Sécurité
Alors que les entreprises continuent d'adopter les technologies cloud, la sécurité est devenue une considération essentielle pour les entreprises de toutes tailles. Avec l'augmentation des cybermenaces et des violations de données, les entreprises doivent s'assurer que l'infrastructure cloud est sécurisée et répond aux exigences de conformité. Oracle Cloud Infrastructure (OCI) fournit une gamme d'outils et de services de sécurité pour vous aider à protéger vos actifs et à maintenir la conformité réglementaire.
Utilisez les meilleures pratiques suivantes pour garantir la sécurité, la fiabilité et la conformité de votre infrastructure cloud.
Identity and Access Management
Dans le paysage numérique en constante évolution, la sécurité est d'une importance capitale. Alors que les entreprises se tournent vers le cloud computing, il devient impératif de disposer d'un cadre de sécurité solide. OCI fournit un ensemble complet d'outils et de services pour assurer la sécurité de vos données et applications. L'un des aspects fondamentaux de l'offre de sécurité d'OCI est Identity and Access Management (IAM).
IAM est l'épine dorsale de l'architecture de sécurité d'OCI, offrant aux administrateurs la possibilité de gérer l'accès des utilisateurs et les droits d'accès aux ressources dans OCI. Il vous permet de contrôler qui a accès à quoi, en vous assurant que seuls les utilisateurs autorisés peuvent accéder aux ressources critiques. IAM fournit une plate-forme centralisée pour gérer l'accès aux ressources OCI telles que les services de calcul, de stockage et de réseau.
Pour assurer la sécurité de vos systèmes, implémentez les meilleures pratiques IAM, telles que l'accès avec le moins de privilèges et l'authentification multifacteur. L'accès avec le moins de privilèges possible garantit que les utilisateurs disposent uniquement du niveau d'accès minimal requis pour exécuter des fonctions, ce qui réduit le risque d'accès non autorisé aux ressources sensibles. L'authentification multifacteur ajoute une couche de sécurité supplémentaire en obligeant les utilisateurs à fournir plusieurs formes d'authentification, telles qu'un mot de passe et un jeton.
En plus d'IAM, OCI fournit d'autres outils et services de sécurité tels que Cloud Guard, qui fournit une surveillance continue et des mesures correctives automatisées pour les menaces de sécurité. Just in Time Access (JIT) permet un accès temporaire et limité dans le temps aux ressources uniquement lorsque cela est nécessaire, réduisant ainsi la surface d'attaque. Les outils de sécurité réseau tels que les listes de sécurité, les groupes de sécurité réseau et le filtrage de réseau de sous-réseau vous permettent de contrôler le flux de trafic au sein de votre réseau.
Pour assurer la conformité aux réglementations du secteur et aux exigences en matière de souveraineté des données, OCI fournit des fonctionnalités telles que les contrôles de résidence des données et la possibilité de choisir l'emplacement géographique où les données sont stockées. L'intégration SIEM d'OCI vous permet de centraliser les journaux de sécurité et de les analyser pour détecter les incidents de sécurité, tandis que la détection et la prévention des intrusions (IDP) fournit une surveillance en temps réel des activités malveillantes. L'inspection SSL permet d'inspecter le trafic crypté à la recherche de contenu malveillant, tandis que l'inspection du trafic de sous-réseau Inter VCN et l'inspection du trafic Inter VCN fournissent un contrôle granulaire du flux de trafic entre les réseaux cloud virtuels.
Cloud Guard
OCI's Cloud Guard est un outil de sécurité essentiel qui fournit une détection continue des menaces et une correction automatisée pour sécuriser votre infrastructure cloud. Il est conçu pour surveiller vos ressources OCI à la recherche de menaces de sécurité en temps réel et informer les administrateurs des risques potentiels. Cloud Guard est fourni avec des stratégies prédéfinies qui permettent des actions correctives automatisées telles que la désactivation des clés d'accès ou la terminaison d'instances en cas de violation de stratégie.
