Documentation Oracle Cloud Infrastructure

Sécurité des journaux dans Logging Analytics

Oracle Logging Analytics fournit un stockage et un transfert de données sécurisés pour vos journaux. Le service tire parti des différentes fonctionnalités de sécurité intrinsèquement disponibles dans Oracle Cloud Infrastructure (OCI) et les étend pour sécuriser vos journaux.

Sécurité des journaux en transit

Lorsque vos données sont en transit, toutes les communications de l'extérieur d'OCI vers l'intérieur d'OCI se font via le protocole https dont la couche de cryptage est activée. Cela garantit la protection des données sensibles contre les attaques de phishing MitM.

Sécurité des journaux inactifs

Les fonctionnalités suivantes garantissent la sécurité de vos journaux lorsqu'ils sont inactifs dans OCI, qu'il s'agisse de données actives ou archivées :

  • Cryptage côté serveur AES-256 : OCI crypte et décrypte toujours tous les volumes de blocs, les volumes d'initialisation, les sauvegardes de volume et le stockage d'objets côté serveur à l'aide de l'algorithme AES (Advanced Encryption Standard) avec cryptage de 256 bits. Reportez-vous à Cryptage Object Storage et à Cryptage de volume de blocs dans la documentation Oracle Cloud Infrastructure.

    Le cryptage est activé par défaut et ne peut pas être désactivé. Par défaut, Oracle gère la clé de cryptage maître.

  • Cryptage côté client AES/GCM 256 bits : les SDK pour Python et SDK pour Java OCI prennent en charge le cryptage côté client, qui crypte vos données côté client avant de les stocker en local ou de les utiliser avec d'autres services OCI. Reportez-vous à Documentation Oracle Cloud Infrastructure : cryptage côté client.

  • Clés de cryptage fournies par le client : Oracle Logging Analytics vous permet d'utiliser votre propre clé de cryptage stockée dans OCI Vault pour crypter vos journaux. Une fois que vous avez effectué votre demande de cryptage à l'aide de vos propres clés en contactant le support technique Oracle, en fonction de la taille des données de journal, Oracle crée un bucket de stockage d'objets ou de volume de blocs dédié. Cela garantit que vos données sont séparées et peuvent être cryptées de manière sélective.

    Lorsque vous activez la fonctionnalité, vous pouvez choisir d'utiliser votre clé de cryptage sur les volumes de blocs pour les données actives ou le stockage d'objets pour les données d'archivage.

    Pour plus d'informations, reportez-vous à Utilisation de votre propre clé de cryptage.

Utilisation de votre propre clé de cryptage

Les étapes suivantes fournissent le flux de travail pour établir votre propre clé de cryptage et l'utiliser dans Oracle Logging Analytics.

Sujets :

Remarque

AVERTISSEMENT : Evitez la perte de données

Dans l'un des scénarios suivants, la collecte de données échoue et vos données dans Oracle Logging Analytics sont perdues :

  • Si vous supprimez une ancienne clé ou une nouvelle clé alors que la rotation de la clé est en cours
  • Si vous supprimez la clé actuellement utilisée pour le cryptage
  • Si vous modifiez les stratégies IAM relatives au cryptage fourni par le client, les services Oracle Cloud ne pouvant pas accéder au stockage de données

Etapes d'utilisation de votre propre clé de cryptage avec Oracle Logging Analytics

En procédant comme suit, vous pouvez utiliser votre propre clé de cryptage dans Oracle Logging Analytics, confirmer les clés existantes et surveiller leur affectation à l'aide des commandes oci cli :

  1. Demander l'activation de la fonctionnalité :

    Contactez le support technique Oracle pour activer la fonctionnalité de clé de cryptage fournie par le client pour votre location. Déposer une demande de service à partir du portail de support Oracle Cloud.

    Passez aux étapes suivantes uniquement après qu'Oracle a confirmé que la fonctionnalité est activée.

  2. Configurer les stratégies IAM requises :

    Assurez-vous que les instructions de stratégie IAM requises sont créées pour la gestion des clés, l'accès aux données à partir de vos ressources dédiées et l'utilisation de la clé de cryptage dans les journaux par Oracle Logging Analytics. Reportez-vous à Autoriser l'utilisation des clés fournies par le client pour le cryptage des journaux.

