Sécurisation de File Storage avec Lustre
Cette rubrique fournit des informations et des recommandations de sécurité pour Oracle Cloud Infrastructure File Storage avec Lustre.
Responsabilités en matière de sécurité
Pour utiliser File Storage avec Lustre en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.
Oracle est responsable des exigences de sécurité suivantes :
- Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.
Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :
- Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.
- Cryptage et confidentialité : utilisez des clés de cryptage et des clés secrètes pour protéger vos données et vous connecter à des ressources sécurisées. Faites pivoter ces clés régulièrement.
Tâches initiales liées à la sécurité
Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser File Storage avec Lustre dans une nouvelle location Oracle Cloud Infrastructure.
| Tâche | Informations supplémentaires |
|---|---|
| Employer des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources | Stratégies IAM |
| Crypter les ressources à l'aide d'une clé personnalisée | Cryptage des données |
| Accès réseau sécurisé aux ressources | Sécurité réseau |
Tâches de routine liées à la sécurité
Après vous être familiarisé avec File Storage avec Lustre, utilisez cette liste de contrôle afin d'identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.
| Tâche | Informations supplémentaires |
|---|---|
| Effectuer une rotation des clés de cryptage | Cryptage des données |
| Réalisation de sauvegardes régulières | Durabilité des données |
| Réalisation d'un audit de sécurité | Audit en cours |
Stratégies IAM
Utilisez des stratégies pour limiter l'accès à File Storage avec Lustre.
Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.
Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.
Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.
L'exemple suivant empêche le groupe LustreUsers de supprimer des systèmes de fichiers.
Allow group LustreUsers to manage lustre-file-system in tenancy
where request.permission!='LUSTRE_FILE_SYSTEM_DELETE'Pour plus d'informations sur File Storage avec des stratégies Lustre et pour consulter d'autres exemples, reportez-vous à File Storage avec des stratégies Lustre.
Cryptage des données
Créez et effectuez une rotation des clés de cryptage dans le service Vault pour protéger vos ressources dans File Storage avec Lustre.
Un coffre est une entité logique qui stocke les clés de cryptage que vous utilisez pour protéger vos données. Selon le mode de protection, les clés sont stockées sur le serveur ou sur des modules de sécurité HSM hautement disponibles et durables. Nos HSM respectent la certification de sécurité de niveau 3 FIPS (Federal Information Processing Standards) 140-2. Reportez-vous à Gestion des coffres et à Gestion des clés.
Bien que les clés de cryptage par défaut puissent être générées automatiquement lorsque vous créez certaines ressources Oracle Cloud Infrastructure, nous vous recommandons de créer et de gérer vos propres clés de cryptage personnalisées dans le service Vault.
Pour crypter les données dans un système de fichiers à l'aide de votre propre clé de cryptage Vault, reportez-vous à Cryptage d'un système de fichiers.
Une version de clé est automatiquement affectée à chaque clé de cryptage maître. Lorsque vous effectuez une rotation de clé, le service Vault génère une nouvelle version de clé. La rotation périodique des clés limite la quantité de données cryptées ou signées par une version de clé. Si une clé est incluse, la rotation des clés réduit les risques pour vos données. Reportez-vous à Gestion des clés.
Nous vous recommandons d'utiliser des stratégies IAM pour limiter strictement la création, la rotation et la suppression des clés de cryptage. Reportez-vous à Détails du service Vault.
Durabilité des données
Effectuez des sauvegardes régulières de vos données dans File Storage avec Lustre.
Les utilisateurs suppriment parfois par inadvertance les données de production dans un système de fichiers. Vous ne pouvez pas récupérer les données sauf si vous disposez d'une copie de ces données stockée dans une sauvegarde.
Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.
Sécurité réseau
Sécurisez l'accès réseau à vos ressources dans File Storage avec Lustre.
Utilisez les listes de sécurité , les groupes de sécurité réseau ou une combinaison des deux pour contrôler le trafic de niveau paquet entrant et sortant des ressources de votre VCN (réseau cloud virtuel) . Reportez-vous à Accès et sécurité.
Pour plus d'informations, reportez-vous à Règles de sécurité VCN requises.
Lorsque vous créez un sous-réseau dans un VCN, par défaut, le sous-réseau est considéré comme public et la communication Internet est autorisée. Les systèmes de fichiers File Storage with Lustre nécessitent des sous-réseaux privés . Vous pouvez configurer une passerelle de service dans votre VCN afin d'autoriser les ressources sur un sous-réseau privé à accéder à d'autres services cloud. Reportez-vous à Choix de connectivité.
Audit en cours
Localisez les journaux d'accès et d'autres données de sécurité pour File Storage avec Lustre.
La fonctionnalité de journalisation enregistre les opérations telles que la création, la suppression et les mises à jour de File Storage avec des ressources Lustre pour vérification interne.
Le service Audit enregistre automatiquement tous les appels d'API vers les ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service Audit pour surveiller l'ensemble de l'activité utilisateur dans votre location. Comme tous les appels de la console, du kit SDK et de l'interface de ligne de commande passent par nos API, toutes les activités de ces sources sont incluses. Les enregistrements d'audit sont disponibles via une API de requête filtrable authentifiée, ou ils peuvent être extraits en tant que fichiers en batch à partir d'Object Storage. Le contenu du journal d'audit inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Reportez-vous à Visualisation des événements de journal d'audit.