Documentation Oracle Cloud Infrastructure

Sécurité de vos journaux dans Log Analytics

Oracle Log Analytics fournit un transfert et un stockage de données sécurisés pour vos journaux. Le service s'appuie sur les différentes fonctionnalités de sécurité qui sont intrinsèquement disponibles dans Oracle Cloud Infrastructure (OCI) et les étend pour sécuriser vos journaux.

Sécurité des journaux en transit

Lorsque vos données sont en transit, toute la communication entre l'extérieur d'OCI et l'intérieur d'OCI se produit via le protocole https pour lequel la couche de cryptage est activée. Cela garantit la protection des données sensibles contre les attaques de phishing sur MitM.

Sécurité des journaux inactifs

Les fonctionnalités suivantes garantissent la sécurité de vos journaux lorsqu'ils sont inactifs dans OCI, qu'il s'agisse de données actives ou archivées :

  • Chiffrement côté serveur AES-256 : OCI chiffre et déchiffre toujours tous les volumes de blocs, les volumes d'initialisation, les sauvegardes de volume et le stockage d'objets côté serveur à l'aide de l'algorithme AES (Advanced Encryption Standard) avec un chiffrement de 256 bits. Reportez-vous à Cryptage Object Storage et à Cryptage de volume de blocs dans la documentation Oracle Cloud Infrastructure.

    Le cryptage est activé par défaut et ne peut pas être désactivé. Par défaut, Oracle gère la clé de cryptage maître.

  • Cryptage côté client AES/GCM 256 bits : les kits OCI SDK pour Python et SDK pour Java prennent en charge le cryptage côté client, qui chiffre vos données côté client avant de le stocker localement ou de l'utiliser avec d'autres services OCI. Reportez-vous à Documentation Oracle Cloud Infrastructure : cryptage côté client.

  • Clés de cryptage fournies par le client : Oracle Log Analytics vous permet d'utiliser votre propre clé de cryptage stockée dans OCI Vault pour crypter vos journaux. Une fois que vous avez soumis votre demande de cryptage à l'aide de vos propres clés en contactant le support technique Oracle, en fonction de la taille de vos données de journal, Oracle crée un volume de blocs ou un bucket de stockage d'objets dédié. Ainsi, vos données sont séparées et peuvent être cryptées de manière sélective.

    Lorsque vous activez la fonctionnalité, vous pouvez choisir d'utiliser votre clé de cryptage sur les volumes de blocs pour les données actives ou le stockage d'objets pour les données d'archivage.

    Pour plus d'informations, reportez-vous à Utilisation de votre propre clé de cryptage.

Utilisation de votre propre clé de cryptage

Les étapes suivantes fournissent le flux de travail permettant d'établir votre propre clé de cryptage et de l'utiliser dans Oracle Log Analytics.

Sujets :

Remarque

AVERTISSEMENT : Evitez la perte de données

Dans l'un des scénarios suivants, la collecte de données échoue et vos données dans Oracle Log Analytics sont perdues :

  • Si vous supprimez une ancienne clé ou une nouvelle clé alors que la rotation de la clé est en cours
  • Si vous supprimez la clé actuellement utilisée pour le cryptage
  • Si vous modifiez les stratégies IAM relatives au cryptage fourni par le client, les services Oracle Cloud ne pouvant pas accéder au stockage de données

Etapes d'utilisation de votre propre clé de cryptage avec Oracle Log Analytics

En procédant comme suit, vous pouvez utiliser votre propre clé de cryptage dans Oracle Log Analytics, confirmer les clés existantes et surveiller leur affectation à l'aide des commandes oci cli :

  1. Demander l'activation de la fonctionnalité :

    Contactez le support technique Oracle pour activer la fonctionnalité de clé de cryptage fournie par le client pour votre location. Déposer une demande de service à partir du portail de support Oracle Cloud.

    Passez aux étapes suivantes uniquement après qu'Oracle a confirmé que la fonctionnalité est activée.

  2. Créez ou sélectionnez une clé de cryptage dans OCI Vault :

    Accédez à OCI Security, puis sélectionnez Vault. Sélectionnez ou créez un coffre, puis créez ou sélectionnez la clé à utiliser. Grâce à OCI Vault, vous pouvez gérer les coffres, les clés et les clés secrètes. Reportez-vous à la documentation Oracle Cloud Infrastructure : gestion des clés.

