Les clients contrôlent et surveillent l'accès aux services client, y compris l'accès réseau à leurs machines virtuelles (via des VLAN de couche 2 et des pare-feu implémentés dans la machine virtuelle client), l'authentification pour accéder à la machine virtuelle et l'authentification pour accéder aux bases de données exécutées dans les machines virtuelles. Oracle contrôle et surveille l'accès aux composants d'infrastructure gérés par Oracle. Le personnel d'Oracle n'est pas autorisé à accéder aux services client, y compris les machines virtuelles et les bases de données client.

Les clients accèdent aux bases de données Oracle exécutées sur Exadata Cloud@Customer via une connexion de couche 2 (VLAN étiqueté) de l'équipement client vers les bases de données exécutées dans la machine virtuelle client, à l'aide de méthodes de connexion Oracle Database standard, telles qu'Oracle Net sur le port 1521. Les clients accèdent à la machine virtuelle exécutant les bases de données Oracle via des méthodes Oracle Linux standard, telles que le protocole SSH basé sur un jeton sur le port 22.

• Défense renforcée

  Exadata Cloud@Customer propose un certain nombre de contrôles afin de garantir la confidentialité, l'intégrité et la responsabilité dans l'ensemble du service.

  Tout d'abord, Exadata Cloud@Customer est créé à partir de l'image de système d'exploitation renforcée fournie par Exadata Database Machine. Pour plus d'informations, reportez-vous à Présentation de la sécurité Oracle Exadata Database Machine. Cela sécurise l'environnement d'exploitation central en limitant l'image d'installation aux packages logiciels requis, en désactivant les services inutiles et en implémentant des paramètres de configuration sécurisés dans l'ensemble du système.

  Les systèmes Exadata Cloud@Customer héritent non seulement de tous les points forts de la plate-forme aboutie d'Exadata Database Machine, mais, provisionnant des systèmes pour les clients, ils bénéficient également de choix de configuration par défaut sécurisés supplémentaires, implémentés dans les instances de service. Par exemple, tous les tablespaces de base de données exigent un cryptage transparent des données (TDE), l'application de mots de passe renforcés pour les superutilisateurs et les utilisateurs de la base de données initiale, et de meilleures règles d'audit et d'événement.

  Exadata Cloud@Customer représente par ailleurs une offre de service et de déploiement complète. Il est donc soumis à des audits externes standard tels que PCI, HIPAA et ISO27001. Ces exigences en matière d'audit externe imposent des fonctionnalités de service à valeur ajoutée supplémentaires telles que l'analyse antivirus, les alertes automatisées en cas de modification inattendue du système et les analyses de vulnérabilités quotidiennes pour tous les systèmes d'infrastructure gérés par Oracle du parc.

• Moindre privilège

  Pour garantir que les processus n'ont accès qu'aux privilèges dont ils ont besoin, les normes de codage Oracle Secure Coding exigent le paradigme du moindre privilège.

  Chaque processus ou démon doit s'exécuter en tant qu'utilisateur normal sans privilège, sauf s'il peut prouver qu'un niveau de privilège supérieur est requis. Les vulnérabilités ou problèmes imprévus sont ainsi circonscrits à l'espace des utilisateurs sans privilège, et ne compromettent pas l'intégralité du système.

  Ce principe s'applique également aux membres de l'équipe des opérations Oracle, qui utilisent des comptes nommés individuels pour accéder à l'infrastructure Oracle Exadata Cloud@Customer à des fins de maintenance ou de dépannage. Ceux-ci n'utilisent l'accès à des niveaux de privilège plus élevés (qui est soumis à audit) pour résoudre un problème que si cela est nécessaire. La résolution de la plupart des problèmes est automatisée. Nous employons donc également le paradigme du moindre privilège en ne permettant aux opérateurs d'accéder à un système que si l'automatisation ne permet pas de résoudre un problème.

• Audit et responsabilité

  Si nécessaire, l'accès au système est autorisé, mais l'ensemble des accès et actions sont consignés et suivis afin de définir les responsabilités.

  Ainsi, Oracle et ses clients savent ce qui a été fait sur le système et à quel moment. Ces éléments nous permettent non seulement de continuer de répondre aux besoins en matière de génération de rapports pour les audits externes, mais aussi de faire correspondre les modifications apportées aux changements de comportement perçus dans l'application.

  Les fonctionnalités d'audit sont fournies pour tous les composants d'infrastructure afin de garantir la capture de toutes les actions. Les clients peuvent également configurer l'audit pour leur configuration de base de données et de machine virtuelle invitée, et choisir de l'intégrer à d'autres systèmes d'audit d'entreprise.