Par exemple, supposons que vous ayez configuré une stratégie pour surveiller vos groupes de sécurité réseau et détecter les modifications apportées au groupe. Dans ce cas, Cloud Guard surveille en permanence le groupe de sécurité pour détecter les modifications et vous avertit en cas de violation de stratégie. Vous pouvez identifier les modifications non autorisées apportées à votre groupe de sécurité, telles que l'ajout de nouvelles règles, et prendre des mesures correctives pour prévenir les violations de sécurité.
Cloud Guard s'intègre aux plates-formes SIEM, ce qui vous permet d'exporter des événements de sécurité et des journaux vers des plates-formes tierces pour améliorer la visibilité et les capacités de détection des menaces. En tirant parti de l'intégration SIEM avec Cloud Guard, vous pouvez centraliser les événements de sécurité et les gérer plus efficacement, en fournissant des informations de sécurité complètes sur vos ressources OCI.
Accès juste à temps
OCI fournit un accès juste à temps (JIT) qui permet aux administrateurs d'accorder un accès temporaire à des ressources spécifiques dans l'environnement cloud. Cela ajoute une couche de sécurité supplémentaire pour réduire le risque d'accès non autorisé aux ressources en limitant la durée de l'accès. JIT Access peut être utilisé avec Identity and Access Management (IAM) et Least Privilege Access pour améliorer encore la sécurité de votre infrastructure cloud.
Par exemple, un administrateur peut configurer l'accès JIT pour un développeur qui a besoin d'un accès temporaire à une instance à des fins de dépannage. L'administrateur peut indiquer la durée de l'accès, le rôle de l'utilisateur et les droits d'accès requis pour accéder à l'instance. Une fois la durée indiquée expirée, l'accès de l'utilisateur à l'instance est automatiquement révoqué, ce qui réduit le risque d'accès non autorisé.
L'accès JIT peut être configuré à l'aide de la console OCI, de l'interface de ligne de commande ou de l'API REST.
Point d'accès de test virtuel
Le point d'accès de test virtuel (VTAP) est une fonctionnalité de sécurité offerte par OCI qui fournit une capture de paquets pour le trafic réseau et collecte des données pour l'analyse réseau. Avec le point d'accès de test virtuel, les administrateurs réseau peuvent détecter et prévenir les menaces de sécurité en capturant le trafic réseau à des fins de révision et d'analyse.
La capture de paquets est le processus de capture du trafic réseau pour examen et analyse, qui est essentiel pour détecter les menaces de sécurité. Avec le point d'accès de test virtuel, OCI fournit un service natif pour la capture et l'analyse complètes du réseau, contribuant ainsi à améliorer la sécurité de votre environnement cloud.
Dans OCI, le point d'accès de test virtuel source capture le trafic en fonction d'un filtre de capture, l'encapsule avec le protocole VXLAN et le met en miroir sur la cible désignée. Cela permet une surveillance et une analyse en temps réel du trafic en miroir à l'aide d'outils d'analyse de trafic standard. En outre, les administrateurs peuvent stocker le trafic pour une analyse judiciaire plus complète à une date ultérieure.
Le point d'accès de test virtuel peut mettre en miroir le trafic provenant de diverses sources, notamment une carte d'interface réseau virtuelle d'instance de calcul unique dans un sous-réseau, un équilibreur de charge en tant que service (LBaaS), une base de données OCI, un cluster de machines virtuelles Exadata et une instance Autonomous Data Warehouse via une adresse privée.
Listes de sécurité et groupes de sécurité réseau
Les listes de sécurité et les groupes de sécurité réseau sont des composants essentiels de l'offre de sécurité réseau d'OCI. Les listes de sécurité permettent aux administrateurs de créer facilement des listes d'adresses IP et de les appliquer à des ressources spécifiques. Cela leur permet de limiter le trafic réseau vers et depuis ces ressources. Par exemple, un administrateur peut créer une liste de sécurité qui autorise uniquement le trafic à partir d'une plage d'adresses IP spécifique à accéder à une application Web hébergée dans OCI.
Les groupes de sécurité réseau permettent aux administrateurs de définir des règles qui régissent le trafic réseau entre les ressources. Cela leur permet de contrôler les ressources qui peuvent communiquer entre elles et les types de trafic autorisés. Par exemple, un administrateur peut créer une règle de groupe de sécurité réseau qui autorise uniquement le trafic SSH d'une plage d'adresses IP spécifique vers une instance de calcul dans OCI.
