En savoir plus sur Oracle European Union Sovereign Cloud
- Souveraineté des données
Toutes les installations d'exploitation du cloud souverain de l'UE sont situées exclusivement dans les limites physiques de l'UE. Il n'existe aucune connexion explicite ou implicite entre le domaine et tout autre domaine OCI. Par conséquent, les instances client et les ensembles de données créés dans le cloud souverain de l'UE restent dans l'UE.
- Souveraineté opérationnelle
Les opérateurs Oracle EU Sovereign Cloud sont des résidents de l'UE, employés par une entité juridique EU Sovereign Cloud et opérant dans un domaine autonome. Les opérations EU Sovereign Cloud sont menées au sein de l'UE, en tenant compte des réalités techniques du plan de contrôle et de données OCI. Bien que les opérateurs continuent de prendre des directives techniques, y compris des instructions et des délais d'application de correctifs et de déploiement de fonctionnalités recommandés par les groupes d'ingénierie et d'exploitation mondiaux OCI, la décision finale à mettre en œuvre est déterminée par l'équipe des opérations de la région EU Sovereign Cloud.
- Opérations isolées
Les régions OCI sont regroupées en domaines de sécurité. Bien que chaque domaine conserve un ensemble commun de pratiques opérationnelles et la totalité ou un sous-ensemble des fonctionnalités contenues dans le domaine OCI commercial principal, le domaine lui-même représente une limite opérationnelle et de données pour toutes les données du domaine. La combinaison de l'isolement opérationnel et de l'isolement des données permet de séparer complètement le cloud souverain de l'UE des autres domaines OCI et seules les données essentielles aux aspects financiers et à l'état du domaine sont renvoyées à l'environnement des opérations globales OCI.
Cette solution Playbook fournit des conseils sur les architectures conceptuelles et les utilisations du cloud souverain de l'UE. Bien que certains détails concernant à la fois les capacités globales et les aspects opérationnels du cloud souverain de l'UE soient couverts pour définir le contexte des architectures, ce document n'est pas une liste exhaustive des processus et procédures opérationnels détaillés.
A propos du modèle opérationnel
L'architecture de service EU Sovereign Cloud est conçue de sorte que les entités juridiques Oracle EU Sovereign Cloud puissent fonctionner indépendamment sans avoir à transférer les données clients en dehors de l'UE. Les entités juridiques EU Sovereign Cloud sont enregistrées dans les pays membres de l'UE qui possèdent les actifs du domaine et emploient le personnel Oracle qui dispose d'un accès physique ou logique au domaine.
- Résidents de l'UE ayant le droit de travailler dans un État membre de l'UE.
- Physiquement situé dans un État membre de l'UE lors de la maintenance de l'environnement de cloud souverain de l'UE.
- Employé par une entité juridique Oracle EU Sovereign Cloud.
OCI garantit que nos outils DevOps, notre configuration de déploiement de service et nos systèmes d'autorisations permettent au personnel du cloud souverain de l'UE d'exploiter des régions conformément aux réglementations locales en matière de protection des données et sans interférence de la part d'entités hors UE.
EU Sovereign Cloud offre une expérience client similaire aux régions de cloud public commercial OCI, y compris les services disponibles, la tarification et les contrats de niveau de service. Les fonctionnalités et les correctifs OCI sont déployés dans le cloud souverain de l'UE conformément aux pratiques de gestion des modifications OCI établies.
Les opérateurs Oracle travaillent à partir de centres d'excellence basés dans l'UE (CoE) qui sont liés aux sites réels de la région. Les opérations sont distinctes des emplacements de domaine de disponibilité de la région et disposent de liens isolés afin de démontrer une prévention auditable de l'accès en dehors de l'UE. Les opérateurs travaillent sur site ou à partir de points d'accès VPN vérifiables qui se terminent dans CoE.
Le comité de gouvernance de l'Union européenne spécialement formé est chargé de surveiller et d'assurer l'intégrité des pratiques et des engagements de l'UE en matière de cloud souverain pour protéger les données des clients.
Comparer les clouds publics et dédiés
| Cloud public
Cloud public commercial |
Cloud public
Cloud souverain de l'UE |
Cloud dédié
Dedicated Region |
Cloud dédié
Région isolée |
Cloud dédié
Alliage |
|
|---|---|---|---|---|---|
| Description | Disponible publiquement dans des dizaines de pays à travers le monde | Conçu pour, et exploité et situé dans, l'Union européenne | Le cloud complet dans votre datacenter avec l'économie du cloud public | Conçu pour fonctionner en mode déconnecté pour les charges de travail critiques | Permet aux partenaires de devenir des fournisseurs cloud et d'étendre leur activité |
| Emplacement de centre de données | 36 régions cloud dans 23 pays | Deux régions cloud dans l'UE | Défini par le client | Défini par le client | Défini par le client |
| Opérations et support technique | Global Oracle | UE Oracle | Global Oracle | Défini par le client | Défini par le client |
| Isolement cloud (domaine) | Domaine global | Domaine de l'UE | Domaine dédié | Domaine dédié à l'air libre | Domaine dédié |
| Architecture colocative | Oui | Oui | No | No | Oui |
Pour obtenir des informations sur la région en cours, reportez-vous à Régions de cloud public.
