Sécurité et authentification dans Oracle Autonomous Database
Oracle Autonomous Database stocke toutes les données dans la base de données dans un format crypté. Seuls les utilisateurs et les applications authentifiés peuvent accéder aux données lorsqu'ils se connectent à la base de données.
Oracle Autonomous Database prend en charge les fonctionnalités de sécurité standard d'Oracle Database, notamment l'analyse des privilèges, le cryptage de réseau, les utilisateurs gérés centralement, les rôles d'application sécurisés, la protection transparente des données confidentielles, etc. De plus, Oracle Autonomous Database comprend Label Security, Database Vault, Data Safe et d'autres fonctionnalités de sécurité avancées sans frais supplémentaires.
- Gestion des configurations
Oracle Autonomous Database fournit des configurations de sécurité standard renforcées qui réduisent le temps et l'argent nécessaires à la gestion des configurations sur l'ensemble de vos bases de données. - Cryptage des données
Oracle Autonomous Database utilise un cryptage permanent qui protège les données au repos et en transit. Les données au repos et en transit sont cryptées par défaut. Vous ne pouvez pas désactiver le cryptage. - Contrôle d'accès aux données
La sécurisation de l'accès à l'instance Oracle Autonomous Database et aux données utilise plusieurs types de contrôle d'accès : - Présentation de l'audit sur Autonomous Database
Oracle Autonomous Database offre des fonctions d'audit puissantes qui vous permettent de savoir qui a effectué quelle opération sur le service et sur des bases de données spécifiques. Grâce aux données de journal complètes, vous pouvez auditer et surveiller les actions réalisées sur les ressources afin de répondre à vos exigences en matière d'audit tout en réduisant les risques opérationnels et de sécurité. - Evaluation de la sécurité de votre base de données et de ses données
Oracle Autonomous Database s'intègre à Oracle Data Safe pour vous aider à évaluer et à sécuriser vos bases de données. - Certification de conformité réglementaire
Oracle Autonomous Database respecte un large éventail de normes de conformité internationales propres aux secteurs.
Remarque parent : Sécurité
Gestion de configuration
Oracle Autonomous Database fournit des configurations de sécurité standard renforcées qui réduisent le temps et l'argent nécessaires à la gestion des configurations sur l'ensemble de vos bases de données.
Les mises à jour et les patches de sécurité sont appliqués automatiquement. Vous ne consacrez donc pas de temps, d'argent ou d'attention au maintien à jour de la sécurité. Ces fonctions protègent vos bases de données et vos données contre les violations et les vulnérabilités coûteuses et potentiellement catastrophiques en matière de sécurité.
Rubrique parent : Sécurité et authentification dans Oracle Autonomous Database
Cryptage des données
Oracle Autonomous Database utilise un cryptage permanent qui protège les données au repos et en transit. Les données au repos et en transit sont cryptées par défaut. Vous ne pouvez pas désactiver le cryptage.
Cryptage des données au repos
Les données au repos sont cryptées à l'aide du cryptage transparent des données, une solution cryptographique qui protège le traitement, la transmission et le stockage des données. Avec le cryptage de tablespace AES256, chaque base de données possède sa propre clé de cryptage, et une clé de cryptage différente pour chaque sauvegarde.
Par défaut, Oracle Autonomous Database crée et gère toutes les clés de cryptage maître utilisées pour protéger les données, qui sont stockées dans un fichier de clés PKCS 12 sécurisé sur les mêmes systèmes que les bases de données. Si les stratégies de sécurité de votre entreprise l' nécessitent, Oracle Autonomous Database peut utiliser à la place les clés que vous créez et gérez dans le service Oracle Cloud Infrastructure Vault. Pour plus d'informations, reportez-vous à A propos de la gestion des clés de cryptage maître sur Autonomous Database.
De plus, vous pouvez effectuer une rotation des clés gérées par le client si nécessaire afin de répondre aux stratégies de sécurité de votre organisation.
Remarque : lorsque vous clonez une base de données, la nouvelle base de données obtient son nouvel ensemble de clés de cryptage spécifique.