    Remarque

    Utilisez uniquement la clé de chiffrement AES-256 (Advanced Encryption Standard) 256 bits pour les volumes de blocs (données de stockage actives). Reportez-vous à Clés de cryptage de volume de blocs

  3. Notez les informations de clé de cryptage :

    Localisez et copiez l'OCID de la clé sélectionnée dans le coffre, l'OCID du compartiment du coffre et l'OCID du compartiment dans lequel la clé doit être utilisée dans les étapes suivantes.

  4. Configurer les stratégies IAM requises :

    Assurez-vous que les instructions de stratégie IAM requises sont créées pour la gestion des clés, l'accès aux données à partir de vos ressources dédiées et l'utilisation de la clé de cryptage dans les journaux par Oracle Log Analytics. Reportez-vous à Autoriser l'utilisation des clés fournies par le client pour le cryptage des journaux.

  5. Affectez votre clé au stockage Oracle Log Analytics :

    Affectez votre clé à l'aide d'une demande oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Remplacez <key-id> par l'OCID de votre clé de cryptage.
    • Définissez <key_type> comme "ACTIVE_DATA" pour le stockage actif ou "ARCHIVAL_DATA" pour le stockage d'archivage.
    • Remplacez <namespace_name> par le nom de l'espace de noms de location.

    Notez l'ID de demande de travail de la réponse à la commande ci-dessus.

    Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à assign-encryption-key.

  6. Surveillez le statut d'affectation de la clé de cryptage :

    Pour suivre la progression, utilisez l'ID demande de travail de la réponse ci-dessus :

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Remplacez <work_request_id> par l'ID renvoyé par l'appel assign-encryption-key oci cli.
    • Remplacez <namespace_name> par le nom de l'espace de noms de location.
    • Vérifiez le statut et les détails de la réponse. L'affectation de clé est terminée lorsque le statut de la réponse est SUCCEEDED.

    Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à la section get-storage-work-request.

    Exemple de réponse: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

Une fois la fonctionnalité activée, vos anciennes données de journal qui résident à un autre emplacement continueront à être cryptées à l'aide de clés de cryptage gérées par OCI. Toutes les nouvelles données arrivant après l'activation seront cryptées à l'aide de votre propre clé de cryptage.

Liste des clés de cryptage de stockage

Vous pouvez vérifier quelles clés de cryptage sont associées à votre location Oracle Log Analytics à tout moment : 

oci log-analytics storage list-encryption-key-info --namespace-name <namespace_name>

Remplacez <namespace_name> par le nom de l'espace de noms de location.

Exemple de réponse JSON : 

[
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ACTIVE_DATA"
  },
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ARCHIVAL_DATA"
  }
]

Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à list-encryption-key-info.

Rotation des clés de cryptage de stockage

La rotation périodique de vos clés de cryptage est une bonne pratique pour renforcer la sécurité des données. Dans Oracle Log Analytics, vous pouvez effectuer la rotation de votre clé en affectant une nouvelle clé à l'aide de la commande assign-encryption-key oci cli. Les étapes ci-dessous montrent comment faire pivoter votre clé, surveiller la progression et nettoyer l'ancienne clé lorsque le processus est terminé.

  1. Préparez votre nouvelle clé de cryptage :

    Générez ou sélectionnez une nouvelle clé de cryptage dans OCI Vault.

    Remarque

    Utilisez uniquement la clé de chiffrement AES-256 (Advanced Encryption Standard) 256 bits pour les volumes de blocs (données de stockage actives). Reportez-vous à Clés de cryptage de volume de blocs

    Assurez-vous qu'Oracle Log Analytics dispose des stratégies IAM nécessaires pour utiliser la nouvelle clé. Reportez-vous à Autoriser l'utilisation des clés fournies par le client pour le cryptage des journaux.

  2. Affectez votre clé au stockage Oracle Log Analytics :

    Affectez votre clé à l'aide d'une demande oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Remplacez <key-id> par l'OCID de votre clé de cryptage.
    • Définissez <key_type> comme "ACTIVE_DATA" pour le stockage actif ou "ARCHIVAL_DATA" pour le stockage d'archivage.
    • Remplacez <namespace_name> par le nom de l'espace de noms de location.

    Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à assign-encryption-key.

