Choisir et implémenter votre déploiement
Utilisez les méthodes présentées dans cette section pour sécuriser Oracle Autonomous Database Serverless@Azure :
- Utilisation du cryptage transparent des données et d'Azure Key Vault
- Configurer et activer Oracle Database Vault
- Inscription de la base de données auprès d'Oracle Data Safe
- Centraliser l'authentification et l'autorisation des utilisateurs en les intégrant à Entra ID
- Unifier le pipeline d'audit et de base de données pour exporter des données vers le stockage BLOB Azure
- Utiliser Oracle SQL Firewall pour Oracle Database 23ai
Option 1 : utilisation du cryptage transparent des données et d'Azure Key Vault
Le cryptage transparent des données (TDE) Oracle est configuré et activé par défaut dans toutes les bases de données Oracle Autonomous Database Serverless.
Les étapes suivantes vous montreront comment valider la configuration TDE par défaut. Il présente ensuite les étapes d'implémentation du cryptage géré par le client avec Azure Key Vault pour Oracle Autonomous Database Serverless.
Pour implémenter le plan présenté ici, vous devez d'abord satisfaire aux prérequis suivants :
- Déployez l'instance Oracle Autonomous Database Serverless à l'aide de la console Microsoft Azure
- Créer le coffre de clés Azure (Standard ou Premium)
- Créer une clé RSA 2048 bits dans Azure Key Vault
- Créer un principal de service pour Autonomous Database
Pour utiliser le coffre de clés TDE et Azure, procédez comme suit :
Option 2 : configurer et activer Oracle Database Vault
Configurez et activez Oracle Database Vault dans votre instance Oracle Autonomous Database Serverless pour protéger les données contre les accès non autorisés aux comptes avec privilèges.
Vous devez créer des comptes de base de données supplémentaires pour faciliter la séparation des tâches pour Oracle Database Vault. Une fois Oracle Database Vault activé, créez un domaine Oracle Database Vault pour séparer les données confidentielles des comptes à privilèges élevés au sein de la base de données.
Pour configurer et activer Oracle Database Vault, procédez comme suit :
Option 3 : inscription de la base de données auprès d'Oracle Data Safe
Oracle Data Safe est un Centre de contrôle unifié pour les bases de données d'Oracle. Il vous aide à comprendre la sensibilité de vos données, à évaluer des risques pour vos données, à masquer des données confidentielles, à implémenter et surveiller des contrôles de la sécurité, à évaluer l'activité des utilisateurs, à surveiller l'activité de ces derniers et de répondre aux exigences en matière d'application de la conformité des données.
Dans cette option, vous inscrivez l'instance cible auprès d'Oracle Data Safe. Après l'inscription, passez en revue les résultats de l'évaluation de la sécurité et de l'évaluation des utilisateurs et configurez des références pour chacune d'elles.
Pour inscrire la base de données auprès d'Oracle Data Safe, procédez comme suit :
- Inscrivez la base de données cible auprès d'Oracle Data Safe :
- Dans la console OCI, cliquez sur Oracle Database, puis sur Présentation sous Data Safe. Cliquez sur Bases de données cible dans le panneau de navigation de gauche et cliquez sur Inscrire une base de données.
- Sélectionnez Oracle Autonomous Database Serverless, entrez les informations requises et cliquez sur Inscrire.
- Une fois l'inscription de la cible réussie, Oracle Data Safe lance à la fois une analyse d'évaluation de la sécurité et une analyse d'évaluation des utilisateurs.
- Vérifiez l'évaluation de la sécurité :
- Sur la page Présentation de Data Safe, cliquez sur Evaluation de la sécurité dans le panneau de navigation de gauche. Sélectionnez l'onglet Récapitulatif cible, puis cliquez sur le récapitulatif cible de votre base de données.
- Faites défiler les résultats et examinez-les. Si nécessaire, effectuez une action corrective et lancez une autre analyse. Si vous êtes satisfait des résultats de l'analyse en cours et que vous acceptez les résultats, cliquez sur Définir comme référence. Toutes les analyses futures sont comparées à la ligne de base et vous recevrez une notification si la configuration de la base de données s'écarte de la ligne de base définie.
- Vérifiez l'évaluation des utilisateurs :
- Sur la page Présentation de Data Safe, cliquez sur Evaluation de la sécurité dans le volet de navigation de gauche. Sélectionnez l'onglet Récapitulatif cible, puis cliquez sur le récapitulatif cible de votre base de données.
