Fonctionnalités de sécurité dans Autonomous AI Database sur une infrastructure Exadata dédiée
Cet article décrit les principales fonctionnalités de sécurité de la base de données Autonomous AI sur une infrastructure Exadata dédiée.
Notez que tout au long de cette section, le terme "vous" est généralement utilisé pour désigner tout administrateur de votre organisation qui a la responsabilité d'effectuer certaines tâches. Dans certains cas, il s'agit de l'administrateur de parc, dans d'autres, il s'agit de l'administrateur de base de données.
Outre les fonctionnalités de sécurité standard d'Oracle AI Database, telles que l'analyse des privilèges, le cryptage réseau, les utilisateurs gérés de manière centralisée, les rôles d'application sécurisés, la protection transparente des données confidentielles et autres, une base de données d'IA autonome dédiée ajoute Database Vault, Data Safe et d'autres fonctionnalités de sécurité avancées sans frais supplémentaires.
Vous pouvez voir les éléments de base des principales fonctionnalités de sécurité d'une base de données d'IA autonome dédiée illustrée ci-dessous.
Description de l'illustration adbd-security-features.svg
Gestion de configurations
Basée sur Oracle Cloud Infrastructure, Autonomous AI Database fournit des configurations d'IA standard renforcées afin que vous et votre équipe n'ayez pas à consacrer beaucoup de temps et d'argent à gérer des configurations sur l'ensemble du parc de bases de données autonomes. Tous les comptes de service tels que SYS et System font l'objet d'une rotation tous les 90 jours. Pour plus d'informations, reportez-vous à Gestion de la configuration dans la base de données Autonomous AI.
Les mises à jour et les patches de sécurité sont appliqués automatiquement. Vous n'avez donc pas à vous préoccuper du maintien à jour de la sécurité. Ces fonctions protègent vos bases de données et données hautement confidentielles contre des violations et des vulnérabilités coûteuses et potentiellement désastreuses du niveau de la sécurité. Pour plus de détails, reportez-vous à Maintenance de service de la base de données d'IA autonome dédiée.
Cryptage des données
Autonomous AI Database stocke toutes les données dans Oracle Database dans un format crypté. Seuls les utilisateurs et les applications authentifiés peuvent accéder aux données lorsqu'ils se connectent à la base de données.
Autonomous AI Database utilise une méthode de cryptage permanente qui protège les données au repos et en transit. Toutes les données stockées dans Oracle Cloud et les communications réseau avec Oracle Cloud sont cryptées par défaut. Vous ne pouvez pas désactiver le cryptage.
Pour plus de détails sur le cryptage des données et les clés de cryptage maître, reportez-vous à Cryptage des données dans une base de données d'IA autonome dédiée.
Audit
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure offre des fonctions d'audit robustes qui vous permettent de suivre qui a effectué quelle étape sur le service et sur des bases d'informations spécifiques. Grâce aux données de journal complètes, vous pouvez auditer et surveiller les actions réalisées sur les ressources afin de répondre à vos exigences en matière d'audit tout en réduisant les risques opérationnels et de sécurité.
Pour plus de détails, reportez-vous à Capacités d'audit dans une base de données d'IA autonome dédiée.
Contrôle d'accès
Lors de la configuration de la fonctionnalité d'infrastructure Exadata dédiée, vous devez vous assurer que l'utilisateur cloud est autorisé à employer et de créer uniquement les types de ressources cloud appropriés pour réaliser son travail. Par ailleurs, vous devez faire en sorte que seuls le personnel et les applications autorisés aient accès aux bases de données IA autonomes créées sur l'infrastructure dédiée. Sinon, vous risquez une consommation incontrôlée de vos ressources de l'infrastructure dédiée ou un accès inapproprié aux données stratégiques.
La sécurisation de l'accès aux données et aux bases de données qui les contiennent comprend plusieurs types de contrôle d'accès. Pour plus de détails, reportez-vous à Contrôle d'accès au sein d'une base de données d'IA autonome dédiée.