• Automatisation des opérations cloud

  La suppression des opérations manuelles requises pour provisionner, tenir à jour, dépanner et configurer les systèmes, et leur appliquer des patches, permet de réduire les risques d'erreur et de garantir une configuration sécurisée.

  Le service est conçu pour être sécurisé. En automatisant l'ensemble des tâches de provisionnement et de configuration, ainsi que la plupart des autres tâches opérationnelles, il est possible d'éviter les configurations incorrectes et de s'assurer du contrôle étroit de l'ensemble des accès au système requis.

• Image de système d'exploitation renforcée
  • Installation du nombre minimal de packages :

    Seuls les packages nécessaires pour une exécution efficace du système sont installés. L'installation d'un plus petit ensemble de packages permet de réduire la surface d'exposition aux attaques du système d'exploitation et de préserver la sécurisation du système.

  • Configuration sécurisée :

    De nombreux paramètres de configuration autres que ceux par défaut sont définis au cours de l'installation pour améliorer la posture de sécurité du système et de son contenu. Par exemple, entre autres restrictions similaires, SSH est configuré pour écouter uniquement certaines interfaces réseau et Sendmail pour accepter uniquement les connexions de l'hôte local.

  • Exécution des services nécessaires uniquement :

    Tous les services éventuellement installés sur le système, mais non requis pour un fonctionnement normal, sont désactivés par défaut. Par exemple, si le service NFS est souvent configuré par les clients à diverses fins applicatives, il est désactivé par défaut car il n'est pas requis pour les opérations de base de données normales. Les clients peuvent choisir de configurer des services en fonction de leurs besoins.

• Surface d'exposition aux attaques réduite

  Dans le cadre de l'image renforcée, la surface d'exposition aux attaques est réduite par la désactivation des services.

• Fonctionnalités de sécurité supplémentaires activées (mots de passe GRUB, initialisation sécurisée)
  • En s'appuyant sur les fonctionnalités d'image Exadata, Exadata Cloud@Customer bénéficie des nombreuses fonctionnalités intégrées à l'image de base, telles que les mots de passe GRUB et l'initialisation sécurisée.
  • La personnalisation permet en outre aux clients d'améliorer encore davantage la posture de sécurité grâce à d'autres configurations, détaillées plus loin dans ce chapitre.
• Méthodes d'accès sécurisé
  • Accès aux serveurs de base de données via SSH à l'aide de cryptages cryptographiques renforcés. Les cryptages faibles sont désactivés par défaut.
  • Accès aux bases de données via des connexions Oracle Net cryptées. Par défaut, les services sont accessibles à l'aide de canaux cryptés et un client Oracle Net configuré par défaut utilise des sessions cryptées.
  • Accès aux diagnostics via l'interface Web MS Exadata (HTTPS).
• Audit et journalisation

  Par défaut, l'audit est activé pour les opérations d'administration. Les enregistrements d'audit sont communiqués aux systèmes internes OCI pour révision et alerte (si nécessaire) automatisées.

• Remarques concernant le déploiement
  • Contenu du téléchargement de fichier de portefeuille et sensibilité : le téléchargement de fichier de portefeuille obtenu par un client pour permettre le déploiement contient des informations sensibles et doit être traité de manière appropriée afin de garantir la protection du contenu. Le contenu du téléchargement de fichier de portefeuille n'est plus nécessaire une fois le déploiement terminé. Il doit donc être détruit pour éviter toute fuite d'informations.
  • Serveur de plan de contrôle :
    • Dans le cadre des exigences de déploiement du serveur de plan de contrôle, l'accès HTTPS sortant doit être autorisé afin que le serveur de plan de contrôle puisse se connecter à Oracle, et permettre l'administration, la surveillance et la maintenance à distance. Pour plus d'informations, reportez-vous au Guide de déploiement.
    • Les clients sont responsables, entre autres, de garantir la sécurité physique de l'équipement Exadata Cloud@Customer dans leur centre de données. Exadata Cloud@Customer utilise de nombreuses fonctionnalités de sécurité logicielles, mais les risques encourus par le serveur physique doivent être couverts par la sécurité physique mise en place par le client afin de garantir la sécurité du contenu du serveur.

Plusieurs comptes utilisateur gèrent régulièrement les composants d'Oracle Exadata Cloud@Customer. Dans toutes les machines Exadata Cloud@Customer, Oracle utilise et recommande la connexion SSH uniquement. Aucun utilisateur ou processus Oracle n'utilise de système d'authentification basé sur un mot de passe.

