1. Utilisation des services de sécurité OCI pour la protection des données avec Oracle Cloud VMware Solution
  2. Utilisation des services de sécurité OCI pour la protection des données avec Oracle Cloud VMware Solution

Utilisation des services de sécurité OCI pour la protection des données avec Oracle Cloud VMware Solution

Oracle Cloud VMware Solution fournit un environnement cloud natif basé sur VMware et géré par le client, installé dans la location d'un client et offrant un contrôle total à l'aide d'outils VMware familiers.

Oracle Cloud Infrastructure (OCI) est une offre d'infrastructure en tant que service nouvelle génération (IaaS) conçue selon les principes de conception axés sur la sécurité. Ces principes incluent la virtualisation de réseau isolé et le déploiement d'hôtes physiques inégalés, qui étaient auparavant difficiles à atteindre avec les conceptions de cloud public antérieures. Grâce à ces principes de conception, OCI aide à réduire les risques liés aux menaces persistantes avancées.

Cette architecture de référence décrit les options d'intégration d'Oracle Cloud VMware Solution avec la couche OCI Data Protection et les services de sécurité afin de répondre aux exigences d'exécution des charges de travail critiques et sensibles.

Architecture

Cette architecture de référence logique se concentre principalement sur la couche de protection des données et décrit comment les services de sécurité OCI peuvent être utilisés pour la protection des données avec les charges de travail Oracle Cloud VMware Solution.

Les services de sécurité natifs OCI suivants font partie de la couche Sécurité OCI - Protection des données.

  • Le service OCI Vault permet de gérer de manière centralisée les clés de cryptage maître qui protègent les données et les informations d'identification secrètes pouvant être utilisées pour accéder à OCI Block Storage, OCI File Storage ou OCI Object Storage. La gestion des clés et des clés secrètes fait également partie d'OCI Vault. Les clés sont des clés de cryptage maître utilisées pour crypter le stockage d'objets et les buckets. En outre, les clés secrètes peuvent être protégées (par exemple, les mots de passe de base de données). Les deux sont gérés de manière centralisée à l'aide du service OCI Vault
  • Le service Oracle Data Safe protège les données sensibles et réglementées stockées dans la base de données Oracle exécutée dans la couche de gestion vCenter. La base de données Oracle est intégrée à Oracle Data Safe à l'aide des connecteurs de base de données Data Safe.
  • Le service de certificats OCI permet de fournir un accès sécurisé TLS/SSL aux serveurs, aux applications Web, etc. L'administrateur peut créer et gérer des hiérarchies d'autorités de certification privées et des certificats TLS qui s'intègrent au service OCI Load Balancing.

Cryptage des données : le stockage OCI crypte les données au repos et en transit par défaut à l'aide de l'algorithme AES (Advanced Encryption Standard) avec cryptage 256 bits. Les données du plan de contrôle de transit sont cryptées à l'aide de TLS (Transport Layer Security) version 1.2 ou ultérieure.

Le diagramme suivant illustre cette architecture de référence.


Description de l'image ocvs_data_security_arch.png
Description de l'image ocvs_data_security_arch.png

ocvs-data-security-arch-oracle.zip

L'architecture comprend les composants suivants :

  • Services de sécurité OCI Cloud

    OCI Security aide les entreprises à réduire le risque de menaces de sécurité pour les charges de travail cloud. Cette architecture de référence de sécurité d'Oracle Cloud VMware Solution décrit les fonctionnalités de la couche OCI Data Protection.

    Le service OCI Vault gère de manière centralisée les clés de cryptage et les informations d'identification secrètes pour la couche de stockage OCI et le référentiel de sauvegarde. Ces clés de cryptage protègent les données et les informations d'identification secrètes. Le service Data Safe est activé pour surveiller et évaluer la cible d'instance de base de données dans VMware à l'aide de connecteurs. Le service Certificate offre des fonctions d'émission, de stockage et de gestion des certificats. Ces certificats peuvent être déployés sur un équilibreur de charge.

  • Oracle Cloud VMware Solution

    Oracle Cloud VMware Solution déploie le centre de données défini par logiciel (SDDC) VMware sur les services d'infrastructure de base Oracle Cloud. Les serveurs Bare Metal OCI DenseIO sont utilisés pour exécuter l'hyperviseur VMware, également appelé ESXi, qui offre une virtualisation de calcul. Les machines virtuelles exécutées dans la couche de gestion vCenter utilisent la banque de données vSAN ou OCI Block Storage comme option de stockage principale. Cependant, Oracle Cloud VMware Solution peut également exploiter OCI Block Volume et OCI File Storage en tant qu'options de stockage externe.

