Sécurisation de VMware Solution

Pour utiliser la solution VMware en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations sur le cloud, par exemple les contrôles d'accès des opérateurs de cloud et l'application de patches de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources cloud. La sécurité dans le cloud est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

• Sécurité physique : Oracle est en charge de la protection de l'infrastructure globale qui exécute tous les services offerts par Oracle Cloud Infrastructure. Cette infrastructure comprend le matériel, les logiciels, les fonctions de réseau et les installations qui exécutent les services Oracle Cloud Infrastructure.

Vos responsabilités en matière de sécurité sont décrites sur cette page et englobent les domaines suivants :

• Contrôle d'accès : limitez au maximum les privilèges. Les utilisateurs doivent disposer uniquement des droits d'accès nécessaires pour faire leur travail.

• Confidentialité : gérez et contrôlez l'accès aux informations sensibles dans les SDDC VMware et les hôtes ESXi.
• Application de patches : maintenez à jour les logiciels vSphere, NSX-T, vSAN et HCX avec les derniers patches de sécurité pour éviter les vulnérabilités.

Utilisez cette liste de contrôle afin d'identifier les tâches que vous effectuez pour sécuriser la solution VMware dans une nouvelle location Oracle Cloud Infrastructure.

Après vous être familiarisé avec la solution VMware, utilisez cette liste de contrôle pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Utilisez des stratégies pour limiter l'accès à la solution VMware.

Nous vous recommandons d'accorder les droits d'accès DELETE à un ensemble minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données due à des suppressions involontaires par des utilisateurs autorisés ou par des acteurs malveillants.

Allow group SDDC_Admins to manage sddcs in tenancy

Pour plus d'informations sur les stratégies de la solution VMware et pour consulter d'autres exemples, reportez-vous à Détails relatifs à Oracle Cloud VMware Solution.

Accès réseau sécurisé à vos ressources dans la solution VMware

Utilisez les listes de sécurité , les groupes de sécurité réseau ou une combinaison des deux pour contrôler le trafic de niveau paquet entrant et sortant des ressources de votre VCN (réseau cloud virtuel) . Reportez-vous à Accès et sécurité.

Lorsque vous créez un sous-réseau dans un VCN, par défaut, le sous-réseau est considéré comme public et la communication Internet est autorisée. Utilisez des sous-réseaux privés pour héberger des ressources qui ne nécessitent pas d'accès Internet. Vous pouvez également configurer une passerelle de service dans votre VCN afin d'autoriser les ressources sur un sous-réseau privé à accéder à d'autres services cloud. Reportez-vous à Choix de connectivité.

Oracle vous recommande d'utiliser le workflow Créer un SDDC pour créer les VLAN dans votre VCN qui sont utilisés par les ressources de SDDC. Le workflow crée automatiquement des tables de routage et des groupes de sécurité pour contrôler l'accès à chaque VLAN. Après avoir créé le SDDC, vérifiez les tables de routage et les groupes de sécurité pour vous assurer que seul le trafic souhaité peut accéder aux ressources SDDC.

Le service Bastion fournit un accès restreint et illimité aux ressources cible qui ne disposent pas d'adresses publiques. A l'aide d'un bastion, vous pouvez permettre aux utilisateurs autorisés de se connecter aux ressources cible sur des adresses privées via des sessions SSH (Secure Shell). Lorsqu'ils sont connectés, les utilisateurs peuvent interagir avec la ressource cible à l'aide de n'importe quel logiciel ou protocole pris en charge par SSH. Reportez-vous à Gestion des bastions.

Utilisez Bastion pour restreindre l'accès aux hôtes EXSi.

Utilisez le pare-feu d'applications Web (WAF) pour créer et gérer des règles de protection contre les menaces Internet, notamment les scripts inter-site (XSS), l'injection SQL et d'autres vulnérabilités définies par OWASP. Le nombre de bots indésirables peut être restreint et les bots souhaitables autorisés. WAF observe le trafic vers votre application Web au fil du temps et recommande de nouvelles règles à configurer. Reportez-vous à Mise en route des stratégies en périphérie.

Assurez-vous que les ressources de la solution VMware exécutent les dernières mises à jour de sécurité.

Abonnez-vous à Broadcom Security Advisories pour être informé des versions de correctifs de sécurité pour la pile logicielle VMware (vSphere, NSX-T, vSAN et HCX). Pour plus d'informations, reportez-vous à FAQ sur Oracle Cloud VMware Solution - Application de patches et mises à niveau.

Localiser les journaux d'accès et d'autres données de sécurité pour la solution VMware

Le service Audit enregistre automatiquement tous les appels d'API vers les ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service Audit pour surveiller l'ensemble de l'activité utilisateur dans votre location. Comme tous les appels de la console, du kit SDK et de l'interface de ligne de commande passent par nos API, toutes les activités de ces sources sont incluses. Les enregistrements d'audit sont disponibles via une API de requête filtrable authentifiée, ou ils peuvent être extraits en tant que fichiers en batch à partir d'Object Storage. Le contenu du journal d'audit inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Reportez-vous à Visualisation des événements de journal d'audit.