Documentation Oracle Cloud Infrastructure

Mesures de sécurité

Oracle considère la sécurité du cloud comme sa priorité absolue, et les responsabilités de sécurité sont partagées entre Oracle et vous.

Oracle et Vos responsabilités

Oracle évalue régulièrement les mises à jour de correctifs critiques et les correctifs d'alerte de sécurité, ainsi que les correctifs tiers pertinents dès qu'ils sont disponibles et applique les correctifs concernés conformément aux processus de gestion des changements applicables. Les vulnérabilités de sécurité sont corrigées régulièrement.

Vous devez effectuer les opérations suivantes :

  • Suivez les vulnérabilités et effectuez régulièrement des analyses de sécurité et des évaluations de sécurité sur les systèmes de base de données HeatWave.
  • Lisez et évaluez les informations relatives aux mises à jour des correctifs critiques, aux alertes de sécurité et aux bulletins. Reportez-vous à Alertes de sécurité.
  • Appliquer des mises à niveau logicielles critiques et des mesures correctives.
  • Si vous avez besoin d'informations supplémentaires qui ne sont pas traitées, soumettez une demande d'assistance dans le système de support que vous avez désigné. Reportez-vous à Création d'une demande d'assistance.

Fonctionnalités de sécurité

Oracle vous fournit diverses fonctionnalités telles que le cryptage en transit, le masquage des données et le plan de suppression pour assurer la sécurité des données.

Tableau 3-1 Caractéristiques de sécurité

Caractéristique Meilleure pratique
Contrôle d'accès et gestion de comptes de base de données Utilisez les fonctionnalités de sécurité de MySQL pour contrôler l'accès et gérer votre compte. Reportez-vous à Contrôle d'accès et gestion de comptes.
Service d'audit OCI Utilisez OCI Audit Service pour enregistrer automatiquement les appels vers toutes les adresses d'API publiques prises en charge dans votre location en tant qu'événements de journal. Les événements de journal contiennent des détails tels que la source, la cible ou l'heure à laquelle l'activité d'API a eu lieu. Reportez-vous à Affichage des journaux Audit Service et à Présentation d'Audit.
Module d'extension d'audit MySQL Enterprise Utilisez le module d'extension Audit MySQL Enterprise pour générer un fichier journal contenant un enregistrement d'audit de l'activité du serveur. Le contenu du journal inclut le moment où les clients se connectent et se déconnectent, ainsi que les actions qu'ils effectuent lorsqu'ils sont connectés, telles que les bases de données et les tables auxquelles ils accèdent. Vous pouvez ajouter des statistiques pour l'heure et la taille de chaque requête afin de détecter les valeurs aberrantes. Par défaut, les journaux de module d'extension d'audit sont désactivés et vous devez définir des filtres pour activer la journalisation de tous les événements auditables pour tous les utilisateurs. Reportez-vous à Privilèges MySQL par défaut et à Module d'extension d'audit MySQL Enterprise.
Module d'extension authentication_oci Utilisez le module d'extension MySQL authentication_oci pour mettre en correspondance des utilisateurs MySQL avec des utilisateurs et des groupes existants définis dans le service IAM. Reportez-vous à Authentification à l'aide du module d'extension authentication_oci.
Module d'extension connection-control Par défaut, le service HeatWave prend en charge le module d'extension connection-control qui ralentit les attaques par force brute contre les comptes utilisateur MySQL. Reportez-vous à Modules d'extension et composants.
Chiffrement des données inactives Les données inactives sont toujours cryptées avec les clés gérées par Oracle ou les clés fournies par le client. Reportez-vous à Sécurité des données.
Chiffrement en transit Vous pouvez utiliser un cryptage en transport pour un utilisateur donné afin de sécuriser les données. Reportez-vous à Sécurité des données.
Masquage des données Utilisez le masquage des données pour protéger les données confidentielles. Reportez-vous à Masquage des données.
Plan de suppression Utilisez un plan de suppression pour protéger le système de base de données des opérations de suppression. Reportez-vous à Option avancée : Plan de suppression.
Identity and Access Management En tant qu'administrateur de la sécurité, affectez des privilèges minimaux aux utilisateurs. Utilisez des stratégies IAM pour contrôler l'accès aux ressources MySQL et leur utilisation. Reportez-vous à Stratégies IAM.
Certificat de sécurité Un certificat de sécurité est un document numérique qui atteste que son sujet est le propriétaire de la clé publique qu'il contient. Vous pouvez laisser le service HeatWave définir un certificat de sécurité ou utiliser votre propre certificat dans Oracle Cloud Infrastructure. Reportez-vous à Option avancée : Connexions.
Composant validate_password HeatWave Le service applique des mots de passe renforcés avec le composant validate_password. Assurez-vous que vos applications respectent les exigences de mot de passe. Reportez-vous à Modules d'extension et composants.
Réseau cloud virtuel
  • Configurez des groupes de sécurité réseau ou des listes de sécurité du réseau cloud virtuel afin de limiter les adresses IP publiques autorisées à une seule adresse IP ou à une petite plage d'adresses IP. Reportez-vous à Création d'un réseau cloud virtuel.
  • Configurez le système de base de données MySQL pour qu'il utilise des sous-réseaux privés de votre VCN. Pour vous connecter au système de base de données MySQL à partir d'un réseau externe, utilisez une session de bastion ou une connexion VPN. Si vous ne pouvez vous connecter au système de base de données que via Internet, limitez les adresses IP publiques autorisées à une seule adresse IP ou à une petite plage d'adresses IP, et utilisez le cryptage en transit. Reportez-vous à Equilibreur de charge réseau.