En savoir plus sur le pilier cyber-résilience dans OCI

La cyber-résilience est l'évolution et l'extension de la sauvegarde et de la récupération traditionnelles. En cas de cyberattaque, la cyber-résilience prévoit que l'environnement de sauvegarde et de récupération sera également attaqué. L'intégrité de la sauvegarde de données est suspecte et doit être validée avant de restaurer vos données dans un environnement de production.

Vous pouvez utiliser les fonctionnalités de contrôle natives OCI pour protéger votre location. Vous pouvez également utiliser des fournisseurs tiers de sauvegarde et de récupération. Oracle recommande d'avoir à la fois des sauvegardes opérationnelles et des sauvegardes immuables pour compléter vos runbooks de sauvegarde et de récupération standard.

Utilisez l'architecture de référence de cyber-résilience d'OCI comme modèle pour assurer la continuité des activités pendant les menaces et les violations d'intégrité des données, et pour compléter et améliorer les architectures de reprise après sinistre existantes ou standard.

Voici l'architecture de référence pour l'implémentation de la cyber-résilience dans OCI :


Description de l'image cyber-resilience-mandatory-arch.png
Description de l'illustration cyber-resilience-mandatory-arch.png

cyber-résilience-obligatoire-arch-oracle.zip

Cette architecture présente une enclave de production composée de compartiments Réseau, Application et Base de données. L'enclave Vault contient un compartiment unique qui héberge les sauvegardes immuables pour les données non structurées. Dans le cluster Vault, nous disposons d'un bucket Object Storage immuable, d'un serveur d'orchestration et de noeuds de processus actifs. Le serveur d'orchestration coordonne le processus de sauvegarde en recherchant toutes les ressources à sauvegarder, puis en demandant aux noeuds de processus actifs d'effectuer les opérations de sauvegarde réelles. Les données peuvent être copiées à partir de plusieurs compartiments d'application dans le bucket du compartiment Vault.

Le enclave OCI Vault est utilisé pour stocker des données non structurées, qui incluent des données d'application locales sur des machines virtuelles et/ou des données stockées sur un partage NFS à l'aide d'OCI File Storage.

Pour les données structurées qui incluent des bases de données Oracle, Oracle Database Zero Data Loss Autonomous Recovery Service fournit des sauvegardes immuables et une protection contre les ransomwares.

À propos d'Enclaves

Les architectures cloud résilientes modernes utilisent un concept appelé Enclaves.

Une enclave est une zone logiquement isolée et isolée par voie aérienne au sein de votre location Oracle Cloud Infrastructure (OCI). Les tiroirs de disques sont séparés à l'aide de compartiments, de réseaux cloud virtuels, de stratégies OCI IAM et d'Oracle Services Network, ce qui crée des limites logiques pour la sécurité et la gestion. Un espace aérien administratif entre les enclaves vous permet d'utiliser des domaines d'identité distincts, d'isoler des réseaux cloud virtuels ou de séparer des locations.


Description de l'image prod-vault-safe-restore-enclaves.png
Description de l'illustration prod-vault-safe-restore-enclaves.png

Il existe trois types d'enclaves couramment utilisés :

  1. Enclave de production : le compartiment d'enclave de production se compose d'un ou de plusieurs compartiments qui hébergent vos charges globales de production. La structure est basée sur l'architecture de référence Déployer une zone de renvoi sécurisée qui répond à la référence CIS OCI Foundations Benchmark liée dans la section Avant de commencer. Les sauvegardes opérationnelles doivent être facilement accessibles dans l'enclave de production. Pour les opérations normales de sauvegarde et de récupération, cela doit répondre à la plupart des exigences en matière de faible latence et de récupération rapide à l'aide de fonctionnalités natives. Les données canari peuvent également être surveillées pour l'observation dans l'enclave de production. Utilisez l'enclave de production pour :
    • Stockage et accès aux sauvegardes opérationnelles
    • Implémentation approfondie de la défense
    • (Facultatif) Observation des ensembles de données canari
  2. Enclave OCI Vault : le compartiment de l'enclave OCI Vault stocke toutes vos sauvegardes d'objet, de bloc et de stockage de fichiers non structurées dans un état "immuable" afin d'empêcher leur modification ou leur suppression. Le réseau de l'enclave Vault est isolé et n'a pas de connectivité directe avec l'enclave de production. Elle est sécurisée par des stratégies OCI IAM très restrictives dérivées d'un domaine d'identité distinct qui fournit un écart administratif par rapport aux identités de production.

