Sécurisation de Network Firewall
Cette rubrique fournit des informations et des recommandations de sécurité pour Service_Name.
Responsabilités en matière de sécurité
Pour utiliser Network Firewall en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.
Oracle est responsable des exigences de sécurité suivantes :
- Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.
Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :
- Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.
- Cryptage et confidentialité : utilisez des clés de cryptage et des clés secrètes pour protéger vos données et vous connecter à des ressources sécurisées. Faites pivoter ces clés régulièrement.
Tâches initiales liées à la sécurité
Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser Service_Name dans une nouvelle location Oracle Cloud Infrastructure.
| Tâche | Informations supplémentaires |
|---|---|
| Employer des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources | Référence de stratégie Network Firewall |
| Accès réseau sécurisé aux ressources | Accès au réseau et sécurité |
Tâches de routine liées à la sécurité
Après vous être familiarisé avec Service_Name, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.
| Tâche | Informations supplémentaires |
|---|---|
| Rotation des informations d'identification de clé secrète | Confidentialité |
| Réalisation d'un audit de sécurité | Audit en cours |
Stratégies IAM
Utilisez des stratégies pour limiter l'accès au pare-feu réseau.
Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.
Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.
Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.
Vous pouvez restreindre l'accès d'un groupe à une stratégie de pare-feu spécifique à l'aide du nom de stratégie de pare-feu spécifique ( ), de la mise en correspondance d'expressions régulières (target.display-name /*name/, /name*/, /*name*/) ou de balises définies (target.tag.definition.name).
L'exemple suivant permet de limiter l'accès des utilisateurs du groupe FirewallPolicyUsers à un bucket spécifique.
Allow group FirewallPolicyUsers to use firewallpolicies in tenancy
where target.display-name='MyFirewallPolicy'Vous pouvez modifier cette stratégie afin de limiter l'accès des utilisateurs du groupe FirewallPolicyUsers à toutes les stratégies de pare-feu dont le nom comporte le préfixe ProjectA_.
Allow group FirewallPolicyUsers to use firewallpolicies in tenancy
where target.display-name=/ProjectA_*/Vous pouvez également mettre en correspondance la post-correction (/*_ProjectA/) ou la sous-chaîne (/*ProjectA*/).
Pour plus d'informations sur les stratégies de pare-feu réseau et pour afficher d'autres exemples, reportez-vous à Règles de stratégie réseau et composants de règle.
Confidentialité
Utilisez le service Vault pour gérer et faire pivoter les informations d'identification de clé secrète que vous utilisez avec Network Firewall.
Un coffre inclut les clés de cryptage et les clés secrètes que vous utilisez pour protéger vos données et vous connecter à des ressources sécurisées. Les clés secrètes sont cryptées à l'aide de clés de cryptage maître et stockent des informations d'identification telles que des mots de passe, des certificats, des clés SSH ou des jetons d'authentification. Avant de créer et d'utiliser des clés secrètes, vous devez créer un coffre et une clé de cryptage maître s'ils n'existent pas.
Une version de clé secrète est automatiquement affectée à chaque clé secrète. Lorsque vous effectuez une rotation d'une clé secrète, vous générez une nouvelle version de clé secrète en fournissant un nouveau contenu de clé secrète au service Vault. La rotation régulière du contenu de clé secrète permet de réduire l'impact si une clé secrète est exposée.
Audit en cours
Localisez les journaux d'accès et autres données de sécurité pour Network Firewall.
Le service Audit enregistre automatiquement tous les appels d'API vers les ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service Audit pour surveiller l'ensemble de l'activité utilisateur dans votre location. Comme tous les appels de la console, du kit SDK et de l'interface de ligne de commande passent par nos API, toutes les activités de ces sources sont incluses. Les enregistrements d'audit sont disponibles via une API de requête filtrable authentifiée, ou ils peuvent être extraits en tant que fichiers en batch à partir d'Object Storage. Le contenu du journal d'audit inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Reportez-vous à Visualisation des événements de journal d'audit.
Activez la journalisation sur des pare-feu réseau spécifiques pour surveiller le trafic vers le pare-feu. Pour plus d'informations, reportez-vous à la section Network Firewall Logs.