Contrôle d'accès dans la base de données d'IA autonome sur une infrastructure Exadata dédiée
Lorsque vous configurez une base de données d'IA autonome sur une infrastructure Exadata dédiée, vous devez vous assurer que vos utilisateurs cloud ont accès à l'emploi et aux types de ressources cloud appropriés pour réaliser leur travail. Par ailleurs, vous devez faire en sorte que seuls le personnel et les applications autorisés aient accès aux bases de données Autonomous AI créées sur l'infrastructure dédiée. Sinon, vous risquez une consommation incontrôlée des ressources de l'infrastructure dédiée ou un accès inapproprié aux données stratégiques.
- Contrôle d'accès d'utilisateur cloud Oracle
- Contrôle d'accès client
- Contrôle d'accès de l'utilisateur de base de données
Rubriques connexes
Contrôle d'accès d'utilisateur Oracle Cloud
Vous contrôlez l'accès dont disposent les utilisateurs Oracle Cloud de votre location pour les ressources cloud qui constituent votre déploiement d'Autonomous AI Database on Dedicated Exadata Infrastructure.
Utilisez le service Identity and Access Management (IAM) pour vous assurer que l'utilisateur cloud dispose d'un accès qui lui permet d'utiliser uniquement les types appropriés de ressource de base de données Autonomous AI pour réaliser son travail. Afin d'instituer des contrôles d'accès pour les utilisateurs cloud, définissez des stratégies qui accordent à des groupes spécifiques d'utilisateurs des droits d'accès spécifiques sur des types de ressource spécifiques dans des compartiments spécifiques.
Le service IAM fournit plusieurs types de composant pour vous aider à définir et à implémenter une stratégie d'accès utilisateur cloud sécurisé :
-
Compartiment : ensemble de ressources associées. Les compartiments représentent un composant fondamental d'Oracle Cloud Infrastructure pour l'organisation et l'isolement des ressources cloud.
-
Groupe : ensemble d'utilisateurs qui ont tous besoin du même type d'accès à un ensemble de ressources ou à un compartiment spécifique.
-
Groupe dynamique : type spécial de groupe contenant les ressources qui correspondent aux règles que vous définissez. Par conséquent, l'appartenance peut changer de façon dynamique à mesure que des ressources correspondantes sont créées ou supprimées.
-
Stratégie : groupe d'instructions qui indiquent qui peut accéder à quelles ressources et comment. L'accès est accordé au niveau du groupe et du compartiment, ce qui signifie que vous écrivez une instruction de stratégie qui accorde à un groupe donné un type d'accès donné à un type de ressource donné dans un compartiment donné.
Instructions de stratégie et de stratégie
L'outil principal utilisé pour définir le contrôle d'accès des utilisateurs cloud est la stratégie. Il s'agit d'une ressource IAM (Identity and Access Management) contenant des instructions de stratégie qui spécifient l'accès en termes de personnes, de procédures, de quoi et d'endroit.
Allow
group <group-name>
to <control-verb>
<resource-type>
in compartment <compartment-name>
-
group <group-name>
indique "qui" en fournissant le nom d'un groupe IAM existant, ressource IAM à laquelle des utilisateurs cloud individuels peuvent être affectés. -
to <control-verb>
indique "comment" utiliser l'un des verbes de contrôle prédéfinis suivants :inspect
: possibilité de répertorier les ressources d'un type donné, sans accéder aux informations confidentielles ou aux métadonnées spécifiées par l'utilisateur pouvant figurer dans ces ressources.read
: accèsinspect
plus possibilité d'obtenir les métadonnées spécifiées par l'utilisateur et la ressource elle-même.use
: accèsread
plus capacité à utiliser des ressources existantes, mais pas à les créer ni à les supprimer. Ici, "utiliser" implique différentes opérations pour différents types de ressource.manage
: tous les droits d'accès au type de ressource, création et suppression comprises.
