Guide de sécurité pour Base Database Service

Cet article décrit la sécurité de Base Database Service.

Aperçu de la sécurité

Cette rubrique présente la sécurité dans Base Database Service. Oracle gère la sécurité de la plupart des composants, tandis que les utilisateurs sont responsables de la sécurité de certains composants.

Les composants de service cloud sont classés en services accessibles aux utilisateurs et en infrastructure gérée par Oracle. Les services accessibles par l'utilisateur font référence aux composants auxquels les utilisateurs peuvent accéder dans le cadre de leur abonnement à Base Database Service. Il s'agit de machines virtuelles et de services de base de données appelés respectivement systèmes de base de données et bases de données. L'infrastructure gérée par Oracle fait référence au matériel qu'Oracle détient et exploite pour prendre en charge les services accessibles aux utilisateurs. Elle se compose de formes de calcul de base de données AMD ou Intel.

Oracle gère la sécurité des composants de l'infrastructure gérée par Oracle et l'accès à ces composants. Les utilisateurs gèrent la sécurité des services accessibles aux utilisateurs et l'accès à ces services, notamment l'accès aux services de système de base de données et de base de données, l'accès réseau aux systèmes de base de données, l'authentification pour accéder aux systèmes de base de données et l'authentification pour accéder aux bases de données exécutées sur les systèmes de base de données. Le personnel Oracle n'est pas autorisé à accéder aux services accessibles aux utilisateurs.

Les utilisateurs accèdent aux bases de données Oracle exécutées sur des systèmes de base de données via une connexion de couche 2 (VLAN étiqueté) à partir de l'équipement utilisateur à l'aide de méthodes de connexion Oracle Database standard, telles qu'Oracle Net sur le port 1521. Les utilisateurs peuvent recourir aux méthodes Oracle Linux standard pour se connecter au système de base de données exécutant les bases de données Oracle, comme SSH basé sur un jeton sur le port 22.

Base Database Service applique plusieurs contrôles de sécurité indépendants et se renforçant mutuellement afin de permettre aux organisations de créer un environnement d'exploitation sécurisé pour leurs charges globales et leurs données. Base Database Service fournit les contrôles de sécurité suivants :

• Sécurisation de l'environnement d'exploitation grâce à la défense renforcée
• Moindre privilège pour les services et les utilisateurs
• Audit et responsabilité sur les événements et les actions
• Automatisation des opérations cloud

Sécurisation de l'environnement d'exploitation grâce à la défense renforcée

Base Database Service fournit plusieurs contrôles pour maintenir la confidentialité, l'intégrité et la responsabilité dans l'ensemble du service. Base Database Service met en avant le principe de défense renforcée comme suit :

• Les machines virtuelles pour les systèmes de base de données sont créées à partir de l'image de système d'exploitation renforcée basée sur Oracle Linux 7. Cela sécurise l'environnement d'exploitation central en limitant l'image d'installation aux packages logiciels requis, en désactivant les services inutiles et en implémentant des paramètres de configuration sécurisés dans l'ensemble du système.
• D'autres options de configuration par défaut sécurisées sont implémentés dans les instances de service, en plus de toutes les forces de la plate-forme Oracle Linux mature héritées. Par exemple, tous les tablespaces de base de données exigent un cryptage transparent des données (TDE), l'application de mots de passe renforcés pour les superutilisateurs et les utilisateurs de la base de données initiale, et de meilleures règles d'audit et d'événement.
• Base Database Service représente par ailleurs une offre de service et de déploiement complète. Il est soumis à des audits externes standard tels que PCI, HIPAA et ISO27001. Ces exigences en matière d'audit externe imposent des fonctionnalités de service à valeur ajoutée supplémentaires telles que l'analyse antivirus, les alertes automatisées en cas de modification inattendue du système et les analyses de vulnérabilités pour tous les systèmes d'infrastructure gérés par Oracle du parc.