Gestion des certificats
Lorsqu'un client tente de se connecter à une base de données Autonomous AI via un service de connexion de base de données TCPS (TCP sécurisé), Oracle Autonomous AI Database on Dedicated Exadata Infrastructure utilise l'authentification basée sur un certificat TLS 1.2 et TLS 1.3 standard pour authentifier la connexion. Cependant, TLS 1.3 n'est pris en charge que sur Oracle AI Database 23ai ou version ultérieure. Que le client tente de se connecter via un service TCPS ou TCP, son accès à la base des données est limité par les droits d'accès du client que le client utilise pour se connecter.
Certificat auto-signé géré par Oracle
Par défaut, Autonomous AI Database utilise des certificats auto-signés. Un certificat auto-signé est un certificat de sécurité généré par le système.
Génération de certificat
Les certificats autosignés gérés par Oracle sont générés automatiquement lors du provisionnement d'un cluster de machines virtuelles Exadata Autonomous et s'appliquent à toutes les bases de données créées dans ce cluster.
Gestion des certificats
Les certificats autosignés sont générés et associés automatiquement à un AVMC. Toutefois, vous devez télécharger le portefeuille client de base de données Autonomous AI avant de vous connecter à vos bases de données. Avec les certificats auto-signés, la connexion aux bases de données sans portefeuille n'est pas une option. Pour obtenir des instructions sur le téléchargement d'un portefeuille pour la base de données, reportez-vous à Téléchargement des informations d'identification client.
Selon les exigences, l'un des types de certificat suivants est associé à votre AVMC :
-
Certificat SSL de base de données : certificat SSL pour les connexions de client de base de données.
-
Certificat SSL ORDS : certificat SSL pour les applications Application Express (APEX).
Rotation du certificat
Pour répondre aux besoins de votre entreprise en matière de conformité en matière de sécurité, vous pouvez effectuer une rotation des certificats autosignés gérés par Oracle à l'aide de l'API ou de la console Oracle Cloud Infrastructure (OCI). Pour obtenir des instructions détaillées, reportez-vous à Gestion des certificats de sécurité pour une ressource de cluster de machines virtuelles Exadata Autonomous. C'est ce qu'on appelle la rotation des certificats.
Pour les ressources de cluster de machines virtuelles Exadata Autonomous (AVMC) nouvellement provisionnées, les certificats autosignés gérés par Oracle ont une validité de 13 mois à compter de leur création. La rotation d'un certificat SSL à l'aide de la console ou de l'API fait pivoter les certificats côté serveur et côté client et réinitialise leur validité à 13 mois. Lorsqu'un certificat géré par Oracle côté serveur ou côté client n'est pas soumis à une rotation avant son expiration, Oracle les fait pivoter automatiquement et génère de nouveaux portefeuilles.
Dans le cas de certificats SSL de base de données, la rotation des certificats n'invalide pas immédiatement le certificat existant.
Dans les deux semaines suivant la rotation du certificat, vous pouvez vous connecter à vos bases de données à l'aide du portefeuille client de base de données Autonomous AI que vous avez téléchargé avant ou après la rotation du certificat.
Après deux semaines de rotation du certificat :
-
Le portefeuille de base de données téléchargé avant la rotation du certificat est invalidé et ne peut pas être utilisé pour la connexion aux bases de données.
-
Le portefeuille de base de données téléchargé dans les deux semaines à partir de la rotation du certificat reste actif et peut être utilisé pour la connexion aux bases de données.
-
Tout nouveau portefeuille de base de données téléchargé après deux semaines à partir de la rotation de certificat peut être utilisé pour la connexion à vos bases de données.
Parlons-en avec un exemple :
Supposons qu'un certificat SSL, par exemple C1, expire et que vous ayez effectué une rotation de ce certificat le 1er février. Pendant deux semaines à partir du 1er février, que jusqu'au 14 février, l'ancien certificat (C1) est toujours disponible. Vous pouvez continuer à utiliser l'ancien certificat (C1) ou télécharger un nouveau portefeuille de base de données pour le certificat faisant l'objet d'une rotation (C2) pour les connexions de base de données. Après deux semaines à partir du 1er février, c'est-à-dire à partir du 14 février, l'ancien certificat (C1) est invalidé et ne peut pas être utilisé pour les connexions à la base de données. Vous pouvez continuer à utiliser le portefeuille de base de données que vous avez téléchargé après la rotation du certificat (C2) au cours de ces deux semaines. Vous pouvez également télécharger un nouveau portefeuille de base de données et commencer à l'utiliser pour vos connexions de base de données après deux semaines de rotation.
Vous pouvez également effectuer la rotation d'un certificat SSL de base de données dans les deux semaines suivant sa dernière rotation. Dans ce scénario, l'ancien certificat (sur le point d'être invalidé en raison de la première rotation) est désactivé immédiatement. Le certificat suivant (résultant de la première rotation) reste actif et un troisième certificat (résultant de la deuxième rotation) attend l'activation pendant deux semaines à partir de la deuxième rotation. Tout portefeuille de base de données téléchargé avant la première rotation est invalidé peu après la deuxième rotation. Vous pouvez continuer à vous connecter à la base de données avec n'importe quel portefeuille de base de données téléchargé après la première rotation jusqu'à deux semaines après la deuxième rotation. Après deux semaines à compter de la deuxième rotation, vous pouvez uniquement vous connecter à vos bases de données à l'aide d'un portefeuille client téléchargé après la deuxième rotation, c'est-à-dire un portefeuille téléchargé dans les deux semaines suivant la deuxième rotation ou ultérieurement.
Dans l'exemple ci-dessus, si vous effectuez une nouvelle rotation du même certificat (C1) dans les deux semaines à partir du 1er février, le certificat subit une double rotation. Dans ce cas, l'ancien certificat (certificat avant la première rotation, c'est-à-dire C1) est invalidé immédiatement. Le certificat résultant de la première rotation (C2) reste actif et un troisième certificat résultant de la deuxième rotation, par exemple C3, attend l'activation pendant deux semaines à compter de la deuxième rotation. Après deux semaines à compter de la deuxième rotation, le certificat résultant de la première rotation (C2) est également invalidé et les portefeuilles de base de données téléchargés avant la deuxième rotation ne peuvent pas être utilisés pour les connexions de base de données. Vous pouvez continuer à utiliser le portefeuille de base de données que vous avez téléchargé après la rotation du certificat (C3) au cours de ces deux semaines. Vous pouvez également télécharger un nouveau portefeuille de base de données et commencer à l'utiliser pour vos connexions de base de données après deux semaines à compter de la deuxième rotation.
Dans le cas des certificats SSL ORDS, toutes les connexions d'application existantes sont perdues avec la rotation du certificat et il est conseillé de redémarrer ORDS. La période tampon de deux semaines décrite ci-dessus ne s'applique pas lorsque vous effectuez la rotation d'un certificat SSL ORDS.
Utilisation de votre propre chèque-cadeau (BYOC)
L'utilisation de votre propre certificat (BYOC) vous permet d'utiliser votre certificat côté serveur signé par l'autorité de certification avec vos bases de données Autonomous AI.
Génération de certificat
Pour utiliser votre propre certificat, vous devez d'abord créer le certificat à l'aide du service de certificat Oracle Cloud Infrastructure (OCI), comme indiqué dans Création d'un certificat. Ces certificats doivent être signés et doivent être au format PEM, c'est-à-dire que leur extension de fichier doit être .pem, .cer ou .crt uniquement.
Installation du certificat
Après avoir créé le certificat côté serveur signé par une autorité de certification, vous devez l'installer avec votre AVMC afin que toutes les bases de données qui y sont créées puissent utiliser ce certificat pour des connexions sécurisées. L'association de votre certificat BYOC à une instance AVMC est facilitée à partir de la boîte de dialogue Gérer les certificats sur la console OCI. Dans cette boîte de dialogue, choisissez Apportez votre propre certificat et sélectionnez le certificat que vous auriez créé précédemment dans la liste de sélection. Vous pouvez également spécifier un certificat CA avec une autorité de certification et un package d'autorité de certification. Toutefois, si vous sélectionnez un package d'autorité de certification pour un certificat SSL ORDS, le package doit uniquement contenir des certificats qui font partie de la chaîne de certificats. Pour obtenir des instructions détaillées, reportez-vous à Gestion des certificats de sécurité pour une ressource de cluster de machines virtuelles Exadata Autonomous.
