Plan

Planifiez votre architecture de cyber-résilience en fonction des besoins de votre entreprise.
Le tableau suivant récapitule les contrôles critiques qu'Oracle recommande à toutes les organisations d'implémenter et une séquence logique d'étapes pour vous aider à démarrer.
Séquence  Sujets traités
1

Activer l'immuabilité et zéro perte de données des bases de données Oracle

IM-2 : utilisez Recovery Service pour les bases de données cloud Oracle.
2

Configurer des buckets non mutables et activer le principal IAM avec le moindre privilège

IM-1 : Configuration d'un bucket immuable pour les données non structurées.

ZT-1 : bucket configuré de manière privée avec des droits d'accès sécurisés configurés pour les comptes de récupération spécialisés IAM uniquement.
3

Activer la détection des menaces liées aux menaces de cyber résilience

TD-1 : Cloud Guard

Vérifiez les règles de bucket (public/privé) et la journalisation des buckets.
4

Tester le mouvement des données vers des buckets non mutables

IM-3 : utilisez le script de l'interface de ligne de commande OCI pour copier OCI FSS vers un stockage d'objets immuable.

BR-1 : sauvegarde d'une image personnalisée OCI vers un bucket non mutable.

Protéger les bases de données avec Autonomous Recovery Service

Pour activer la cyber-résilience pour votre location, commencez par un pilote d'Oracle Database Zero Data Loss Autonomous Recovery Service. Sauvegardez votre pilote et activez également des fonctionnalités à valeur ajoutée, y compris, mais sans s'y limiter, les verrous de rétention. Le cas échéant, activez la protection des données en temps réel avec Autonomous Recovery Service. Lorsque des classeurs d'exécution réussis sont en place pour Recovery Service, vous pouvez déployer le pilote vers le reste de votre parc de bases de données. Pour les bases de données existantes, vous devrez effectuer une vérification afin de vérifier que vous répondez aux exigences d'Autonomous Recovery Service. Autonomous Recovery Service utilise l'adresse privée OCI pour communiquer avec vos bases de données et le parc d'appliances de récupération dans Oracle Services Network.

Démarrez un projet pilote pour une nouvelle base de données de développement et de test. Il s'agit, entre autres, des questions suivantes :

  • Quelles sont les plates-formes de base de données et les versions logicielles requises ?
  • Vos bases de données utilisent-elles OCI pour DNS ? Si vous n'examinez pas le transfert conditionnel DNS.
  • Avez-vous besoin d'augmenter les limites OCI existantes ?
  • Les listes de sécurité ont-elles été activées pour permettre à vos bases de données de se connecter à Autonomous Recovery Service ?
  • Avez-vous activé toutes les instructions de stratégie IAM requises pour autoriser le service ?

Le diagramme suivant présente un exemple de sous-réseau de récupération OCI se connectant à Oracle Database Zero Data Loss Autonomous Recovery Service :


Description de l'image oci-recovery-subnet-autonomous-rec-serv.png ci-après
Description de l'illustration oci-recovery-subnet-autonomous-rec-serv.png

Maintenant que vos bases de données sont protégées, concentrez-vous sur la protection de vos données non structurées (initialisation, blocs, systèmes de fichiers, etc.) à l'aide des recommandations suivantes :

  • Créez une structure de compartiment imbriquée ou créez une location OCI pour agir en tant que votre enclave Vault ou Safe Restore.
  • Créez un bucket Object Storage, ajoutez des règles de conservation et verrouillez-les une fois les stratégies de conservation testées.
  • Vérifiez que les stratégies IAM limitent les appartenances aux groupes et fournissent uniquement l'accès aux administrateurs de sauvegarde ou de stockage. Si nécessaire, vous pouvez également utiliser un autre domaine IAM.
  • Assurez-vous que les zones de sécurité Oracle Cloud Guard et OCI garantissent que votre bucket ne peut pas être rendu public et que personne ne peut désactiver vos services de sauvegarde et de récupération. Une stratégie d'aire de sécurité interdit la création de buckets publics sur OCI Object Storage. Par exemple, vous pouvez configurer une stratégie de zone de sécurité pour empêcher quiconque de créer un bucket public ou de modifier un bucket de stockage existant et de le rendre public.

Sauvegarde dans un coffre immuable

Implémentez une solution de sauvegarde des données dans le bucket de coffre immuable. Cela inclut les machines virtuelles, les volumes d'initialisation, les volumes de blocs et les données résidant dans les partages OCI File Storage, le cas échéant.

Description de l'image cybernétique-déployée-components-arch.png
Description de l'illustration cyber-resilience-deployed-components-arch.png

Il existe des outils open source et commerciaux qui permettent de répliquer, de synchroniser et de déplacer des données entre les plates-formes. Consultez la section L'outil approprié pour le travail du blog Migration de données. Il existe plusieurs outils et techniques pour copier vos données dans le bucket Immutable Vault.

Dans un pilote de cyber-résilience, vous pouvez déployer une architecture dans laquelle vous pouvez utiliser un serveur d'orchestration qui réside dans le coffre immuable. Le serveur d'orchestration repère les ressources à sauvegarder et envoie les travaux de sauvegarde au service OCI Queue. Les noeuds de processus actif écoutent ensuite les travaux de sauvegarde et commencent à traiter les tâches immédiatement. Dans ce modèle, vous pouvez copier les données du cluster de production, puis les télécharger vers le bucket de coffre immuable.

Récapitulatif des contrôles critiques par domaine

Après avoir implémenté ces contrôles, vous disposez de couches de protection supplémentaires contre les acteurs de la menace. Voici un récapitulatif des contrôles obligatoires que toutes les organisations doivent essayer d'implémenter :
Domaine Sujets traités
Immuabilité IM-1 : Configuration d'un bucket immuable pour les données non structurées.

IM-2 : utilisation du service de récupération pour les bases de données cloud Oracle.

IM-3 : si vous utilisez OCI File Storage, copiez OCI File Storage vers un stockage d'objet non mutable.

Confiance zéro ZT-1 : bucket configuré de manière privée avec des droits d'accès sécurisés configurés pour les comptes de récupération spécialisés IAM uniquement. Tirez parti d'OAG pour déterminer les droits d'accès effectifs sur les buckets non mutables.
Sauvegarde et récupération BR-1 : sauvegarde d'une image personnalisée OCI vers un bucket non mutable.
Détection des menaces TD-1 : règles de bucket Cloud Guard (public/privé). Journalisation de bucket. Règle de détecteur de menace activée.