Dans le cadre de la fonctionnalité d'infrastructure dédiée, un administrateur du parc peut gérer
manage
des bases d'infrastructure Conteneur autonome, tandis qu'un administrateur ne peut que les utiliser (use
) pour créer des bases de données IA autonomes. -
<resource-type>
indique "quoi" à l'aide d'un type de ressource prédéfini. Les valeurs de type des ressources d'infrastructure dédiée sont les suivantes :exadata-infrastructures
autonomous-container-databases
autonomous-databases
autonomous-backups
Etant donné que les ressources d'infrastructure dédiée utilisent des ressources de réseau, certaines instructions de stratégie que vous créez font référence à la valeur de type de ressource
virtual-network-family
. Vous pouvez également créer des instructions de stratégie qui font référence à la valeur de type de ressourcetag-namespaces
si le balisage est utilisé dans votre location. -
in compartment <compartment-name>
indique "où" en fournissant le nom d'un compartiment IAM existant, une ressource IAM dans laquelle les ressources sont créées. Les compartiments constituent un composant fondamental d'Oracle Cloud Infrastructure pour l'organisation et l'isolement des ressources cloud.
Pour obtenir les détails de stratégie relatifs à Autonomous AI Database, reportez-vous à Stratégies IAM pour Autonomous AI Database sur une infrastructure Exadata dédiée.
Pour plus d'informations sur le fonctionnement du service IAM et de ses composants, ainsi que sur leur utilisation, reportez-vous à Présentation d'Oracle Cloud Infrastructure Identity and Access Management. Pour obtenir des réponses rapides aux questions courantes sur IAM, reportez-vous à la FAQ Identity and Access Management.
Meilleures pratiques pour la planification et la mise en place de contrôles d'accès
Lorsque vous planifiez et mettez en place les contrôles d'accès pour la fonctionnalité d'infrastructure dédiée, vous devez tenir compte des meilleures pratiques suivantes.
-
Créez un VCN distinct qui contient uniquement des sous-réseaux privés. Dans presque tous les cas, les bases de données autonomes AI créées sur des données internes d'infrastructure dédiées qui sont sensibles à l'entreprise et qui sont normalement accessibles uniquement à partir du réseau privé de l'entreprise. Même les données partagées avec les partenaires, les fournisseurs, les consommateurs et les clients sont mises à leur disposition via des canaux réglementés et sécurisés.
Par conséquent, l'accès réseau que vous fournissez à ces bases de données doit être limité à votre société. A cette fin, vous pouvez créer un réseau cloud virtuel qui utilise des sous-réseaux privés, et un VPN IPSec ou FastConnect pour la connexion au réseau privé de l'entreprise. Pour plus d'informations sur l'établissement d'une telle configuration, reportez-vous à Scénario B : sous-réseaux privés avec un VPN dans la documentation Oracle Cloud Infrastructure.
Pour plus d'informations sur la sécurisation de la connectivité réseau à vos bases de données, reportez-vous à Moyens de sécuriser le réseau dans la documentation Oracle Cloud Infrastructure.
-
Créez au moins deux sous-réseaux. Vous devez créer au moins deux sous-réseaux : un pour les ressources Exadata Autonomous et de base de données Conteneur Autonomous, et un pour les ressources associées aux clients et les applications de la base de données Autonomous AI.
-
Créez au moins deux compartiments. Vous devez créer au moins deux compartiments : un pour des ressources d'infrastructure Exadata, de cluster Exadata Autonomous et de base de données Conteneur Autonomous, et un pour des ressources de base de données AI autonome.
-
Créez au moins deux groupes. Vous devez créer au moins deux groupes : un pour les administrateurs de parc et un pour les administrateurs de base de données.
Contrôle d'accès client
Le contrôle d'accès client est implémenté dans Autonomous AI Database en contrôlant le contrôle d'accès réseau et les connexions client.
Contrôle d'accès réseau
-
Sur Oracle Public Cloud, vous définissez le contrôle d'accès réseau à l'aide des composants du service Networking. Vous créez un réseau cloud virtuel (VCN) contenant des sous-réseaux privés dans lesquels vos bases de données AI autonomes sont accessibles au réseau. De plus, créez des règles de sécurité pour autoriser un type particulier de trafic vers ou depuis les adresses IP d'un sous-réseau.
