Plan
Séquence | Sujets traités |
---|---|
1 |
Activer l'immuabilité et zéro perte de données des bases de données Oracle IM-2 : utilisez Recovery Service pour les bases de données cloud Oracle. |
2 |
Configurer des buckets non mutables et activer le principal IAM avec le moindre privilège IM-1 : Configuration d'un bucket immuable pour les données non structurées. ZT-1 : bucket configuré de manière privée avec des droits d'accès sécurisés configurés pour les comptes de récupération spécialisés IAM uniquement. |
3 |
Activer la détection des menaces liées aux menaces de cyber résilience TD-1 : Cloud Guard Vérifiez les règles de bucket (public/privé) et la journalisation des buckets. |
4 |
Tester le mouvement des données vers des buckets non mutables IM-3 : utilisez le script de l'interface de ligne de commande OCI pour copier OCI FSS vers un stockage d'objets immuable. BR-1 : sauvegarde d'une image personnalisée OCI vers un bucket non mutable. |
Protéger les bases de données avec Autonomous Recovery Service
Démarrez un projet pilote pour une nouvelle base de données de développement et de test. Il s'agit, entre autres, des questions suivantes :
- Quelles sont les plates-formes de base de données et les versions logicielles requises ?
- Vos bases de données utilisent-elles OCI pour DNS ? Si vous n'examinez pas le transfert conditionnel DNS.
- Avez-vous besoin d'augmenter les limites OCI existantes ?
- Les listes de sécurité ont-elles été activées pour permettre à vos bases de données de se connecter à Autonomous Recovery Service ?
- Avez-vous activé toutes les instructions de stratégie IAM requises pour autoriser le service ?
Le diagramme suivant présente un exemple de sous-réseau de récupération OCI se connectant à Oracle Database Zero Data Loss Autonomous Recovery Service :
Maintenant que vos bases de données sont protégées, concentrez-vous sur la protection de vos données non structurées (initialisation, blocs, systèmes de fichiers, etc.) à l'aide des recommandations suivantes :
- Créez une structure de compartiment imbriquée ou créez une location OCI pour agir en tant que votre enclave Vault ou Safe Restore.
- Créez un bucket Object Storage, ajoutez des règles de conservation et verrouillez-les une fois les stratégies de conservation testées.
- Vérifiez que les stratégies IAM limitent les appartenances aux groupes et fournissent uniquement l'accès aux administrateurs de sauvegarde ou de stockage. Si nécessaire, vous pouvez également utiliser un autre domaine IAM.
- Assurez-vous que les zones de sécurité Oracle Cloud Guard et OCI garantissent que votre bucket ne peut pas être rendu public et que personne ne peut désactiver vos services de sauvegarde et de récupération. Une stratégie d'aire de sécurité interdit la création de buckets publics sur OCI Object Storage. Par exemple, vous pouvez configurer une stratégie de zone de sécurité pour empêcher quiconque de créer un bucket public ou de modifier un bucket de stockage existant et de le rendre public.
Sauvegarde dans un coffre immuable
Il existe des outils open source et commerciaux qui permettent de répliquer, de synchroniser et de déplacer des données entre les plates-formes. Consultez la section L'outil approprié pour le travail du blog Migration de données. Il existe plusieurs outils et techniques pour copier vos données dans le bucket Immutable Vault.
Dans un pilote de cyber-résilience, vous pouvez déployer une architecture dans laquelle vous pouvez utiliser un serveur d'orchestration qui réside dans le coffre immuable. Le serveur d'orchestration repère les ressources à sauvegarder et envoie les travaux de sauvegarde au service OCI Queue. Les noeuds de processus actif écoutent ensuite les travaux de sauvegarde et commencent à traiter les tâches immédiatement. Dans ce modèle, vous pouvez copier les données du cluster de production, puis les télécharger vers le bucket de coffre immuable.
Récapitulatif des contrôles critiques par domaine
Domaine | Sujets traités |
---|---|
Immuabilité | IM-1 : Configuration d'un bucket immuable pour les données non structurées.
IM-2 : utilisation du service de récupération pour les bases de données cloud Oracle. IM-3 : si vous utilisez OCI File Storage, copiez OCI File Storage vers un stockage d'objet non mutable. |
Confiance zéro | ZT-1 : bucket configuré de manière privée avec des droits d'accès sécurisés configurés pour les comptes de récupération spécialisés IAM uniquement. Tirez parti d'OAG pour déterminer les droits d'accès effectifs sur les buckets non mutables. |
Sauvegarde et récupération | BR-1 : sauvegarde d'une image personnalisée OCI vers un bucket non mutable. |
Détection des menaces | TD-1 : règles de bucket Cloud Guard (public/privé). Journalisation de bucket. Règle de détecteur de menace activée. |