Présentation de Security Advisor
Oracle Cloud Infrastructure Security Advisor prend en charge et renforce les meilleures pratiques de sécurité Oracle, notamment les exigences de configuration pour les ressources dans les zones de sécurité. Il combine et rationalise les workflows existants pour créer efficacement des ressources qui répondent dès le départ aux exigences de sécurité de référence.
Plus précisément, vous pouvez affecter une nouvelle clé de cryptage gérée par le client à une ressource au moment de sa création, même si vous n'avez jamais créé de coffre ou de clé de cryptage auparavant. Les zones de sécurité requièrent l'utilisation du cryptage via des clés gérées par le client lorsque cela est possible. Seuls les utilisateurs autorisés peuvent accéder aux clés. Ainsi, les données confidentielles ne peuvent être décryptées et lues que par les utilisateurs qui disposent explicitement de l'autorisation correspondante.
Les workflows rationalisés réduisent la complexité et la prise de décision. Dans les cas où vous auriez normalement le choix entre plusieurs options de configuration, Security Advisor fournit uniquement l'option la plus sécurisée. Par exemple, Security Advisor vous autorise uniquement à créer des clés de cryptage maître d'une longueur de 256 bits. Les clés de cryptage plus longues offrent une meilleure sécurité que les plus courtes.
Authentification et autorisation
Chaque service d'Oracle Cloud Infrastructure s'intègre à IAM pour l'authentification et l'autorisation, sur toutes les interfaces (consolekit SDK ou interface de ligne de commande, et API REST).
Un administrateur de votre organisation doit configurer des groupes , des compartiments et des stratégies qui déterminent quels utilisateurs peuvent accéder à tels services et à telles ressources, ainsi que le type d'accès. Par exemple, les stratégies déterminent qui peut créer des utilisateurs, créer et gérer le réseau cloud, lancer des instances, créer des buckets, télécharger des objets, etc. Pour plus d'informations, reportez-vous à Gestion des domaines d'identité. Afin d'obtenir des détails spécifiques sur l'élaboration de stratégies pour chacun des différents services, reportez-vous à Référence de stratégie.
Si vous êtes un utilisateur standard (et non un administrateur) et que vous avez besoin des ressources Oracle Cloud Infrastructure de votre entreprise, contactez l'administrateur afin qu'il configure pour vous un ID utilisateur. L'administrateur peut confirmer les compartiments que vous devez utiliser.
Security Advisor tire parti des fonctionnalités des workflows existants. Par conséquent, la location peut ne pas avoir besoin de nouvelles stratégies pour accorder des droits d'accès supplémentaires. Pour vous en assurer, vous pouvez comparer les stratégies existantes de la location avec les exemples de droit d'accès décrits dans le workflow choisi. Vérifiez notamment que vous disposez de stratégies qui accordent un accès aux ressources Vault, en particulier si vous n'avez jamais utilisé le service auparavant.
Les exemples d'instruction de stratégie permettent aux groupes indiqués d'effectuer n'importe quelle opération autorisée par Security Advisor. Si vous voulez plutôt limiter la création de coffres, vous pouvez écrire une stratégie qui autorise uniquement leur utilisation au lieu d'octroyer le niveau d'accès requis pour les gérer. Un utilisateur autorisé à utiliser des coffres peut sélectionner un coffre existant mais ne peut pas en créer un. Cela n'a aucune incidence sur les options affichées par Security Advisor, mais détermine si toutes les opérations peuvent aboutir lors de leur soumission.
Régions et domaines de disponibilité
Vous pouvez utiliser Security Advisor dans toutes les régions commerciales d'Oracle Cloud Infrastructure. Pour consulter la liste des régions, ainsi que l'ensemble des emplacements, des identificateurs de région, des clés de région et des domaines de disponibilité associés, reportez-vous à A propos des régions et des domaines de disponibilité.
Chaque service intégré à Security Advisor dispose d'une adresse régionale unique pour toutes les opérations d'API, à une exception près. Le service Vault dispose d'une adresse régionale pour le service de provisionnement qui gère les opérations de création, de mise à jour et de liste pour les coffres. Pour les opérations permettant de créer, de mettre à jour et de répertorier des clés, les adresses de service sont réparties entre plusieurs clusters indépendants.
Limites relatives aux ressources
Security Advisor n'introduit aucune ressource et n'impose aucune restriction au niveau de l'utilisation des ressources. Toutefois, Security Advisor respecte les limites fixées par d'autres services.
Pour obtenir la liste des limites applicables et des instructions pour demander une augmentation de limite, reportez-vous à Limites de service. Pour définir des limites propres au compartiment sur une ressource ou une famille de ressources, les administrateurs peuvent utiliser des quotas de compartiment.
Pour obtenir des instructions sur la visualisation de votre niveau d'utilisation par rapport aux limites de ressource de la location, reportez-vous à Visualisation de l'utilisation, des quotas et des limites de service. Pour les coffres, vous pouvez également comparer l'utilisation de chaque coffre aux limites relatives aux clés en affichant le nombre de clés et de versions de clé dans les détails du coffre.