEM_DELETE) à un ensemble minimal d'utilisateurs et d'groupes IAM. Cela permet de minimiser la perte de données en raison de suppressions involontaires par un utilisateur autorisé ou de suppressions malveillantes. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.
  • Vous pouvez utiliser RMAN pour effectuer des sauvegardes périodiques des bases de données Database, où les copies de sauvegarde cryptées sont stockées dans un stockage local (volumes de blocs, par exemple) ou dans Oracle Cloud Infrastructure Object Storage. RMAN crypte chaque sauvegarde d'une base de données avec une clé de cryptage unique. En mode transparent, la clé de cryptage est stockée dans le portefeuille Oracle. Les sauvegardes RMAN vers Object Storage nécessitent une passerelle Internet (IGW) et des groupes de sécurité réseau VCN ou des listes de sécurité doivent être configurés pour permettre un accès sécurisé à Object Storage. Pour plus d'informations sur la configuration du VCN pour la sauvegarde des bases de données Bare Metal, reportez-vous à Sauvegarde d'une base de données vers Object Storage à l'aide de RMAN. Pour plus d'informations sur la sauvegarde et les bases de données Exadata, reportez-vous à Gestion des sauvegardes de base de données Exadata à l'aide de bkup_api.

Cryptage de base de données et gestion des clés

  • Toutes les bases de données créées dans Oracle Cloud Infrastructure sont cryptées à l'aide du cryptage transparent des données (TDE). Si vous migrez une base de données non cryptée d'une instance sur site vers Oracle Cloud Infrastructure en utilisant RMAN, la base de données migrée ne sera pas cryptée. Oracle doit crypter ces bases de données après les avoir migrées vers le cloud.

    Pour savoir comment crypter votre base de données avec un temps d'inactivité minimal lors de la migration, reportez-vous au livre blanc Architecture de disponibilité maximale d'Oracle intitulé Conversion en cryptage transparent des données avec Oracle Data Guard à l'aide de Fast Offline Conversion.

    Les systèmes de base de données de machine virtuelle utilisent le stockage de blocs Oracle Cloud Infrastructure au lieu du stockage local. Par défaut, le stockage de blocs est crypté.

  • Les tablespaces créés par l'utilisateur sont cryptés par défaut dans Oracle Cloud Infrastructure Database. Dans ces bases de données, le paramètre ENCRYPT_NEW_TABLESPACES est défini sur CLOUD_ONLY, où les tablespaces créés dans une base de données DBCS (Database Cloud Service ) sont cryptés de façon transparente avec l'algorithme AES128, sauf si un autre algorithme est spécifié.
  • L'administrateur de base de données crée une instance Oracle Wallet locale sur une instance de base de données nouvellement créée et initialise la clé maître TDE (Transparent Data Encryption). L'ouverture automatique est ensuite configurée pour le portefeuille Oracle. Toutefois, un client peut choisir de définir un mot de passe pour Oracle Wallet. Nous vous recommandons de définir un mot de passe fort (huit caractères ou plus, avec au moins une majuscule, une petite lettre, un chiffre et un symbole spécial).
  • Nous vous recommandons d'effectuer régulièrement la rotation de la clé maître TDE. La période de rotation recommandée est inférieure ou égale à 90 jours. Vous pouvez effectuer la rotation de la clé maître TDE à l'aide des commandes de base de données natives ("administer key management" dans la version 12c, par exemple) ou dbaascli. Toutes les versions précédentes de la clé maître TDE sont conservées dans le portefeuille Oracle.
  • Oracle Key Vault (OKV) est une appliance de gestion des clés utilisée pour la gestion des clés maître TDE Oracle. OKV peut stocker les accès aux clés maître TDE, les auditer et effectuer leur rotation. Pour obtenir des instructions sur l'installation et la configuration d'OKV dans Oracle Cloud Infrastructure, reportez-vous à Gestion des clés de cryptage Oracle Database dans Oracle Cloud Infrastructure avec Oracle Key Vault.

Application de patches à la base de données

L'application de patches de sécurité de base de données Oracle (Oracle Critical Patch Updates) est primordiale pour réduire les problèmes connus de sécurité. Nous vous recommandons de maintenir ces patches à niveau. Les ensembles de patches et les mises à jour d'ensemble de patches sont publiés tous les trimestres. Ces versions de patch contiennent des correctifs de sécurité, ainsi que des corrections de bug supplémentaires à fort impact/faible risque.