Pour obtenir des informations détaillées sur la création de ces ressources, suivez l'atelier pratique n° 1 sur les préparatifs de réseau privé pour l'implémentation d'OCI dans l'atelier Oracle Autonomous AI Database dédié aux administrateurs de parc.
-
Sur Exadata Cloud@Customer, définissez les contrôles d'accès réseau en indiquant un réseau client dans votre centre de données et en l'enregistrant dans une ressource de réseau de cluster de machines virtuelles au sein de la ressource d'infrastructure Exadata.
S'APPLIQUE À : Oracle Public Cloud uniquement
Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) protège les données sensibles contre tout accès non autorisé via des stratégies de sécurité basées sur les intentions que vous écrivez pour les ressources, telles qu'un cluster de machines virtuelles Exadata Autonomous auquel vous affectez des attributs de sécurité.
Les attributs de sécurité sont des libellés que ZPR utilise pour identifier et organiser les ressources. ZPR applique la stratégie au niveau du réseau à chaque demande d'accès, quelles que soient les modifications ou les erreurs de configuration potentielles de l'architecture réseau. ZPR est basé sur les règles de groupe de sécurité réseau et de liste de contrôle de sécurité existantes. Pour qu'un paquet atteigne une cible, il doit passer toutes les règles NSG et SCL et la stratégie ZPR. La demande est supprimée si une règle ou stratégie NSG, SCL ou ZPR n'autorise pas le trafic.
Vous pouvez sécuriser les réseaux avec ZPR en trois étapes :
-
Créez des artefacts ZPR, à savoir des espaces de noms d'attribut de sécurité et des attributs de sécurité.
-
Ecrivez des stratégies ZPR pour connecter des ressources à l'aide d'attributs de sécurité. ZPR utilise un ZPL (ZPR Policy Language) et applique des restrictions sur l'accès aux ressources définies. En tant que client Autonomous AI Database on Dedicated Exadata Infrastructure, vous pouvez écrire des stratégies basées sur ZPL dans votre location pour vous assurer que les données des AVMC sont accessibles uniquement par les utilisateurs et les ressources autorisés.
- Affectez des attributs de sécurité aux ressources pour activer les stratégies ZPR.
Remarques :
Evitez de saisir des informations confidentielles lorsque vous affectez des descriptions, des balises, des attributs de sécurité ou des noms conviviaux aux ressources cloud via la console Oracle Cloud Infrastructure, l'API ou l'interface de ligne de commande.Pour plus d'informations, reportez-vous à la section Getting Started with Zero Trust Packet Routing.
Vous disposez des options suivantes pour appliquer les attributs de sécurité ZPR à un composant AVMC :
-
Appliquez les attributs de sécurité lorsque vous provisionnez un composant AVMC. Pour plus d'informations, reportez-vous à Création d'un cluster de machines virtuelles Exadata Autonomous.
- Appliquer les attributs de sécurité à une ressource AVMC existante. Pour plus d'informations, reportez-vous à la section Configure Zero Trust Packet Routing (ZPR) for an AVMC.
Vous devez au préalable définir les stratégies IAM suivantes pour ajouter les attributs de sécurité ZPR à une instance AVMC :
allow group <group_name>
to { ZPR_TAG_NAMESPACE_USE, SECURITY_ATTRIBUTE_NAMESPACE_USE }
in tenancy
allow group <group_name>
to manage autonomous-database-family
in tenancy
allow group <group_name>
to read security-attribute-namespaces
in tenancy
Pour plus de sécurité, vous pouvez activer les listes de contrôle d'accès (ACL) dans les déploiements dédiés Oracle Public Cloud et Exadata Cloud@Customer. Une liste de contrôle d'accès fournit une protection supplémentaire à votre base de données en autorisant uniquement le client possédant des adresses IP spécifiques à se connecter à la base de données. Vous pouvez ajouter des adresses IP individuellement ou dans des blocs CIDR. Les IP/CIDR basés sur IPv4 et IPv6 sont pris en charge. Vous pouvez ainsi formuler une stratégie de contrôle d'accès détaillée en limitant l'accès réseau de votre base de données d'IA autonome à des applications ou des clients spécifiques.