  3. Créez ou sélectionnez une clé de cryptage dans OCI Vault :

    Accédez à OCI Security, puis sélectionnez Vault. Sélectionnez ou créez un coffre, puis créez ou sélectionnez la clé à utiliser. Grâce à OCI Vault, vous pouvez gérer les coffres, les clés et les clés secrètes. Reportez-vous à la documentation Oracle Cloud Infrastructure : gestion des clés.

    Remarque

    Utilisez uniquement la clé de chiffrement AES-256 (Advanced Encryption Standard) 256 bits pour les volumes de blocs (données de stockage actives). Reportez-vous à Clés de cryptage de volume de blocs

  4. Notez l'OCID de clé de cryptage :

    Localisez et copiez l'OCID de la clé sélectionnée dans le coffre pour l'utiliser dans les étapes suivantes.

  5. Affectez votre clé au stockage Oracle Logging Analytics :

    Affectez votre clé à l'aide d'une demande oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Remplacez <key-id> par l'OCID de votre clé de cryptage.
    • Définissez <key_type> comme "ACTIVE_DATA" pour le stockage actif ou "ARCHIVAL_DATA" pour le stockage d'archivage.
    • Remplacez <namespace_name> par le nom de l'espace de noms de location.

    Notez l'ID de demande de travail de la réponse à la commande ci-dessus.

    Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à assign-encryption-key.

  6. Surveillez le statut d'affectation de la clé de cryptage :

    Pour suivre la progression, utilisez l'ID demande de travail de la réponse ci-dessus :

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Remplacez <work_request_id> par l'ID renvoyé par l'appel assign-encryption-key oci cli.
    • Remplacez <namespace_name> par le nom de l'espace de noms de location.
    • Vérifiez le statut et les détails de la réponse. L'affectation de clé est terminée lorsque le statut de la réponse est SUCCEEDED.

    Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à la section get-storage-work-request.

    Exemple de réponse: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

Une fois la fonctionnalité activée, vos anciennes données de journal qui résident à un autre emplacement continueront à être cryptées à l'aide de clés de cryptage gérées par OCI. Toutes les nouvelles données arrivant après l'activation seront cryptées à l'aide de votre propre clé de cryptage.

Liste des clés de cryptage de stockage

Vous pouvez vérifier quelles clés de cryptage sont associées à votre location Oracle Logging Analytics à tout moment : 

oci log-analytics storage list-encryption-key-info --namespace-name <namespace_name>

Remplacez <namespace_name> par le nom de l'espace de noms de location.

Exemple de réponse JSON : 

[
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ACTIVE_DATA"
  },
  {
    "keyId": "ocid1.key.oc1..xxxxx",
    "keySource": "CUSTOMER_MANAGED",
    "keyType": "ARCHIVAL_DATA"
  }
]

Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à list-encryption-key-info.

Rotation des clés de cryptage de stockage

La rotation périodique de vos clés de cryptage est une bonne pratique pour renforcer la sécurité des données. Dans Oracle Logging Analytics, vous pouvez effectuer une rotation de clé en en affectant une nouvelle clé à l'aide de la commande assign-encryption-key oci cli. Les étapes ci-dessous montrent comment faire pivoter votre clé, surveiller la progression et nettoyer l'ancienne clé lorsque le processus est terminé.

  1. Préparez votre nouvelle clé de cryptage :

    Générez ou sélectionnez une nouvelle clé de cryptage dans OCI Vault.

    Remarque

    Utilisez uniquement la clé de chiffrement AES-256 (Advanced Encryption Standard) 256 bits pour les volumes de blocs (données de stockage actives). Reportez-vous à Clés de cryptage de volume de blocs

    Assurez-vous qu'Oracle Logging Analytics dispose des stratégies IAM nécessaires pour utiliser la nouvelle clé. Reportez-vous à Autoriser l'utilisation des clés fournies par le client pour le cryptage des journaux.

  2. Affectez votre clé au stockage Oracle Logging Analytics :

    Affectez votre clé à l'aide d'une demande oci cli. 

    oci log-analytics storage assign-encryption-key --key-id <key-id> --key-type <key_type> --namespace-name <namespace_name>
    • Remplacez <key-id> par l'OCID de votre clé de cryptage.
    • Définissez <key_type> comme "ACTIVE_DATA" pour le stockage actif ou "ARCHIVAL_DATA" pour le stockage d'archivage.
    • Remplacez <namespace_name> par le nom de l'espace de noms de location.

    Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à assign-encryption-key.