Les différents types d'utilisateur créés par défaut sont décrits ci-après.

• Utilisateurs par défaut : aucun privilège de connexion

  Cette liste se compose d'utilisateurs de système d'exploitation par défaut et de certains utilisateurs spécialisés tels que exawatch et dbmsvc. Ces utilisateurs ne doivent pas être modifiés. Ces utilisateurs ne peuvent pas se connecter au système car tous sont définis sur /bin/false.

  • exawatch :

    L'utilisateur exawatch est responsable de la collecte et de l'archivage des statistiques système sur les serveurs de base de données et de stockage.

  • dbmsvc :

    Cet utilisateur est employé pour le serveur de gestion sur le service de noeud de base de données dans le système Oracle Exadata.

  Utilisateurs NOLOGIN

  bin:x:1:1:bin:/bin:/bin/false
  daemon:x:2:2:daemon:/sbin:/bin/false
  adm:x:3:4:adm:/dev/null:/bin/false
  mail:x:8:12:mail:/var/spool/mail:/bin/false
  nobody:x:99:99:Nobody:/:/bin/false
  systemd-network:x:192:192:systemd Network Management:/:/bin/false
  dbus:x:81:81:System message bus:/:/bin/false
  rpm:x:37:37::/var/lib/rpm:/bin/false
  sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/bin/false
  rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/bin/false
  nscd:x:28:28:NSCD Daemon:/:/bin/false
  saslauth:x:999:76:Saslauthd user:/run/saslauthd:/bin/false
  mailnull:x:47:47::/var/spool/mqueue:/bin/false
  smmsp:x:51:51::/var/spool/mqueue:/bin/false
  chrony:x:998:997::/var/lib/chrony:/bin/false
  rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/bin/false
  uucp:x:10:14:Uucp user:/var/spool/uucp:/bin/false
  nslcd:x:65:55:LDAP Client User:/:/bin/false
  tcpdump:x:72:72::/:/bin/false
  exawatch:x:1010:510::/:/bin/false
  sssd:x:997:508:User for sssd:/:/bin/false
  tss:x:59:59:Account used by the trousers package to sandbox the tcsd daemon:/dev/null:/bin/false
  dbmsvc:x:12137:11137::/home/dbmsvc:/bin/false

• Utilisateurs par défaut disposant d'un accès à un shell restreint

  Ces utilisateurs permettent d'accomplir une tâche définie avec une connexion à un shell restreint. Ces utilisateurs ne doivent être ni modifiés ni supprimés car, dans ce cas, la tâche définie échouerait.

  dbmmonitor : l'utilisateur dbmmonitor est employé pour l'utilitaire DBMCLI. Pour plus d'informations, reportez-vous à Utilisation de l'utilitaire DBMCLI.

  Utilisateurs de shell restreint

  dbmmonitor:x:2003:2003::/home/dbmmonitor:/bin/rbash

• Utilisateurs par défaut disposant de droits d'accès de connexion

  Ces utilisateurs privilégiés permettent d'accomplir la plupart des tâches dans le système. Ces utilisateurs ne doivent jamais être modifiés ni supprimés car cela aurait un impact significatif sur le système en cours d'exécution.

  Des clés SSH sont utilisées pour la connexion par le personnel du client et l'automatisation du cloud.

  Les clés SSH ajoutées par le client peuvent être ajoutées à l'aide de la méthode UpdateVmCluster, ou par les clients en accédant directement à la machine virtuelle client et en gérant les clés SSH à l'intérieur de celle-ci. Les clients sont chargés d'ajouter des commentaires aux clés pour les rendre identifiables. Lorsqu'un client ajoute la clé SSH à l'aide de la méthode UpdateVmCluster, la clé est uniquement ajoutée au fichier authorized_keys de l'utilisateur opc.

  Les clés d'automatisation du cloud sont temporaires, propres à une tâche d'automatisation du cloud (par exemple, le redimensionnement de la mémoire de cluster de machines virtuelles) et uniques. Les clés d'accès à l'automatisation du cloud peuvent être identifiées par les commentaires suivants : OEDA_PUB, EXACLOUD_KEY et ControlPlane. Les clés d'automatisation du cloud sont enlevées une fois la tâche d'automatisation du cloud effectuée. Ainsi, les fichiers authorized_keys des comptes root, opc, oracle et grid ne doivent contenir que des clés d'automatisation du cloud pendant l'exécution des actions d'automatisation du cloud.