  3. Surveillez le statut d'affectation de la clé de cryptage :

    Pour suivre la progression, utilisez l'ID demande de travail de la réponse ci-dessus :

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Remplacez <work_request_id> par l'ID renvoyé par l'appel assign-encryption-key oci cli.
    • Remplacez <namespace_name> par le nom de l'espace de noms de location.
    • Vérifiez le statut et les détails de la réponse. L'affectation de clé est terminée lorsque le statut de la réponse est SUCCEEDED.

    Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à la section get-storage-work-request.

    Exemple de réponse: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

  4. Enlevez l'ancienne clé :

    Assurez-vous que la rotation est terminée en vérifiant que la réponse à l'appel get-storage-work-request est SUCCEEDED. Après avoir vérifié que l'appel list-encryption-key-info affiche désormais uniquement la nouvelle clé, vous pouvez enlever l'ancienne clé d'OCI Vault en toute sécurité. Reportez-vous à Liste des clés de cryptage de stockage.

Conseils utiles pour la rotation des clés de cryptage dans Oracle Log Analytics

  • Les deux clés sont nécessaires lors de la rotation

    Lorsque vous lancez la rotation des clés, les anciennes et les nouvelles clés doivent rester actives et accessibles. L'ancienne clé garantit que les données chiffrées existantes peuvent être lues et rechiffrées avec la nouvelle clé.

  • Ajouter une nouvelle clé pour démarrer la rotation

    Commencez la rotation en ajoutant votre nouvelle clé de cryptage à l'aide de la commande assign-encryption-key oci cli. Reportez-vous à Rotation des clés de cryptage de stockage.

  • Aucun délai d'attente obligatoire après la fin de la rotation

    Vous n'avez pas besoin d'attendre un nombre de jours défini. Une fois la rotation de clé terminée, l'ancienne clé n'est plus nécessaire et peut être enlevée en toute sécurité d'OCI Vault.

  • Durée de rotation

    • Si l'archivage n'est pas activé :

      Type de clé ACTIVE_DATA : les données actives et les sauvegardes de données actives sont chiffrées avec la clé spécifiée et toutes deux font l'objet d'une rotation. La rotation de la sauvegarde de données active peut généralement prendre 1 To = heures, 10 To = jours, 100 To = semaines. Plus vous disposez de données, plus la rotation peut prendre du temps.

    • Si l'archivage est activé :

      Type de clé ACTIVE_DATA : seule la clé données actives fait l'objet d'une rotation. L'impact de la taille des données actives (10 To, 20 To, 100 To) n'est pas très significatif. La rotation se termine généralement rapidement (en minutes à une heure), quelle que soit la taille des données.

      Type de clé ARCHIVAL_DATA : seule la clé données d'archivage fait l'objet d'une rotation. La rotation des données d'archivage peut généralement prendre 1 To = heures, 10 To = jours, 100 To = semaines. Plus vous disposez de données, plus la rotation peut prendre du temps.

  • Pas de temps de conservation fixe pour l'ancienne clé

    • L'ancienne clé doit être conservée jusqu'à ce que toutes les données soient re-chiffrées avec la nouvelle clé et que la rotation soit confirmée comme terminée.

  • Comment surveiller la progression de la rotation

    L'opération d'affectation de clé de chiffrement est asynchrone. Après avoir soumis votre demande de rotation de clé, suivez la progression à l'aide de l'élément workRequestId renvoyé.

    Reportez-vous à Rotation des clés de cryptage de stockage.

    Lorsque la demande de travail se termine avec le statut SUCCEEDED et que l'appel list-encryption-key-info affiche désormais uniquement la nouvelle clé, vous pouvez supprimer l'ancienne clé en toute sécurité. Si la demande de travail échoue, vérifiez la réponse pour déterminer le motif de l'échec et incorporez le correctif. Pour accéder à l'aide, contactez le support Oracle.

  • Vérifier quelle clé est active

    Répertoriez les clés de cryptage en cours pour confirmer que la nouvelle clé est en cours d'utilisation.

    Reportez-vous à Liste des clés de cryptage de stockage.

    Assurez-vous que l'ancienne clé n'est plus répertoriée avant la suppression.

  • Conserver les deux clés accessibles

    Ne supprimez ou ne désactivez pas l'ancienne clé tant que la rotation n'est pas terminée et validée. La perte d'accès à l'ancienne clé pendant la rotation peut entraîner des problèmes d'accès aux données.

