Connexion d'Oracle Data Safe à des bases de données Exadata et autonomes

Cette architecture de référence met en évidence les différentes façons de connecter les bases de données Exadata et Autonomous à Oracle Data Safe. Il décrit également les mesures de sécurité que vous devez prendre pour fournir un déploiement sécurisé d'une connexion à une base de données cible spécifique.

Oracle Data Safe est un service cloud régional entièrement intégré qui se concentre sur la sécurité des données. Il fournit un ensemble complet et intégré de fonctionnalités d'Oracle Cloud Infrastructure (OCI) qui protègent les données confidentielles et réglementées dans les bases de donnéesOracle.

Oracle Data Safe fournit des services de sécurité essentiels pour Oracle Autonomous Database et les bases de données exécutées dans OCI. Data Safe prend également en charge les bases de données sur site, Oracle Exadata Cloud@Customer et les déploiements multicloud. Tous les clients Oracle Database peuvent réduire le risque de violation de données et simplifier la conformité en utilisant Data Safe pour évaluer les risques liés à la configuration et aux utilisateurs, surveiller et auditer l'activité des utilisateurs, et repérer, classer et masquer les données sensibles.

Les lois de conformité, telles que le règlement général sur la protection des données (RGPD) de l'Union européenne (UE) et la loi californienne sur la protection de la vie privée des consommateurs (CCPA), exigent que les entreprises protègent la vie privée de leurs clients. L'exécution d'une variété de bases de données hébergées de manière sûre et efficace nécessite un moyen de gérer la sécurité de ces données. Oracle Data Safe vous permet d'évaluer la sensibilité des données, d'évaluer les risques liés aux données, de masquer des données confidentielles, d'implémenter et de surveiller les contrôles de la sécurité, d'évaluer la sécurité utilisateur, de surveiller l'activité de l'utilisateur et de répondre aux exigences de conformité en matière d'accès aux données.

Après avoir ajouté une base de données en tant que cible, Data Safe identifie, classe et hiérarchise les risques, et fournit des rapports d'évaluation complets sur :

• Paramètres de sécurité
• Contrôles de sécurité utilisés
• Rôles et privilèges utilisateur

Data Safe répond à diverses exigences de conformité, telles que l'identification de l'emplacement des données sensibles, le masquage des données sensibles pour une utilisation hors production, la capture sécurisée des données d'audit, etc.

Les normes d'audit de conformité représentent un ensemble de stratégies d'audit qui permettent d'accélérer la mise en conformité avec les normes réglementaires. Elles aident également à évaluer si vous respectez les exigences de conformité des bases de données. Au cours de l'audit d'activité, deux stratégies de normes de conformité d'audit peuvent être activées pour suivre les activités de l'administrateur :

• Configuration de CIS (Center for Internet Security) : disponible pour Oracle Database 12.2 et versions ultérieures.
• STIG (Security Technical Implementation Guidelines) : disponible pour Oracle Database 21c et versions ultérieures.

En dehors de cela, les bases de données contiennent également des données sensibles et personnelles. Différentes lois et normes en matière de confidentialité des données, telles que les suivantes, s'appliquent si nécessaire :

• RGPD de l'UE - Règlement général sur le traitement des données de l'Union européenne
• PCI-DSS - La norme de sécurité des données de l'industrie des cartes de paiement, et
• HIPPA - Health Insurance Portability and Accountability Act (loi HIPAA)

Ces lois sur la protection de la vie privée exigent que vous protégiez les données personnelles.

Le masquage des Données, également appelé masquage des Données statiques, est le processus qui consistant à remplacer définitivement des données confidentielles par des données fictives réalistes.

Data Safe peut repérer et classer les données confidentielles en fonction d'une bibliothèque de plus de 150 types de données confidentielles prédéfinis. Cela peut également être étendu avec des types de données personnalisés.

Architecture

Cette architecture de référence décrit les bases de données cible suivantes et la façon dont Data Safe se connecte à ces bases de données :

• Exadata Database Service ou Exadata Cloud@Customer / Régional Cloud@Customer / Région dédiée
• Bases de données autonomes

Cette architecture de référence traite uniquement des bases de données avec des adresses IP privées. La configuration d'une base de données avec une adresse IP publique est déconseillée du point de vue de la sécurité.

Pour chaque déploiement différent de Data Safe abordé ici, vous devez également déployer une zone de renvoi dans votre location. Les ressources suivantes présentent les meilleures pratiques en matière de sécurité et de conformité, de concepts de zone de renvoi et de déploiement d'une zone de renvoi sur Oracle Cloud Infrastructure à l'aide de scripts terraform :

• Structure bien conçue pour Oracle Cloud Infrastructure
• Déploiement d'une zone de renvoi sécurisée conforme aux références CIS pour Oracle Cloud
• Zones de renvoi OCI conformes au CIS (référentiel GitHub)

Remarques :

Reportez-vous à la rubrique Explorer plus ci-dessous pour accéder à ces ressources.

Exadata Database Service ou Exadata Cloud@Customer,

Oracle Exadata Database Service fournit Oracle Exadata Database Machine en tant que service dans un centre de données Oracle Cloud Infrastructure (OCI).

Exadata Cloud@Customer, un service géré, fournit un service de base de données Exadata hébergé dans le centre de données sur site.

Exadata Database Service

Exadata Database Service n'a pas besoin de se connecter au réseau sur site car il est déployé sur OCI et peut donc utiliser directement l'adresse privée. Après avoir configuré la connectivité nécessaire, les bases de données peuvent être configurées en tant que cibles dans Data Safe à l'aide de l'assistant.

Exadata Cloud@Customer

Pour connecter une base de données cible Exadata Cloud@Customer, deux options sont disponibles :

• Connecteur sur site
• Adresse privée

Dans le diagramme suivant, les connexions sont affichées entre Oracle Cloud et le centre de données sur site. Le diagramme présente les options parmi lesquelles choisir. En cas de connexion VPN site à site ou OCI FastConnect, vous pouvez utiliser une adresse privée pour vous connecter à vos bases de données Data Safe cible Exadata Cloud@Customer. En l'absence de VPN ou d'OCI FastConnect, vous pouvez déployer un connecteur sur site pour vous connecter à vos bases de données Data Safe cible Exadata Cloud@Customer. Ce connecteur sur site se connecte ensuite à Data Safe via un tunnel TLS.

Description de l'image data-safe-exa-adb.png

data-safe-exa-adb-oracle.zip

Comme indiqué dans le diagramme, un tunnel d'automatisation sortant, persistant et sécurisé connecte l'infrastructure CPS du centre de données sur site au VCN d'administration géré par Oracle dans la région OCI pour fournir des commandes d'automatisation cloud aux clusters de machines virtuelles. Il s'agit d'un tunnel sortant pour l'infrastructure CPS et ne peut pas être utilisé pour les connexions Data Safe. Pour plus d'informations, reportez-vous au lien ci-dessous sur "Architecture Exadata Cloud@Customer".

L'environnement Exadata Cloud@Customer est pris en charge par Oracle à l'aide d'Oracle Operator Access Control (OpCtl). OpCtl est un service de gestion des accès privilégiés (PAM) OCI qui fournit aux clients un mécanisme technique pour mieux contrôler la façon dont le personnel d'Oracle peut accéder à son infrastructure Exadata Cloud@Customer (ExaC@C). Pour une lecture détaillée à ce sujet, reportez-vous au lien Oracle Operator Access Control ci-dessous. Les ressources suivantes décrivent en détail les architectures et la configuration :

• Architecture Exadata Cloud@Customer
• Architecture Exadata Database Service
• Configurer la base de données Cloud@Customer à l'aide d'une adresse privée
• Configurer la base de données Cloud@Customer à l'aide de l'assistant
• Simplifiez la sécurité de vos bases de données Oracle sur site avec Oracle Data Safe
• Contrôles de sécurité d'Exadata Database Service

Remarques :

Reportez-vous à la rubrique Explorer plus ci-dessous pour accéder à ces ressources.

Bases de données autonomes

La base de données autonome sur une infrastructure partagée est disponible avec Data Safe. Les bases de données autonomes peuvent être inscrites via l'assistant ou en un seul clic sur la page de détails de la base de données autonome. Les étapes de connexion de la base de données autonome pour Dedicated Region Cloud@Customer sont décrites dans cette partie de la documentation Data Safe.

Composants d'architecture

Ces architectures possèdent les composants suivants :

• Tenancy

  Oracle Autonomous Transaction Processing est un service de base de données doté de fonctions d'autopilotage, d'autosécurisation et d'autoréparation optimisé pour les charges de travail de traitement des transactions. Vous n'avez pas besoin de configurer ni de gérer un matériel, ni d'installer un logiciel. Oracle Cloud Infrastructure gère la création de cette base, ainsi que la sauvegarde, l'application de patches, la mise à niveau et l'ajustement de cette base.

• Région

  Une région Oracle Cloud Infrastructure est une zone géographique précise qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les une des autres et peuvent les séparer d'un pays ou d'un continent à l'autre par de grandes distances.

• Compartiment

  Les compartiments sont des partitions logiques inter-région au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser vos ressources dans Oracle Cloud, contrôler l'accès aux ressources et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous définissez des stratégies qui indiquent qui peut accéder aux ressources et les actions réalisables.

• Domaines de disponibilité

  Les domaines de disponibilité sont des centres de données autonomes indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées de celles des autres, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent ni infrastructure (par exemple, alimentation, système de refroidissement), ni réseau de domaine de disponibilité interne. Il est donc peu probable qu'une panne survenue sur un domaine de disponibilité affecte les autres domaines dans la région.

• Domaines de pannes

  Un domaine de pannes est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec une alimentation et un matériel indépendants. Lorsque vous répartissez des ressources entre plusieurs domaines de pannes, vos applications peuvent tolérer les pannes du serveur physique, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.

• Réseau cloud virtuel (VCN) et sous-réseaux

  Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

• Equilibreur de charge

  Le service Oracle Cloud Infrastructure Load Balancing fournit une distribution automatisée du trafic d'un point d'entrée unique vers plusieurs serveurs du back-end. L'équilibreur de charge donne accès à différentes applications.

• Liste de sécurité

  Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui indiquent la source, la destination et le type de trafic qui doivent être autorisés à entrer et à sortir du sous-réseau.

• Passerelle NAT

  La passerelle NAT permet aux ressources privées d'un VCN d'accéder aux hôtes sur Internet, sans exposer ces ressources aux connexions Internet entrantes.

• Passerelle de service

  La passerelle de service fournit un accès à partir d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic provenant du réseau cloud virtuel et à destination du service Oracle emprunte la topologie de réseau Oracle et ne passe jamais par Internet.

• Cloud Guard

  Vous pouvez utiliser Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources à la recherche de failles de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités à risque. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondeur que vous pouvez configurer.

• Zone de sécurité

  Les zones de sécurité garantissent les meilleures pratiques de sécurité d'Oracle dès le départ en appliquant des stratégies telles que le chiffrement des données et en empêchant l'accès public aux réseaux pour l'ensemble d'un compartiment. Une zone de sécurité est associée à un compartiment du même nom et inclut des stratégies de zone de sécurité ou une "recette" qui s'applique au compartiment et à ses sous-compartiments. Vous ne pouvez pas ajouter ou déplacer un compartiment standard vers un compartiment de zones de sécurité.

• Object Storage

  Le stockage d'objets fournit un accès rapide à des quantités importantes de informations structurées et non, de tout type de contenu, y compris les sauvegardes de base de donnée, les données analytiques et le contenu enrichi tel que des images et des vidéos. Vous pouvez stocker les données, puis les extraire directement à partir d'Internet ou de la plate-forme cloud, et ce, en toute sécurité. Vous pouvez redimensionner le stockage sans dégradation des performances ni de la fiabilité de services. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archive pour le stockage "à froid" que vous conservez durant de longues périodes et auquel il est rare d'y accéder.

• FastConnect

  Oracle Cloud Infrastructure FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect offre davantage d'options de bande passante et de fonctiosn de réseau plus fiables et homogène par rapports aux connexions Internet.

• Passerelle d'appairage local (GPL)

  Une passerelle d'appairage local vous permet d'appairer un VCN avec un autre VCN dans la même région. L'appairage signifie que les réseaux Cloud virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic ne passe pas par Internet ou que le routage ne soit acheminé via votre réseau sur site.

• Autonomous Transaction Processing
  Autonomous Transaction Processing fournit un service de base de données doté de fonctions d'autopilotage, d'autosécurisation et d'autoréparation capable de s'adapter instantanément pour répondre aux demandes de diverses applications : traitement des transactions essentielles, analyses et transactions mixtes, IoT, documents JSON, etc. Lorsque vous créez une instance Autonomous Database, vous pouvez la déployer sur l'un des trois types d'infrastructure Exadata suivants :

  • Partagé, type simple et élastique. Oracle gère en autonomie tous les aspects du cycle de vie de la base de données, que ce soit le positionnement, la sauvegarde ou les mises à jour.
  • Dédié sur le cloud public, type de cloud privé dans le cloud public. Service de calcul, de stockage, de réseau et d'une base de données entièrement dédié pour un seul locataire, qui permet d'assurer les plus hauts niveaux d'isolement de sécurité et d'administration.
  • Dédié sur Cloud@Customer ; Autonomous Database sur une infrastructure dédiée exécutée sur le système Exadata Database Machine dans votre centre de données, ainsi que la configuration réseau qui le connecte à Oracle Cloud.
• Autonomous Data Warehouse

  Oracle Autonomous Data Warehouse est un service de base de données doté de fonctions d'autopilotage, d'autosécurisation et d'autoréparation, optimisé pour les charges de travail d'entreposage de données. Vous n'avez pas besoin de configurer ni de gérer un matériel, ni d'installer un logiciel. Oracle Cloud Infrastructure gère la création de cette base, ainsi que la sauvegarde, l'application de patches, la mise à niveau et l'ajustement de cette base.

• Autonomous Transaction Processing

  Oracle Autonomous Transaction Processing est un service de base de données doté de fonctions d'autopilotage, d'autosécurisation et d'autoréparation optimisé pour les charges de travail de traitement des transactions. Vous n'avez pas besoin de configurer ni de gérer un matériel, ni d'installer un logiciel. Oracle Cloud Infrastructure gère la création de cette base, ainsi que la sauvegarde, l'application de patches, la mise à niveau et l'ajustement de cette base.

• Système de base de données Exadata

  Exadata Database Service vous permet d'exploiter toute la puissance d'Exadata dans le cloud. Vous pouvez provisionner des systèmes X8M flexibles qui vous permettent d'ajouter des serveurs de stockage et des serveurs de calcul de base de données aux systèmes en fonction de l'évolution de vos besoins. Les systèmes X8M offrent une mise en réseau RoCE (RDMA over Converged Ethernet) pour garantir une bande passante élevée et un faible latence, des modules Exadata intelligents et la mémoire persistante (PMEM). Vous pouvez provisionner des systèmes X8M ou X9M à l'aide d'une forme équivalente à un système X8 de quart de rack, puis ajouter des serveurs de base de données et de stockage à tout moment après le provisionnement.

Recommandations

Utilisez les recommandations suivantes comme point de départ lors de l'implémentation d'Oracle Data Safe pour vos bases de données déployées sur site et OCI. Vos exigences peuvent différer de l'architecture décrite ici.

• VCN

  Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux dans le VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adressage IP privé standard.

  Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) sur lequel vous prévoyez de configurer des connexions privées.

  Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

  Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.

  Utilisez des sous-réseaux régionaux.

• Sécurité (Security)

  Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure de manière proactive. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources à la recherche de failles de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités risquées. Par exemple, Cloud Guard fournit une recette de détecteur qui peut vous alerter si une base de données n'est pas inscrite auprès de Data Safe.

  Pour les ressources nécessitant une sécurité maximale, Oracle recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette de stratégies de sécurité définie par Oracle basée sur les meilleures pratiques. Par exemple, les ressources d'une zone d'accès ne doivent pas être accessibles à partir du réseau Internet public et elles doivent être cryptées à l'aide de clés gérées par un client. Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations par rapports aux stratégies de la recette d'une zone de sécurité, et refuse les opérations qui violent les stratégies.

• Cloud Guard

  Clonez et personnalisez les recettes par défaut fournies par Oracle pour créer des recettes personnalisées de détecteur et de répondeur. Ces recettes vous permettent d'indiquer le type de violation de sécurité qui génère un avertissement et les actions autorisées à y être effectuées. Par exemple, vous pouvez détecter les buckets Object Storage dont la visibilité est définie sur Public.

  Appliquez Cloud Guard au niveau de la location pour couvrir la portée la plus large et réduire la charge administrative liée à la maintenance de plusieurs configurations.

  Vous pouvez également utiliser la fonctionnalité de liste gérée pour appliquer certaines configurations aux détecteurs.

• Groupes de sécurité réseau

  Vous pouvez utiliser des groupes de sécurité réseau pour définir un ensemble de règles entrantes et sortantes qui s'appliquent à des cartes d'interface réseau virtuelles spécifiques. Nous vous recommandons d'utiliser des groupes de sécurité réseau plutôt que des listes de sécurité, car les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau du VCN des exigences de sécurité de votre application.

• Bande passante d'équilibreur de charge

  Lors de la création de l'équilibreur de charge, vous pouvez soit sélectionner une forme prédéfinie qui fournit une bande passante fixe, soit indiquer une forme personnalisée (flexible) dans laquelle définir une plage de bande passante et laisser le service redimensionner automatiquement la bande passante en fonction des modèles de trafic. Avec l'une ou l'autre des approches, vous pouvez modifier la forme à tout moment après la création de l'équilibreur de charge.

En savoir plus

En savoir plus sur l'implémentation d'Oracle Data Safe pour les bases de données autonomes et Exadata.

Consultez les ressources supplémentaires suivantes :

• Structure bien conçue pour Oracle Cloud Infrastructure
• Déploiement d'une zone de renvoi sécurisée conforme aux références CIS pour Oracle Cloud
• Architecture technique d'Exadata Cloud@Customer
• Oracle Exadata Database Service on Dedicated Infrastructure - Architecture technique
• Inscription de bases de données Exadata Cloud@Customer à l'aide d'une adresse privée Oracle Data Safe
• Configurer la base de données Cloud@Customer à l'aide de l'assistant
• Simplifiez la sécurité de vos bases de données Oracle sur site avec Oracle Data Safe
• Contrôles de sécurité d'Exadata Cloud Service
• Oracle Operator Access Control pour Exadata Cloud@Customer
• OCI-landing-zones / terraform-OCI-core-landingzone (zone de renvoi OCI Core) sur GitHub.
• oci-landing-zones / oci-landing-zone-operating-entities (zone de renvoi des entités opérationnelles) sur GitHub

Accusés de réception

Auteur : Jacco Steur

Contributeur : Wei Han

Modifier le journal

Ce journal répertorie les modifications importantes :

Juin 13, 2025

Mise à jour de la liste des ressources supplémentaires dans "En savoir plus".