Cryptage des données en transit
Les clients (applications et outils) se connectent à Oracle Autonomous Database à l'aide de protocoles pris en charge, notamment SQL*Net, JDBC et ODBC.
Les services de connexion de base de données TCPS (TCP sécurisé) utilisent le protocole TLS (Transport Layer Security) 1.2 standard du secteur pour les connexions et le cryptage des données par clé symétrique.
-
Avec les connexions mTLS, les utilisateurs Oracle Autonomous Database télécharge un portefeuille de connexion contenant tous les fichiers nécessaires à la connexion d'un client à l'aide de TCPS. Distribuez ce portefeuille uniquement aux utilisateurs qui ont besoin d'avoir accès à la base de données et qui y sont autorisés. La configuration côté client utilise les informations du portefeuille pour effectuer le cryptage des données par clé symétrique.
-
Par défaut, Autonomous Database prend en charge les connexions TLS mutuelles (mTLS). Vous avez la possibilité de configurer une instance Autonomous Database pour qu'elle autorise les connexions mTLS et TLS. Avec les connexions TLS, certains clients, tels que les clients de pilote JDBC Thin, ne nécessitent pas le téléchargement d'un portefeuille si vous utilisez une chaîne de connexion TLS et que TLS est activé pour l'instance Autonomous Database.
Pour plus d'informations, reportez-vous à Connexions sécurisées à Autonomous Database avec mTLS ou TLS.
Rubrique parent : Sécurité et authentification dans Oracle Autonomous Database
Contrôle d'accès aux données
La sécurité de l'accès à l'instance Oracle Autonomous Database et aux données utilise plusieurs types de contrôle d'accès :
- Contrôle d'accès client
Le contrôle d'accès client pour une instance Autonomous Database est appliqué par des stratégies de contrôle d'accès réseau, par le biais de protocoles de connexion client et par les droits d'accès de l'utilisateur de base de données que le client utilise pour se connecter. - Contrôle d'accès utilisateur de base de données
Oracle Autonomous Database est configuré avec un compte d'administration (ADMIN) utilisé pour créer et gérer d'autres comptes de base de données. Oracle Autonomous Database fournit un ensemble fiable de fonctionnalités et de contrôles, y compris des privilèges et rôles système et d'objet. Les profils utilisateur vous permettent de personnaliser les stratégies de mot de passe pour définir et implémenter une stratégie d'accès d'utilisateur de base de données sécurisée. - Contrôle d'accès utilisateur Oracle Cloud
Vous pouvez utiliser les services Identity and Access Management (IAM) pour contrôler les privilèges des utilisateurs Oracle Cloud en indiquant les actions que ces utilisateurs peuvent effectuer sur l'instance Oracle Autonomous Database. - Accès autorisé sur Autonomous Database
Seuls les utilisateurs autorisés sont autorisés à accéder à une instance Autonomous Database. - Service entièrement géré Autonomous Database
Autonomous Database est un service entièrement géré et Oracle utilise ses propres locations Oracle Cloud Infrastructure pour exécuter le service Autonomous Database.
Rubrique parent : Sécurité et authentification dans Oracle Autonomous Database
Contrôle d'accès client
Le contrôle d'accès client pour une instance Autonomous Database est appliqué par des stratégies de contrôle d'accès réseau, via des protocoles de connexion client et par les droits d'accès de l'utilisateur de base de données que le client utilise pour se connecter.
Contrôle d'accès réseau
-
Adresses privées et listes de sécurité : il s'agit de la procédure recommandée. Créez votre Oracle Autonomous Database dans votre réseau cloud virtuel (VCN) à l'aide d'adresses privées. Vous contrôlez l'accès à la base de données à l'aide de listes de sécurité et de groupes de sécurité réseau, ce qui vous permet d'indiquer qui peut créer des connexions à la base de données.
Pour plus d'informations détaillées sur la création de ces ressources, reportez-vous à Configuration de l'accès réseau avec des adresses privées.
