Documentation Oracle Cloud Infrastructure

Sécurisation de Compute Cloud@Customer

Compute Cloud@Customer offre une sécurité efficace et gérable qui vous permet d'exécuter des charges de travail stratégiques et de stocker des données en toute confiance.

Compute Cloud@Customer est une ressource régionale OCI entièrement gérée à l'échelle du rack qui intègre les services cloud de deuxième génération d'Oracle sur site. Le système est installé par Oracle, qui fournit un niveau de sécurité indépendant des pratiques locales. Toutefois, cela nécessite également que les administrateurs système comprennent exactement ce qui est fourni comme référence de sécurité. Les administrateurs peuvent ensuite ajuster les pratiques et les configurations de sécurité afin d'atteindre le niveau de sécurité requis pour leur situation spécifique.

Remarque

Pour plus d'informations sur la sécurité d'Oracle Cloud Infrastructure, reportez-vous à Oracle Cloud Infrastructure : sécurité.

Principaux domaines de sécurité

La sécurité de Compute Cloud@Customer est gérée dans trois domaines :

  • Infrastructure Compute Cloud@Customer : matériel de rack physique appartenant à Oracle et installé sur site du client. Certaines tâches liées à la sécurité sont effectuées à ce niveau de base lorsque le système est installé.

    Cette couche d'infrastructure comprend également un logiciel de contrôle de l'infrastructure. L'accès à cette couche est limité et étroitement surveillé par le personnel Oracle autorisé uniquement. Vous pouvez contrôler le moment où le personnel Oracle autorisé peut accéder à l'infrastructure.

  • Ressources basées sur l'infrastructure Compute Cloud@Customer : c'est là que vos charges de travail sont créées, configurées et hébergées, et où les ressources cloud telles que les instances de calcul, les réseaux et le stockage sont gérées.

    Vous gérez la sécurité dans ce domaine en configurant les ressources (réseaux, instances et stockage) de manière sécurisée. Par exemple, pour sécuriser votre VCN, vous pouvez utiliser des groupes de sécurité réseau et des listes de sécurité pour sécuriser l'accès au réseau, et utiliser d'autres fonctionnalités de sécurité réseau. Vous pouvez déployer des instances qui utilisent des clés SSH utilisateur pour l'authentification. Vous pouvez utiliser les fonctionnalités de stockage pour sécuriser le stockage de blocs, de fichiers et d'objets.

  • Service Oracle Cloud Infrastructure Identity and Access Management (IAM) : cet emplacement vous permet de configurer des compartiments et des stratégies afin de contrôler qui a accès à vos ressources basées sur l'infrastructure.

    Le service IAM gère l'authentification : identifie les utilisateurs via des informations confidentielles telles que le nom utilisateur et le mot de passe, ou des clés partagées. IAM gère également l'autorisation : les utilisateurs peuvent uniquement accéder aux ressources avec le niveau d'accès qui leur a été accordé.

    Attention

    Pour Compute Cloud@Customer, les ressources IAM sont gérées dans OCI au sein de votre location et synchronisées avec Compute Cloud@Customer toutes les dix minutes environ. Les ressources IAM ne peuvent pas être gérées sur l'infrastructure Compute Cloud@Customer.

    Pour plus d'informations sur la gestion d'IAM, reportez-vous à IAM avec des domaines d'identité.

Lorsqu'elles sont configurées, les zones de sécurité précédentes activent les environnements sécurisés suivants :

  • Survivabilité des charges de travail critiques : Compute Cloud@Customer empêche ou réduit les dommages causés par les actions accidentelles et malveillantes effectuées par des utilisateurs internes ou externes. Pour ce faire, des tests de sécurité sont effectués sur les composants, la vérification des protocoles de vulnérabilité et la vérification de la continuité du logiciel, même en cas de violation de la sécurité.

  • Défense en profondeur pour sécuriser l'environnement d'exploitation : Compute Cloud@Customer applique plusieurs contrôles de sécurité indépendants et se renforçant mutuellement pour aider les entreprises à créer un environnement d'exploitation sécurisé pour leurs charges globales et leurs données. Tous les niveaux du système sont protégés par un ensemble de fonctionnalités de sécurité.

  • Accès avec le moins de privilège pour les services et les utilisateurs : Compute Cloud@Customer promeut l'utilisation de stratégies de sécurité qui garantissent que les applications, les services et les utilisateurs ont accès aux fonctionnalités dont ils ont besoin pour effectuer leurs tâches. Cependant, il est tout aussi important de s'assurer que l'accès aux fonctionnalités, services et interfaces inutiles est limité. Les utilisateurs et les administrateurs sont limités à leurs domaines de préoccupation particuliers.

  • Responsabilité des événements et des actions : Compute Cloud@Customer propose des pistes d'audit détaillées sur chaque couche et des contrôles pour faciliter la prise en compte des ressources. Cela permet à un administrateur de détecter et de signaler les incidents au fur et à mesure qu'ils se produisent (par exemple, une attaque par déni de service) ou après qu'ils se produisent s'ils ne sont pas évitables (par le biais de la traçabilité via les journaux d'audit pour les modifications résultantes des ressources).

  • Comptabilité : La comptabilité permet aux administrateurs de suivre les stocks de matériel et de ressources cloud. A partir de la console Oracle Cloud, un administrateur peut extraire le numéro de série du rack Compute Cloud@Customer.