Gestion des certificats
Vous pouvez vous connecter à des bases de données Autonomous AI associées à un serveur signé par une autorité de certification avec ou sans portefeuille client de base de données Autonomous AI.
-
Pour vous connecter à la base de données à l'aide d'un portefeuille de base de données, vous devez d'abord télécharger les informations d'identification client à partir de la page Détails de la base de données à l'aide de la console OCI. Pour obtenir des instructions, reportez-vous à Téléchargement des informations d'identification client.
-
Pour vous connecter à la base de données sans portefeuille client, vous devez vous assurer que :
-
Les connexions TLS unidirectionnelles sont activées au niveau AVMC. Il s'agit d'un paramètre défini à l'aide du paramètre Processus d'écoute dans Options avancées lors du provisionnement de l'AVMC. Pour plus d'informations, reportez-vous à Création d'un cluster Exadata Autonomous.
-
Le certificat côté serveur signé par une autorité de certification est signé par une autorité de certification publique connue de sorte qu'il soit approuvé par le système d'exploitation client par défaut.
-
Rotation du certificat
Pour répondre aux besoins de votre entreprise en matière de conformité en matière de sécurité, vous pouvez effectuer une rotation des certificats côté serveur signés par l'autorité de certification à l'aide de l'API ou de la console Oracle Cloud Infrastructure (OCI). Pour obtenir des instructions détaillées, reportez-vous à Gestion des certificats de sécurité pour une ressource de cluster de machines virtuelles Exadata Autonomous.
Vous devez les faire pivoter avant leur date d'expiration, à défaut de quoi les bases de données de ce système AVMC ne seront pas accessibles sur les ports TLS tant que vous n'aurez pas fourni un certificat valide. Toutefois, vous pouvez continuer à accéder aux bases de données sur un port non TLS tel que 1521.
Evénements de certificat
Les événements suivants sont publiés pour la gestion des certificats de sécurité :
| Evénement | Généré quand |
|---|---|
| sslcertificateexpiry.reminder | Un cluster de machines virtuelles Exadata Autonomous détermine qu'un portefeuille va expirer dans moins de six (6) semaines. Cet événement est signalé au maximum une fois par semaine. Cet événement est déclenché lorsqu'une connexion utilise le portefeuille qui arrive à expiration. |
| sslcertificate.expired | Le certificat SSL expire. Tous les portefeuilles de base de données Autonomous AI associés à ce cluster de machines virtuelles Exadata Autonomous expirent. |
| sslcertificatation.rappel | Un certificat SSL date de plus de 365 jours et recommande au client d'effectuer une rotation de certificat. Lorsqu'un certificat SSL dépasse 365 jours, ce rappel est généré une fois par semaine jusqu'à ce qu'une rotation ait lieu. |
| sslcertificate.rotated | Le certificat SSL fait l'objet d'une rotation manuelle (à l'aide de l'API ou de la console Oracle Cloud Infrastructure) ou automatique à son expiration. |
A savoir : Abonnez-vous à ces événements à l'aide du service OCI Notifications pour les recevoir chaque fois qu'ils sont publiés. Pour plus d'informations, voir Créer un abonnement.
Reportez-vous à Evénements pour Autonomous AI Database on Dedicated Exadata Infrastructure pour obtenir la liste complète des événements Autonomous AI Database.
Data Protection
La protection des données est un aspect essentiel de la sécurité des données dans toutes les bases de données. Les comptes de base de données privilégiés sont l'un des protocoles de soins les plus couramment utilisés pour accéder aux données des applications sensibles de la base de données. Alors que les utilisateurs privilégiés tels que les opérateurs ADMIN ou Oracle ont besoin d'un accès large et illimité pour faciliter la maintenance de la base de données, le même accès crée également un point d'attaque pour accéder à de grandes quantités de données.
