Introduction aux zones de sécurité

Après avoir créé des stratégies IAM et activé Cloud Guard, créez une zone de sécurité pour un compartiment et recherchez d'éventuelles violations de stratégie de zone de sécurité.

Création de stratégies IAM

Pour utiliser Security Zones et Cloud Guard, vous devez disposer du type d'accès requis dans une stratégie IAM écrite par un administrateur, que vous utilisiez la console ou l'API REST avec un kit SDK, une CLI ou tout autre outil.

Si vous n'êtes pas administrateur de la location, demandez à l'administrateur d'effectuer ces étapes.

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Zones de Sécurité, cliquez sur Aperçu.

Sur la page Présentation, dans la section Introduction, copiez la liste des instructions d'une stratégie IAM requises.

Allow group <group> to use cloud-guard-config in tenancy
Allow group <group> to read cloud-guard-targets in tenancy
Allow group <group> to inspect cloud-guard-problems in tenancy
Allow group <group> to manage security-zone in tenancy

Ouvrez le menu de navigation et cliquez sur Identité, sécurité. Sous Identité, cliquez sur Stratégies.
Sélectionnez le compartiment racine de la location.
Cliquez sur Créer une stratégie.
Entrez le nom et la description de la stratégie.
Par exemple :
- Nom : stratégie Security Zones
- Description : permet de créer des zones de sécurité.
Cliquez sur Afficher l'éditeur manuel.
Collez les instructions de stratégie à partir de la console Security Zones.

Remplacez <group> par le nom d'un groupe existant.
Cliquez sur Créer.

Pour en savoir plus sur la stratégie Security Zones et la stratégie IAM Cloud Guard, reportez-vous à Stratégies cloud Guard.

Activer Cloud Guard

Activez Cloud Guard dans la location avant de créer des zones de sécurité. Si Cloud Guard est déjà activé, vous pouvez ignorer cette tâche.

Cloud Guard est un service Oracle Cloud Infrastructure qui fournit un Tableau de bord central permettant d'observer toutes les ressources cloud afin de déceler les failles en matière de sécurité dans la configuration, les mesures et les journaux. Lorsqu'il détecte un problème, il peut faire de suggestions, proposer un service ou effectuer des actions correctives, en fonction de votre configuration Cloud Guard.

Security Zones fonctionne avec Cloud Guard pour identifier les violations des stratégies de zone de sécurité dans les ressources existantes.

L'activation de Cloud Guard implique les tâches suivantes :

Création de stratégies IAM qui permettent à Cloud Guard de surveiller des ressources dans la location
Choix d'une région de génération de rapports
Création de cibles pour les compartiments que Cloud Guard doit surveiller (facultatif)
Choix de recettes de détecteur pour les cibles (facultatif)

Pour activer Cloud Guard, vous devez disposer de privilèges d'administrateur.

Remarque

Vous n'avez pas besoin de Créer une cible Cloud Guard pour un compartiment avant de Créer une zone de sécurité pour le même compartiment. Lorsque vous créez une zone de sécurité, une cible Cloud Guard est créée automatiquement.

Pour obtenir des instructions détaillées, reportez-vous à Introduction à Cloud Guard.

Création d'une recette de zone de sécurité (facultatif)

Security Zones fournit une recette gérée par Oracle appelée Recette de sécurité maximale, qui applique toutes les stratégies de zones de sécurité disponibles. Pour désactiver certaines stratégies, vous pouvez cloner cette recette.

Avant de créer une recette de zone de sécurité personnalisée, prenez connaissance des stratégies de zone de sécurité disponibles.

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Zones d'accès, cliquez sur Recettes.
Cliquez sur l'icône Actions de la recette de sécurité maximale de recette, puis sélectionnez Cloner.
Mettez à jour le nom et la description de la nouvelle recette.

Evitez de saisir des informations confidentielles.
Sélectionnez le compartiment dans lequel créer la recette.

Vous pouvez créer des recettes de zone de sécurité et des zones de sécurité dans différents compartiments.
Cliquez sur Suivant.
(Facultatif) Sur la page Stratégies, cochez une case pour activer une stratégie ou désélectionnez une case pour désactiver une stratégie.

Vous pouvez filtrer la liste des stratégies en sélectionnant un type de stratégie spécifique. Vous pouvez également rechercher des stratégies par leur nom.
Cliquez sur Suivant.
Sur la page Vérifier, vérifiez le nombre de stratégies activées et désactivées dans cette recette, puis cliquez sur Créer.

La page Détails de la recette apparaît.

Création d'une zone de sécurité

Après avoir terminé toutes les tâches prérequises, vous pouvez créer une zone de sécurité pour un compartiment existant.

Attention

Pour une flexibilité maximale, évitez d'affecter une zone de sécurité au compartiment racine de la location. Les zones de sécurité appliquées au compartiment racine peuvent limiter les actions possibles sur l'ensemble d'une location. Bien que cette configuration puisse être préférable pour des cas d'utilisation spécifiques, elle est trop restrictive pour la plupart des utilisateurs.