  3. Surveillez le statut d'affectation de la clé de cryptage :

    Pour suivre la progression, utilisez l'ID demande de travail de la réponse ci-dessus :

    oci log-analytics storage get-storage-work-request --namespace-name <namespace_name> --work-request-id <work_request_id>
    • Remplacez <work_request_id> par l'ID renvoyé par l'appel assign-encryption-key oci cli.
    • Remplacez <namespace_name> par le nom de l'espace de noms de location.
    • Vérifiez le statut et les détails de la réponse. L'affectation de clé est terminée lorsque le statut de la réponse est SUCCEEDED.

    Pour plus d'informations sur la commande, les paramètres et les exemples de la CLI, reportez-vous à la section get-storage-work-request.

    Exemple de réponse: 

    {
  "compartmentId": "ocid1.tenancy.oc1..xxxxx",
  "id": "ocid1.loganalyticsstorageworkrequest.oc1.xxxxx",
  "operationDetails": "Encryption Completed",
  "operationType": "ENCRYPT_ACTIVE_DATA",
  "percentComplete": 100,
  "status": "SUCCEEDED",
  "statusDetails": "ENCRYPTED",
  "timeAccepted": "2025-05-30T18:29:05.153+00:00",
  "timeExpires": null,
  "timeFinished": "2025-05-30T18:30:27.980+00:00",
  "timeStarted": "2025-05-30T18:30:23.054+00:00"
}

  4. Enlevez l'ancienne clé :

    Assurez-vous que la rotation est terminée en vérifiant que la réponse à l'appel get-storage-work-request est SUCCEEDED. Après avoir vérifié que l'appel list-encryption-key-info affiche désormais uniquement la nouvelle clé, vous pouvez enlever l'ancienne clé d'OCI Vault en toute sécurité. Reportez-vous à Liste des clés de cryptage de stockage.

Conseils utiles pour la rotation des clés de cryptage dans Oracle Logging Analytics

  • Les deux clés sont nécessaires lors de la rotation

    Lorsque vous lancez la rotation des clés, les anciennes et les nouvelles clés doivent rester actives et accessibles. L'ancienne clé garantit que les données chiffrées existantes peuvent être lues et rechiffrées avec la nouvelle clé.

  • Ajouter une nouvelle clé pour démarrer la rotation

    Commencez la rotation en ajoutant votre nouvelle clé de cryptage à l'aide de la commande assign-encryption-key oci cli. Reportez-vous à Rotation des clés de cryptage de stockage.

  • Aucun délai d'attente obligatoire après la fin de la rotation

    Vous n'avez pas besoin d'attendre un nombre de jours défini. Une fois la rotation de clé terminée, l'ancienne clé n'est plus nécessaire et peut être enlevée en toute sécurité d'OCI Vault.

  • Durée de rotation

    • Si l'archivage n'est pas activé :

      Type de clé ACTIVE_DATA : les données actives et les sauvegardes de données actives sont chiffrées avec la clé spécifiée et toutes deux font l'objet d'une rotation. La rotation de la sauvegarde de données active peut généralement prendre 1 To = heures, 10 To = jours, 100 To = semaines. Plus vous disposez de données, plus la rotation peut prendre du temps.

    • Si l'archivage est activé :

      Type de clé ACTIVE_DATA : seule la clé données actives fait l'objet d'une rotation. L'impact de la taille des données actives (10 To, 20 To, 100 To) n'est pas très significatif. La rotation se termine généralement rapidement (en minutes à une heure), quelle que soit la taille des données.

      Type de clé ARCHIVAL_DATA : seule la clé données d'archivage fait l'objet d'une rotation. La rotation des données d'archivage peut généralement prendre 1 To = heures, 10 To = jours, 100 To = semaines. Plus vous disposez de données, plus la rotation peut prendre du temps.

  • Pas de temps de conservation fixe pour l'ancienne clé

    • L'ancienne clé doit être conservée jusqu'à ce que toutes les données soient re-chiffrées avec la nouvelle clé et que la rotation soit confirmée comme terminée.

  • Comment surveiller la progression de la rotation

    L'opération d'affectation de clé de chiffrement est asynchrone. Après avoir soumis votre demande de rotation de clé, suivez la progression à l'aide de l'élément workRequestId renvoyé.

    Reportez-vous à Rotation des clés de cryptage de stockage.

    Lorsque la demande de travail se termine avec le statut SUCCEEDED et que l'appel list-encryption-key-info affiche désormais uniquement la nouvelle clé, vous pouvez supprimer l'ancienne clé en toute sécurité. Si la demande de travail échoue, vérifiez la réponse pour déterminer le motif de l'échec et incorporez le correctif. Pour accéder à l'aide, contactez le support Oracle.