Pour plus d'informations sur les derniers problèmes de sécurité connus et les corrections disponibles, reportez-vous à Mises à jour des patches critiques, alertes de sécurité et bulletins. Si votre application ne prend pas en charge les derniers patches et doit utiliser un système de base de données avec des patches plus anciens, vous pouvez provisionner un système de base de données avec une ancienne version de l'édition Oracle Database que vous utilisez. En plus de vérifier les mises à jour critiques de patches et les alertes de sécurité pour Oracle Database, nous vous recommandons d'analyser le système d'exploitation provisionné avec le système de base de donnée et d'y appliquer les patches.

Pour plus d'informations sur l'application de patches aux instances Oracle Cloud Infrastructure Database, reportez-vous à Mise à jour d'un système de base de données et à Application de patches à des bases de données Oracle Grid Infrastructure et Oracle à l'aide de dbaascli.

Vérification de la configuration de sécurité de base de données

  • L'outil d'évaluation de la sécurité d'Oracle Database (DBSAT) fournit des vérifications automatiques sur la configuration de sécurité des bases de données d'Oracle dans Oracle Cloud Infrastructure. DBSAT effectue des vérifications de sécurité pour l'analyse des privilèges utilisateur, les contrôles d'autorisation de base de données, les stratégies d'audit, la configuration du processus d'écoute de base de données, les droits d'accès de fichier de système d'exploitation et les données confidentielles stockées. Dans Oracle Cloud Infrastructure Database, les images Oracle de base de données sont analysées avec DBSAT avant le provisionnement. Après l'approvisionnement, nous vous recommandons d'analyser régulièrement la base de données avec DBSAT et de résoudre les problèmes éventuels. DBSAT est gratuit pour les clients Oracle.

Audit de sécurité de base de données

Oracle Audit Vault and Database Firewall (AVDF) surveille les journaux d'audit de la base de données et crée des alertes. Pour obtenir des instructions sur l'installation et la configuration d'AVDF dans Oracle Cloud Infrastructure, reportez-vous à Déploiement d'Oracle Audit Vault and Database Firewall dans Oracle Cloud Infrastructure.

Data Safe

Nous vous recommandons d'utiliser le service Data Safe pour améliorer la sécurité de vos déploiements de base de données. Oracle Data Safe est un centre de contrôle unifié pour les bases de données Oracle. Il vous aide à déterminer la confidentialité des données, à évaluer les risques pour les données, à masquer les données confidentielles, à implémenter et à surveiller les contrôles de sécurité, à évaluer la sécurité des utilisateurs, à surveiller l'activité des utilisateurs et à répondre aux exigences en matière de conformité de sécurité des données. Pour plus d'informations, reportez-vous à Introduction.

Sauvegardes de base de données

Nous recommandons d'utiliser des sauvegardes gérées (sauvegardes créées à l'aide de la console Oracle Cloud Infrastructure ou de l'API) dans la mesure de possible. Lorsque vous utilisez les sauvegardes gérées, Oracle gère l'utilisateur et les informations d'identification de la banque d'objets, et effectue la rotation de ces informations tous les 3 jours. Oracle Cloud Infrastructure crypte toutes les sauvegardes gérées dans la banque d'objets. Oracle utilise par défaut la fonctionnalité de cryptage transparent des données pour crypter les sauvegardes.

Si vous n'utilisez pas les sauvegardes gérées, Oracle vous recommande de changer régulièrement les mots de passe de la banque d'objets.

Exemples de stratégie de sécurité

Méthode pour empêcher la suppression des instances de base de données

L'exemple de stratégie suivant permet au groupe DBUsers d'effectuer toutes les actions de gestion possibles, à l'exception de la suppression de bases de données et des artefacts.

Allow group DBUsers to manage db-systems in tenancy
 where request.permission!='DB_SYSTEM_DELETE' 
Allow group DBUsers to manage databases in tenancy
 where request.permission!='DATABASE_DELETE' 
Allow group DBUsers to manage db-homes in tenancy
 where request.permission!='DB_HOME_DELETE'