Documentation Oracle Cloud Infrastructure

Gestion de la sécurité des bases de données avec Oracle Data Safe

A propos d'Oracle Data Safe

Votre stratégie d'entreprise exige que vous surveilliez vos bases de données et conserviez les enregistrements d'audit. Vos développeurs demandent des copies des données de production pour cette nouvelle application, et vous demandez quels types d'informations sensibles il contiendra. Pendant ce temps, vous devez vous assurer que les activités de maintenance récentes n'ont pas laissé de lacunes critiques en matière de configuration de la sécurité sur vos bases de données de production et que les modifications du personnel n'ont pas laissé de comptes utilisateur inactifs sur les bases de données. Oracle Data Safe vous aide à effectuer ces tâches et est inclus dans votre service de base de données Exadata*.

Oracle Data Safe est un centre de contrôle unifié qui vous aide à gérer les exigences quotidiennes de sécurité et de conformité des bases de données Oracle, qu'elles soient exécutées dans Oracle Cloud Infrastructure, sur Cloud@Customer, sur site ou dans tout autre cloud.

Data Safe vous aide à évaluer les contrôles de sécurité, à évaluer la sécurité utilisateur, à surveiller l'activité des utilisateurs et à répondre aux exigences en matière de conformité de sécurité des données pour votre base de données en évaluant la confidentialité de vos données et en masquant les données confidentielles pour les bases de données autres que de production.

Data Safe propose les fonctionnalités suivantes :

  • Evaluation de la sécurité : les erreurs de configuration et la dérive de configuration sont des contributeurs importants aux violations de données. Utilisez l'évaluation de la sécurité pour évaluer la configuration de votre base de données et la comparer aux meilleures pratiques d'Oracle et du secteur. L'évaluation de la sécurité génère des rapports sur les domaines de risque et vous avertit lorsque les configurations changent.
  • Evaluation des utilisateurs : de nombreuses fuites de données commencent par un compte utilisateur compromis. L'évaluation des utilisateurs vous aide à repérer les comptes de base de données les plus risqués - les comptes qui, s'ils sont compromis, pourraient causer le plus de dommages - et à prendre des mesures proactives pour les sécuriser. Les références d'évaluation des utilisateurs permettent de savoir facilement quand de nouveaux comptes sont ajoutés ou quand les privilèges d'un compte sont modifiés. Utilisez les événements OCI pour recevoir des notifications proactives lorsqu'une base de données s'écarte de sa valeur de référence.
  • Audit d'activité : la compréhension et la génération de rapports sur l'activité des utilisateurs, l'accès aux données et les modifications apportées aux structures de base de données prennent en charge les exigences de conformité réglementaire et peuvent faciliter les enquêtes post-incident. L'audit d'activité collecte les enregistrements d'audit des bases de données et vous aide à gérer les stratégies d'audit. Les informations d'audit facilitent l'identification de stratégies d'audit inefficaces, tandis que les alertes basées sur les données d'audit vous informent de manière proactive des activités à risque.
  • Repérage de données confidentielles : il est essentiel de savoir quelles données confidentielles sont gérées dans vos applications pour assurer la sécurité et la confidentialité. Le repérage de données analyse votre base de données à la recherche de plus de 150 types de données confidentielles, ce qui vous permet de comprendre quels types et combien de données confidentielles vous stockez. Utilisez ces rapports pour formuler des stratégies d'audit, développer des modèles de masquage des données et créer des stratégies de contrôle d'accès efficaces.
  • Masquage des données : la réduction de la quantité de données confidentielles conservées par votre organisation vous aide à respecter les exigences de conformité et les réglementations en matière de confidentialité des données. Le masquage des données vous aide à éliminer les risques de vos bases de données hors production en remplaçant les informations sensibles par des données masquées. Grâce à des modèles de masquage réutilisables, à plus de 50 formats de masquage inclus et à la possibilité de créer facilement des formats personnalisés répondant aux besoins uniques de votre organisation, le masquage des données peut rationaliser le développement d'applications et les opérations de test.
  • SQL Firewall Management : protège contre les risques tels que les attaques par injection SQL ou les comptes compromis. Oracle SQL Firewall est une nouvelle fonctionnalité de sécurité intégrée au noyau Oracle Database 23ai et offre une protection de pointe contre ces risques. La fonctionnalité de pare-feu SQL d'Oracle Data Safe vous permet de gérer et de surveiller de manière centralisée les stratégies de pare-feu SQL pour vos bases de données cible. Data Safe vous permet de collecter les activités SQL autorisées d'un utilisateur de base de données, de générer et d'activer la stratégie avec des listes d'autorisation d'instructions SQL et de chemins de connexion de base de données approuvés, et fournit une vue complète des violations du pare-feu SQL dans le parc de vos bases de données cible.

*Inclut 1 million d'enregistrements d'audit par base de données et par mois si vous utilisez la collection d'audit pour l'audit d'activité

Introduction

Pour commencer, il vous suffit d'inscrire votre base de données auprès d'Oracle Data Safe :

Utilisation d'Oracle Data Safe

Une fois votre base de données inscrite dans Data Safe, vous pouvez tirer parti de toutes les fonctionnalités.

Evaluation de la sécurité

Les évaluations de sécurité sont automatiquement programmées une fois par semaine dans Data Safe et fournissent une vue d'ensemble de l'état de sécurité de votre base de données. Elle analyse les configurations de base de données, les utilisateurs et les habilitations utilisateur, ainsi que les stratégies de sécurité afin de détecter les risques et d'améliorer l'état de sécurité des bases de données Oracle au sein de votre organisation. Une évaluation de la sécurité fournit des résultats ainsi que des recommandations sur les activités de correction qui respectent les meilleures pratiques pour réduire ou atténuer les risques.

