Sécurisation de Security Zones

En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

• Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.
• Stratégies de sécurité : Oracle est responsable de la définition des stratégies de zone de sécurité. Ces stratégies implémentent des contrôles de sécurité et des meilleures pratiques pour les ressources client qui nécessitent une sécurité maximale, telles que les applications de production.

Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :

• Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.
• Stratégies de sécurité : activez des stratégies de zone de sécurité qui correspondent à vos exigences de sécurité et faites preuve de prudence lorsque vous désactivez des stratégies dans les zones. Résolvez toutes les violations de stratégie dans vos ressources existantes pour maintenir la conformité.

Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser les zones de sécurité dans une nouvelle location Oracle Cloud Infrastructure.

Après vous être familiarisé avec Security Zones, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Utilisez des stratégies IAM pour limiter l'accès administratif aux zones de sécurité.

Une stratégie de zone de sécurité diffère d'une stratégie IAM par les points suivants :

• Une stratégie de zone de sécurité est validée, quel que soit l'utilisateur qui effectue l'opération.
• Une stratégie de zone de sécurité refuse certaines actions. Elle n'accorde aucun droit.

Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants. Accordez le droit d'accès DELETE uniquement aux administrateurs de location et de compartiment.

La pratique consistant à limiter le droit d'accès DELETE est particulièrement critique pour les zones de sécurité. La suppression d'une zone désactive toutes les stratégies de zone de sécurité sur les ressources des compartiments de la zone et modifie donc considérablement votre état de sécurité.

Exemples de stratégies IAM :

Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy

Allow group SecurityAdmins to manage security-recipe in compartment SecurityApps

Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Les types individuels de ressource pour Security Zones sont inclus dans le type agrégé cloud-guard-family. Une stratégie qui accorde des droits d'accès à cloud-guard-family accorde également les mêmes droits d'accès aux zones de sécurité. Pour plus d'informations, reportez-vous à Stratégies Cloud Guard.

Evaluez et activez les stratégies de zone de sécurité pour maintenir un état de sécurité élevé dans Oracle Cloud Infrastructure.

Une recette est un ensemble de stratégies de zone de sécurité que vous pouvez affecter à une zone de sécurité. Si vous activez une stratégie dans une recette, toute action utilisateur dans les zones qui utilisent la recette et qui enfreignent la stratégie est refusée.

La recette de sécurité maximale active toutes les stratégies de zone de sécurité disponibles et ne peut pas être modifiée. Affectez cette recette aux nouvelles zones de sécurité afin qu'elles disposent de l'état de sécurité maximal. Si nécessaire, vous pouvez modifier la zone à tout moment et choisir une recette personnalisée qui n'active pas toutes les stratégies.

Pour identifier les nouvelles stratégies de zone de sécurité, consultez régulièrement la recette de sécurité maximale et les notes sur la version. Pour améliorer votre état de sécurité au fil du temps, évaluez chaque nouvelle stratégie et, le cas échéant, activez-la dans des recettes personnalisées.

Surveillez les zones de sécurité pour les violations de stratégie. Localisez les journaux d'accès et autres données de sécurité pour Security Zones.

Une fois que vous avez créé une zone de sécurité pour un compartiment, celle-ci empêche automatiquement l'exécution des opérations qui enfreignent les stratégies de la zone de sécurité, telles que la création ou la modification de ressources. Les ressources existantes créées avant la zone de sécurité peuvent également enfreindre les stratégies. Security Zones s'intègre à Cloud Guard pour identifier les violation de stratégie dans des ressources existantes. Surveillez régulièrement vos zones de sécurité pour identifier et résoudre les violations de stratégie dans une zone. Reportez-vous à Gestion des zones de sécurité.

Le service Audit enregistre automatiquement tous les appels d'API vers les ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service Audit pour surveiller l'ensemble de l'activité utilisateur dans votre location. Comme tous les appels de la console, du kit SDK et de l'interface de ligne de commande passent par nos API, toutes les activités de ces sources sont incluses. Les enregistrements d'audit sont disponibles via une API de requête filtrable authentifiée, ou ils peuvent être extraits en tant que fichiers en batch à partir d'Object Storage. Le contenu du journal d'audit inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Reportez-vous à Visualisation des événements de journal d'audit.