Ouvrez le menu de navigation et cliquez sur Identité et sécurité. Sous Zones de Sécurité, cliquez sur Aperçu.
Sous Portée de la liste, sélectionnez le compartiment à protéger avec la zone de sécurité.

Sélectionnez un compartiment qui n'est pas déjà associé à une zone de sécurité.

La ressource de zone de sécurité est créée dans le compartiment que vous sélectionnez.

Par défaut, la même zone de sécurité que le compartiment parent est affectée à tous les sous-compartiments.
Sélectionnez Créer une zone de sécurité.

Si le compartiment sélectionné est déjà associé à une zone d'accès sécurisé, ce bouton est désactivé.
Sélectionnez une recette de zone de sécurité.
- géré par Oracle : sélectionnez cette option si vous n'avez pas créé de recette gérée par un client. Les zones de sécurité utilisent la recette de sécurité maximale.
- Géré par le Client : sélectionnez votre recette personnalisée.
Si votre recette se trouve dans un autre compartiment, cliquez sur Modifier le compartiment.
Entrez le nom et la description de la zone de sécurité.

Evitez de révéler des informations sensibles lorsque vous nommez ou décrivez des zones de sécurité.

Après sa création, vous ne pouvez pas modifier le nom d'une zone de sécurité.
Sélectionnez Créer une zone de sécurité.

Si le compartiment sélectionné est déjà associé à une zone d'accès sécurisé, ce bouton est désactivé.

Lorsque vous créez une zone de sécurité pour un compartiment, Cloud Guard effectue les tâches suivantes :

Supprime toute cible Cloud Guard existante pour le compartiment et pour tous les compartiments enfant
Crée une cible de zone d'accès sécurisé pour le compartiment
Ajoute la recette de détecteur par défaut gérée par Oracle à la cible la zone de sécurité.

Si vous créez une zone De sécurité pour un sous-compartiment dont Le compartiment parent est déjà dans une zone De sécurité, Cloud Guard crée une cible De zone De sécurité distincte Pour Le sous-compartiment. Aucune modification n'est apportée à la cible existante pour le compartiment parent.

Visualisation des violations de stratégie de zone de sécurité

Si le compartiment de la zone de sécurité contient des ressources, vous pouvez identifier celles qui enfreignent les stratégies de la zone et effectuer des actions correctives.

Cloud Guard analyse régulièrement des ressources de vos zones de sécurité pour déceler toute violation de stratégie. Chaque violation de stratégie est enregistrée en tant que problème dans Cloud Guard. Pour une nouvelle zone de sécurité, la détection d'éventuelles violations peut prendre jusqu'à trois heures.

Sur la page Présentation, cliquez sur votre nouvelle zone de sécurité.
La page Détails de la zone de sûreté apparaît.
Sur la page de détails sous Compartiments associés, développez le compartiment en cours pour afficher les sous-compartiments qui se trouvent également dans la zone de sécurité.
Si le compartiment ou un sous-compartiment comporte des violations de stratégie, sélectionnez Afficher les détails dans Cloud Guard.

La page Problèmes de Cloud Guard s'ouvre et affiche uniquement les problèmes détectés dans cette zone de sécurité.
Sélectionnez un problème pour afficher les détails suivants :
- Description de la stratégie de zone de sécurité
- Nom et emplacement de la ressource enfreignant la stratégie
- Niveau de risque relatif de la violation de stratégie (Critique, Majeur, Mineur, etc.)
- Actions recommandées pour corriger le problème

Reportez-vous à la section Stratégies de zone de sécurité pour obtenir une description de toutes les stratégies disponibles.

Etapes suivantes

Après avoir activé Cloud Guard et créé votre première zone de sécurité, vous pouvez tester la zone, la personnaliser ou créer d'autres zones.

Tâche	Informations supplémentaires
Tester une zone en essayant d'enfreindre l'une de ses stratégies	Choisissez une stratégie de zone de sécurité activée dans la recette de la zone. Par exemple, vérifiez que vous Ne pouvez pas créer de sous-réseau ni de bucket Object Storage public. Reportez-vous à Stratégies de zone de sécurité.
Créer une zone distincte dans un sous-compartiment	Création d'une zone de sécurité
Enlever un sous-compartiment de la zone	Suppression d'un sous-compartiment dans une zone de sécurité
Supprimer une zone	Suppression d'une zone de sécurité
Personnaliser les recettes du détecteur Cloud Guard dans une cible d'une zone de sécurité	Personnalisation de la configuration Cloud Guard
Rechercher d'autres problèmes d'accès détectés par Cloud Guard	Traitement des problèmes signalés
Créer des stratégies IAM afin que d'autres groupes puissent gérer les zones	Stratégies Cloud Guard

Si vous ne parvenez pas à créer ou à tester une zone de sécurité, reportez-vous à Dépannage des zones de sécurité.