-
Adresses publiques et listes de contrôle d'accès : créez Oracle Autonomous Database à l'aide d'adresses publiques autorisant l'accès à partir de n'importe quel client disposant d'informations d'identification client. Vous contrôlez l'accès à la base de données à l'aide de listes de contrôle d'accès réseau, ce qui vous permet d'indiquer des adresses IP, des blocs CIDR ou des réseaux cloud virtuels qui peuvent se connecter à la base de données. Les adresses IP publiques sont plus faciles à repérer et à attaquer. Les adresses privées sont recommandées dans la mesure du possible.
Pour plus d'informations sur la configuration d'une liste de contrôle d'accès, reportez-vous à Configuration de listes de contrôle d'accès pour une instance Autonomous Database existante.
Contrôle de connexion client
Les clients se connectent via une connexion de base de données TCP sécurisée à l'aide du protocole TLS 1.2 standard pour sécuriser la connexion. Oracle Autonomous Database utilise des certificats auto-signés. Vous pouvez effectuer une rotation des certificats auto-signés à partir de la console Oracle Cloud Infrastructure afin de répondre aux besoins de conformité en matière de sécurité de votre organisation. Reportez-vous à Rotation des portefeuilles avec rotation immédiate.
L'accès du client à la base de données est limité par les droits d'accès de l'utilisateur de base de données que le client utilise pour se connecter.
Rubrique parent : Contrôle d'accès aux données
Contrôle d'accès d'utilisateur de base de données
Oracle Autonomous Database est doté d'un compte d'administration (ADMIN) utilisé pour créer et gérer les autres comptes de base de données. Oracle Autonomous Database fournit un ensemble fiable de fonctionnalités et de contrôles, y compris des privilèges et rôles système et d'objet. Les profils utilisateur vous permettent de personnaliser les stratégies de mot de passe pour définir et implémenter une stratégie d'accès d'utilisateur de base de données sécurisée.
Pour obtenir des informations de base sur la gestion standard des utilisateurs, reportez-vous à Comptes utilisateur dans Concepts Oracle Database. Pour obtenir des informations détaillées et des instructions, reportez-vous à Gestion de la sécurité pour les utilisateurs Oracle Database dans le guide de sécurité Oracle Database.
Si votre stratégie d'accès utilisateur de base de données exige plus de contrôles que ceux qu'offre la gestion standard des utilisateurs, vous pouvez configurer l'instance Oracle Autonomous Database de sorte qu'elle utilise Database Vault afin de répondre à des exigences plus strictes.
Recours à Microsoft Active Directory pour gérer les utilisateurs de base de données
Si vous utilisez Microsoft Active Directory en tant que référentiel d'utilisateurs, vous pouvez configurer votre base de données de façon à authentifier et à autoriser les utilisateurs Microsoft Active Directory. Cette intégration vous permet de consolider votre référentiel d'utilisateurs tout en implémentant une stratégie d'accès utilisateur de base de données rigoureuse, que vous recouriez à la gestion standard des utilisateurs ou à Database Vault.
Pour plus d'informations sur l'intégration de Microsoft Active Directory aux bases de données, reportez-vous à Utilisation de Microsoft Active Directory avec Autonomous Database.
Database Vault
Oracle Database Vault est préconfiguré et prêt à l'emploi. Vous pouvez utiliser ses puissants contrôles de sécurité pour limiter l'accès aux données d'application par des utilisateurs de base de données privilégiés, ce qui réduit le risque de menaces et répond aux exigences de conformité courantes.
Vous configurez des contrôles pour bloquer l'accès de comptes avec privilèges aux données d'application et contrôler les opérations sensibles dans la base de données. Vous configurez des chemins sécurisés pour ajouter des contrôles de sécurité supplémentaires à l'accès autorisé aux données, aux objets de base de données et aux commandes de base de données. Database Vault permet de sécuriser les environnements de base de données existants de manière transparente, éliminant ainsi les modifications coûteuses et chronophages des applications.
Avant d'utiliser Database Vault, consultez Utilisation d'Oracle Database Vault avec Autonomous Database pour comprendre l'impact de la configuration et de l'activation de Database Vault.
Pour obtenir des informations détaillées sur l'implémentation des fonctionnalités Database Vault, reportez-vous au guide de l'administrateur Oracle Database Vault.
