Déploiement d'une zone de renvoi sécurisée conforme aux références CIS pour Oracle Cloud

Pour exécuter vos charges de travail dans Oracle Cloud, vous avez besoin d'un environnement sécurisé dans lequel vous pouvez travailler efficacement. Cette architecture de référence fournit un modèle de zone de renvoi basé sur Terraform certifié par le CIS (Center for Internet Security) pour répondre aux instructions de sécurité prescrites dans le rapport CIS Oracle Cloud Infrastructure Foundations Benchmark. Reportez-vous à la page https://www.cisecurity.org pour obtenir la certification.

Architecture

L'architecture commence par la conception de compartiment pour la location, ainsi que les groupes et les stratégies de séparation des tâches. Dans la zone de renvoi, le provisionnement V2 des compartiments de zone de renvoi dans un compartiment parent désigné est pris en charge. Un groupe disposant des droits d'accès appropriés pour la gestion des ressources du compartiment et l'accès aux ressources requises dans d'autres compartiments est affecté à chacun des compartiments de zone de renvoi.

La zone de renvoi V2 permet de provisionner plusieurs réseaux cloud virtuels, en mode autonome ou en tant que parties constituantes d'une architecture Hub et Spoke. Les réseaux cloud virtuels peuvent suivre une topologie de réseau à trois niveaux standard à usage général ou être orientés vers des topologies spécifiques, comme la prise en charge des déploiements Oracle Exadata Database Service. Ils sont prêts à l'emploi configurés avec le routage nécessaire, avec leurs interfaces entrantes et sortantes correctement sécurisées.

La zone de renvoi inclut divers services de sécurité préconfigurés qui peuvent être déployés en tandem avec l'architecture globale pour un état de sécurité élevé. Ces services sont Oracle Cloud Guard, les journaux de flux, Oracle Cloud Infrastructure Service Connector Hub, Vault avec clés gérées par le client, Oracle Cloud Infrastructure Vulnerability Scanning Service, Oracle Cloud Infrastructure Bastion et Oracle Security Zones. Les notifications sont définies à l'aide des rubriques et des événements pour alerter les administrateurs des modifications apportées aux ressources déployées.

Le diagramme suivant illustre cette architecture de référence.

Description de l'illustration oci-cis-landingzone.png

oci-cis-zone d'atterrissage-oracle.zip

L'architecture comporte les composants suivants :

• Tenancy

  Une location est une partition sécurisée et isolée qu'Oracle configure dans Oracle Cloud lors de votre inscription à Oracle Cloud Infrastructure. Vous pouvez créer, organiser et administrer vos ressources dans Oracle Cloud au sein de votre location. Une location est synonyme d'une entreprise ou d'une organisation. Habituellement, une entreprise a une location unique et reflète sa structure organisationnelle au sein de cette location. Une location unique est généralement associée à un seul abonnement, et un seul abonnement n'a généralement qu'une location.

• Stratégies

  Une stratégie Oracle Cloud Infrastructure Identity and Access Management spécifie qui peut accéder à quelles ressources et comment. L'accès est accordé au niveau d'un groupe et d'un compartiment, ce qui signifie que vous pouvez écrire une stratégie qui offre à un groupe un type d'accès spécifique dans un compartiment spécifique ou dans la location.

• Compartiments

  Les compartiments sont des partitions logiques inter-région au sein d'une location Oracle Cloud Infrastructure. Utilisez des compartiments pour organiser les ressources dans Oracle Cloud, en contrôler l'accès et définir des quotas d'utilisation. Pour contrôler l'accès aux ressources d'un compartiment donné, vous définissez des stratégies qui indiquent qui peut accéder aux ressources et les actions réalisables.

  Les ressources de ce modèle de zone de renvoi sont provisionnées dans les compartiments suivants :

  • Compartiment englobant recommandé contenant tous les compartiments répertoriés ci-dessous.
  • Compartiment Réseau pour toutes les ressources de fonctions de réseau, y compris les passerelles réseau requises.
  • Compartiment Sécurité pour les ressources de journalisation, de gestion des clés et de notification.
  • Un compartiment d'application pour les services liés aux applications, y compris le calcul, le stockage, les fonctions, les flux de données, les noeuds Kubernetes, la passerelle d'API, etc.
  • Compartiment Base de données pour toutes les ressources de base de données.
  • compartiment facultatif pour l'infrastructure Oracle Exadata Database Service.

  Les icônes grisées du diagramme indiquent les services qui ne sont pas provisionnés par le modèle.

  Cette conception des compartiments reflète une structure fonctionnelle de base observée dans différentes organisations, où les responsabilités informatiques sont généralement réparties entre les administrateurs de fonctions de réseau, de sécurité, de développement d'applications et de base de données.

• Réseau cloud virtuel (VCN) et sous-réseaux

  Un VCN est un réseau personnalisable défini par logiciel que vous configurez dans une région Oracle Cloud Infrastructure. Comme les réseaux de centre de données traditionnels, les réseaux cloud virtuels vous donnent le contrôle de l'environnement réseau. Un réseau cloud virtuel peut comporter plusieurs blocs CIDR qui ne se chevauchent pas et que vous pouvez modifier après l'avoir créé. Vous pouvez segmenter un réseau cloud virtuel en plusieurs sous-réseaux ciblant une région ou un domaine de disponibilité. Chaque sous-réseau est composé d'une plage contiguë d'adresses qui ne chevauchent pas celles des autres sous-réseaux du réseau cloud virtuel. Vous pouvez modifier la taille d'un sous-réseau après sa création. Un sous-réseau peut être public ou privé.

  Par défaut, le modèle déploie un VCN standard à trois niveaux à usage général avec un sous-réseau public et deux sous-réseaux privés. Un sous-réseau public est utilisé pour les équilibreurs de charge et les serveurs de bastion. Les niveaux d'application et de base de données sont associés à des sous-réseaux privés distincts. Le modèle peut également créer des réseaux cloud virtuels pour prendre en charge le déploiement de charges globales spécifiques, telles qu'Oracle Exadata Database Service.

• Passerelle Internet

  La passerelle Internet autorise le trafic entre les sous-réseaux publics d'un VCN et le réseau Internet public.

• Passerelle de routage dynamique (DRG)

  Le DRG est un routeur virtuel qui fournit un chemin pour le trafic de réseau privé entre les réseaux sur site et les réseaux cloud virtuels, et peut également être utilisé pour acheminer le trafic entre les réseaux cloud virtuels de la même région ou d'une région à l'autre.

• Passerelle NAT

  Une passerelle NAT permet aux ressources privées d'un VCN d'accéder à des hôtes sur Internet, sans exposer ces ressources aux connexions Internet entrantes.

• Passerelle de service

  La passerelle de service fournit un accès à partir d'un VCN à d'autres services, tels qu'Oracle Cloud Infrastructure Object Storage. Le trafic du VCN vers le service Oracle transite par la structure réseau Oracle et ne traverse pas Internet.

• Réseau de services Oracle

  Oracle Services Network (OSN) est un réseau conceptuel d'Oracle Cloud Infrastructure réservé aux services Oracle. Ces services possèdent des adresses IP publiques auxquelles vous pouvez accéder par Internet. Les hôtes en dehors d'Oracle Cloud peuvent accéder à OSN en privé à l'aide d'Oracle Cloud Infrastructure FastConnect ou de VPN Connect. Les hôtes de vos réseaux cloud virtuels peuvent accéder au réseau OSN en privé via une passerelle de service.

• Groupes de sécurité réseau

  Le groupe de sécurité réseau fait office de pare-feu virtuel pour vos ressources cloud. Avec le modèle de sécurité zéro confiance d'Oracle Cloud Infrastructure, tout le trafic est refusé et vous pouvez contrôler le trafic réseau à l'intérieur d'un VCN. Un groupe de sécurité réseau se compose d'un ensemble de règles de sécurité entrantes et sortantes qui s'appliquent uniquement à un ensemble spécifié de cartes d'interface réseau virtuelles dans un seul VCN.

• Evénements

  Les services Oracle Cloud Infrastructure émettent des événements, qui sont des messages structurés décrivant les modifications apportées aux ressources. Les événements sont émis pour les opérations de création, de lecture, de mise à jour ou de suppression (CRUD), les modifications d'état de cycle de vie des ressources et les événements système qui affectent les ressources cloud.

• Notifications

  Le service Oracle Cloud Infrastructure Notifications diffuse des messages vers des composants distribués par le biais d'un modèle publication-abonnement qui délivre des messages sécurisés, durables, très fiables et à faible latence pour les applications hébergées sur Oracle Cloud Infrastructure.

• Vault

  Oracle Cloud Infrastructure Vault permet de gérer de manière centralisée les clés de cryptage qui protègent vos données et les informations d'identification de clé secrète utilisées pour sécuriser l'accès à vos ressources dans le cloud. Vous pouvez utiliser le service Vault pour créer et gérer des coffres, des clés et des clés secrètes.

• Journaux
  Logging est un service hautement évolutif et complet qui permet d'accéder aux types de journal suivants à partir des ressources du cloud.