  Utilisateurs avec des privilèges

  root:x:0:0:root:/root:/bin/bash
  oracle:x:1001:1001::/home/oracle:/bin/bash
  grid:x:1000:1001::/home/grid:/bin/bash
  opc:x:2000:2000::/home/opc:/bin/bash
  dbmadmin:x:2002:2002::/home/dbmadmin:/bin/bash

  • root : exigence Linux, utilisateur employé occasionnellement afin d'exécuter des commandes privilégiées locales. root est également utilisé pour certains processus tels que l'agent Oracle Trace File Analyzer et ExaWatcher.
  • grid : cet utilisateur est propriétaire de l'installation du logiciel Oracle Grid Infrastructure et exécute les processus Grid Infrastructure.
  • oracle : cet utilisateur est propriétaire de l'installation du logiciel Oracle Database et exécute les processus Oracle Database.
  • opc :
    • Utilisé par l'automatisation Oracle Cloud pour les tâches d'automatisation.
    • Permet d'exécuter certaines commandes privilégiées sans authentification supplémentaire (pour la prise en charge des fonctions d'automatisation).
    • Exécute l'agent local, également appelé agent DCS, qui effectue des opérations de cycle de vie pour les logiciels Oracle Database et Oracle Grid Infrastructure (application de patches, création de bases de données, etc.).
  • dbmadmin :
    • L'utilisateur dbmadmin est employé pour l'utilitaire d'interface de ligne de commande Oracle Exadata Database Machine (DBMCLI).
    • L'utilisateur dbmadmin doit être employé pour exécuter tous les services sur le serveur de base de données. Pour plus d'informations, reportez-vous à Utilisation de l'utilitaire DBMCLI.

Les groupes suivants sont créés par défaut sur la machine virtuelle invitée.

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
nobody:x:99:
users:x:100:
utmp:x:22:
utempter:x:35:
input:x:999:
systemd-journal:x:190:
systemd-network:x:192:
dbus:x:81:
ssh_keys:x:998:
sshd:x:74:
rpm:x:37:
rpc:x:32:
unbound:x:997:
nscd:x:28:
tss:x:59:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
chrony:x:996:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
uucp:x:14:
tcpdump:x:72:
exawatch:x:510:
cgred:x:509:
fuse:x:508:
screen:x:84:
sssd:x:507:
printadmin:x:506:
docker:x:505:
dbmsvc:x:2001:
dbmadmin:x:2002:
dbmmonitor:x:2003:
dbmusers:x:2004:
floppy:x:19:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

root:x:0:
bin:x:1:
daemon:x:2:
sys:x:3:
adm:x:4:
tty:x:5:
disk:x:6:
lp:x:7:
mem:x:8:
kmem:x:9:
wheel:x:10:
cdrom:x:11:
mail:x:12:
man:x:15:
dialout:x:18:
tape:x:33:
video:x:39:
lock:x:54:
audio:x:63:
users:x:100:
nobody:x:2001:
utmp:x:22:
utempter:x:35:
dbus:x:81:
input:x:999:
kvm:x:36:
render:x:998:
systemd-journal:x:190:
systemd-coredump:x:997:
systemd-resolve:x:193:
tss:x:59:
ssh_keys:x:996:
sshd:x:74:
unbound:x:995:
nscd:x:28:
rpc:x:32:
saslauth:x:76:
mailnull:x:47:
smmsp:x:51:
rpcuser:x:29:
ldap:x:55:
slocate:x:21:
chrony:x:994:
tcpdump:x:72:
cgred:x:993:
fapolicyd:x:992:
printadmin:x:991:
polkitd:x:990:
sssd:x:989:
rpm:x:37:
screen:x:84:
dnsmasq:x:988:
exawatch:x:510:
dbmsvc:x:2002:
dbmadmin:x:2003:
dbmmonitor:x:2004:
dbmusers:x:2005:
uucp:x:14:
floppy:x:19:
mausers:x:2006:
secscan:x:1009:
oinstall:x:1001:
asmdba:x:1004:
asmoper:x:1005:
asmadmin:x:1006:
dba:x:1002:
racoper:x:1003:
opc:x:2000:

Outre toutes les fonctionnalités Exadata décrites dans Fonctionnalités de sécurité d'Oracle Exadata Database Machine, les paramètres de sécurité suivants sont également applicables.