Moindre privilège pour les services et les utilisateurs

Les normes de codage sécurisé d'Oracle reposent sur le paradigme du moindre privilège. Le fait de s'assurer que les applications, les services et les utilisateurs aient accès aux fonctionnalités dont ils ont besoin pour effectuer leurs tâches n'est qu'un aspect du principe du moindre privilège. Il est tout aussi important de faire en sorte de limiter l'accès aux fonctionnalités, services et interfaces inutiles. Base Database Service met en avant le principe du moindre privilège comme suit :

• Chaque processus ou démon doit être exécuté en tant qu'utilisateur normal sans privilège, sauf s'il peut prouver qu'un niveau de privilège supérieur est requis. Les vulnérabilités ou problèmes imprévus sont ainsi circonscrits à l'espace des utilisateurs sans privilège, et ne compromettent pas l'intégralité du système.
• Ce principe s'applique également aux membres de l'équipe des opérations Oracle, qui utilisent des comptes nommés individuels pour accéder à l'infrastructure à des fins de maintenance ou de dépannage. Ceux-ci n'utilisent l'accès à des niveaux de privilège plus élevés (qui est soumis à audit) pour résoudre un problème que si cela est nécessaire. La résolution de la plupart des problèmes est automatisée. Nous employons donc également le paradigme du moindre privilège en ne permettant aux opérateurs d'accéder à un système que si l'automatisation ne permet pas de résoudre un problème.

Audit et responsabilité sur les événements et les actions

Un système doit pouvoir reconnaître et rapporter les incidents lorsqu'ils se produisent. De même, lorsqu'un incident ne peut pas être évité, une organisation doit pouvoir identifier sa survenue afin de prendre les mesures appropriées. Base Database Service encourage l'audit et la responsabilité des manières suivantes :

• L'audit et la responsabilité garantissent qu'Oracle et les utilisateurs sont conscients de l'activité sur le système et de sa durée. Ces détails assurent non seulement la conformité aux exigences de rapports pour les audits externes, mais ils peuvent également contribuer à identifier l'activité qui a entraîné un comportement inattendu.
• Les fonctionnalités d'audit sont fournies pour tous les composants d'infrastructure afin de garantir la capture de toutes les actions. Les utilisateurs peuvent également configurer l'audit pour leur configuration de base de données et de domaine utilisateur (domU), et choisir de l'intégrer à d'autres systèmes d'audit d'entreprise.
• Oracle n'accède pas au domaine domU de l'utilisateur.

Automatisation des opérations cloud

La suppression des opérations manuelles requises pour provisionner, tenir à jour, dépanner et configurer les systèmes, et leur appliquer des patches, permet de réduire les risques d'erreur et de garantir une configuration sécurisée.

Base Database Service est conçu pour être sécurisé en automatisant l'ensemble des tâches de provisionnement et de configuration, et la majorité des autres tâches opérationnelles. Grâce à l'automatisation, il est possible d'éviter les configurations manquantes et de s'assurer que tous les chemins nécessaires dans le système sont correctement configurés.

Fonctionnalités de sécurité

Cette rubrique décrit les fonctionnalités de sécurité disponibles dans Base Database Service.

Base Database Service fournit les fonctionnalités de sécurité suivantes :

• Image de système d'exploitation renforcée
• Surface d'exposition aux attaques réduite
• Fonctionnalités de sécurité supplémentaires activées
• Méthodes d'accès sécurisé
• Audit et journalisation

Image de système d'exploitation renforcée

• Installation du nombre minimal de packages : seuls les packages nécessaires pour une exécution efficace du système sont installés. L'installation d'un plus petit ensemble de packages permet de réduire la surface d'exposition aux attaques du système d'exploitation et de préserver la sécurisation du système.
• Configuration sécurisée : de nombreux paramètres de configuration autres que ceux par défaut sont définis au cours de l'installation pour améliorer l'état de sécurité du système et de son contenu. Par exemple, entre autres restrictions similaires, SSH est configuré pour écouter uniquement certaines interfaces réseau et Sendmail pour accepter uniquement les connexions de l'hôte local.
• Exécution des services nécessaires uniquement : tous les services éventuellement installés sur le système mais non requis pour un fonctionnement normal sont désactivés par défaut. Par exemple, si le service NFS est souvent configuré par les utilisateurs à diverses fins applicatives, il est désactivé par défaut car il n'est pas requis pour les opérations de base de données normales. Les utilisateurs peuvent choisir de configurer des services en fonction de leurs besoins.

Surface d'exposition aux attaques réduite

Dans le cadre de l'image renforcée, la surface d'exposition aux attaques est réduite grâce à l'installation et à l'exécution des seuls logiciels requis pour fournir le service.

Fonctionnalités de sécurité supplémentaires activées

• Base Database Service est conçu pour être sécurisé par défaut et fournit une pile de sécurité complète, du contrôle de pare-feu réseau aux stratégies de sécurité de contrôle d'accès.
• FIPS, SE Linux et STIG peuvent également être activés pour améliorer la sécurité sur les systèmes à l'aide de l'interface de ligne de commande dbcli secure-dbsystem.
• L'outil STIG est utilisé pour garantir la conformité de sécurité avec le STIG Oracle Linux 7 de la DISA sur chaque noeud système des systèmes provisionnés.

Méthodes d'accès sécurisé

• Accès aux serveurs de base de données via SSH à l'aide de cryptages cryptographiques renforcés. Les cryptages faibles sont désactivés par défaut.
• Accès aux bases de données via des connexions Oracle Net cryptées. Par défaut, les services sont accessibles à l'aide de canaux cryptés et un client Oracle Net configuré par défaut utilise des sessions cryptées.

Audit et journalisation

Par défaut, l'audit et la journalisation n'ajoutent pas de configuration supplémentaire pour les déploiements commerciaux par rapport à ce que le système d'exploitation fournit, mais des améliorations sont possibles par l'ajout de paramètres de sécurité supplémentaires en activant STIG.

Pour plus d'informations, reportez-vous aux sections suivantes :

• Activation de FIPS, SE Linux et STIG sur des composants de système de base de données
• Outil STIG (Security Technical Implementation Guide) pour le système de base de données

Sécurité des utilisateurs

Cette rubrique décrit la sécurité disponible dans Base Database Service pour les utilisateurs. Les composants Base Database Service sont gérés régulièrement par plusieurs comptes utilisateur. Oracle utilise et recommande uniquement la connexion SSH basée sur un jeton. Les utilisateurs ou processus Oracle ne recourent pas à l'authentification par mot de passe.

Les types d'utilisateur suivants sont créés par défaut :

• Utilisateurs par défaut : aucun privilège de connexion
• Utilisateurs par défaut : avec privilèges de connexion

Utilisateurs par défaut : aucun privilège de connexion

Cette liste se compose des utilisateurs du système d'exploitation par défaut. Ces utilisateurs ne doivent pas être modifiés. Ces utilisateurs ne peuvent pas se connecter au système.

bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
systemd-network:x:192:192:systemd Network Management:/:/sbin/nologin
dbus:x:81:81:System message bus:/:/sbin/nologin
rpc:x:32:32:Rpcbind Daemon:/var/lib/rpcbind:/sbin/nologin
polkitd:x:999:996:User for polkitd:/:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
tss:x:59:59:Account used by the trousers package to sandbox the 
tcsd daemon:/dev/null:/sbin/nologin
sssd:x:998:994:User for sssd:/:/sbin/nologin
named:x:25:25:Named:/var/named:/sbin/nologin
sshd:x:74:74:Privilege-separated SSH:/var/empty/sshd:/sbin/nologin
dhcpd:x:177:177:DHCP server:/:/sbin/nologin
saslauth:x:997:76:Saslauthd user:/run/saslauthd:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin

Utilisateurs par défaut : avec privilèges de connexion

Ces utilisateurs dotés de privilèges sont chargés d'accomplir la plupart des tâches dans le système. Ces utilisateurs ne doivent jamais être modifiés ni supprimés car cela aurait une incidence significative sur le système en cours d'exécution. Des clés SSH sont utilisées pour la connexion.

Voici la liste des utilisateurs par défaut disposant de privilèges de connexion.

• root est une exigence Linux. Il est utilisé avec parcimonie pour exécuter des commandes locales avec privilèges. L'utilisateur root sert également pour certains processus tels que l'agent TFA. Il exécute l'agent local (ou agent DCS) qui effectue des opérations de cycle de vie pour le logiciel SGBDR (application de patches, création de base de données, etc.).
• oracle est propriétaire de l'installation du logiciel Oracle Database et exécute les processus SGBDR.
• grid est propriétaire de l'installation du logiciel Oracle Grid Infrastructure et exécute les processus GI.
• opc est utilisé par Oracle Cloud Automation pour les tâches d'automatisation. Il permet d'exécuter certaines commandes avec privilèges sans authentification supplémentaire (pour la prise en charge des fonctions d'automatisation).
• mysql est un utilisateur critique. Il doit être opérationnel pour que l'agent DCS fonctionne correctement car il possède le metastore de l'agent DCS.

root:x:0:0:root:/root:/bin/bash
opc:x:54322:54323::/home/opc:/bin/bash
mysql:x:54323:54331::/home/mysql:/bin/bash
grid:x:102:1001::/home/grid:/bin/bash
oracle:x:101:1001::/home/oracle:/bin/bash

Paramètres de sécurité

Cette rubrique décrit les paramètres de sécurité disponibles dans Base Database Service. Les paramètres de sécurité par défaut fournis dans le système sont les suivants.

Tableau - Paramètres de sécurité et valeurs par défaut

Paramètres de sécurité	Valeurs par défaut
Complexité du mot de passe	Longueur minimale du mot de passe : 15 caractères Nombre maximal de caractères répétés consécutifs appartenant à la même classe de caractères dans le mot de passe : 4 Nombre maximal de caractères répétés consécutifs dans le mot de passe : 3 Nombre minimal de caractères numériques pour renforcer le mot de passe : 1 Nombre minimal de catégories différentes pour renforcer le mot de passe : 4 Nombre minimal de caractères différents pour renforcer le mot de passe : 8 Nombre minimal de caractères spéciaux pour renforcer le mot de passe : 1 Nombre minimal de caractères minuscules pour renforcer le mot de passe : 1 Nombre minimal de caractères majuscules pour renforcer le mot de passe : 1
Configuration de compte utilisateur	Nombre maximal de jours pendant lequel un mot de passe peut être utilisé: 60 Nombre minimal de jours autorisé entre les modifications de mot de passe: 1 Algorithme de hachage de cryptage : SHA512 Délai d'échec de connexion : 4 secondes
Options désactivées	Redémarrage avec Ctrl+Alt+Suppr désactivé Prise en charge de DCCP désactivée Périphérique de stockage USB désactivé Groupe de packages X-Windows enlevé
Configurations SSH	Protocole SSH 2 autorisé uniquement Utilisation de la séparation des privilèges activée Intervalle d'expiration pour inactivité SSH : 600 secondes Authentification GSSAPI désactivée Compression définie comme retardée Certificat non sécurisé autorisé pour la connexion SSH au système Authentification à l'aide de l'authentification des hôtes connus non autorisée par le démon SSH
Packages	Tous les composants logiciels sont enlevés après l'installation des versions mises à jour Le système empêche l'installation de packages locaux pour les logiciels, patches, Service Packs, pilotes de périphérique ou composants de système d'exploitation non vérifiés
Logging	Messages du système et du noyau envoyés à l'hôte distant (rsyslog) Cron configuré pour journalisation dans rsyslog AIDE configuré pour une exécution périodique
Celui d'un autre utilisateur	Authentification requise lors de l'initialisation en modes mono-utilisateur et de maintenance Délai d'expiration de session interactive : 600 secondes PAM configuré dans les périphériques SSSD Service de système PAM configuré pour stocker uniquement les représentations cryptées des mots de passe Emplacement de certificat d'autorité de certification de client de back-end LDAP SSSD configuré Back-end LDAP SSSD configuré afin d'utiliser TLS pour toutes les transactions Désactivation du compte après expiration du mot de passe Utilitaires d'administration de compte de groupe configurés pour stocker uniquement les représentations cryptées des mots de passe

En outre, par défaut, les régions ONSR activent FIPS, SE Linux et STIG pour se conformer aux normes requises. Vous pouvez améliorer la sécurité du système en activant des configurations supplémentaires. La norme de configuration (STIG) peut être définie pour respecter les normes les plus restrictives et améliorer la conformité en matière de sécurité avec le STIG Oracle Linux 7 de la DISA. Un outil est fourni dans le cadre de l'image pour activer FIPS, SE Linux et STIG.

Pour plus d'informations, reportez-vous aux sections suivantes :

• Activation de FIPS, SE Linux et STIG sur des composants de système de base de données
• Outil STIG (Security Technical Implementation Guide) pour le système de base de données

Processus de sécurité

Cette rubrique décrit les processus de sécurité par défaut disponibles dans Base Database Service. Voici la liste des processus exécutés par défaut sur la machine virtuelle utilisateur (système de base de données), également appelée domU.

Tableau - Processus de sécurité

Processus	Description
Agent domU	Il s'agit d'un agent cloud permettant de gérer les opérations de cycle de vie de base de données. S'exécute en tant qu'utilisateur root La table de processus indique son exécution en tant que processus Java avec les noms de fichier JAR suivants : dcs-agent-VersionNumber-SNAPSHOT.jar dcs-admin-VersionNumber-SNAPSHOT.jar
Agent TFA	Oracle Trace File Analyzer (TFA) fournit plusieurs outils de diagnostic dans un seul et même package, ce qui facilite la collecte d'informations de diagnostic sur Oracle Database et Oracle Clusterware et, par conséquent, la résolution des problèmes avec le support technique Oracle. S'exécute en tant qu'utilisateur root S'exécute en tant que démon initd (/etc/init.d/init.tfa) Les tables de processus affichent une application Java (oracle.rat.tfa.TFAMain)
Base de données et GI (clusterware)	S'exécute en tant qu'utilisateurs oracle et grid Certains processus de démon de clusterware/CRS s'exécutent en tant qu'utilisateur root La table de processus affiche les applications suivantes : ora_*, apx_*, ams_* et oracle+ASM* mysqld et zookeeper Autre processus depuis /u01/<version>/grid/*

Sécurité réseau

Cette rubrique décrit la sécurité réseau dans Base Database Service. Voici la liste des ports, processus et règles iptables par défaut exécutés sur la machine virtuelle utilisateur (système de base de données), également appelée domU.

Ports pour les services domU

Le tableau suivant fournit la liste des ports par défaut pour les services domU.

Tableau - Matrice de ports par défaut pour les services domU

Type d'interface	Nom de l'interface	Port	Processus d'exécution
Ecoute sur toutes les interfaces	0.0.0.0	22	SSH
		1522	SGBDR : processus d'écoute TNS
		7060	Administrateur DCS
		7070	Agent DCS
		2181	ZooKeeper
		8888, 8895	RAC : serveur QOMS (Quality of Management Service)
		9 000	RAC : Oracle Clusterware
		68	DHCP
		123	NTP
		5353	DNS multidiffusion
Interface client	ens3	1521	SGBDR : processus d'écoute TNS
		5000	SGBDR : Autonomous Health Framework (AHF) (inclut TFA)
	ens3:1	1521	SGBDR : processus d'écoute TNS
	ens3:2	1521	SGBDR : processus d'écoute TNS
	ens3:3	1521	SGBDR : processus d'écoute TNS
Interconnexion de cluster	ens4	1525	SGBDR : processus d'écoute TNS
		2888	ZooKeeper
		3888	ZooKeeper
		6 000	RAC : Grid Interprocess Communication
		7 000	RAC : service Haute Disponibilité

Règles iptables pour domU

Par défaut, iptables est configuré pour accepter (ACCEPT) les connexions sur les chaînes d'entrée, de transmission et de sortie.

Voici les règles iptables par défaut pour les services domU :

• CHAIN INPUT
• CHAIN FORWARD
• CHAIN OUTPUT

Exemple - Règles iptables

L'exemple suivant fournit les règles iptables par défaut pour les services domU.

iptables -L -n -v

Sortie :

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
  43M  110G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 2664  224K ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0
40793 2441K ACCEPT     all  --  lo     *       0.0.0.0/0            0.0.0.0/0
    0     0 ACCEPT     all  --  ens4   *       0.0.0.0/0            0.0.0.0/0
    3   192 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:22
   40  2400 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:1521 /* Required for access to Database Listener, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:5000 /* Required for TFA traffic.  */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0            state NEW tcp dpt:6200 /* This rule is recommended and enables the Oracle Notification Services (ONS) to communicate about Fast Application Notification (FAN) events.  */
  343 20580 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7070 /* Required for instance management by the Database Service, Do not remove or modify.  */
  132  7920 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:7060 /* Required for instance management by the Database Service, Do not remove or modify.  */
    0     0 ACCEPT     tcp  --  *      *       169.254.0.0/16       0.0.0.0/0            state NEW tcp dpt:22 /* Required for instance management by the Database Service, Do not remove or modify.  */
    3   424 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 REJECT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited
  