Grâce aux listes de sécurité et aux groupes de sécurité réseau, les administrateurs peuvent réduire considérablement le risque d'accès non autorisé à vos ressources. Ils fournissent un contrôle granulaire du trafic réseau et permettent aux administrateurs d'appliquer le principe du moindre privilège, qui est une pratique de sécurité fondamentale.
Filtrage de réseau de sous-réseau et pare-feu
OCI fournit des fonctionnalités de sécurité réseau pour protéger vos ressources contre les menaces externes et les accès non autorisés. Les fonctionnalités de filtrage de réseau de sous-réseau et de pare-feu fonctionnent ensemble pour fournir un environnement réseau sécurisé.
Le filtrage de réseau de sous-réseau est un outil qui permet aux administrateurs de filtrer le trafic réseau en fonction d'adresses IP ou de ports. Il vous permet de créer des règles de contrôle d'accès pour vos sous-réseaux, qui peuvent être utilisées pour bloquer ou autoriser le trafic en fonction de critères spécifiques. En filtrant le trafic au niveau du sous-réseau, vous pouvez réduire le risque d'accès non autorisé et vous protéger contre les menaces externes.
Les pare-feu sont une autre fonctionnalité de sécurité proposée par OCI qui vous permet de créer des règles pour bloquer ou autoriser un trafic réseau spécifique. Avec OCI, vous pouvez créer des règles de pare-feu pour contrôler l'accès à vos ressources en fonction de l'adresse IP source, de l'adresse IP de destination, du protocole et du numéro de port. En créant des règles de pare-feu spécifiques, vous pouvez améliorer davantage la sécurité de votre réseau et réduire le risque d'accès non autorisé à vos ressources.
Par exemple, vous pouvez utiliser le filtrage de réseau de sous-réseau pour bloquer tout le trafic d'une plage d'adresses IP spécifique, puis utiliser des pare-feu pour autoriser le trafic uniquement à partir d'adresses IP ou de ports spécifiques. Cette approche en couches de la sécurité réseau peut réduire considérablement le risque d'accès non autorisé et protéger vos ressources contre les menaces externes.
Passerelle
La passerelle Internet, la passerelle NAT et la passerelle de service sont des fonctionnalités réseau fournies par OCI qui jouent un rôle essentiel dans le maintien d'une infrastructure réseau sécurisée et robuste.
Internet Gateway est un service qui fournit un accès à l'Internet public à partir de votre réseau cloud virtuel (VCN). Une passerelle Internet permet le trafic entre les instances de votre VCN et d'Internet, vous permettant d'héberger des sites Web, d'exécuter des applications nécessitant un accès Internet et de vous connecter à d'autres services cloud.
Grâce à la commodité de la passerelle Internet, les risques de sécurité sont accrus. Le trafic indésirable et les attaques potentielles peuvent passer par Internet. Il est essentiel de sécuriser la communication et les données partagées sur cette passerelle. L'utilisation de protocoles de cryptage SSL/TLS est la meilleure approche pour cela.
La passerelle NAT permet aux instances privées de votre VCN d'accéder à Internet tout en maintenant un état sécurisé. La passerelle NAT fournit une connectivité Internet sortante pour les instances privées auxquelles aucune adresse IP publique n'est affectée. Il agit en tant que gardien de porte entre Internet et votre VCN en traduisant des adresses IP privées en une adresse IP publique. La passerelle NAT fournit un moyen sécurisé et contrôlé d'accéder à Internet sans exposer le réseau interne à des menaces externes.
Service Gateway permet d'accéder aux services OCI à partir d'une infrastructure sur site ou d'autres fournisseurs cloud. Il fournit une connexion sécurisée entre votre VCN et d'autres services cloud ou une infrastructure sur site sans passer par une passerelle Internet. La passerelle de service constitue une alternative aux connexions Internet et offre un moyen sécurisé et privé de se connecter à d'autres fournisseurs cloud ou à une infrastructure on-premise.
La passerelle Internet, la passerelle NAT et la passerelle de service sont des fonctionnalités réseau essentielles d'OCI qui permettent la connectivité à Internet et à d'autres fournisseurs cloud tout en maintenant une posture sécurisée. Il est important de s'assurer que des mesures de sécurité appropriées sont en place, telles que le cryptage SSL/TLS, pour empêcher tout accès non autorisé et protéger vos données.