Termes et ressources
Les termes et ressources liés à la mise en œuvre du cloud souverain de l'UE sont définis ci-dessous.
Gestion des ressources et des identités
| Terme | Signification/Objet |
|---|---|
| Cloud souverain de l'UE | Cloud souverain de l'Union européenne d'Oracle |
| Domaine | Ensemble de régions OCI associées gérées sous un seul parapluie. Les domaines ne sont ni visibles pour les clients ni gérés par le client et sont strictement utilisés par OCI à des fins opérationnelles et de gestion. Les domaines sont isolés les uns des autres via des processus techniques et opérationnels. Une location existe dans un seul domaine et peut accéder aux régions de celui-ci, mais ne peut pas accéder aux régions situées en dehors de celui-ci. |
| Région | Groupe de domaines de disponibilité associés au sein d'une petite zone géographique avec une faible latence réseau et opéré en tant qu'entité unique au sein d'OCI. Une région est la composition de ressource la plus élevée disponible pour les clients. |
| Location | Limite du client individuel pour les ressources. Une location est à la fois une limite de droits d'accès et de consommation. La location d'un client contient toutes les ressources provisionnées par le client et facturées dans les régions du domaine dans lequel la location existe. Les clients peuvent disposer de plusieurs locations dans le même domaine ou de plusieurs locations sur différents domaines. |
| Compartiment | Regroupement logique de ressources au sein d'une location. Les compartiments permettent de contrôler à la fois l'accès aux ressources de déploiement et certains types d'accès entre les ressources provisionnées à l'intérieur et entre les compartiments. Toutes les ressources provisionnées appartiennent à un compartiment. Le compartiment racine (niveau supérieur) est la location elle-même. |
| Terme | Signification/Objet |
|---|---|
| Domaine de disponibilité | Centres de données situés dans une région. Les domaines de disponibilité sont composés d'un ou plusieurs emplacements physiques individuels situés dans une limite de latence réseau spécifiée, toutes les ressources comprises dans la limite étant gérées en tant qu'entité unique. |
| Domaine de pannes | Un domaine de pannes est un regroupement de matériel ou d'infrastructures au sein d'un domaine de disponibilité. Les domaines de pannes offrent la possibilité de diversifier les racks pour les instances d'un domaine de disponibilité. |
| Instance | Déploiement d'une ressource à utiliser, telle qu'une ressource de calcul, dans un environnement. |
Le diagramme ci-dessous illustre les termes de regroupement de ressources dans le lexique :
Souveraineté des données de l'UE
- Toutes les données client hébergées sont conservées dans les régions de données des États membres de l'UE et isolées par l'architecture de domaine d'Oracle sans connexion directe à d'autres ressources Oracle en dehors de l'UE. Sauf dans les conditions supplémentaires du cloud souverain de l'UE, les données hébergées sont stockées dans les régions du cloud souverain de l'UE et il n'existe aucun emplacement de stockage de données externe qui conserve les données intermédiaires ou mises en cache avant l'atterrissage dans la région.
- Les chemins de réseau virtuel internes restent dans les limites physiques de chaque région et ne traversent aucun chemin public ou privé pouvant entraîner la sortie des données hébergées du domaine. Les connexions entre les emplacements physiques (domaines de disponibilité) et les points de présence (PoP) sont directement connectées et cryptées.
- Aucun chemin de données automatique ou facilement établi ne connecte les régions EU Sovereign Cloud. Toutes les données qui circulent entre les régions de données du cloud souverain de l'UE sont entièrement cryptées et transitent par une connexion dédiée entre les régions.
- Les clés de cryptage pour la transmission de données et le stockage de données sont locales dans le domaine. Les clés utilisées pour le chiffrement des données sont entièrement conservées à l'intérieur des frontières de l'UE et sont contrôlées exclusivement par les employés d'une entité juridique EU Sovereign Cloud.
EU Sovereign Cloud fournit une plate-forme sur laquelle créer des applications, mais les clients et leurs utilisateurs sont chargés de s'assurer qu'une fois que les données sont entièrement installées dans EU Sovereign Cloud, elles restent inaccessibles via l'accès aux applications ou au réseau au niveau de la couche de location. Reportez-vous à la section "Modèle d'accès" ailleurs dans ce guide pour connaître les stratégies permettant de prévenir l'exfiltration des données au niveau de la couche réseau de l'application et du locataire.