Vous pouvez créer une liste de contrôle d'accès lors du provisionnement de la base de données ou à n'importe quel moment par la suite. Vous pouvez également modifier une liste de contrôle d'accès à tout moment. L'activation d'une liste de contrôle d'accès sans adresses IP rend la base de données inaccessible. Pour plus d'informations, reportez-vous à Définition de la liste de contrôle d'accès pour une base de données IA autonome dédiée.
- La console de service Autonomous AI Database n'est pas soumise aux règles de liste d'accès.
- Oracle Application Express (APEX), les services RESTful, SQL Developer Web et le hub de performances ne sont pas soumis aux listes de contrôle d'accès.
- Lors de la création d'une base de données Autonomous AI, si la définition d'une liste de contrôle d'accès échoue, le provisionnement de la base de données échoue également.
- La mise à jour d'une liste de contrôle d'accès est autorisée uniquement si la base de données présente l'état Disponible.
- La restauration d'une base de données n'écrase pas les listes de contrôle d'accès existantes.
- Une base de données clonée (clonage complet et de métadonnées) a les mêmes paramètres de contrôle d'accès que la base de données source. Vous pouvez y apporter des modifications si nécessaire.
- La sauvegarde n'est pas soumise aux règles de liste de contrôle d'accès.
- Lors d'une mise à jour d'ACL, toutes les opérations de base de données Conteneur Autonomous sont autorisées, mais les opérations de base de données AI autonome ne le sont pas.
Pour les contrôles réseau avancés au-delà des listes de contrôle d'accès, Oracle Autonomous AI Database on Dedicated Exadata Infrastructure prend en charge l'utilisation de Web Application Firewall (WAF). WAF protège les applications du trafic Internet malveillant et indésirable. WAF peut protéger toutes les adresses Internet, en assurant la cohérence de l'exécution des règles sur les diverses applications d'un client. WAF vous donne la possibilité de créer et gérer des règles pour les menaces Internet, y compris le scriptage inter-site (XSS), l'injection SQL et d'autres vulnérabilités définies par OWASP. Les règles d'accès peuvent imposer des limites en fonction de la zone géographique ou de la signature de la demande. Pour connaître les étapes de configuration de WAF, reportez-vous à Introduction aux stratégies Web Application Firewall.
Contrôle de connexion client
Oracle Autonomous AI Database on Dedicated Exadata Infrastructure implémente le contrôle de connexion client avec l'authentification basée sur un certificat TLS 1.2 et TLS 1.3 standard pour authentifier une connexion client. Cependant, TLS 1.3 n'est pris en charge que sur Oracle Database 23ai ou version ultérieure.
Par défaut, Autonomous AI Database utilise les certificats auto-signés. Toutefois, vous pouvez installer votre certificat côté serveur signé par l'autorité de certification à partir de la console Oracle Cloud Infrastructure (OCI). Pour utiliser votre propre certificat, vous devez d'abord créer le certificat à l'aide du service de certificat Oracle Cloud Infrastructure (OCI), comme indiqué dans Création d'un certificat. Ces certificats doivent être signés et doivent être au format PEM, c'est-à-dire que leur extension de fichier doit être .pem, .cer ou .crt uniquement. Pour plus de détails, reportez-vous à Gestion des certificats dans une base de données d'IA autonome dédiée.
Contrôle d'accès d'utilisateur de base de données
Oracle Autonomous AI Database sur une infrastructure Exadata dédiée configure les bases de données que vous créez pour utiliser la fonctionnalité de gestion des utilisateurs standard d'Oracle AI Database. Il crée le compte administrateur ADMIN qui permet de créer des comptes utilisateur supplémentaires et d'établir des contrôles d'accès pour les comptes.
La gestion standard des utilisateurs fournit un ensemble robuste de fonctionnalités et de contrôles, tels que les privilèges système et d'objet, les rôles, les profils utilisateur et les stratégies de mot de passe, permettant de définir et d'implémenter une stratégie d'accès utilisateur de base de données sécurisé dans la plupart des cas. Pour obtenir des instructions détaillées, reportez-vous à Création et gestion d'utilisateurs de base de données.