  • Vérifier quelle clé est active

    Répertoriez les clés de cryptage en cours pour confirmer que la nouvelle clé est en cours d'utilisation.

    Reportez-vous à Liste des clés de cryptage de stockage.

    Assurez-vous que l'ancienne clé n'est plus répertoriée avant la suppression.

  • Conserver les deux clés accessibles

    Ne supprimez ou ne désactivez pas l'ancienne clé tant que la rotation n'est pas terminée et validée. La perte d'accès à l'ancienne clé pendant la rotation peut entraîner des problèmes d'accès aux données.

  • Tester avec des données plus petites en premier

    Si possible, envisagez une rotation de test sur un ensemble de données plus petit pour estimer le timing dans votre environnement OCI.

En résumé, gardez les deux clés disponibles pendant la rotation, surveillez la rotation du statut de la demande de travail, supprimez l'ancienne clé uniquement une fois l'opération terminée et attendez-vous à ce que la rotation de l'archive prenne plus de temps à mesure que la taille des données augmente. Vérifiez toujours l'état de la clé avant de procéder au nettoyage.

Revenir au cryptage géré par Oracle

Si vous rencontrez des problèmes d'évolutivité/de performances dus à la rotation des clés ou si vous ne parvenez pas à gérer le processus de gestion des clés, vous pouvez revenir au cryptage géré par Oracle. Contactez le support technique Oracle pour revenir au cryptage géré par Oracle pour votre location. Déposer une demande de service à partir du portail de support Oracle Cloud.

Autoriser l'utilisation de clés fournies par le client pour le cryptage des journaux

Oracle Logging Analytics vous permet d'utiliser votre propre clé de cryptage stockée dans OCI Vault pour crypter vos journaux. Une fois que vous avez soumis votre demande de cryptage à l'aide de vos propres clés en contactant le support technique Oracle, en fonction de la taille de vos données de journal, Oracle crée des volumes de blocs dédiés et un bucket de stockage d'objets. Ainsi, vos données sont séparées et peuvent être cryptées de manière sélective.

Pour que vos clés puissent être utilisées pour chiffrer les données de journal, vous devez d'abord fournir les droits d'accès suivants aux différents services afin d'accéder aux clés et de les utiliser :

  1. Définissez la location Logging Analytics dans laquelle les données sont stockées, par exemple, logan_tenancy.

  2. Définissez un groupe dynamique de ressources pouvant être utilisé pour effectuer des opérations de cryptage, par exemple, encr_app_tier_group_of_logan.

  3. Autorisez le service Block Storage à utiliser les clés de cryptage et les coffres stockés dans un compartiment spécifique de votre location, par exemple, le compartiment encryptionTier.

  4. Autorisez le service Object Storage à utiliser les clés de cryptage et les coffres stockés dans un compartiment spécifique de votre location, par exemple, le compartiment encryptionTier.

  5. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de cryptage aux volumes.

  6. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de cryptage à des sauvegardes de volume.

  7. Autorisez le groupe dynamique défini à l'étape 2 à utiliser la délégation de clés.

  8. Autorisez le groupe dynamique défini à l'étape 2 à associer vos clés de cryptage aux buckets Object Storage.

  9. Autorisez le groupe dynamique défini à l'étape 2 à accéder en lecture à vos clés de cryptage.

  10. Autorisez le groupe dynamique défini à l'étape 2 à disposer d'un accès en lecture aux coffres.

Les exemples d'instructions de stratégie IAM suivants sont mis en correspondance avec les définitions ci-dessus :

Define tenancy logan_tenancy as ocid1.tenancy.oc1..aaaaaaaa...
Define dynamic-group encr_app_tier_group_of_logan as ocid1.dynamicgroup.oc1..aaaaaaaa...
allow service blockstorage to use keys in compartment encryptionTier
allow service objectstorage to use keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volumes in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with volume-backups in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to use key-delegate in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to associate keys in compartment encryptionTier with buckets in tenancy logan_tenancy
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read keys in compartment encryptionTier
Admit dynamic-group encr_app_tier_group_of_logan of tenancy logan_tenancy to read vaults in compartment encryptionTier

Veillez à remplacer logan_tenancy, encr_app_tier_group_of_logan, encryptionTier et les exemples d'OCID dans les instructions de stratégie IAM ci-dessus par les valeurs réelles.