Commencez par vérifier le rapport d'évaluation de la sécurité de la base de données : Affichage de la dernière évaluation pour une base de données cible

Pour plus de détails sur l'évaluation de la sécurité, reportez-vous à Présentation de l'évaluation de la sécurité.

Evaluation des utilisateurs

Les évaluations des utilisateurs sont automatiquement planifiées une fois par semaine dans Data Safe et vous aident à identifier les comptes utilisateur disposant de privilèges élevés qui pourraient constituer une menace en cas d'utilisation abusive ou de compromission. L'évaluation des utilisateurs vérifie les informations relatives à vos utilisateurs dans les dictionnaires de données sur vos bases de données cible, puis calcule le risque potentiel pour chaque utilisateur, en fonction des privilèges système et des rôles octroyés.

Commencez par consulter le rapport d'évaluation des utilisateurs pour votre base de données : Affichage de la dernière évaluation des utilisateurs pour une base de données cible

Pour plus de détails sur l'évaluation des utilisateurs, reportez-vous à Présentation de l'évaluation des utilisateurs.

Repérage de données

Le repérage de données recherche les colonnes confidentielles dans la base de données. Il est livré avec plus de 150 types de confidentialité prédéfinis et vous pouvez également créer vos propres types de confidentialité. Vous indiquez au repérage de données si vous voulez analyser l'ensemble de la base de données ou seulement certains schémas et le type d'informations confidentielles à rechercher, et il trouve les colonnes confidentielles qui répondent à vos critères et les stocke dans un modèle de données confidentielles (SDM).

Commencez par repérer des données confidentielles dans la base de données : Création de modèles de données confidentielles

Pour plus de détails sur le repérage de données, reportez-vous à Présentation du repérage de données.

Masquage des données

Le masquage des données, également appelé masquage des données statiques, vous aide à remplacer les informations sensibles ou confidentielles de vos bases de données hors production par des données réalistes et entièrement fonctionnelles avec des caractéristiques similaires à celles des données d'origine. Data Safe est livré avec des formats de masquage prédéfinis pour chacun des types de confidentialité prédéfinis qui peuvent également être utilisés pour vos propres types de confidentialité.

Une fois que vous savez où les données confidentielles sont stockées dans la base de données (par exemple, après l'exécution du repérage de données dans Data Safe), vous pouvez commencer par créer une stratégie de masquage : Créer des stratégies de masquage

Une fois que vous avez créé une stratégie de masquage et copié la base de données de production, vous pouvez masquer la copie hors production : Masquer les données confidentielles sur une base de données cible

Vous trouverez plus de détails sur le masquage des données sous Présentation du masquage des données.

Audit d'activité

L'audit d'activité dans Oracle Data Safe permet de garantir la responsabilité et d'améliorer la conformité réglementaire. Avec l'audit d'activité, vous pouvez collecter et conserver les enregistrements d'audit conformément aux exigences de conformité sectorielle et réglementaire, et surveiller les activités utilisateur sur les bases de données Oracle à l'aide de rapports et d'alertes prédéfinis. Par exemple, vous pouvez effectuer un audit sur l'accès aux données confidentielles, sur les événements de sécurité, sur les activités des administrateurs et des utilisateurs, sur les activités recommandées par des réglementations de conformité (comme le CIS), ainsi que sur les activités définies par votre propre organisation.

Si vous utilisez la collecte d'audit dans Data Safe, jusqu'à 1 million d'enregistrements d'audit par base de données cible par mois sont inclus pour votre base de données Cloud@Customer.

Pour utiliser l'audit d'activité, démarrez la trace d'audit de la base de données cible dans Data Safe : Démarrage d'une trace d'audit

Une fois la piste d'audit démarrée, vous pouvez surveiller et analyser vos données d'audit à l'aide de rapports d'audit prédéfinis : Visualiser un rapport d'audit prédéfini ou personnalisé

Pour plus de détails sur l'audit d'activité, reportez-vous à Présentation de l'audit d'activité.

SQL Firewall*

Le pare-feu SQL dans Oracle Data Safe vous permet de gérer de manière centralisée les pare-feu SQL et fournit une vue complète des violations du pare-feu SQL sur l'ensemble du parc de vos bases de données cible. Data Safe vous permet de collecter les activités SQL autorisées d'un utilisateur de base de données que vous souhaitez protéger, de surveiller la progression de la collecte, de générer et d'activer la stratégie avec des listes d'autorisation d'instructions SQL et de chemins de connexion à la base de données approuvés.

Commencez par activer le pare-feu SQL dans la base de données cible 23ai : Activer le pare-feu SQL sur la base de données cible.

Vous devez ensuite générer et activer une stratégie de pare-feu SQL avec des listes d'autorisation pour l'utilisateur de base de données à protéger : Générer et appliquer des stratégies de pare-feu SQL.

Une fois que vous avez commencé à appliquer la stratégie SQL Firewall, vous pouvez surveiller et analyser les violations dans les rapports de violation prédéfinis : Visualiser et gérer les rapports de violation.

Pour plus d'informations sur SQL Firewall, reportez-vous à Présentation de SQL Firewall.

*SQL Firewall n'est disponible que pour les bases de données Oracle 23ai.