Implémentation d'Oracle Data Safe pour vos bases de données sur site
Architecture
Plusieurs options permettent d'établir la connexion entre vos bases de données et Oracle Data Safe, notamment l'utilisation d'Oracle Cloud Infrastructure FastConnect, de VPN Connect ou l'utilisation du connecteur sur site de Data Safe (illustré ici). Dans la plupart des cas, si vous ne disposez pas de FastConnect, vous devez utiliser le connecteur sur site. Si vous avez des questions sur l'option qui vous convient, contactez votre équipe de compte.
Le diagramme suivant illustre cette architecture de référence.
Description de l'illustration data-safe-connection-managers.png
data-safe-connection-managers-oracle.zip
L'architecture comporte les composants suivants :
- Location
Une location est une partition isolée et sécurisée qu'Oracle configure dans Oracle Cloud lors de l'inscription à Oracle Cloud Infrastructure. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud au sein de votre location.
Lors de l'abonnement à Oracle Data Safe, Oracle crée automatiquement une location pour vous dans OCI.
- Région
Une région Oracle Cloud Infrastructure est une zone géographique localisée qui contient des centres de données, appelés domaines de disponibilité. Les régions sont indépendantes d'autres régions et de grandes distances peuvent les séparer (entre les pays voire les continents).
Oracle Data Safe peut être activé dans la console OCI. Oracle Data Safe doit être activé pour chaque région dans laquelle il doit être utilisé.
- Oracle Data Safe
Oracle Data Safe est un centre de contrôle unifié pour vos bases de données Oracle intégrées à Oracle Cloud Infrastructure. Il permet de comprendre la sensibilité de vos données, d'évaluer les risques pour les données, de masquer les données, d'implémenter et de surveiller les contrôles de sécurité, d'évaluer la sécurité utilisateur, de surveiller l'activité des utilisateurs et de répondre aux exigences de conformité en matière de sécurité des données. Data Safe prend en charge Oracle Cloud Infrastructure FastConnect, le VPN IPSec et le connecteur sur site pour connecter votre emplacement sur site à Oracle Cloud.
La console Oracle Data Safe est l'interface utilisateur principale d'Oracle Data Safe. Un tableau de bord s'affiche lorsque vous ouvrez Oracle Data Safe et vous permet de surveiller l'activité du système. Les onglets secondaires permettent d'accéder aux principales fonctionnalités. Les onglets supérieurs permettent d'accéder aux bases de données cible inscrites, à la bibliothèque, aux rapports, aux alertes et aux travaux. Dans l'angle supérieur droit, vous pouvez accéder aux liens vers les paramètres de sécurité des utilisateurs et de conservation des données.
- Connecteur sur site
Le connecteur sur site est installé sur un hôte Linux dans le centre de données sur site et établit une connexion TLS (Transport Layer Security) entre l'hôte Linux et Oracle Data Safe. Une connexion TLS est une connexion TCPS qui utilise le protocole cryptographique TLS. Le connecteur on-premise d'Oracle Data Safe prend en charge la version 1.2 du protocole TLS et établit le tunnel sur le port 443 (port HTTPS standard). Le connecteur sur site peut fonctionner par le biais d'un serveur proxy HTTPS, si nécessaire.
- Domaines de disponibilité
Les domaines de disponibilité sont des centres de données autonomes et indépendants au sein d'une région. Les ressources physiques de chaque domaine de disponibilité sont isolées des ressources des autres domaines de disponibilité, ce qui assure la tolérance de pannes. Les domaines de disponibilité ne partagent pas d'infrastructure telle que l'alimentation ou le refroidissement ou le réseau interne du domaine de disponibilité. Par conséquent, il est improbable qu'un problème affecte les autres domaines de disponibilité de la région.
- Identity and Access Management (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) vous permet de contrôler les droits d'accès à vos ressources dans Oracle Cloud Infrastructure et les opérations qu'ils peuvent effectuer sur ces ressources.
Oracle Data Safe utilise tous les services partagés dans OCI, y compris IAM. Vous pouvez utiliser le service IAM pour configurer l'accès utilisateur à Oracle Data Safe.
- Console Oracle Cloud Infrastructure
La console OCI est une interface utilisateur Web simple et intuitive permettant d'accéder à Oracle Cloud Infrastructure et de le gérer. Vous pouvez également accéder à la console Oracle Data Safe via la console OCI.
