1. Protection des charges globales dans le cloud à l'aide de zones de sécurité
  2. Protection des charges globales dans le cloud à l'aide de zones de sécurité

Protection des charges globales dans le cloud à l'aide de zones de sécurité

Optimisez la sécurité de vos ressources de calcul, de réseau et de stockage dans le cloud en les plaçant dans une zone de sécurité Oracle Cloud Infrastructure.

Oracle Cloud Infrastructure (OCI) offre des processus opérationnels et des technologies de sécurité de pointe pour sécuriser ses services cloud d'entreprise. Les clients sont responsables de la sécurisation de leurs charges de travail et de la configuration sécurisée de leurs services et applications afin de respecter leurs obligations de conformité. Oracle Security Zones peut vous aider à utiliser le modèle de responsabilité partagée de sécurité cloud de l'une des manières suivantes :

  • Refuser l'accès public aux ressources Oracle Cloud Infrastructure, telles que les bases de données et les buckets de stockage d'objets
  • Appliquer la stratégie qui nécessite des ressources de stockage détachées pour résider dans le même compartiment sécurisé que l'instance de calcul
  • Crypter les ressources de stockage, telles que les volumes de blocs, les buckets de stockage d'objets et les bases de données, à l'aide d'une clé gérée par le client

Architecture

Cette architecture de référence présente une architecture classique à trois niveaux que vous pouvez utiliser pour exécuter en toute sécurité des applications telles que des applications de commerce électronique. La persistance des données est assurée à l'aide d'une base de données Oracle Autonomous Transaction Processing. Les fichiers média et image de l'application sont stockés dans Oracle Cloud Infrastructure Object Storage.

Le diagramme suivant illustre une architecture de compartiment de base.


Description de l'image msz-01.png
Description de l'image msz-01.png

msz-01-oracle.zip

L'architecture présente les limitations de sécurité suivantes :

  • Stockage d'objets : le stockage d'objets non crypté est directement exposé à Internet.
  • Base de données : la base de données n'est pas cryptée avec une clé gérée par le client et peut être exposée à Internet avec une seule modification de configuration (adresse IP publique).
  • Compartiment : le compartiment ne restreint pas le déplacement des données, des ressources et des volumes vers ou depuis l'environnement.
  • Machines virtuelles : les machines virtuelles n'utilisent pas de stockage ou de volumes d'initialisation cryptés.
  • Internet : les protections de pare-feu d'applications Web (WAF) ne sont pas fournies.
  • Réseau : toutes les ressources se trouvent sur un seul plan et offrent une isolation insuffisante.

Le diagramme suivant présente une architecture qui répond à ces préoccupations en fournissant un environnement hautement sécurisé qui isole plusieurs réseaux satellite, chacun représentant un niveau d'application, tel que le Web, l'application et la base de données. Cette architecture fonctionne dans des environnements spécifiques, tels que des environnements de production, de test et de développement, ainsi que sur différentes infrastructures, telles que la région cloud, le centre de données sur site et les infrastructures multicloud.


Description de l'image msz-02.png
Description de l'image msz-02.png

msz-02-oracle.zip

L'architecture comprend les composants suivants :

  • Région

    Une région Oracle Cloud Infrastructure est une zone géographique précise, incluant un ou plusieurs centres de données, appelés domaines de disponibilité. Les régions sont indépendantes les unes des autres et de grandes distances peuvent les séparer (entre pays, voire continents).

  • Domaine de disponibilité

    Les domaines de disponibilité sont des centres de données autonomes indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées de celles des autres, ce qui garantit la tolérance aux pannes. Les domaines de disponibilité ne partagent ni infrastructure (par exemple, alimentation, système de refroidissement), ni réseau de domaine de disponibilité interne. Par conséquent, une panne sur un domaine de disponibilité ne doit pas affecter les autres domaines de disponibilité de la région.

  • Domaine de pannes

    Un domaine de pannes est un regroupement de matériel et d'infrastructures au sein d'un domaine de disponibilité. Chaque domaine de disponibilité comporte trois domaines de pannes avec du matériel et une alimentation indépendants. Lorsque vous répartissez les ressources entre plusieurs domaines de pannes, vos applications peuvent tolérer les pannes physiques du serveur, la maintenance du système et les pannes d'alimentation au sein d'un domaine de pannes.

  • Compartiment

    Les compartiments sont des partitions logiques inter-régionales au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments afin d'organiser, de contrôler l'accès et de définir des quotas d'utilisation pour les ressources Oracle Cloud. Dans un compartiment donné, vous définissez des stratégies qui contrôlent l'accès et définissent des privilèges pour les ressources.

  • Zone de sécurité

    Les zones de sécurité garantissent les meilleures pratiques de sécurité d'Oracle dès le départ en appliquant des stratégies telles que le cryptage des données et la prévention de l'accès public aux réseaux pour l'ensemble d'un compartiment. Une zone de sécurité est associée à un compartiment du même nom et inclut des stratégies de zone de sécurité ou une "recette" qui s'applique au compartiment et à ses sous-compartiments. Vous ne pouvez pas ajouter ou déplacer un compartiment standard vers un compartiment de zone de sécurité.

    Dans ce cas d'utilisation, la zone de sécurité applique les stratégies suivantes :

    • Crypter les volumes d'initialisation des instances de calcul et des buckets de stockage d'objets
    • Empêcher l'accès aux ressources de calcul à partir du réseau Internet public
    • Crypter les ressources à l'aide des clés gérées par le client
    • Sauvegarde régulière et automatique de toutes les ressources
  • Réseau cloud virtuel (VCN) et sous-réseaux

    Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent le contrôle sur l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  • Listes de sécurité

    Pour chaque sous-réseau, vous pouvez créer des règles de sécurité qui indiquent la source, la destination et le type de trafic qui doivent être autorisés à entrer et à sortir du sous-réseau.

