Sécurisation de Queue
Cette rubrique fournit des informations et des recommandations de sécurité pour Queue.
Responsabilités en matière de sécurité
Pour utiliser Queue en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.
Oracle est responsable des exigences de sécurité suivantes :
- Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.
Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :
- Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.
- Cryptage et confidentialité : utilisez des clés de cryptage et des clés secrètes pour protéger vos données et vous connecter à des ressources sécurisées. Faites pivoter ces clés régulièrement.
Tâches initiales liées à la sécurité
Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser Queue dans une nouvelle location Oracle Cloud Infrastructure.
| Tâche | Informations supplémentaires |
|---|---|
| Employer des stratégies IAM pour accorder l'accès aux utilisateurs et aux ressources | Stratégies IAM |
| Crypter les ressources à l'aide d'une clé personnalisée | Cryptage des données |
| Accès réseau sécurisé aux ressources | Sécurité réseau |
Tâches de routine liées à la sécurité
Après vous être familiarisé avec Queue, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.
| Tâche | Informations supplémentaires |
|---|---|
| Effectuer une rotation des clés de cryptage | Cryptage des données |
| Réalisation d'un audit de sécurité | Audit en cours |
Stratégies IAM
Utilisez des stratégies pour limiter l'accès à Queue.
Une stratégie précise qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, reportez-vous à Fonctionnement des stratégies.
Affectez à un groupe les privilèges minimaux qui sont requis pour assumer ses responsabilités. Chaque stratégie comporte un verbe décrivant les actions que le groupe est autorisé à effectuer. Les verbes disponibles sont les suivants, de l'accès le plus restreint à l'accès le plus étendu : inspect, read, use et manage.
Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.
Pour les administrateurs, la stratégie suivante permet au groupe spécifié de tout faire avec les files d'attente et les ressources associées du service Queue :
Allow QueueManagers to manage queues in compartment <compartment_name>
Utilisez les stratégies suivantes pour permettre à un groupe spécifié de générer des messages vers une file d'attente ou d'utiliser des messages d'une file d'attente :
Allow QueueProducers to use queue-push in compartment <compartment_name>
Allow QueueConsumers to use queue-pull in compartment <compartment_name>
Pour plus d'informations sur les stratégies de file d'attente et pour consulter d'autres exemples, reportez-vous à Stratégies de file d'attente.
Cryptage des données
Créez et effectuez une rotation des clés de cryptage dans le service Vault pour protéger vos ressources dans Queue.
Un coffre est une entité logique qui stocke les clés de cryptage que vous utilisez pour protéger vos données. Selon le mode de protection, les clés sont stockées sur le serveur ou sur des modules de sécurité HSM hautement disponibles et durables. Nos HSM respectent la certification de sécurité de niveau 3 FIPS (Federal Information Processing Standards) 140-2. Reportez-vous à Gestion des coffres et à Gestion des clés.
Bien que les clés de cryptage par défaut puissent être générées automatiquement lorsque vous créez certaines ressources Oracle Cloud Infrastructure, nous vous recommandons de créer et de gérer vos propres clés de cryptage personnalisées dans le service Vault.
Chaque file d'attente utilise une clé pour chiffrer et déchiffrer tous les messages.
Une version de clé est automatiquement affectée à chaque clé de cryptage maître. Lorsque vous effectuez une rotation de clé, le service Vault génère une nouvelle version de clé. La rotation périodique des clés limite la quantité de données cryptées ou signées par une version de clé. Si une clé est incluse, la rotation des clés réduit les risques pour vos données. Reportez-vous à Gestion des clés.
Nous vous recommandons d'utiliser des stratégies IAM pour limiter strictement la création, la rotation et la suppression des clés de cryptage. Reportez-vous à Détails du service Vault.
Durabilité des données
Les messages de file d'attente sont éphémères et supprimés lorsqu'ils expirent.
Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.
Sécurité réseau
Sécurisez l'accès réseau à vos ressources dans la file d'attente.
Utilisez les listes de sécurité , les groupes de sécurité réseau ou une combinaison des deux pour contrôler le trafic de niveau paquet entrant et sortant des ressources de votre VCN (réseau cloud virtuel) . Reportez-vous à Accès et sécurité.
Lorsque vous créez un sous-réseau dans un VCN, par défaut, le sous-réseau est considéré comme public et la communication Internet est autorisée. Utilisez des sous-réseaux privés pour héberger des ressources qui ne nécessitent pas d'accès Internet. Vous pouvez également configurer une passerelle de service dans votre VCN afin d'autoriser les ressources sur un sous-réseau privé à accéder à d'autres services cloud. Reportez-vous à Choix de connectivité.
Audit en cours
Localisez les journaux d'accès et autres données de sécurité pour Queue.
Le service Audit enregistre automatiquement tous les appels d'API vers les ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service Audit pour surveiller l'ensemble de l'activité utilisateur dans votre location. Comme tous les appels de la console, du kit SDK et de l'interface de ligne de commande passent par nos API, toutes les activités de ces sources sont incluses. Les enregistrements d'audit sont disponibles via une API de requête filtrable authentifiée, ou ils peuvent être extraits en tant que fichiers en batch à partir d'Object Storage. Le contenu du journal d'audit inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Reportez-vous à Visualisation des événements de journal d'audit.
Si vous avez activé Cloud Guard dans votre location, il signale toutes les activités utilisateur susceptibles de poser des problèmes de sécurité. Lors de la détection d'un problème, Cloud Guard suggère des actions correctives. Vous pouvez également configurer Cloud Guard pour qu'il effectue automatiquement certaines actions. Reportez-vous à Introduction à Cloud Guard et à Traitement des problèmes signalés.