Pour obtenir les informations de base de la gestion standard, reportez-vous à la section Comptes utilisateur dans Concepts Oracle AI Database. Pour obtenir des informations et instructions détaillées, reportez-vous à Managing Security for Oracle Database Users dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 26ai.
Outil | Description |
---|---|
Database Vault |
Oracle Database Vault est préconfiguré et prêt à être utilisé dans les bases de données d'IA autonomes. Vous pouvez utiliser ses puissants contrôles de sécurité pour limiter l'accès aux données d'application par des utilisateurs de base de données privilégiés, ce qui réduit le risque de menaces internes et externes, et répond aux exigences de conformité courantes. Pour plus d'informations, reportez-vous à Protection des données dans Fonctionnalités de sécurité d'Autonomous AI Database. |
Oracle Cloud Infrastructure Identity and Access Management (IAM) |
Vous pouvez configurer Autonomous AI Database afin d'utiliser l'authentification et l'autorisation Oracle Cloud Infrastructure Identity and Access Management (IAM) pour permettre aux utilisateurs IAM d'accéder à une base de données Autonomous AI avec des informations d'identification IAM. Pour utiliser cette option avec votre base de données, reportez-vous à Utilisation de l'authentification Identity and Access Management (IAM) avec Autonomous AI Database. |
Jetons d'accès OAuth2 Azure |
Vous pouvez gérer de manière centralisée les utilisateurs d'Oracle Autonomous AI Database on Dedicated Exadata Infrastructure dans un service Microsoft Azure Active Directory (Azure AD) à l'aide de jetons d'accès Azure Pour plus d'informations sur l'intégration de Microsoft Azure Active Directory à vos bases de données, reportez-vous à Authentification et autorisation d'utilisateurs Microsoft Azure Active Directory pour Autonomous AI Database. |
Microsoft Active Directory (CMU-AD) |
Si vous utilisez Microsoft Active Directory en tant que référentiel utilisateur, vous pouvez configurer vos base de données AI Autonomous pour authentifier et autoriser les utilisateurs Microsoft Active Directory. Cette intégration peut vous permettre de consolider votre référentiel d'utilisateur tout en implémentant une stratégie d'accès utilisateur de base de données rigoureuse, que vous recouriez ou non à la gestion standard des utilisateurs, à Database Vault, à Real Application Security ou encore à Virtual Private Database. Pour plus d'informations sur l'intégration de Microsoft Active Directory aux bases de données, reportez-vous à Microsoft Active Directory avec Autonomous AI Database. |
Kerberos |
Kerberos est un système d'authentification de tiers sécurisé, qui repose sur des clés secrètes partagées. Il suppose que le tiers est sécurisé et offre des fonctions d'accès avec connexion unique, un stockage centralisé des mots de passe, l'authentification des liens de base de données et renforce la sécurité des ordinateurs. Cela est effectué via un serveur d'authentification Kerberos. La prise en charge de Autonomous AI Database par Kerberos offre les avantages de l'accès avec connexion unique et de l'authentification centralisée des utilisateurs Oracle. Pour plus d'informations, reportez-vous à Authentification des utilisateurs de Autonomous AI Database avec Kerberos. |
Kerberos avec CMU-AD |
L'authentification Kerberos peut être configurée sur CMU-AD pour fournir l'authentification Kerberos CMU-AD aux utilisateurs Microsoft Active Directory. Pour fournir une authentification Kerberos CMU-AD aux utilisateurs Microsoft Active Directory, vous pouvez activer l'authentification Kerberos sur CMU-AD en définissant |
Real Application Security et Virtual Private Database |
Oracle Real Application Security (RAS) fournit un modèle déclaratif qui permet d'appliquer des stratégies de sécurité englobant non seulement les business objects protégés, mais également les principaux (utilisateurs et rôles) disposant de droits sur ces business objects. RAS est plus sécurisé, évolutif et rentable que son prédécesseur, Oracle Virtual Private Database. Avec Oracle RAS, les utilisateurs d'application sont authentifiés au niveau application et dans la base de données. Quel que soit le chemin d'accès aux données, les stratégies de sécurité des données sont appliquées dans le noyau de la base de données en fonction de la session native de l'utilisateur final dans la base de données. Les privilèges affectés à l'utilisateur contrôlent le type d'opération (sélection, insertion, mise à jour et suppression) pouvant être effectué sur les lignes et les colonnes des objets de base de données. Pour plus d'informations sur Oracle RAS, reportez-vous à Présentation d'Oracle Database Real Application Security dans le Guide de l'administrateur et du développeur Oracle Database 19c Real Application Security ou Guide de l'administrateur et du développeur Oracle Database 26ai Real Application Security. Oracle Autonomous AI Database sur une infrastructure Exadata dédiée prend également en charge Oracle Virtual Private Database (VPD), le prédécesseur d'Oracle RAS. Si vous connaissez déjà Oracle VPD et que vous l'employez, vous pouvez la configurer et l'utiliser avec vos bases de données autonomes AI. Pour plus d'informations sur Virtual Private Database, reportez-vous à la section Using Oracle Virtual Private Database to Control Data Access dans le Guide de sécurité Oracle Database 19c ou le Guide de sécurité Oracle Database 26ai. |
Gestion des accès privilégiés (PAM)
L'état de sécurité d'Oracle concernant la gestion des accès utilisateur et des privilèges sur ses produits et services est documenté dans Oracle Access Control.