Chain OUTPUT (policy ACCEPT 51078 packets, 3218K bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  *      ens4    0.0.0.0/0            0.0.0.0/0
  52M  170G ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0            state RELATED,ESTABLISHED
 8003  548K InstanceServices  all  --  *      *       0.0.0.0/0            169.254.0.0/16
  
Chain InstanceServices (1 references)
 pkts bytes target     prot opt in     out     source               destination
   11   660 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.2.0/24       owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    1    60 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          owner UID match 0 tcp dpt:3260 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.2          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
  678 63323 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:53 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.3          owner UID match 0 tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.0.4          tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
 2569  195K ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:123 /* Allow access to OCI local NTP service */
 4727  284K ACCEPT     tcp  --  *      *       0.0.0.0/0            169.254.169.254      tcp dpt:80 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
   15  4920 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:67 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            169.254.169.254      udp dpt:69 /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */
    0     0 REJECT     tcp  --  *      *       0.0.0.0/0            169.254.0.0/16       tcp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with tcp-reset
    0     0 REJECT     udp  --  *      *       0.0.0.0/0            169.254.0.0/16       udp /* See the Oracle-Provided Images section in the Oracle documentation for security impact of modifying or removing this rule */ reject-with icmp-port-unreachable

Responsabilités de l'utilisateur pour les paramètres de sécurité

Cette rubrique décrit les responsabilités de l'équipe des opérations Oracle Cloud et les responsabilités de l'utilisateur pour les paramètres de sécurité dans Base Database Service. Le tableau suivant fournit la liste des paramètres de sécurité dont l'équipe des opérations Oracle Cloud et l'utilisateur doivent se charger.

Table - Responsabilités de l'équipe des opérations Oracle Cloud et de l'utilisateur pour différentes opérations

Opération	Oracle Cloud Platform		Instances utilisateur/locataire
	Responsabilité d'Oracle Cloud	Responsabilité de l'utilisateur	Responsabilité d'Oracle Cloud	Responsabilité de l'utilisateur
Déploiement de base de données	Infrastructure logicielle et instructions pour le déploiement de Base Database Service	Administrateur réseau : configuration de l'infrastructure de réseau cloud (réseau cloud virtuel et sous-réseaux, passerelle, etc.) Administrateur de base de données : configuration des exigences liées à la base de données (mémoire, stockage, calcul, version de base de données, type de base de données, etc.)	Installation du système d'exploitation, de la base de données et du système Grid Infrastructure si cette option est sélectionnée	Administration de base de données : mise à jour de la version du logiciel Oracle Database, forme correspondant aux exigences de machine virtuelle (UC/mémoire), ressources de taille de la configuration du stockage et de la récupération de données en fonction des charges globales si nécessaire (augmentation/réduction des ressources)
MONITORING	Sécurité physique, infrastructure, plan de contrôle, pannes matérielles, disponibilité, capacité	Aucune exigence	Disponibilité de l'infrastructure pour la prise en charge de la surveillance utilisateur des services utilisateur	Administrateur de base de données : surveillance du système d'exploitation, des bases de données, des applications et de Grid Infrastructure pour l'utilisateur
Gestion et résolution des incidents	Gestion et résolution des incidents, pièces de rechange et expédition sur site	Aucune exigence	Prise en charge des incidents liés à la plate-forme sous-jacente	Administrateur de base de données : gestion et résolution des incidents liés aux applications utilisateur
Gestion des patches	Application proactive de patches à la pile de contrôle du matériel et IaaS/PaaS	Aucune exigence	Préparation des patches disponibles, par exemple l'ensemble de patches Oracle Database	Administrateur de base de données : application de patches aux instances de locataire, tests Administrateur de système d'exploitation : application de patches de système d'exploitation
Sauvegarde et restauration	Sauvegarde et récupération de l'infrastructure et du plan de contrôle, recréation des machines virtuelles utilisateur	Aucune exigence	Fourniture de machines virtuelles en cours d'exécution et accessibles par l'utilisateur	Administrateur de base de données : clichés/sauvegarde et récupération des données IaaS et PaaS utilisateur à l'aide de fonctions natives d'Oracle ou tierces

Activation de fonctionnalités de sécurité supplémentaires

Base Database Service fournit les fonctionnalités de sécurité supplémentaires suivantes :