Accès privé
L'accès privé permet une communication sécurisée entre les ressources au sein d'un réseau cloud virtuel (VCN) ou à partir de réseaux sur site sans passer par Internet. Cela vous aide à maintenir un niveau élevé de sécurité et de contrôle sur votre environnement cloud.
Private Access aide à maintenir la sécurité en empêchant l'accès non autorisé aux ressources à partir d'Internet. Cela réduit le risque de cyberattaques et de violations de données. L'accès privé garantit également que le trafic réseau reste dans le réseau de l'organisation et n'est pas exposé à l'Internet public.
Par exemple, vous pouvez avoir une instance de base de données dans un sous-réseau privé qui ne doit être accessible que par des instances spécifiques au sein du même VCN ou du même réseau sur site. En utilisant l'accès privé, vous pouvez vous assurer que la base de données n'est pas exposée au réseau Internet public et que seuls les utilisateurs et les applications autorisés peuvent y accéder.
En outre, Private Access peut vous aider à vous conformer aux réglementations qui exigent que les données soient stockées et transmises en toute sécurité, telles que le règlement général sur la protection des données (RGPD) et la loi sur la portabilité et la responsabilité de l'assurance maladie (HIPAA).
Passerelle d'API
API Gateway est un service fourni par OCI qui joue un rôle crucial dans le maintien de l'état de sécurité d'une entreprise. Il vous permet de publier des API avec des adresses privées accessibles à partir de votre réseau, ce qui réduit le besoin de trafic Internet. Cet accès privé aux API permet de se protéger contre les accès non autorisés et les failles de sécurité potentielles.
Le service API Gateway offre également une gamme de fonctionnalités de sécurité telles que la validation d'API, la transformation des demandes et des réponses, le partage de ressources Cross-Origin Resource Sharing (CORS), l'authentification et l'autorisation, et la limitation des demandes. Ces fonctionnalités aident à sécuriser les adresses d'API en garantissant que seuls les utilisateurs et les appareils autorisés peuvent y accéder. API Gateway fournit une authentification facile grâce à la fonctionnalité native d'OCI Identity and Access Management (IAM), qui permet aux administrateurs de gérer l'accès utilisateur et les droits d'accès aux ressources dans OCI.
A l'aide du service API Gateway, vous pouvez créer des passerelles d'API dans un sous-réseau régional pour traiter le trafic en provenance de clients d'API et l'acheminer vers des services back-end. Ce service peut lier plusieurs services back-end, tels que des équilibreurs de charge, des instances de calcul et OCI Functions, en une seule adresse d'API consolidée, ce qui facilite la gestion et la sécurité.
Par exemple, vous pouvez utiliser le service API Gateway pour exposer en toute sécurité une API RESTful qui permet à vos clients d'accéder à certaines données et à certains services, tels que les informations de compte, à partir d'appareils mobiles. La passerelle API peut être configurée pour garantir que seuls les utilisateurs autorisés peuvent accéder aux données et aux services, et elle peut valider et transformer les données pour s'assurer qu'elles répondent aux normes requises.
Zéro confiance
OCI prend en charge une approche de sécurité Zero Trust qui suppose que tout le trafic réseau n'est pas sécurisé, quelle que soit la source. L'accès aux ressources n'est accordé qu'aux utilisateurs autorisés en cas de besoin et avec les autorisations appropriées. Cette approche consiste à vérifier en permanence l'identité et la sécurité des périphériques et des utilisateurs avant d'accorder l'accès aux ressources.
Par exemple, le service Identity and Access Management (IAM) d'OCI vous permet d'appliquer des stratégies de contrôle d'accès avec le moins de privilèges possible, d'implémenter l'authentification à plusieurs facteurs et de surveiller l'accès aux ressources en temps réel. En outre, l'utilisation de VPN et d'options d'accès privé, telles que FastConnect et VPN Connect, aident à sécuriser le trafic réseau et fournissent une couche supplémentaire de protection contre les accès non autorisés.