La base de données d'IA autonome sur une infrastructure Exadata dédiée est conçue pour isoler et protéger les services client et les données de base de données contre les accès non autorisés. Autonomous AI Database sépare les tâches entre le client et Oracle. Le client contrôle l'accès aux schémas de base de données. Oracle contrôle l'accès à l'infrastructure et aux composants logiciels gérés par Oracle.
Autonomous AI Database on Dedicated Exadata Infrastructure est conçu pour aider à sécuriser les données pour une utilisation autorisée par le client et à protéger les données contre les accès non autorisés, ce qui inclut la prévention de l'accès aux données client par les membres du personnel d'Oracle Cloud Ops. Les mesures de sécurité conçues pour protéger contre les accès non autorisés aux données de base de données Oracle, de machine virtuelle Autonomous et d'infrastructure Exadata sont les suivantes :
- Les données Oracle Database sont protégées par des clés de cryptage transparent des données (TDE) Oracle.
- Le client contrôle l'accès aux clés de cryptage TDE et peut choisir de les stocker dans un système de gestion des clés Oracle Key Vault externe.
- Oracle Database Vault est préconfiguré pour empêcher les utilisateurs privilégiés d'accéder aux données client dans les bases de données d'IA autonomes.
- Les clients peuvent choisir d'approuver l'accès d'opérateur via l'inscription au service Operator Access Control.
- Tout l'accès de l'opérateur est basé sur l'authentification multifacteur matérielle FIPS 140-2 niveau 3, implémentée avec un YubiKey matériel implémenté avec des périphériques approuvés par Oracle.
- Toutes les actions d'opérateur sont journalisées au niveau de la commande et peuvent être envoyées au service de journalisation OCI ou à un SIEM client en temps quasi réel.
-
Oracle Operations Access Control garantit que les comptes utilisateur utilisés par le personnel en charge des opérations et du support technique Oracle Cloud pour surveiller et analyser les performances ne peuvent pas accéder aux données des bases de données d'IA autonomes. Le personnel en charge des opérations et du support technique Oracle Cloud n'a pas accès aux données de vos base de données d'IA autonome. Lorsque vous créez une base de donnée Conteneur Autonomous, Autonomous AI Database on Dedicated Exadata Infrastructure active et configure la fonctionnalité Operations Control d'Oracle Database Vault pour empêcher des utilisateurs communs d'accéder aux données des bases de donnée autonomes créées dans la base de donnée Conteneur.
Vous pouvez vérifier que Operations Control est actif en saisissant l'instruction SQL suivante dans une base de données Autonomous AI :
Le statut deSELECT * FROM DBA_DV_STATUS;
APPLICATION CONTROL
indique que la fonctionnalité Operations Control est active.Remarques :
Operations Control s'appelait auparavant Application Control.
PAM est également implémenté avec Database Vault pour la protection des données, comme indiqué dans Fonctionnalités de sécurité d'Autonomous AI Database.