• dbcli NetSecurity
• Intégration d'OCI Vault
• Interface de ligne de commande permettant d'activer FIPS

dbcli NetSecurity

dbcli NetSecurity concerne le cryptage des données lors de leur parcours sur le réseau. Lorsque les données se déplacent d'Oracle Database vers un tiers ou d'un serveur vers un client, elles doivent être cryptées du côté de l'expéditeur et décryptées du côté du récepteur. Dans NetSecurity, les règles sont configurées avec des valeurs par défaut pour le client et le serveur lors des opérations de provisionnement et de création de répertoire de base de base de données. L'interface de ligne de commande dcs-agent fournit des commandes permettant de mettre à jour ces règles NetSecurity et d'améliorer la sécurité des algorithmes de cryptage, des algorithmes d'intégrité et des types de connexion.

Par défaut, dcs-agent configure les règles par défaut suivantes pour le répertoire de base de base de données :

• SQLNET.ENCRYPTION_SERVER=REQUIRED
• SQLNET.CRYPTO_CHECKSUM_SERVER=REQUIRED
• SQLNET.ENCRYPTION_TYPES_SERVER=(AES256,AES192,AES128)
• SQLNET.CRYPTO_CHECKSUM_TYPES_SERVER=(SHA1)
• SQLNET.ENCRYPTION_CLIENT=REQUIRED
• SQLNET.CRYPTO_CHECKSUM_CLIENT=REQUIRED
• SQLNET.ENCRYPTION_TYPES_CLIENT=(AES256,AES192,AES128)
• SQLNET.CRYPTO_CHECKSUM_TYPES_CLIENT=(SHA1)

Pour plus d'informations sur la mise à jour des paramètres, reportez-vous à Référence CLI de base de données Oracle.

Intégration d'OCI Vault

Base Database Service propose désormais l'intégration au service OCI Vault dans toutes les régions commerciales OCI. Vous pouvez à présent créer et gérer les clés maître TDE qui protègent vos bases de données dans OCI Vault. Grâce à cette fonctionnalité, vous avez la possibilité de commencer à utiliser le service OCI Vault pour stocker et gérer les clés de cryptage maître. Les clés OCI Vault utilisées pour protéger les bases de données sont stockées dans un service hautement disponible, durable et géré.

Remarques :

L'intégration d'OCI Vault est disponible uniquement pour les versions 19.13 et ultérieures d'Oracle Database.

Grâce à l'intégration d'OCI Vault à Base Database Service, vous pouvez effectuer les opérations suivantes :

• Contrôler et gérer de manière centralisée les clés maître TDE en activant le cryptage de clé basé sur OCI Vault lors du provisionnement des bases de données Oracle sur Base Database Service
• Stocker les clés maître TDE dans un service géré, durable et hautement disponible dans lequel les clés sont protégées par des modules de sécurité HSM qui respectent la certification de sécurité FIPS 140-2 niveau 3
• Effectuer régulièrement une rotation des clés de cryptage afin de garantir la conformité en matière de sécurité et de désactiver l'accès à une base de données en cas de changement de personnel
• Effectuer la migration des clés gérées par Oracle vers des clés gérées par l'utilisateur pour les bases de données existantes
• Employer vos propres clés (BYOK) lors de la création de bases de données avec un cryptage géré par l'utilisateur

Remarques :

• BYOK s'applique uniquement à la base de données Conteneur. Une nouvelle version de clé générée automatiquement est affectée à la base de données pluggable.
• Les bases de données Oracle qui utilisent le cryptage géré par l'utilisateur prennent en charge le clonage de système de base de données, la restauration avec réutilisation de la mémoire, la configuration Data Guard intra-région et les opérations spécifiques aux bases de données pluggables telles que la création et le clonage local.

Interface de ligne de commande permettant d'activer FIPS

Oracle fournit aux utilisateurs commerciaux un outil leur permettant d'améliorer la sécurité par défaut. Avec cet outil, FIPS, SE Linux et STIG respectent les normes les plus rigoureuses.

Pour plus d'informations, reportez-vous à Activation de FIPS, SE Linux et STIG sur des composants de système de base de données.

---

Informations relatives au titre et au copyright

Copyright ©2022,2024,

Oracle et/ou ses affiliés.