  • Equilibreurs de charge

    Le service Oracle Cloud Infrastructure Load Balancing fournit une répartition de trafic automatique à partir d'un seul point d'entrée vers plusieurs serveurs dans le back-end.

    Cette architecture utilise des équilibreurs de charge distincts pour les applications de l'administrateur et les applications en libre-service, afin de renforcer la sécurité et la séparation du trafic. Vous pouvez mettre à niveau la forme de l'équilibreur de charge si nécessaire.

  • Passerelle de service

    La passerelle de service fournit un accès à partir d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic entre le VCN et le service Oracle passe par la structure du réseau Oracle et ne traverse pas Internet.

  • Passerelle d'appairage local

    Une passerelle d'appairage local vous permet d'appairer un VCN avec un autre VCN dans la même région. L'appairage signifie que les réseaux cloud virtuels communiquent à l'aide d'adresses IP privées, sans que le trafic ne passe par Internet ou ne soit routé via votre réseau sur site.

  • Object Storage

    Oracle Cloud Infrastructure Object Storage fournit un accès rapide à de grandes quantités de données, structurées ou non, de tout type de contenu, y compris des sauvegardes de base de données, des données analytiques et du contenu enrichi tel que des images et des vidéos. Vous pouvez stocker les données, puis les extraire directement à partir d'Internet ou de la plate-forme cloud, et ce, en toute sécurité. Vous pouvez redimensionner le stockage sans dégradation des performances ni de la fiabilité des services. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archive pour le stockage "à froid" que vous conservez pendant de longues périodes et auquel vous accédez rarement.

  • Compute

    Avec Oracle Cloud Infrastructure Compute, vous pouvez provisionner et gérer des hôtes de calcul dans le cloud. Vous pouvez lancer des instances de calcul avec des formes qui répondent à vos besoins en ressources pour l'UC, la mémoire, la bande passante réseau et le stockage. Après avoir créé une instance de calcul, vous pouvez y accéder en toute sécurité, la redémarrer, attacher et détacher des volumes, et y mettre fin lorsque vous n'en avez plus besoin.

  • Pare-feu d'applications Web

    Oracle Cloud Infrastructure Web Application Firewall (WAF) est un service de sécurité globale basé sur le cloud et conforme PCI (paiement et paiement) qui protège les applications du trafic Internet malveillant et indésirable. WAF peut protéger toutes les adresses Internet, en assurant l'exécution cohérente des règles sur les différentes applications d'un client.

Recommandations

Vos exigences peuvent différer de l'architecture décrite ici. Utilisez les recommandations suivantes comme point de départ.

  • VCN

    Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher à des sous-réseaux dans le VCN. Utilisez des blocs CIDR qui se trouvent dans l'espace d'adresse IP privée standard.

    Sélectionnez les blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) auquel vous avez l'intention de configurer des connexions privées.

    Après avoir créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.

    Lorsque vous concevez les sous-réseaux, tenez compte du flux de trafic et des exigences de sécurité. Attachez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, qui peut servir de limite de sécurité.

    Utiliser des sous-réseaux régionaux.

  • Security Zones

    Pour les ressources nécessitant une sécurité maximale, Oracle vous recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette de stratégies de sécurité définie par Oracle qui repose sur les meilleures pratiques. Par exemple, les ressources d'une zone de sécurité ne doivent pas être accessibles à partir du réseau Internet public et doivent être cryptées à l'aide de clés gérées par le client. Lorsque vous créez et mettez à jour des ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations par rapport aux stratégies de la recette de zone de sécurité et refuse les opérations qui enfreignent l'une des stratégies.

  • Stockage d'objet

    Utilisez Oracle Cloud Infrastructure Object Storage pour stocker les sauvegardes de la base de données et d'autres données.

    Créez un stockage d'objet dans un compartiment avec les zones de sécurité activées et définissez sa visibilité sur Privé uniquement. Cette configuration garantit que le bucket Object Storage respecte les stratégies de sécurité strictes de Security Zones.

Points à prendre en compte

  • Disponibilité

    Certaines régions proposent plusieurs domaines de disponibilité, ce qui permet une plus grande disponibilité avec une redondance plus élevée. Envisagez de déployer votre solution de commerce électronique sur plusieurs domaines de disponibilité pour tirer parti de cette redondance. En outre, envisagez d'avoir un plan de récupération après sinistre dans une autre région avec la redondance appropriée.

  • Coût

    Utilisez des formes flexibles pour sélectionner le nombre d'UC et la quantité de mémoire dont vous avez besoin pour les charges globales exécutées sur l'instance. Cette flexibilité vous permet de créer des machines virtuelles qui correspondent à votre charge globale, et ainsi d'optimiser les performances et de minimiser les coûts.

  • Surveillance et journalisation

    Configurez le service Logging, la surveillance et les alertes sur l'utilisation de l'UC et de la mémoire pour vos noeuds, afin de pouvoir redimensionner la forme selon vos besoins.

Déployez

Le code Terraform permettant de déployer l'exemple d'application de base MuShop sur Oracle Cloud Infrastructure à l'aide de zones de sécurité est disponible dans GitHub.

  1. Accédez à GitHub.
  2. Clonez ou téléchargez le référentiel sur votre ordinateur local.
  3. Suivez les instructions du document README_MSZ.md.

En savoir plus

En savoir plus sur les fonctionnalités de cette architecture.

Modifier le journal

Ce journal répertorie les modifications importantes :