• Déploiement de base de données personnalisé avec des paramètres autres que ceux par défaut.
  La commande host_access_control permet de configurer les paramètres de sécurité Exadata :

  • Implémentation de stratégies relatives au vieillissement et à la complexité des mots de passe
  • Définition de stratégies de verrouillage de compte et d'expiration de session
  • Restriction de l'accès root distant
  • Restriction de l'accès au réseau à certains comptes
  • Implémentation d'une bannière d'avertissement de connexion
• account-disable : désactive un compte utilisateur lorsque certaines conditions configurées sont remplies.
• pam-auth : paramètres PAM divers pour les modifications de mot de passe et l'authentification par mot de passe.
• rootssh : ajuste la valeur PermitRootLogin dans /etc/ssh/sshd_config, ce qui permet d'autoriser ou de refuser la connexion via SSH de l'utilisateur root..
  • Par défaut, PermitRootLogin est défini sur without-password.
  • Il est recommandé de laisser ce paramètre tel quel pour permettre au sous-ensemble de l'automatisation du cloud qui utilise ce chemin d'accès (par exemple, l'application de patches au système d'exploitation de machine virtuelle client) de fonctionner. La définition de PermitRootLogin sur no désactivera ce sous-ensemble de fonctionnalités d'automatisation du cloud.
• session-limit : définit le paramètre * hard maxlogins dans /etc/security/limits.conf, qui est le nombre maximal de connexions pour tous les utilisateurs. Cette limite ne s'applique pas aux utilisateurs avec uid=0.

  Valeur par défaut : * hard maxlogins 10. Il s'agit de la valeur sécurisée recommandée.

• ssh-macs : indique les algorithmes MAC (code d'authentification de message) disponibles.
  • L'algorithme MAC est utilisé dans la version 2 du protocole pour la protection de l'intégrité des données.
  • Valeurs par défaut : hmac-sha1, hmac-sha2-256, hmac-sha2-512 pour le serveur et le client.
  • Valeurs sécurisées recommandées : hmac-sha2-256, hmac-sha2-512 pour le serveur et le client.
• password-aging : définit ou affiche le principe actuel de vieillissement des mots de passe pour les comptes utilisateur interactifs.
  • -M : nombre maximal de jours pendant lequel un mot de passe peut être utilisé.
  • -m : nombre minimal de jours autorisé entre les modifications de mot de passe.
  • -W : nombre de jours avant expiration d'un mot de passe où un avertissement est émis.
  • Valeurs par défaut : -M 99999, -m 0, -W 7.
  • --strict_compliance_only -M 60, -m 1, -W 7
  • Valeurs sécurisées recommandées : -M 60, -m 1, -W 7.

• Agent de machine virtuelle invitée Exadata Cloud@Customer : agent cloud pour la gestion des opérations de cycle de vie de base de données
  • S'exécute en tant qu'utilisateur opc.
  • La table de processus indique qu'il s'exécute en tant que processus Java avec des noms jar, dbcs-agent-VersionNumber-SNAPSHOT.jar et dbcs-admin-VersionNumver-SNAPSHOT.jar.
• Agent Oracle Trace File Analyzer : Oracle Trace File Analyzer (TFA) fournit un certain nombre d'outils de diagnostic dans un seul et même package, ce qui facilite la collecte d'informations de diagnostic sur Oracle Database et Oracle Clusterware et, par conséquent, la résolution des problèmes avec le support technique Oracle.
  • S'exécute en tant qu'utilisateur root.
  • S'exécute en tant que démon initd, /etc/init.d/init.tfa.
  • Les tables de processus affichent une application Java, oracle.rat.tfa.TFAMain.

• ExaWatcher :

  • S'exécute en tant qu'utilisateurs root et exawatch.
  • S'exécute en tant que script en arrière-plan, ExaWatcher.sh et tous ses processus enfant s'exécutent en tant que processus Perl.
  • La table de processus affiche plusieurs applications Perl.
• Oracle Database et Oracle Grid Infrastructure (Oracle Clusterware) :
  • S'exécute en tant qu'utilisateurs dbmsvc et grid.
  • La table de processus affiche les applications suivantes :
    • oraagent.bin, apx_* et ams_* en tant qu'utilisateur grid,
    • dbrsMain et les applications Java, derbyclient.jar et weblogic.Server, en tant qu'utilisateur oracle.
• Serveur de gestion : fait partie du logiciel d'image Exadata, pour la gestion et la surveillance des fonctions d'image.
  • S'exécute en tant qu'utilisateur dbmadmin.
  • La table de processus indique qu'il s'exécute en tant que processus Java.

Règles par défaut d'iptables pour la machine virtuelle invitée :

#iptables -L -n -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination