Connexion d'Oracle Data Safe aux bases de données Oracle sur des environnements cloud hybrides et multiclouds

Cette architecture de référence met en évidence les différentes façons dont vous pouvez connecter des environnements multicloud et Oracle Database Service for Azure à Oracle Data Safe. Il décrit également les mesures de sécurité à prendre pour assurer le déploiement sécurisé d'une connexion vers une cible spécifique.

Oracle Data Safe fournit des services de sécurité essentiels pour Oracle Autonomous Database et les bases de données exécutées dans OCI. Data Safe prend également en charge les bases de données sur site, Oracle Exadata Cloud@Customer et les déploiements de bases de données Oracle multicloud. Tous les clients Oracle Database peuvent réduire le risque de violation de données et simplifier la conformité en utilisant Data Safe pour évaluer les risques liés à la configuration et aux utilisateurs, surveiller et auditer l'activité des utilisateurs, et repérer, classer et masquer les données sensibles.

Les lois de conformité, telles que le règlement général sur la protection des données (RGPD) de l'Union européenne (UE) et la loi californienne sur la protection de la vie privée des consommateurs (CCPA), exigent que les entreprises protègent la vie privée de leurs clients. Oracle Data Safe vous aide à comprendre la sensibilité des données, à évaluer les risques liés aux données, à masquer des données confidentielles, à implémenter et surveiller les contrôles de Sécurité, à évaluer l'activité des utilisateurs, à surveiller l'activité de l'utilisateur et de répondre aux exigences de conformité en matière d'accès aux données.

Après avoir ajouté une base de données en tant que cible, Data Safe identifie, classe et hiérarchise les risques, et fournit des rapports d'évaluation complets sur :
  • Paramètres de sécurité
  • Contrôles de sécurité utilisés
  • Rôles et privilèges utilisateur
Data Safe répond à diverses exigences de conformité, telles que l'identification de l'emplacement des données sensibles, le masquage des données sensibles pour une utilisation hors production, la capture sécurisée des données d'audit, etc.
Les normes d'audit de conformité représentent un ensemble de stratégies d'audit qui permettent d'accélérer la mise en conformité avec les normes réglementaires. Elles aident également à évaluer si vous respectez les exigences de conformité des bases de données. Au cours de l'audit d'activité, deux stratégies de normes de conformité d'audit peuvent être activées pour suivre les activités de l'administrateur :
  • Configuration de CIS (Center for Internet Security) : disponible pour Oracle Database 12.2 et versions ultérieures.
  • STIG (Security Technical Implementation Guidelines) : disponible pour Oracle Database 21c et versions ultérieures.
L'audit assure le suivi des activités de l'administrateur. En dehors de cela, les bases de données contiennent également des données sensibles et personnelles. Différentes lois et normes en matière de confidentialité des données, telles que les suivantes, s'appliquent si nécessaire :
  • RGPD de l'UE - Règlement général sur le traitement des données de l'Union européenne
  • PCI-DSS - La norme de sécurité des données de l'industrie des cartes de paiement, et
  • HIPPA - Health Insurance Portability and Accountability Act (loi HIPAA)
Ces lois sur la protection de la vie privée exigent que vous protégiez les données personnelles. Le masquage des Données, également appelé masquage des Données statiques, est le processus qui consistant à remplacer définitivement des données confidentielles par des données fictives réalistes. Data Safe peut repérer et classer les données confidentielles en fonction d'une bibliothèque de plus de 150 types de données confidentielles prédéfinis. Cela peut également être étendu avec des types de données personnalisés.

Architecture

Cette architecture de référence présente les bases de données cible suivantes et les scénarios de connexion Data Safe suivants :
  • Data Safe se connectant aux déploiements de base de données multicloud dans des environnements cloud autres que Microsoft Azure
  • Data Safe se connectant aux bases de données dans Microsoft Azure à l'aide de Database Service (ODSA)
Pour tous les différents déploiements de Data Safe abordés ici, un déploiement d'une zone de renvoi dans votre location est conseillé. Les ressources suivantes présentent les meilleures pratiques en matière de sécurité et de conformité, de concepts de zone de renvoi et de déploiement d'une zone de renvoi sur Oracle Cloud Infrastructure à l'aide de scripts terraform :
  • Structure bien conçue pour Oracle Cloud Infrastructure
  • Déploiement d'une zone de renvoi sécurisée conforme aux références CIS pour Oracle Cloud
  • Zones de renvoi OCI conformes au CIS (référentiel GitHub)

Remarques :

Reportez-vous à la section "En savoir plus" ci-dessous pour accéder à ces ressources.

Data Safe se connectant aux bases de données dans un environnement multicloud

Lorsque les bases de données Oracle sont déployées dans un environnement multicloud, elles peuvent être considérées comme des bases de données déployées sur site. Le connecteur sur site ou l'adresse privée peut être utilisé. Le diagramme suivant présente les options de connexion pour les bases de données déployées sur AWS et/ou Microsoft Azure. Tout fournisseur cloud pouvant héberger des bases de données Oracle peut être utilisé dans cette configuration. La connexion aux bases de données déployées dans un fournisseur cloud à l'aide d'une adresse privée ou du connecteur Data Safe sur site permet à Data Safe d'inspecter les bases de données.


Description de l'image datasafe-multi-odsa-01.png ci-après
Description de l'image datasafe-multi-odsa-01.png

datasafe-multi-odsa-01-oracle.zip

Data Safe se connectant aux bases de données dans Microsoft Azure à l'aide de Database Service (ODSA)

La connexion de Data Safe aux bases de données qui font partie d'Oracle Database Service for Azure (ODSA) est la même que pour les autres bases de données OCI. Toutefois, vous devez prendre en compte certains détails lors de l'utilisation du service ODSA. Le diagramme suivant illustre l'architecture d'ODSA :


Description de l'image datasafe-multi-odsa-02.png ci-après
Description de l'image datasafe-multi-odsa-02.png

datasafe-multi-odsa-02-oracle.zip

Etant donné que les bases de données sont configurées dans un compartiment ODSA distinct, certains ajustements des stratégies peuvent être nécessaires pour permettre l'accès à ces ressources.

Avec Oracle Database Service for Microsoft Azure (ODSA), les ressources de base de données résident dans une location OCI liée à un compte Microsoft Azure. Dans OCI, les bases de données et les ressources d'infrastructure sont gérées dans un compartiment ODSA. Ce compartiment est automatiquement créé pour les ressources ODSA lors du processus d'inscription. Le multicloud ODSA NetworkLink (voir le diagramme) et la liaison de comptes seront également configurés lors du processus d'inscription.

L'un des prérequis pour ODSA est que votre location doit prendre en charge les domaines d'identité. En outre, la disponibilité régionale doit être vérifiée. Les ressources de base de données ODSA doivent être provisionnées dans ces régions.

Pour plus d'informations sur ODSA, reportez-vous à Modèle de service multicloud, accessible à partir de la rubrique En savoir plus, ci-dessous.

Cette architecture comporte les composants suivants :
  • Tenancy

    Une location est une partition sécurisée et isolée qu'Oracle configure dans Oracle Cloud lorsque vous souscrivez à OCI. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud au sein de votre location. Une location est synonyme d'entreprise ou d'organisation. Habituellement, une entreprise aura une seule location et reflétera sa structure organisationnelle au sein de cette location. Une location unique est généralement associée à un seul abonnement, et un seul abonnement n'a généralement qu'une seule location.

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique précise qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les une des autres et peuvent les séparer d'un pays ou d'un continent à l'autre par de grandes distances.

  • Compartiment

    Les compartiments sont des partitions logiques inter-région au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser vos ressources dans Oracle Cloud, contrôler l'accès aux ressources et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous définissez des stratégies qui indiquent qui peut accéder aux ressources et les actions réalisables..

  • Domaines de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées de celles des autres, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent ni infrastructure (par exemple, alimentation, système de refroidissement), ni réseau de domaine de disponibilité interne. Il est donc peu probable qu'une panne survenue sur un domaine de disponibilité affecte les autres domaines dans la région.

  • Domaines de pannes

    Un domaine de pannes est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec une alimentation et un matériel indépendants. Lorsque vous répartissez des ressources entre plusieurs domaines de pannes, vos applications peuvent tolérer les pannes du serveur physique, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.

  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent un contrôle total sur l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Equilibreur de charge

    Le service Oracle Cloud Infrastructure Load Balancing fournit une distribution automatisée du trafic d'un point d'entrée unique vers plusieurs serveurs du back-end. L'équilibreur de charge donne accès à différentes applications.

  • Passerelle de service

    La passerelle de service fournit un accès à partir d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic provenant du réseau cloud virtuel et à destination du service Oracle emprunte la topologie de réseau Oracle et ne passe jamais par Internet.

  • Cloud Guard

    Vous pouvez utiliser Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources à la recherche de failles de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités risquées. Par exemple, Cloud Guard peut vous avertir lorsque votre location comporte une base de données qui n'est pas inscrite auprès de Data Safe. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondeur que vous pouvez configurer.

  • FastConnect

    Oracle Cloud Infrastructure FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et Oracle Cloud Infrastructure. FastConnect offre des options de bande passante supérieure et une expérience réseau plus fiable par rapport aux connexions basées sur Internet. Par exemple, Cloud Guard peut vous avertir si votre location comporte une base de données qui n'est pas inscrite auprès de Data Safe.

  • Autonomous Transaction Processing
    Autonomous Transaction Processing fournit un service de base de données doté de fonctions d'autopilotage, d'autosécurisation et d'autoréparation capable de s'adapter instantanément pour répondre aux demandes de diverses applications : traitement des transactions essentielles, analyses et transactions mixtes, IoT, documents JSON, etc. Lorsque vous créez une instance Autonomous Database, vous pouvez la déployer sur l'un des trois types d'infrastructure Exadata suivants :
    • Partagé, type simple et élastique. Oracle gère en autonomie tous les aspects du cycle de vie de la base de données, que ce soit le positionnement, la sauvegarde ou les mises à jour.
    • Dédié sur le cloud public, type de cloud privé dans le cloud public. Service de calcul, de stockage, de réseau et d'une base de données entièrement dédié pour un seul locataire, qui permet d'assurer les plus hauts niveaux d'isolement de sécurité et d'administration.
    • Dédié sur Cloud@Customer ; Autonomous Database sur une infrastructure dédiée exécutée sur le système Exadata Database Machine dans votre centre de données, ainsi que la configuration réseau qui le connecte à Oracle Cloud.
  • Système de base de données Exadata

    Exadata Cloud Service vous permet d'exploiter toute la puissance d'Exadata dans le cloud. Vous pouvez provisionner des systèmes X8M flexibles qui vous permettent d'ajouter des serveurs de stockage et des serveurs de calcul de base de données aux systèmes en fonction de l'évolution de vos besoins. Les systèmes X8M offrent une mise en réseau RoCE (RDMA over Converged Ethernet) pour garantir une bande passante élevée et un faible latence, des modules Exadata intelligents et la mémoire persistante (PMEM). Vous pouvez provisionner des systèmes X8M ou X9M à l'aide d'une forme équivalente à un système X8 de quart de rack, puis ajouter des serveurs de base de données et de stockage à tout moment après le provisionnement.

Recommandations

Utilisez les recommandations suivantes comme point de départ lors de l'implémentation d'Oracle Data Safe pour les environnements multicloud et ODSA. Vos exigences peuvent différer de l'architecture décrite ici.
  • Sécurité (Security)

    Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure de manière proactive. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources à la recherche de failles de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités à risque. Lorsqu'une erreur de configuration ou une activité non sécurisée est détectée, Cloud Guard recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondeur que vous pouvez définir.

    Pour les ressources nécessitant une sécurité maximale, Oracle recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette de stratégies de sécurité définie par Oracle basée sur les meilleures pratiques. Par exemple, les ressources d'une zone d'accès ne doivent pas être accessibles à partir du réseau Internet public et elles doivent être cryptées à l'aide de clés gérées par un client. Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations en fonction des stratégies de la recette des zones de sécurité, et refuse les opérations qui violent l'une des stratégies.

  • Cloud Guard

    Clonez et personnalisez les recettes par défaut fournies par Oracle pour créer des recettes personnalisées de détecteur et de répondeur. Ces recettes vous permettent d'indiquer le type de violation de sécurité qui génère un avertissement et les actions autorisées à y être effectuées. Par exemple, vous pouvez détecter les buckets Object Storage dont la visibilité est définie sur Public.

    Appliquez Cloud Guard au niveau de la location pour couvrir la portée la plus large et réduire la charge administrative liée à la maintenance de plusieurs configurations.

    Vous pouvez également utiliser la fonctionnalité de liste gérée pour appliquer certaines configurations aux détecteurs.

  • Groupes de sécurité réseau

    Vous pouvez utiliser des groupes de sécurité réseau pour définir un ensemble de règles entrantes et sortantes qui s'appliquent à des cartes d'interface réseau virtuelles spécifiques. Nous vous recommandons d'utiliser des groupes de sécurité réseau plutôt que des listes de sécurité, car les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau du VCN des exigences de sécurité de votre application.

  • Bande passante d'équilibreur de charge

    Lors de la création de l'équilibreur de charge, vous pouvez soit sélectionner une forme prédéfinie qui fournit une bande passante fixe, soit indiquer une forme personnalisée (flexible) dans laquelle définir une plage de bande passante et laisser le service redimensionner automatiquement la bande passante en fonction des modèles de trafic. Avec l'une ou l'autre des approches, vous pouvez modifier la forme à tout moment après la création de l'équilibreur de charge.

En savoir plus

En savoir plus sur la connexion d'Oracle Data Safe aux bases de données Oracle exécutées sur des environnements cloud hybrides et multiclouds.

Consultez les ressources supplémentaires suivantes :

Accusés de réception

Auteur : Jacco Steur

Contributeur : Wei Han

Modifier le journal

Ce journal répertorie les modifications importantes :