Rubrique parent : Contrôle d'accès aux données
Contrôle d'accès d'utilisateur Oracle Cloud
Vous pouvez utiliser les services Identity and Access Management (IAM) pour contrôler les privilèges des utilisateurs Oracle Cloud en indiquant les actions que ces utilisateurs peuvent effectuer sur l'instance Oracle Autonomous Database.
Le service IAM fournit plusieurs types de composant pour vous aider à définir et à implémenter une stratégie d'accès utilisateur cloud sécurisé :
-
Compartiment : ensemble de ressources associées. Les compartiments représentent un composant fondamental d'Oracle Cloud Infrastructure pour l'organisation et l'isolement des ressources cloud.
-
Groupe : ensemble d'utilisateurs qui ont tous besoin du même type d'accès à un ensemble de ressources ou à un compartiment spécifique.
-
Groupe dynamique : type spécial de groupe contenant les ressources qui correspondent aux règles que vous définissez. Par conséquent, l'appartenance peut changer de façon dynamique à mesure que des ressources correspondantes sont créées ou supprimées.
-
Stratégie : groupe d'instructions qui indiquent qui peut accéder à quelles ressources et comment. L'accès est accordé au niveau du groupe et du compartiment, ce qui signifie que vous écrivez une instruction de stratégie qui accorde à un groupe donné un type d'accès donné à un type de ressource donné dans un compartiment donné.
Dans la liste ci-dessus, la stratégie est l'outil principal que vous utilisez pour contrôler l'accès, car elle répond aux questions "qui ?", "comment ?", "quoi ?" et "où ?" d'une contrainte d'accès unique. Une instruction de stratégie se présente au format suivant :
Le format d'une instruction de stratégie est le suivant :
Allow
group <group-name>
to <control-verb>
<resource-type>
in compartment <compartment-name>
-
group <group-name>
indique "qui" en fournissant le nom d'un groupe IAM existant. -
to <control-verb>
indique "comment" utiliser l'un des verbes de contrôle prédéfinis suivants :inspect
: possibilité de répertorier les ressources d'un type donné, sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l'utilisateur pouvant figurer dans ces ressources.read
: accèsinspect
plus possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même.use
: accèsread
plus possibilité d'utiliser des ressources existantes, mais pas d'en créer ni d'en supprimer. Ici, "utiliser" implique différentes opérations pour différents types de ressource.manage
: tous les droits d'accès au type de ressource, création et suppression comprises.
-
<resource-type>
indique "quoi" à l'aide d'un type de ressource prédéfini. Les valeurs de type des ressources d'infrastructure sont les suivantes :autonomous-databases
autonomous-backups
Vous pouvez également créer des instructions de stratégie qui font référence à la valeur de type de ressource
tag-namespaces
si le balisage est utilisé dans votre location. -
in compartment <compartment-name>
indique "où" en fournissant le nom d'un compartiment IAM existant.
Pour plus d'informations sur le fonctionnement du service IAM et de ses composants, ainsi que sur leur utilisation, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management. Pour obtenir des réponses rapides aux questions courantes sur IAM, reportez-vous à la FAQ Identity and Access Management.
Rubrique parent : Contrôle d'accès aux données
Accès autorisé sur Autonomous Database
Seuls les utilisateurs autorisés sont autorisés à accéder à une instance Autonomous Database.
Les opérateurs Oracle Cloud ne sont pas autorisés à accéder à votre instance Autonomous Database. Lorsque l'accès à votre base de données est requis pour résoudre ou atténuer un problème, vous pouvez autoriser un opérateur cloud à accéder à une base de données pendant une durée limitée.
Vous autorisez un opérateur cloud à accéder à la base de données en exécutant la procédure DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS
. Cela signifie que si vous enregistrez une demande de service auprès du support technique Oracle Cloud ou en contactant votre représentant du support technique et que les opérateurs Oracle Cloud doivent accéder à votre base de données, vous devez également activer l'accès de l'opérateur en exécutant DBMS_CLOUD_ADMIN.ENABLE_OPERATOR_ACCESS
.
Chaque accès à la base de données par les opérateurs Oracle Cloud est journalisé avec un ID et un motif de demande.
Pour plus d'informations, reportez-vous à Gestion de l'accès des opérateurs Oracle Cloud et à Affichage des actions des opérations Oracle Cloud Infrastructure.