    Tous les tests d'automatisation des sauvegardes et l'inspection des logiciels malveillants ou de corruption pour ces sauvegardes sont effectués ici. Des copies correctes connues de toutes les sauvegardes Object Storage, Block Storage et File Storage non structurées sont stockées dans ce enclave en attente d'un événement de récupération. L'intégrité des données et la détection des logiciels malveillants pour les bases de données sont intégrées à Oracle Database Zero Data Loss Autonomous Recovery Service.

    Les sauvegardes de base de données sont stockées de manière immuable dans une location distincte contrôlée par OCI, sans accès direct à partir de l'enclave de production, à l'exception des opérations de restauration. Les sauvegardes de base de données peuvent être montées et testées pour garantir l'intégrité finale des données et la préparation opérationnelle. Utilisez l'enclave OCI Vault pour :

    • Stockage des sauvegardes périodiques
    • Coffrage immuable
    • Automatisation des tests de sauvegarde
    • Détection de l'altération des données dans les sauvegardes
    • Détection de logiciels malveillants dans les données de sauvegarde
  3. Enclave de restauration sécurisée (facultatif) : l'enclave de restauration sécurisée est également séparée de l'enclave OCI Vault avec un autre espace administratif utilisant un domaine d'identité et une location distincts de l'enclave de production. Vous pouvez créer des enclaves de restauration sécurisée à l'aide d'outils de type Infrastructure-as-Code tels que Terraform pour déployer rapidement un environnement de production équivalent. Ici, vous restaurez en permanence les sauvegardes dont le fonctionnement a été vérifié, en fonction des valeurs RTO (Recovery Time Objective) et RPO (Recovery Point Objective).

    En cas d'incident majeur, vous pouvez utiliser temporairement l'enclave de restauration sécurisée comme nouvel environnement de production jusqu'à ce que les menaces soient supprimées de votre espace de production d'origine. Utilisez l'enclave de restauration sécurisée pour :

    • Restaurations incrémentielles continues des données de sauvegarde
    • Tester les sauvegardes pour atteindre les objectifs RTO et RPO
    • Passer rapidement à un nouvel environnement de production si nécessaire
    • Mise à l'échelle de l'environnement de la production minimale à la production complète à l'aide de Terraform
    • Réduction de l'environnement de production d'origine après analyse et récupération médico-légales

    Attention :

    L'enclave Safe Restore n'est pas conçue comme un site de récupération après sinistre à froid traditionnel. Au lieu de cela, il permet de tester en continu votre stratégie de récupération et offre la possibilité de créer instantanément un nouvel environnement de production si le principal est compromis. Si votre enclave de production est attaquée par un ransomware, les forces de l'ordre peuvent avoir besoin d'enquêter et de recueillir des analyses judiciaires conduisant à des temps d'arrêt inattendus et retardant ainsi vos efforts de récupération. Si votre entreprise ne peut pas se permettre des temps d'arrêt pour les applications critiques, envisagez d'implémenter une enclave de restauration sécurisée.

Recommandations pour les opérations de sauvegarde et de récupération

Lorsque vous prévoyez de déployer des solutions technologiques, n'oubliez pas que plusieurs équipes doivent collaborer pour coordonner le processus de sauvegarde et de récupération. Bien que la plupart des actions de sauvegarde soient généralement automatisées, la récupération peut être plus fastidieuse et nécessiter une intervention humaine. Les organisations peuvent élaborer un guide d'exécution contenant des procédures opérationnelles standard (SOP) à suivre lorsque des actions spécifiques sont nécessaires. Dans ce manuel de solutions, la portée de la sauvegarde et de la récupération est limitée à la région actuelle dans laquelle la charge globale principale existe. La récupération après sinistre permet de résoudre les problèmes de disponibilité et se concentre sur la récupération d'une sauvegarde à partir d'un bien connu ou d'une copie vierge non modifiée.