Les intégrations d'OCI avec les partenaires de sécurité, tels que CrowdStrike et Check Point, améliorent également la sécurité en fournissant des fonctionnalités de détection des menaces et de réponse.
Détection et prévention des intrusions et inspection SSL
OCI fournit plusieurs fonctionnalités de sécurité pour se protéger contre les menaces réseau, notamment Intrusion Detection and Prevention (IDP) et SSL Inspection. Avec IDP, les administrateurs peuvent surveiller le trafic réseau en temps réel et recevoir des alertes lorsque des activités suspectes sont détectées. En outre, les personnes déplacées peuvent prendre automatiquement des mesures pour empêcher les menaces identifiées de causer des dommages. SSL Inspection permet aux administrateurs d'inspecter le trafic crypté pour s'assurer qu'il n'est pas utilisé pour distribuer des logiciels malveillants ou d'autres contenus malveillants. Ces fonctionnalités aident à maintenir l'état de sécurité des environnements cloud, en fournissant des couches supplémentaires de protection contre les menaces potentielles.
Par exemple, vous pouvez configurer le fournisseur d'identités pour détecter et prévenir les attaques par force brute sur vos ressources cloud, tout en utilisant l'inspection SSL pour surveiller le trafic crypté qui circule vers et depuis les bases de données sensibles.
Inspection du trafic de sous-réseau inter-VCN et inspection du trafic inter-VCN
OCI fournit deux fonctionnalités de sécurité puissantes, l'inspection du trafic de sous-réseau inter VCN et l'inspection du trafic inter VCN, qui permettent aux administrateurs de surveiller et d'inspecter le trafic entre les réseaux cloud virtuels. L'inspection du trafic de sous-réseau inter VCN permet la surveillance et l'inspection du trafic entre les sous-réseaux au sein du même VCN, tandis que l'inspection du trafic inter VCN offre la même capacité pour le trafic qui traverse entre les réseaux cloud virtuels. Ces fonctionnalités offrent une visibilité approfondie des flux de trafic réseau, ce qui vous permet d'identifier les menaces potentielles et d'agir pour les prévenir. En détectant et en bloquant les tentatives d'accès non autorisé, l'inspection du trafic Inter VCN et l'inspection du trafic Inter VCN Subnet peuvent aider à maintenir l'état de sécurité de votre environnement cloud.
Par exemple, vous pouvez avoir plusieurs réseaux cloud virtuels dans l'environnement OCI, chacun contenant différentes ressources et applications. En utilisant l'inspection du trafic inter VCN, vous pouvez vous assurer que le trafic entre ces réseaux cloud virtuels est inspecté et que toute activité malveillante est détectée et empêchée.
Cette fonctionnalité peut être particulièrement utile dans les cas où un VCN contient des données sensibles ou des applications qui nécessitent des mesures de sécurité supplémentaires pour les protéger contre tout accès non autorisé.
Résidence et souveraineté des données
La résidence et la souveraineté des données sont essentielles à la sécurité des entreprises qui opèrent dans plusieurs pays. Les réglementations en matière de confidentialité et de protection des données peuvent varier d'une région à l'autre, et il est crucial de les respecter pour maintenir la sécurité des données sensibles. OCI fournit des options de résidence des données qui vous permettent de stocker vos données dans des régions ou des pays spécifiques pour répondre aux exigences réglementaires. Cela garantit que vous pouvez vous conformer aux lois locales sur la protection des données et réduire le risque de violation de données ou d'accès non autorisé en raison de la non-conformité. En outre, les options de résidence des données d'OCI s'appuient sur des contrôles de sécurité robustes, tels que le cryptage au repos et en transit, les contrôles d'accès et les fonctionnalités de sécurité réseau, afin de fournir un environnement sécurisé pour le stockage et le traitement des données.
Contrôle de journalisation et de détection
Logging and Detection Control est un outil de sécurité important qui permet aux administrateurs de surveiller et de gérer efficacement les journaux dans OCI à des fins de conformité. Grâce à cette fonctionnalité, vous pouvez suivre et analyser l'activité des utilisateurs, notamment les modifications apportées aux configurations, les tentatives d'authentification et d'autorisation et le trafic réseau, ce qui fournit une vue complète de l'état de sécurité global du système.