Autonomous AI Database vous permet d'implémenter la gestion des accès privés (PAM) à l'aide des éléments suivants :
-
Oracle Database Vault est préconfiguré et prêt à être utilisé dans les bases de données d'IA autonomes. Vous pouvez utiliser ses puissants contrôles de sécurité pour limiter l'accès aux données d'application par des utilisateurs de base de données privilégiés, ce qui réduit le risque de menaces internes et externes, et répond aux exigences de conformité courantes.
Vous pouvez déployer des contrôles pour bloquer l'accès de comptes privilégiés aux données d'application et contrôler les opérations sensibles dans la base de données. Vous pouvez configurer des chemins sécurisés pour ajouter des contrôles de sécurité supplémentaires à l'accès autorisé aux données et aux modifications de base de données. Grâce à l'analyse d'exécution de privilèges et de rôles, vous pouvez améliorer la sécurité des applications existantes en implémentant les moindrés privilèges et En réduisant le profil d'attaque des comptes de base de donnée. Database Vault permet de sécuriser les environnements de base de données existants de manière transparente, éliminant ainsi les modifications coûteuses et chronophages des applications.
Oracle AI Database Vault répond principalement aux problèmes de sécurité des bases de données suivants :
-
Accès aux données d'application avec privilèges d'administration : bien que l'administrateur de base de données soit l'utilisateur le plus puissant et le plus fiable, cet administrateur n'a pas besoin d'accéder aux données d'application résidant dans la base de données.
Les domaines Oracle AI Database Vault relatifs aux schémas d'application, aux tables sensibles et aux procédures stockées fournissent des contrôles permettant d'empêcher l'exploitation de comptes privilégiés par des intrus et des initiés pour accéder aux données d'application sensibles. Pour plus d'informations, reportez-vous à la section How Oracle AI Database Vault Protects Privileged User Accounts in Oracle Database 19c Administrator's Guide ou Oracle Database 26ai Administrator's Guide.
-
Séparation des tâches pour l'accès aux données d'application : la séparation des contrôles de responsabilité d'Oracle AI Database Vault peut être personnalisée et les entreprises disposant de ressources limitées peuvent affecter plusieurs responsabilités Oracle AI Database Vault au même administrateur, mais en utilisant des comptes distincts pour chaque rôle de séparation des tâches afin de minimiser les dommages à la base de données si un compte est volé et exploité. Pour plus d'informations, reportez-vous à How Oracle AI Database Vault Addresses Database Consolidation Concerns dans le Guide de l'administrateur Oracle Database 19c ou dans le Guide de l'administrateur Oracle Database 26ai.
Avant d'utiliser Database Vault, reportez-vous à la section What to Expect After You Enable Oracle AI Database Vault dans Oracle Database 19c Administrator's Guide ou Oracle Database 26ai Administrator's Guide pour comprendre l'impact de la configuration et de l'activation de Database Vault.
Pour obtenir des informations sur la façon de configurer et d'activer Database Vault dans votre base de données Autonomous AI, reportez-vous à Utilisation d'Oracle AI Database Vault pour gérer les privilèges d'utilisateur de base de données.
A savoir : Pour tester le processus de configuration de Database Vault, exécutez l'atelier pratique 1 sur l'utilisation de la protection des données à l'aide de Database Vault dans l'atelier Oracle Autonomous AI Database Dedicated pour les administrateurs du service de sécurité.
-
-
PAM est également utilisé pour sécuriser les données à des fins d'utilisation autorisée par le client et pour protéger les données contre tout accès non autorisé, ce qui inclut la prévention de l'accès aux données client par les opérations Oracle Cloud et les membres du personnel de support. Oracle Operations Access Control permet de s'assurer que les comptes utilisateur employés par le personnel en charge des opérations et du support technique Oracle Cloud pour surveiller et analyser les performances ne peuvent pas accéder aux données des bases de donnée Autonomous AI. Pour plus d'informations, reportez-vous à Gestion des accès privilégiés.
Repérage des données confidentielles et masquage des données
Identifier les données sensibles (telles que le numéro de carte de crédit, le numéro de sécurité sociale) et les masquer ou les occulter si nécessaire améliore la protection des données et la sécurité globale des données.