Pour les machines virtuelles natives OCI, Oracle vous recommande de créer des images personnalisées régulièrement et de les exporter vers un bucket Object Storage immuable. Vous pouvez ainsi reconstruire et restaurer le volume d'initialisation. Envisagez de développer un guide d'exploitation en cas de panne totale d'une machine virtuelle. Si vos sauvegardes opérationnelles ne parviennent pas à restaurer la machine virtuelle, vous devez tester le processus de reconstruction d'une image personnalisée à partir du bucket non mutable. Consultez la page Import et export d'images personnalisées dans la documentation OCI.

Avec les sauvegardes opérationnelles, vous pouvez généralement restaurer la production en toute sécurité. Si vous soupçonnez un incident de cybersécurité, vous devrez restaurer le compartiment OCI Vault ou la zone de restauration sécurisée dans laquelle vous avez implémenté des contrôles dans le domaine sans confiance. Après avoir inspecté les données restaurées, vous devez analyser et atténuer les risques de sécurité restants sur la machine virtuelle ou les données brutes (tels que les logiciels malveillants, les virus, etc.).

Une fois que vous avez vérifié qu'aucun risque de cybersécurité ne subsiste, restaurez la copie vierge non altérée en production. Documentez, testez et validez ce processus au moins deux fois par an. Dans OCI, vous disposez de nombreuses données d'initialisation, de blocs, de fichiers et autres données non structurées. Cataloguez tous les mappings de ressources associés, tels que les mappings de lecteur, les points de montage, les instances de calcul et d'autres objets bruts dans OCI. Utilisez des produits de sauvegarde tiers, des outils open source et/ou l'interface de ligne de commande OCI pour vous aider à créer un instantané des associations à un moment donné. L'enregistrement de ces données peut vous aider à répondre à des questions critiques et à déterminer la marche à suivre. Par exemple, si la restauration d'un volume de blocs a échoué, identifiez les machines virtuelles qui sont dans un état dégradé.

Récapitulatif des contrôles des opérations de sauvegarde et de récupération

  • BR-1 : sauvegarde d'une image personnalisée OCI vers un bucket non mutable.
  • BR-2 : implémentez des opérations de sauvegarde et de restauration dans la zone OCI Vault ou Safe Restore.
  • BR-3 : mappages de ressources associés au catalogue (mappages de lecteur, montages, instances de calcul, etc.).
  • BR-4 : créez un environnement de type enclave et/ou zone de restauration sécurisée OCI Vault.

Recommandations pour l'immutabilité

Les données de sauvegarde immuables ne peuvent pas être modifiées ou supprimées pendant la période de conservation définie par le client. Pour implémenter l'architecture de cyber-résilience, Oracle recommande de disposer à la fois de sauvegardes opérationnelles et de sauvegardes immuables. Utilisez les sauvegardes opérationnelles pour les opérations normales de sauvegarde et de récupération. En cas de corruption des données, de logiciels malveillants ou d'autres cyber-risques, la sauvegarde immuable est votre copie vierge qui est exempte de corruption ou de falsification des données.

Même lorsque vos sauvegardes sont immuables, il est possible que les données de la source de sauvegarde contiennent du code malveillant ou des logiciels malveillants. Lors de la restauration de données à partir de sauvegardes opérationnelles ou immuables, envisagez d'utiliser un environnement OCI Vault ou Safe Restore pour vérifier que la sauvegarde est à l'abri des cybermenaces et pour éviter tout dommage supplémentaire à vos environnements de production.

Pour la plupart des bases de données OCI, telles qu'Oracle Base Database Service, Oracle Exadata Database Service on Dedicated Infrastructure et Oracle Autonomous Database on Dedicated Exadata Infrastructure, Oracle recommande d'utiliser le service Oracle Database Zero Data Loss Autonomous Recovery Service qui offre une protection des données entièrement gérée exécutée sur OCI. Recovery Service dispose de fonctionnalités automatisées pour protéger les modifications d'Oracle Database en temps réel, valider les sauvegardes sans surcharge de la base de données de production et permettre une récupération rapide et prévisible à tout moment. Lorsque vous activez la protection des données en temps réel, vous pouvez récupérer une base de données protégée en moins d'une seconde du moment où une panne ou une attaque de ransomware s'est produite. Le service de récupération inclut l'immutabilité et la détection d'anomalies intégrées à la plate-forme, ce qui vous donne une visibilité sur l'état de vos sauvegardes et peut être configuré pour vous envoyer des alertes afin de vous informer des problèmes susceptibles d'affecter votre capacité de récupération.