Rubrique parent : Contrôle d'accès aux données
Service complet Autonomous Database
Autonomous Database est un service entièrement géré et Oracle utilise ses propres locations Oracle Cloud Infrastructure pour exécuter le service Autonomous Database.
Les opérateurs Oracle Cloud n'ont pas accès aux locations client et les opérateurs cloud ne peuvent pas accéder au réseau.
Rubrique parent : Contrôle d'accès aux données
Présentation de l'audit sur Autonomous Database
Oracle Autonomous Database offre des fonctions d'audit puissantes qui vous permettent de savoir qui a effectué quelle opération sur le service et sur des bases de données spécifiques. Grâce aux données de journal complètes, vous pouvez auditer et surveiller les actions réalisées sur les ressources afin de répondre à vos exigences en matière d'audit tout en réduisant les risques opérationnels et de sécurité.
- Audit des activités de niveau de service
Toutes les actions effectuées par les utilisateurs Oracle Cloud sur les ressources composant votre déploiement d'Oracle Autonomous Database sont journalisées par le service Audit, quelle que soit l'interface utilisée : console Oracle Cloud Infrastructure, API REST, interface de ligne de commande, kits SDK, etc. - Audit des activités de base de données
Oracle Autonomous Database configure les bases de données autonomes que vous créez pour l'utilisation de la fonctionnalité d'audit unifié d'Oracle Database.
Rubrique parent : Sécurité et authentification dans Oracle Autonomous Database
Audit des activités de niveau de service
Toutes les actions effectuées par les utilisateurs Oracle Cloud sur les ressources composant votre déploiement d'Oracle Autonomous Database sont journalisées par le service Audit, indépendamment de l'interface utilisée : console Oracle Cloud Infrastructure, API REST, interface de ligne de commande, kits SDK, etc.
Vous pouvez vous appuyer sur le service Audit pour effectuer des diagnostics, suivre l'utilisation des ressources, surveiller la conformité et collecter les événements associés à la sécurité. Pour plus d'informations sur le service Audit, reportez-vous à Présentation d'Audit dans la documentation Oracle Cloud Infrastructure.
De plus, lorsque les utilisateurs effectuent des opérations sur l'instance Oracle Autonomous Database, la base de données publie des événements dans le service Events d'Oracle Cloud. Le service Events d'Oracle Cloud vous permet de créer des règles pour capturer ces événements et effectuer des actions.
Pour plus d'informations sur le fonctionnement du service Events, ainsi que sur la configuration des règles et actions qu'il utilise, reportez-vous à Présentation d'Events. Pour obtenir la liste des opérations Oracle Autonomous Database qui génèrent des événements, reportez-vous à Types d'événement Autonomous Database.
Rubrique parent : Présentation de l'audit sur Autonomous Database
Audit des activités de base de données
Oracle Autonomous Database configure les bases de données autonomes que vous créez pour l'utilisation de la fonctionnalité d'audit unifié d'Oracle Database.
Cette fonctionnalité capture les enregistrements d'audit à partir des sources suivantes et les rassemble dans une même trace d'audit au format uniforme :
- Enregistrements d'audit (y compris enregistrements d'audit
SYS
) issus des stratégies d'audit unifié et des paramètresAUDIT
- Enregistrements d'audit détaillés issus du package PL/SQL
DBMS_FGA
- Enregistrements d'audit Oracle Database Real Application Security
- Enregistrements d'audit Oracle Recovery Manager
- Enregistrements d'audit Oracle Database Vault
- Enregistrements d'audit Oracle Label Security
- Enregistrements Oracle Data Mining
- Oracle Data Pump
- Chargement direct Oracle SQL*Loader
Les informations d'audit sont conservées pendant 14 jours au maximum, après quoi elles sont automatiquement supprimées. Pour conserver les informations d'audit plus longtemps, et facilement analyser l'activité de la base de données et générer des rapports sur cette activité, utilisez Oracle Data Safe (inclus dans votre abonnement Oracle Autonomous Database).
Reportez-vous à A propos de l'audit d'une instance Autonomous Database pour plus d'informations.