    Les machines virtuelles exécutées dans Oracle Cloud VMware Solution utilisent les options de stockage et de sauvegarde suivantes.
    • Le stockage vSAN est une solution de stockage software-defined prête à l'emploi proposée dans l'environnement Oracle Cloud VMware Solution. Le vSAN est un stockage d'entreprise et prend en charge le cryptage à l'aide du fournisseur de clés natives vSphere ou d'un fournisseur KMS (Key Management Service) externe.
    • OCI Block Volume est présenté au serveur VMware ESXi en tant que cible iSCSI pour le stockage de machine virtuelle. Les fonctionnalités de sécurité OCI telles que KMS, le cryptage et les coffres s'appliquent aux données de machine virtuelle stockées dans OCI Block Volume.
    • File Storage permet d'utiliser le service OCI File Storage en tant que stockage NFS pour les machines virtuelles. Les fonctionnalités de sécurité OCI, telles que KMS, le cryptage et les coffres, sont applicables aux machines virtuelles stockées dans le stockage NFS soutenu par OCI File Storage.
    • Object Storage stocke les copies de sauvegarde de machine virtuelle Oracle Cloud VMware Solution. Object Storage ne peut pas être utilisé pour exécuter les machines virtuelles. Toutes les fonctionnalités de sécurité OCI pour le stockage d'objets s'appliquent aux fichiers de sauvegarde de machine virtuelle.

Le tableau suivant décrit l'utilisation des services de sécurité OCI pour la protection des données avec Oracle Cloud VMware Solution.

Service OCI Protection des données avec la solution Oracle Cloud VMware
Data Safe Data Safe est un service natif OCI qui garantit l'exécution de la base de données Oracle sur OCI ou sur site. La base de données Oracle exécutée dans le SDDC Oracle Cloud VMware Solution en tant que machine virtuelle peut être intégrée à Data Safe à l'aide des connecteurs Data Safe.
Cryptage de volume de blocs OCI Block Volume est monté en tant que banque de données externe pour le SDDC VMware offrant des clés gérées par OCI/client.
Chiffrement du stockage de fichiers Le service OCI File Storage est monté en tant que banque de données NFS externe pour le SDDC VMware offrant des clés gérées par OCI/client.
Cryptage Object Storage
  • OCI Object Storage ne peut pas être utilisé avec le SDDC Oracle Cloud VMware Solution en tant que banque de données de stockage externe ou à connexion directe.
  • OCI Object Storage est utilisé comme référentiel de sauvegarde et d'archivage pour les machines virtuelles de SDDC VMware.
  • Les solutions de sauvegarde telles que Veeam et Commvault peuvent être intégrées à OCI Object Storage, ce qui vous permet de crypter les données de sauvegarde d'archivage.
  • La solution de sauvegarde conserve également les données de sauvegarde de niveau performances dans OCI Block Volumes pour assurer le cryptage des données de sauvegarde.
Vault
  • OCI Vault ne peut pas être utilisé avec le stockage vSAN. Le magasin de données vSAN ne prend en charge que le fournisseur de clés natives vSphere et les fournisseurs KMS externes. Pour plus d'informations, reportez-vous au lien VMware tiers KMS Providers dans la section Explorer plus.
  • OCI Vault ne peut être utilisé avec Oracle Cloud VMware Solution que si les services de stockage OCI sont utilisés comme option de stockage partagé pour les machines virtuelles.
Certificats
  • Oracle Cloud VMware Solution est un service OCI natif par conception et permet une intégration native avec d'autres services OCI.
  • Les machines virtuelles d'Oracle Cloud VMware Solution peuvent utiliser OCI LBaaS pour toutes les exigences de publication des applications. Le déchargement SSL de ces applications peut être effectué en intégrant les certificats SSL à partir du service OCI Certificates.
  • Pour les applications publiques sur OCI, vous devez obtenir les certificats publics signés par des tiers et les importer dans le service de certificats OCI. Ces certificats peuvent être importés dans LBaaS et les serveurs Web back-end pour SSL de bout en bout.

En savoir plus

Pour en savoir plus sur les fonctionnalités de cette architecture de référence, consultez ces ressources supplémentaires.

Accusés de réception

  • Authors: Dev Gawale, Sandeep Khedekar