  • Tester avec des données plus petites en premier

    Si possible, envisagez une rotation de test sur un ensemble de données plus petit pour estimer le timing dans votre environnement OCI.

En résumé, gardez les deux clés disponibles pendant la rotation, surveillez la rotation du statut de la demande de travail, supprimez l'ancienne clé uniquement une fois l'opération terminée et attendez-vous à ce que la rotation de l'archive prenne plus de temps à mesure que la taille des données augmente. Vérifiez toujours l'état de la clé avant de procéder au nettoyage.

Revenir au cryptage géré par Oracle

Si vous rencontrez des problèmes d'évolutivité/de performances dus à la rotation des clés ou si vous ne parvenez pas à gérer le processus de gestion des clés, vous pouvez revenir au cryptage géré par Oracle. Contactez le support technique Oracle pour revenir au cryptage géré par Oracle pour votre location. Déposer une demande de service à partir du portail de support Oracle Cloud.

Autoriser l'utilisation de clés fournies par le client pour le cryptage des journaux

Oracle Log Analytics vous permet d'utiliser votre propre clé de cryptage stockée dans OCI Vault pour crypter vos journaux. Une fois que vous avez soumis votre demande de cryptage à l'aide de vos propres clés en contactant le support technique Oracle, en fonction de la taille de vos données de journal, Oracle crée des volumes de blocs dédiés et un bucket de stockage d'objets. Ainsi, vos données sont séparées et peuvent être cryptées de manière sélective.

Pour utiliser correctement vos clés pour crypter les données de journal, vous devez d'abord fournir les droits d'accès suivants aux différents services pour accéder aux clés et les utiliser :

  1. Définissez la location Log Analytics dans laquelle les données sont stockées, par exemple, logan_tenancy.

  2. Définissez un groupe dynamique de ressources qui peut être utilisé pour effectuer des opérations de cryptage, par exemple encr_app_tier_group_of_logan.

  3. Autorisez le service Block Storage à utiliser les clés de cryptage et les coffres stockés dans un compartiment spécifique de votre location, par exemple, le compartiment encryptionTier.

  4. Autorisez le service Object Storage à utiliser les clés de cryptage et les coffres stockés dans un compartiment spécifique de votre location, par exemple, le compartiment encryptionTier.

  5. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de cryptage aux volumes.

  6. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de cryptage à des sauvegardes de volume.

  7. Autorisez le groupe dynamique défini à l'étape 2 à utiliser la délégation de clés.

  8. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de cryptage aux buckets Object Storage.

  9. Autorisez le groupe dynamique défini à l'étape 2 à accéder en lecture à vos clés de cryptage.

  10. Autorisez le groupe dynamique défini à l'étape 2 à disposer d'un accès en lecture aux coffres.

Les exemples d'instructions de stratégie IAM suivants sont mis en correspondance avec les définitions ci-dessus :

Define tenancy logan_tenancy as <LOGAN_TENANCY_OCID>
Define dynamic-group encr_app_tier_group_of_logan as <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID>
allow service blockstorage to use keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
allow service objectstorage-<REGION_IDENTIFIER> to use keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID> with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment <CUSTOMER_KEY_COMPARTMENT_OCID>
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment <CUSTOMER_VAULT_COMPARTMENT_OCID>

Veillez à remplacer <LOGAN_TENANCY_OCID>, <REGION_IDENTIFIER>, <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID>, <CUSTOMER_KEY_COMPARTMENT_OCID> et <CUSTOMER_VAULT_COMPARTMENT_OCID> dans les instructions de stratégie IAM ci-dessus par les valeurs réelles.

Pour intégrer la région, collectez <LOGAN_TENANCY_OCID>, <LOGAN_APP_TIER_DYNAMIC_GROUP_OCID> à partir d'Oracle Log Analytics.

Pour obtenir la valeur de <REGION_IDENTIFIER>, reportez-vous à Régions et domaines de disponibilité.

<CUSTOMER_KEY_COMPARTMENT_OCID> est l'OCID de compartiment dans lequel la clé est située. <CUSTOMER_VAULT_COMPARTMENT_OCID> est l'OCID du compartiment dans lequel vous avez créé le coffre pour stocker les clés. Vous avez noté les OCID de compartiment dans step3 dans Etapes d'utilisation de votre propre clé de cryptage avec Oracle Log Analytics.