Rubrique parent : Présentation de l'audit sur Autonomous Database
Evaluation de la sécurité de votre base de données et de ses données
Oracle Autonomous Database s'intègre à Oracle Data Safe pour vous aider à évaluer et à sécuriser vos bases de données.
Oracle Data Safe vous permet de comprendre la confidentialité de vos données, d'évaluer les risques pour les données, de masquer les données confidentielles, d'implémenter et de surveiller les contrôles de sécurité, d'évaluer la sécurité utilisateur, de surveiller l'activité utilisateur et de répondre aux exigences de conformité de sécurité des données dans vos bases de données.
Oracle Data Safe permet d'identifier et de protéger les données confidentielles et réglementées de votre base de données Oracle Autonomous Database en inscrivant cette dernière auprès de Data Safe. Vous pouvez ensuite utiliser la console Data Safe directement à partir de la page Détails de la base de données.
Pour plus d'informations sur l'utilisation de Data Safe, reportez-vous à Utilisation des fonctionnalités Oracle Data Safe.
Rubrique parent : Sécurité et authentification dans Oracle Autonomous Database
Certification de conformité réglementaire
Oracle Autonomous Database respecte un large éventail de normes de conformité internationales propres aux secteurs.
Certification | Description |
---|---|
C5 |
Le catalogue Cloud Computing Compliance Controls (C5) |
CSA STAR |
La confiance, l'assurance et les risques en matière de sécurité (STAR) de Cloud Security Alliance (CSA) |
Cyber Essentials (Royaume-Uni) Cyber Essentials Plus (Royaume-Uni) |
Oracle Cloud Infrastructure a réussi la certification Cyber Essentials et Cyber Essentials Plus dans les régions suivantes :
|
DESC. (UAE) |
Norme de sécurité CSP du centre de sécurité électronique de Dubaï |
DoD IL4/IL5 |
Autorisation DISA de niveau d'impact 5 dans les régions suivantes :
|
ENS High (Espagne) |
L'Esquema Nacional de Seguridad avec le niveau d'accréditation élevé. |
FedRAMP Elevé |
Programme fédéral de gestion des risques et des autorisations (États-Unis) Régions gouvernementales uniquement) |
FSI (S. Corée) |
Institut de sécurité financière |
HDS |
Le Code de la santé publique exige des organismes de santé qui contrôlent, traitent ou stockent des données médicales ou de santé qu'ils utilisent des fournisseurs de services d'infrastructure, d'hébergement et de plateforme accrédités et certifiés Hébergeur de Données de Santé (HDS). |
HIPAA |
Health Insurance Portability and Accountability Act |
PALETTE HITRUST |
La Health Information Trust Alliance |
PARI (Australie) |
Programme d'évaluateurs inscrits Infosec. Régions de Sydney et Melbourne |
ISMES (S. Corée) |
Système de gestion de la sécurité de l'information |
ISO/IEC 27001:2013 |
Organisation internationale de normalisation 277001 |
ISO/IEC 27017:2015 |
Code de bonnes pratiques pour les contrôles de sécurité de l'information fondés sur l'ISO/IEC 27002 pour les services du nuage |
ISO/IEC 27018:2014 |
Code de bonnes pratiques pour la protection des informations personnelles identifiables (PII) dans le cloud public agissant comme processeur de PII |
MeitY (Inde) |
Ministère de l'électronique et des technologies de l'information |
MTCS (Singapour) |
MTCS (Multi-Tier Cloud Service) niveau 3 |
PASF (UK OC4) |
Installations sécurisées assurées par la police (PASF) dans les régions suivantes :
|
PCI DSS |
Payment Card Industry Data Security Standard est un ensemble d'exigences visant à garantir que toutes les entreprises qui traitent, stockent ou transmettent des informations de carte de crédit disposent d'un environnement sécurisé |
SOC 1 |
System and Organization Controls 1 |
SOC 2 |
System and Organization Controls 2 |
Pour obtenir plus d'informations, ainsi que la liste complète des certifications, reportez-vous à Conformité d'Oracle Cloud.
Rubrique parent : Sécurité et authentification dans Oracle Autonomous Database