- Faites défiler les résultats et examinez-les. Si nécessaire, effectuez une action corrective et lancez une autre analyse. Si vous êtes satisfait des résultats de l'analyse en cours et que vous acceptez les résultats, cliquez sur Définir comme référence. Toutes les analyses futures seront comparées à la ligne de base et vous recevrez une notification si la configuration de la base de données s'écarte de la ligne de base définie.
Option 4 : Centraliser l'authentification et l'autorisation des utilisateurs en s'intégrant à Entra ID
La gestion des utilisateurs et des informations d'identification pour les utilisateurs Oracle Database peut rapidement devenir un fardeau administratif difficile à mesure que le nombre d'instances de base de données se multiplie.
Oracle crée des solutions innovantes pour atténuer ce problème depuis des décennies. Oracle Autonomous Database honore les jetons OAuth2 émis par Entra ID (anciennement Active Directory), la plate-forme d'identité cloud de Microsoft. Cette fonctionnalité vous permet de gérer les utilisateurs et les rôles dans une solution d'identité cloud centrale, tandis qu'Oracle Autonomous Database utilise ces informations d'identification pour les contrôles d'accès basés sur des stratégies.
Le flux d'authentification est illustré dans le diagramme ci-dessous et décrit dans les étapes suivantes :
azure-authentification-oracle.zip
- L'utilisateur Azure demande l'accès à l'instance Oracle Autonomous Database Serverless.
- Le client ou l'application de base de données demande un code d'autorisation à partir de l'ID Entra.
- Entra ID authentifie l'utilisateur et renvoie le code d'autorisation.
- L'outil d'aide ou l'application utilise le code d'autorisation avec l'ID Entra pour l'échanger contre le jeton OAuth2.
- Le client de base de données envoie le jeton d'accès OAuth2 à la base de données Oracle. Le jeton inclut les rôles d'application de base de données auxquels l'utilisateur a été affecté dans l'inscription de l'application Entra ID pour la base de données.
- L'instance Oracle Autonomous Database Serverless utilise la clé publique Entra ID pour vérifier que le jeton d'accès a été créé par Entra ID.
Pour implémenter le plan présenté ici, vous devez d'abord satisfaire aux prérequis suivants :
- Configurez Oracle Autonomous Database Serverless en tant qu'application d'entreprise Microsoft Azure Entra ID (les tutoriels sont référencés dans la section En savoir plus).
- Configurez le client SQL Developer pour une authentification transparente Azure Entra ID.
Pour intégrer l'authentification à Microsoft Entra ID, procédez comme suit :
Option 5 : unifier le pipeline d'audit et de base de données pour exporter des données vers le stockage BLOB Azure
La création d'une trace d'audit de la transaction de base de données est un moyen efficace de garantir la traçabilité. Oracle Autonomous Database inclut des pipelines prêts à être configurés et déployés, qui peuvent propager ces journaux d'audit vers le stockage multicloud de votre choix. Cette section montre comment utiliser facilement le principal de service Entra ID existant (créé dans la section précédente) pour propager votre trace d'audit vers le stockage BLOB Azure sur un intervalle de temps continu.
Pour implémenter le plan présenté ici, vous devez d'abord satisfaire aux prérequis suivants :
- Activez une trace d'audit unifié avec Oracle Data Safe.
- Créez un principal de service pour Oracle Autonomous Database Serverless.
- Créez un compte de stockage Azure.
- Créez un conteneur privé dans le compte de stockage Azure pour les journaux d'audit Oracle Autonomous Database Serverless.
Pour utiliser et stocker des journaux d'audit, procédez comme suit :
Option 6 : utilisation d'Oracle SQL Firewall pour Oracle Autonomous Database Serverless 23ai
Outre les listes de sécurité de réseau virtuel et les groupes de sécurité réseau, Oracle Autonomous Database Serverless 23ai est livré avec Oracle SQL Firewall.
Oracle SQL Firewall est une fonctionnalité de défense en profondeur qui s'exécute dans l'exécution de la base de données et qui applique un contrôle d'accès basé sur une stratégie et un contexte à vos données.
Pour Oracle Database@Azure, les stratégies de pare-feu SQL peuvent fournir une protection de dernier kilomètre contre les accès non autorisés, quel que soit le point d'entrée.
adbs-sqlfirewall-flow-oracle.zip
Pour implémenter le plan présenté ici, vous devez d'abord satisfaire aux prérequis suivants :
- Inscrivez Oracle Data Safe auprès de l'instance Oracle Autonomous Database Serverless 23ai.
- Activez le pare-feu SQL dans Oracle Data Safe (un lien vers les instructions est fourni dans la section Explorer plus).
Pour utiliser Oracle SQL Firewall pour Oracle Autonomous Database Serverless 23ai, procédez comme suit :