La fonctionnalité Logging et Detection Control d'OCI inclut des stratégies de journalisation préconfigurées qui vous permettent d'identifier et de réagir rapidement aux menaces de sécurité potentielles. Vous pouvez personnaliser ces stratégies pour répondre à vos besoins et activer des alertes automatiques pour les événements à haut risque. Les journaux générés par Logging and Detection Control peuvent être intégrés à des systèmes tiers de gestion des informations de sécurité et des événements (SIEM) pour fournir une analyse de sécurité encore plus complète.
Par exemple, OCI Logging and Detection Control peut être utilisé pour surveiller et détecter les menaces sur plusieurs ressources, telles que les instances de calcul, les équilibreurs de charge et les bases de données. En cas d'incident de sécurité potentiel, vous pouvez réagir rapidement à la menace et prendre les mesures appropriées, telles que la révocation de l'accès ou la modification des configurations, pour maintenir la sécurité du système.
Responsabilité partagée
La sécurité du cloud est un modèle de responsabilité partagée dans lequel le fournisseur de services cloud et le client ont un rôle à jouer pour assurer la sécurité des ressources. Le fournisseur de services cloud est responsable de la sécurité de l'infrastructure cloud sous-jacente, tandis que le client est responsable de la sécurisation de ses applications et données qu'il déploie sur le cloud.
Par exemple, dans OCI, Oracle est responsable de la sécurité physique des centres de données, de la sécurité du réseau et de la disponibilité de l'infrastructure. Il vous incombe de sécuriser vos applications cloud, vos machines virtuelles et vos données. Assurez-vous que vous avez correctement configuré les groupes de sécurité et les règles de sécurité réseau pour empêcher tout accès non autorisé.
Chiffrement en transit et reste
OCI fournit des outils et services essentiels, tels que le cryptage SSL/TLS et Oracle Key Management, pour assurer le chiffrement en transit et au repos, qui sont des éléments essentiels d'une stratégie de sécurité complète. Le cryptage permet de protéger les données sensibles contre tout accès non autorisé et maintient la confidentialité et l'intégrité des données à la fois pendant la transmission et pendant le repos.
Par exemple, vous pouvez utiliser le cryptage SSL/TLS pour sécuriser le trafic réseau entre vos clients et vos services, en vous assurant que les données échangées entre eux sont cryptées et sécurisées.
De même, Oracle Key Management fournit une solution de gestion des clés sécurisée et centralisée qui vous permet de gérer et de protéger les clés de cryptage utilisées pour sécuriser vos données dans OCI.
Authentification à plusieurs facteurs
L'authentification à plusieurs facteurs est une pratique de sécurité qui exige que les utilisateurs fournissent deux ou plusieurs formes d'authentification avant d'accéder à un système ou à une application. Cela permet d'empêcher tout accès non autorisé aux données et aux ressources sensibles, même si le mot de passe d'un utilisateur est compromis. L'authentification à plusieurs facteurs est un élément important de toute stratégie de sécurité, en particulier dans le cloud, où les données et les applications sont souvent accessibles à partir d'emplacements distants.
OCI fournit l'authentification à plusieurs facteurs en tant que fonctionnalité pour vous permettre d'améliorer votre posture de sécurité. Avec l'authentification à plusieurs facteurs, les utilisateurs doivent fournir une deuxième forme d'authentification, telle qu'un mot de passe à usage unique ou des informations biométriques, en plus du nom d'utilisateur et du mot de passe. Cela signifie que même si le mot de passe d'un utilisateur est volé ou deviné, un attaquant devra toujours avoir accès au téléphone de l'utilisateur ou à un autre appareil physique pour accéder à votre compte.
En plus d'améliorer la sécurité, l'authentification à plusieurs facteurs peut également vous aider à vous conformer aux réglementations et normes du secteur. Par exemple, la norme PCI DSS (Payment Card Industry Data Security Standard) requiert l'authentification à plusieurs facteurs pour tous les accès à distance aux données des titulaires de carte. En implémentant l'authentification à plusieurs facteurs dans votre environnement cloud, vous pouvez aider à répondre à ces exigences et éviter d'éventuelles amendes ou autres pénalités.