Vous pouvez également utiliser Oracle Autonomous Database Serverless qui prend en charge nativement la conservation des sauvegardes immuables. Veillez à activer la fonctionnalité.

OCI Object Storage peut implémenter des contrôles d'immuabilité compatibles WORM (Write-Once, Read-Many) qui empêchent la modification ou la suppression de vos données. Des fonctionnalités telles que les règles de conservation Object Storage définissent la durée pendant laquelle les données doivent être conservées pour pouvoir être supprimées. Après la période de conservation, vous pouvez utiliser des stratégies de cycle de vie Object Storage pour archiver ou supprimer vos données. Oracle recommande de tester le processus de sauvegarde. Une fois que vous êtes convaincu que la période de conservation répond aux besoins de votre entreprise, vous devez verrouiller la règle de conservation afin d'empêcher toute modification ultérieure de la part des administrateurs de location. Un délai obligatoire de l'ordre de 14 jours est respecté avant qu'une règle ne puisse être verrouillée. Ce délai permet de tester minutieusement, de modifier ou de supprimer la règle ou son verrouillage avant qu'elle ne soit définitivement verrouillée.

Attention :

Le verrouillage d'une règle de conservation est irréversible. Même un administrateur de location ou le support technique Oracle ne peut pas supprimer une règle verrouillée.

Les machines virtuelles sont une combinaison de volumes d'initialisation et de volumes de blocs dans OCI. Pour protéger le volume d'initialisation OCI, créez une image personnalisée de votre machine virtuelle, puis exportez l'image personnalisée (.oci est le format par défaut, mais .qcow2 ou d'autres formats sont pris en charge) dans un bucket OCI Object Storage.

Toutes les données critiques placées sur un volume de blocs doivent être sauvegardées à l'aide d'un script personnalisé dans le bucket Object Storage immuable.

OCI File Storage permet aux utilisateurs de créer des clichés, mais ceux-ci ne sont pas immuables par défaut car tout administrateur OCI disposant des privilèges IAM appropriés peut supprimer un cliché. Pour protéger OCI File Storage, Oracle vous recommande de copier les données directement dans un bucket immuable de manière périodique.

Résumé des contrôles de l'immutabilité

  • IM-1 : configurez un bucket non mutable pour les données non structurées.
  • IM-2 : Protégez vos données à l'aide d'Oracle Database Zero Data Loss Autonomous Recovery Service pour les bases de données OCI.
  • IM-3 : si vous utilisez OCI File Storage, copiez OCI File Storage vers un bucket Object Storage immuable.

Recommandations pour les contrôles de sécurité sans confiance

Pour implémenter une sécurité sans confiance, Oracle vous recommande d'évaluer les contrôles de location qui :
  • Limiter les identités et les droits d'accès : limiter les identités (domaines, groupes, utilisateurs et stratégies IAM) qui peuvent accéder à vos sauvegardes et à leurs droits d'accès
  • Renforcer la segmentation du réseau : réévaluez la segmentation du réseau et implémentez des espaces vides virtuels pour les sauvegardes immuables.

Combinez ces deux concepts pour qu'il soit beaucoup plus difficile pour les acteurs des menaces d'accéder à vos données.

La conception des compartiments est essentielle à la mise en œuvre de la sécurité sans confiance dans l'architecture de cyber-résilience. Créez une architecture de compartiment imbriqué avec le compartiment de sauvegarde au niveau supérieur et incluez au moins deux compartiments enfant (par exemple, un pour les sauvegardes Immutable Vault et un autre pour la restauration sécurisée). Cette configuration vous permet d'appliquer des stratégies IAM plus près des ressources individuelles et d'appliquer la séparation des tâches.

Pour un contrôle d'accès plus strict, créez des utilisateurs et des groupes spécifiques afin d'accéder à vos buckets Object Storage immuables. En fonction de vos exigences en matière de sécurité, vous pouvez séparer davantage l'accès par domaine d'identité, compartiment, utilisateurs, groupes et stratégies IAM afin de restreindre les droits d'accès à un bucket spécifique. Dans les locations existantes où plusieurs groupes peuvent avoir accès à un bucket, vérifiez et réduisez l'accès afin que seuls les administrateurs de stockage de sauvegarde puissent gérer les sauvegardes.

Oracle Access Governance fournit une page Qui a accès à quoi - Navigateur à l'échelle de l'entreprise qui suit et surveille les utilisateurs qui ont accès à différents systèmes, données et applications, leurs niveaux d'autorisation et l'objectif de l'accès, afin de prendre des décisions éclairées et de détecter les risques de sécurité potentiels pour une gouvernance efficace. Utilisez ces informations pour vous assurer que vos stratégies IAM respectent les principes de séparation des tâches et de moindre privilège.

Si vous utilisez des machines virtuelles ou une autre infrastructure IaaS essentielle à la sauvegarde, envisagez de les ajouter à un groupe dynamique OCI. Vous pouvez ainsi cibler ces noeuds à l'aide de stratégies IAM qui accordent l'accès nécessaire au niveau de stockage de sauvegarde.

Renforcez l'accès réseau dans votre environnement sans confiance. Suivez ces recommandations pour empêcher une machine virtuelle restaurée de réinfecter la production, de rouvrir une porte dérobée de sécurité ou un point d'accès de commande et de contrôle pour les attaquants :

  • Dans votre environnement à confiance zéro, limitez l'accès au réseau lorsque cela est possible. Par exemple, dans un enclave OCI Vault ou Safe Restore, évitez d'utiliser un DRG qui peut permettre aux logiciels malveillants de fuir vers le reste de votre environnement OCI. Envisagez plutôt d'utiliser le service Bastion géré par OCI (ou les hôtes de saut gérés par le client), l'adresse privée ou une passerelle de service pour autoriser l'accès au plan de contrôle OCI.
  • N'autorisez pas le routage entre vos différents réseaux de sauvegarde. Si vous avez besoin d'une connectivité réseau entre votre infrastructure de sauvegarde, implémentez OCI Network Firewall et des groupes de sécurité réseau pour n'autoriser que des modèles de trafic étroitement contrôlés. Cela crée un écart de réseau virtuel entre vos réseaux de production et les compartiments de sauvegarde, et empêche les machines virtuelles restaurées de réinfecter les environnements de production ou de rouvrir les vulnérabilités de l'environnement.

Récapitulatif des contrôles de sécurité sans confiance

  • ZT-1 : configurez des buckets de stockage d'objets privés et sécurisés avec des droits d'accès IAM limités aux comptes de récupération spécialisés. Vous pouvez éventuellement utiliser Oracle Access Governance pour déterminer les droits d'accès effectifs sur les buckets immuables.
  • ZT-2 : appliquer une segmentation réseau robuste. Utilisez des bastions, des adresses privées, des passerelles de service, des groupes de sécurité réseau et des pare-feu réseau.
  • ZT-3 : améliorez IAM en utilisant des appartenances de groupe dynamiques et des stratégies IAM pour les activités d'archivage sécurisé immuable avec script.
  • ZT-4 : concevez des structures de compartiment comme indiqué dans l'architecture de référence de cyber résilience OCI. Utilisez des compartiments imbriqués pour appliquer des stratégies IAM proches des ressources et appliquer la séparation des tâches.

Recommandations pour les contrôles de détection des menaces

L'un des plus grands défis de la cybersécurité est de détecter quand un acteur de la menace a infiltré votre environnement. Même si vous avez implémenté des contrôles de sécurité de base, tels que la journalisation des événements et l'analyse judiciaire, il peut être difficile de déterminer si vos ressources cloud ont déjà été compromises.