-
Oracle Autonomous AI Database sur une infrastructure Exadata dédiée prend en charge l'intégration au service Oracle Data Safe pour vous aider à évaluer età sécuriser vos bases de données. Oracle Data Safe vous permet d'évaluer la sensibilité de vos données, d'évaluer les risques liés aux données, de masquer ces données confidentielles, d'implémenter et de surveiller les contrôles de la sécurité, d'évaluer la sécurité utilisateur, de surveiller l'activité de l'utilisateur et de répondre aux exigences en matière d'application de la conformité des données des bases de données.
Il fournit l'ensemble de fonctionnalités suivant dans une console de gestion unique et facile à utiliser :
-
L'évaluation de la santé vous aide à évaluer la sécurité de votre configuration de base de données.
-
L'évaluation des utilisateurs permet d'évaluer la sécurité des utilisateurs de base de donnée et d'identifier les utilisateurs présentant un risque élevé.
-
Le repérage de données vous aide à trouver des données confidentielles dans votre base de données. Le masquage des données permet de masquer les données confidentielles pour que les données soient sécurisées dans des environnements hors production.
-
L'audit d'activité permet d'auditer l'activité utilisateur sur votre base de données afin de surveiller l'utilisation de cette dernière et d'être alerté des activités de base de données inhabituelles.
Pour plus d'informations sur l'utilisation de Data Safe, reportez-vous à la Présentation d'Oracle Data Safe dans Utilisation d'Oracle Data Safe.
Pour utiliser Oracle Data Safe afin d'identifier et de protéger les données sensibles et réglementées de votre base de données Autonomous AI, vous devez inscrire votre base de données auprès de Data Safe. Une fois la base de données inscrite auprès de Data Safe, vous pouvez accéder à la console Data Safe directement à partir de la page Détails de votre base de données Autonomous AI. Pour plus d'informations sur l'inscription de la base de données, reportez-vous à la section Inscription ou annulation d'inscription d'une base de données dédiée Autonomous AI auprès d'Data Safe.
-
-
Lorsqu'une requête émise par une application lors de l'exécution renvoie un ensemble de résultats contenant des informations sensibles telles que des numéros de carte de crédit ou des ID personnels, la protection par occultation Oracle peut vous aider à masquer les détails sensibles avant de renvoyer l'ensemble de résultats à l'application. Vous pouvez implémenter des stratégies pour la protection par occultation à l'aide du package PL/SQL
**DBMS_REDACT**. Reportez-vous à la section DBMS_REDACT du manuel Oracle Database 19c PL/SQL Packages and Types Reference ou Oracle Database 26ai PL/SQL Packages and Types Reference.
Certification de conformité réglementaire
Autonomous AI Database on Dedicated Exadata Infrastructure répond à un large éventail de normes de conformité internationales et sectorielles, notamment :
-
FedRAMP - Programme fédéral de gestion des risques et des autorisations (Etats-Unis) Régions du gouvernement uniquement)
-
HIPAA - Health Insurance Portability and Accountability Act (HIPAA)
-
ISO/IEC 27001:2013 - Organisation internationale de normalisation 27001
-
ISO/IEC 27017:2015 - Code de pratique pour les contrôles de sécurité de l'informations fondés sur l'ISO/IEC 27002 pour les services Cloud
-
ISO/IEC 27018:2014 - Code de bonnes pratiques pour La protection des informations nominatives identifiables (PII) dans l'informatique en nuage public agissant comme processeur de PII
-
PCI DSS - Payment Card Industry Data Security Standard est un ensemble d'exigences visant à garantir que toutes les entreprises qui traitent, stockent ou transmettent les informations de carte de crédit maintiennent un environnement sécurisé
-
SOC 1 - System and Organization Controls 1
-
SOC 2 - System and Organization Controls 2
Pour obtenir plus d'informations, ainsi que la liste complète des certifications, reportez-vous à Conformité d'Oracle Cloud. Pour télécharger des copies des documents de certification, reportez-vous à Documents de conformité.