Recommandations
- VCN
Lorsque vous créez un VCN, déterminez le nombre de blocs CIDR requis et la taille de chaque bloc en fonction du nombre de ressources que vous prévoyez d'attacher aux sous-réseaux du VCN. Utilisez des blocs CIDR compris dans l'espace d'adresse IP privée standard.
Sélectionnez des blocs CIDR qui ne chevauchent aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données on-premise ou un autre fournisseur cloud) auquel vous souhaitez configurer des connexions privées.
Une fois que vous avez créé un VCN, vous pouvez modifier, ajouter et supprimer ses blocs CIDR.
Lorsque vous concevez les sous-réseaux, tenez compte de vos exigences en matière de flux de trafic et de sécurité. Associez toutes les ressources d'un niveau ou d'un rôle spécifique au même sous-réseau, ce qui peut servir de limite de sécurité.
- Liste de sécurité
Utilisez des listes de sécurité pour définir des règles entrantes et sortantes qui s'appliquent à l'ensemble du sous-réseau.
- Groupes de sécurité réseau
Vous pouvez utiliser des groupes de sécurité réseau pour définir un ensemble de règles entrantes et sortantes qui s'appliquent à des cartes d'interface réseau virtuelles spécifiques. Nous vous recommandons d'utiliser des groupes de sécurité réseau plutôt que des listes de sécurité, car les groupes de sécurité réseau vous permettent de séparer l'architecture de sous-réseau du VCN des exigences de sécurité de votre application.
- Cloud Guard
Clonez et personnalisez les recettes par défaut fournies par Oracle pour créer des recettes de détecteur et de répondeur personnalisées. Ces recettes vous permettent de spécifier le type de violation de sécurité qui génère un avertissement et les actions autorisées à y être exécutées. Par exemple, vous pouvez détecter les buckets Object Storage dont la visibilité est définie sur Public.
Appliquez Cloud Guard au niveau de la location pour couvrir la portée la plus large et réduire la charge administrative liée à la maintenance de plusieurs configurations.
Vous pouvez également utiliser la fonction Liste gérée pour appliquer certaines configurations aux détecteurs.
- Security Zones
Pour les ressources nécessitant une sécurité maximale, Oracle recommande d'utiliser des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette définie par Oracle de stratégies de sécurité basées sur les meilleures pratiques. Par exemple, les ressources d'une zone de sécurité ne doivent pas être accessibles à partir du réseau Internet public et doivent être chiffrées à l'aide de clés gérées par le client. Lors de la création et de la mise à jour de ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations par rapport aux stratégies de la recette de zone de sécurité et refuse les opérations qui violent les stratégies.
- HA/DR
Dans un environnement de production, Oracle recommande d'installer le même connecteur sur site sur deux hôtes Linux pour une haute disponibilité. Si l'un de vos hôtes tombe en panne en raison d'une défaillance du système ou d'une maintenance, les connexions Oracle Data Safe basculent automatiquement vers le connecteur sur site exécuté sur l'autre hôte et les opérations Oracle Data Safe en cours ne sont pas affectées.
- Sécurité
Ouvrez uniquement les ports spécifiques pour permettre la communication avec le gestionnaire de connexions. Vous pouvez contrôler le trafic sortant de votre machine hôte vers l'adresse IP de Cloud Connection Manager, qui écoute sur le port 443. L'adresse d'un gestionnaire de connexions cloud est
accesspoint.datasafe.REGIONNAME.oci.oraclecloud.com. Par exemple, pour la région Ashburn, l'adresse estaccesspoint.datasafe.us-ashburn-1.oci.oraclecloud.com. Pour obtenir l'adresse IP du gestionnaire de connexions cloud, utilisez la recherche DNS.
Remarques
Lors de l'implémentation d'Oracle Data Safe, tenez compte des points suivants :
- FastConnect
Oracle Cloud Infrastructure FastConnect permet de créer facilement une connexion privée dédiée entre votre centre de données et OCI. Oracle Cloud Infrastructure FastConnect offre des options de bande passante plus élevée et une expérience réseau plus fiable et homogène par rapport aux connexions Internet. Vous devez utiliser FastConnect s'il est disponible.
- Connecteur sur site
Le connecteur sur site d'Oracle Data Safe prend en charge la version 1.2 du protocole TLS. Pour utiliser le connecteur sur site, vous devez autoriser le trafic sortant sur le port 443 à partir de votre réseau. Si vous le souhaitez, le connecteur sur site peut fonctionner via un serveur proxy.