Envisagez d'utiliser les outils de gestion de la posture de sécurité dans le cloud pour améliorer la protection du cloud. Oracle Cloud Guard est un outil CSPM intégré dans OCI que vous pouvez utiliser pour implémenter votre architecture de cyber-résilience. Il existe également des solutions tierces qui offrent des fonctionnalités telles que la détection des intrusions, la détection des anomalies et les alertes. Par exemple, avec OCI Cloud Guard, vous pouvez configurer des stratégies pour empêcher OCI Object Storage d'être exposé en tant que bucket public sur Internet. En outre, votre outil CSPM doit surveiller les services critiques, tels qu'Oracle Database Zero Data Loss Autonomous Recovery Service, et s'assurer qu'il n'est pas désactivé et que les sauvegardes et les stratégies de sauvegarde restent sécurisées. Configurez votre outil CSPM pour vérifier si des services tels qu'Oracle Database Zero Data Loss Autonomous Recovery Service ont été désactivés ou si des tentatives de désactivation des sauvegardes, de modification des stratégies de sauvegarde, etc. ont eu lieu.

Associez CSPM à des solutions de sécurité d'adresse pour répondre à la fois aux stratégies de sécurité IaaS et aux vulnérabilités d'adresse. Lorsque vous envoyez des journaux d'audit, des journaux d'événements, des journaux de flux VCN et d'autres données à une plate-forme SIEM ou XDR (détection et réponse étendues) tierce, les administrateurs cloud obtiennent des informations précieuses pour la corrélation d'événements et la criminalistique avancée.

Pour plus d'informations, reportez-vous au guide de conception pour l'intégration SIEM sur OCI lié dans la section En savoir plus et au blog Présentation des meilleures pratiques de sécurité dans la location OCI lié dans la section Avant de commencer.

Honeypots internes

Une autre tactique précieuse de détection des menaces consiste à déployer des "honeypots internes", des instances de calcul de leurre conçues pour attirer les acteurs malveillants. Ces honeypots exécutent généralement des services intentionnellement faciles à détecter ou à exploiter, ce qui les rend visibles à l'aide d'outils d'analyse de réseau courants tels que NMAP. Sur un réseau privé, personne ne devrait accéder à ces leurres, de sorte que toute interaction est un indicateur fort de comportement suspect, tels que les acteurs de la menace à la recherche de "serveurs de fichiers" ou d'autres cibles. Des solutions de honeypot commerciales et open source sont disponibles. Dans les environnements bien sécurisés, il doit y avoir une activité suspecte minimale détectée par les honeypots, ce qui en fait un système d'alerte précoce fiable et un moyen de valider vos contrôles existants.

Remarques :

Ne déployez pas de honeypots sur des instances avec des adresses IP publique. Les honeypots exposés à Internet sont susceptibles d'être attaqués, ce qui risque potentiellement d'augmenter.

Données canari

Technique de détection des menaces, applicable aux données structurées (telles que les tables de base de données) et aux données non structurées (telles que les serveurs de fichiers). Comme les honeypots, les données canari agissent comme un piège ciblé. Par exemple, vous pouvez créer une table dédiée ou injecter des enregistrements canari spécifiques dans une base de données de production. En cas d'accès, de modification ou de suppression inattendus de ces enregistrements, cela peut indiquer une activité non autorisée ou malveillante, telle qu'un acteur de la menace qui tente d'accéder à des données sensibles ou de les altérer, telles que des informations client ou des détails de commande.

Pour les systèmes de fichiers, les données canari peuvent impliquer des fichiers ou des dossiers surveillés dans les partages NFS. Toute modification non autorisée pourrait signaler un compromis de sécurité. L'utilisation de données canari nécessite généralement des outils tiers commerciaux ou open source.

Récapitulatif des contrôles de détection des menaces

  • TD-1 : utilisez les stratégies de bucket Oracle Cloud Guard pour contrôler l'accès public et privé, activer la journalisation de bucket et activer les règles de détection des menaces.
  • TD-2 : Implémenter des données canari dans des jeux de données structurés (tels que des bases de données) et non structurés (tels que le stockage de fichiers) pour détecter les accès non autorisés ou les altérations.
  • TD-3 : Déployer des honeypots internes avec des capteurs de surveillance proches des systèmes de sauvegarde et de production pour attirer et identifier les menaces potentielles.
  • TD-4 : Intégrez les données de télémétrie de votre environnement à XDR/SIEM pour permettre une analyse approfondie et une analyse avancée des menaces.