Documentation Oracle Cloud Infrastructure

Sécurisation de Java Management

Cette rubrique fournit des informations et des recommandations de sécurité pour Java Management Service.

Java Management Service (JMS) surveille les déploiements Java sur les instances Oracle Cloud Infrastructure (OCI) et sur les instances exécutées dans les data centers des clients. Elle permet d'observer et de gérer l'utilisation de Java dans l'entreprise.

Responsabilités en matière de sécurité

Pour utiliser JMS en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

  • Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.
  • Cryptage des données : Oracle utilise le cryptage Oracle Cloud Infrastructure standard pour toutes les données stockées au repos dans JMS. Aucune configuration supplémentaire n'est nécessaire.

    Les utilisateurs JMS n'utilisent pas directement les clés de cryptage. En interne, JMS stocke les données dans une base de données autonome, qui utilise Oracle Cloud Infrastructure Vault pour stocker en toute sécurité les clés de cryptage. Oracle gère et sécurise ces ressources.

  • Durabilité des données : Oracle configure le service JMS pour les sauvegardes quotidiennes. Aucune configuration de sauvegarde supplémentaire n'est nécessaire.

Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :

  • Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.
  • Sécurité de l'agent :
    • Installez l'agent sur l'instance avec le privilège minimal. Ne l'installez pas en tant que root.
    • Obtenez une clé d'installation. Vérifiez l'expiration de la clé et le nombre d'instances d'installation.
    • Supprimez la clé une fois l'agent installé.
    • Vérifiez que les ports ou le proxy sont configurés correctement pour autoriser uniquement la connexion de l'agent à OCI.
    • Configurez l'agent pour qu'il analyse uniquement les répertoires voulus et avec la fréquence voulue.

Tâches initiales liées à la sécurité

Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser JMS dans une nouvelle location Oracle Cloud Infrastructure.

Si vous ne connaissez pas encore JMS, reportez-vous à Configuration d'Oracle Cloud Infrastructure pour Java Management Service.

Tâche Informations supplémentaires
Employer des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources Stratégies IAM

Tâches de routine liées à la sécurité

Après vous être familiarisé avec JMS, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Tâche Informations supplémentaires
Tenir l'agent à jour Application de patches
Réalisation d'un audit de sécurité Audit en cours

Stratégies IAM

Utilisez des stratégies pour limiter l'accès à JMS.

Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.

Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.

Autoriser un groupe à gérer des parcs dans un compartiment

Créez des stratégies pour autoriser le groupe FLEET_MANAGERS à gérer les parcs dans le compartiment Fleet_Compartment.

ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCY
Autoriser les instances d'un groupe dynamique à gérer les agents dans un compartiment

Créez des stratégies pour autoriser le groupe dynamique JMS_DYNAMIC_GROUP à déployer et à utiliser des agents dans le service Management Agent du compartiment Fleet_Compartment.

ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
Allow service javamanagementservice to manage metrics IN COMPARTMENT Fleet_Compartment where target.metrics.namespace='java_management_service'

Pour plus d'informations sur le déploiement des agents de gestion, reportez-vous à Exécution des prérequis pour le déploiement des agents de gestion.

Pour plus d'informations sur les stratégies JMS, reportez-vous à Détails du service Java Management Service.

Application de patches

Assurez-vous que vos ressources JMS exécutent les dernières mises à jour de sécurité.

Si vous avez désactivé la fonctionnalité de mise à niveau automatique de l'agent de gestion, vous devez rechercher manuellement les mises à jour de l'agent et du module d'extension JMS. Reportez-vous à la section Upgrade Management Agents.

Audit en cours

Localisez les journaux d'accès et les autres données de sécurité pour JMS.

Le service Audit enregistre automatiquement tous les appels d'API vers les ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service Audit pour surveiller l'ensemble de l'activité utilisateur dans votre location. Comme tous les appels de la console, du kit SDK et de l'interface de ligne de commande passent par nos API, toutes les activités de ces sources sont incluses. Les enregistrements d'audit sont disponibles via une API de requête filtrable authentifiée, ou ils peuvent être extraits en tant que fichiers en batch à partir d'Object Storage. Le contenu du journal d'audit inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Reportez-vous à Visualisation des événements de journal d'audit.