  • Journaux d'audit : journaux liés aux événements émis par le service Audit.
  • Journaux de service : journaux émis par des services individuels tels que API Gateway, Events, Functions, Load Balancing, Object Storage et les journaux de flux VCN.
  • Journaux personnalisés : journaux contenant des informations de diagnostic issues d'applications personnalisées, d'autres fournisseurs de cloud ou d'un environnement sur site.
• Connecteurs de service

  Oracle Cloud Infrastructure Service Connector Hub est une plate-forme cloud de bus de messages qui orchestre les déplacements de données entre des services OCI. Vous pouvez utiliser des connecteurs de service pour déplacer des données d'un service source vers un service cible. Les connecteurs de service vous permettent également d'indiquer éventuellement une tâche (telle qu'une fonction) à effectuer sur les données avant leur transmission au service cible.

  Vous pouvez utiliser Oracle Cloud Infrastructure Service Connector Hub pour créer rapidement une structure d'agrégation de journalisation pour les systèmes SIEM.

• Cloud Guard

  Oracle Cloud Guard vous aide à atteindre et à maintenir un état de sécurité élevé dans Oracle Cloud en surveillant la location à la recherche de paramètres de configuration et d'actions sur les ressources susceptibles de poser un problème de sécurité.

  Vous pouvez utiliser Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources à la recherche de failles de sécurité et pour surveiller les opérateurs et les utilisateurs pour certaines activités à risque. En cas de détection d'une mauvaise configuration ou d'une activité non sécurisée, Cloud Guard recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondeur que vous pouvez définir.

• Zone de sécurité

  Une zone de sécurité est associée à des compartiments et à une recette de zone de sécurité. Lors de la création et de la mise à jour de ressources dans une zone de sécurité, Oracle Cloud Infrastructure (OCI) valide ces opérations par rapport à la liste des stratégies qui sont définies dans la recette de zone de sécurité. En cas de violation d'une stratégie de zone de sécurité, l'opération est refusée.

  Les zones de sécurité garantissent que vos ressources OCI sont conformes à vos stratégies de sécurité, y compris Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes et les ressources de base de données.

• vulnérabilités

  Oracle Cloud Infrastructure Vulnerability Scanning Service permet d'améliorer l'état de la sécurité dans Oracle Cloud en examinant régulièrement les ports et les hôtes à la recherche de vulnérabilités potentielles. Le service génère des rapports avec des mesures et des détails concernant ces vulnérabilités.

• Service Bastion

  Le service Oracle Cloud Infrastructure Bastion fournit un accès restreint à partir d'adresses IP spécifiques aux ressources OCI cible qui ne disposent pas d'adresses publiques à l'aide de sessions SSH (Secure Shell) basées sur l'identité, auditées et temporelles.

• Stockage d'objet

  Le stockage d'objets permet d'accéder rapidement à de grandes quantités de données, structurées ou non, de tout type de contenu, y compris des sauvegardes de base de données, des données analytiques et du contenu riche tel que des images et des vidéos. Vous pouvez stocker les données, puis les extraire directement à partir d'Internet ou de la plate-forme cloud, et ce, en toute sécurité. Vous pouvez faire évoluer le stockage sans dégradation des performances ni de la fiabilité des services. Utilisez le stockage standard pour le stockage "à chaud" auquel vous devez accéder rapidement, immédiatement et fréquemment. Utilisez le stockage d'archives pour le stockage "à froid" que vous conservez pendant longtemps et auquel vous accédez rarement.

Recommandations

Utilisez les recommandations suivantes comme point de départ pour concevoir et configurer la sécurité de votre environnement cloud. Vos exigences peuvent différer de l'architecture décrite ici.

• Configuration réseau

  Pour le VCN, sélectionnez un bloc CIDR qui ne chevauche aucun autre réseau (dans Oracle Cloud Infrastructure, votre centre de données sur site ou un autre fournisseur cloud) vers lequel vous souhaitez configurer des connexions privées.

• Surveillance de la sécurité

  Utilisez Oracle Cloud Guard pour surveiller et maintenir la sécurité des ressources dans Oracle Cloud Infrastructure. Cloud Guard utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources à la recherche de failles de sécurité et pour surveiller les opérateurs et les utilisateurs à la recherche d'activités à risque. En cas de détection d'une mauvaise configuration ou d'une activité non sécurisée, Cloud Guard recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondeur que vous pouvez définir.

• Sécuriser le provisionnement des ressources

  Pour les ressources nécessitant une sécurité maximale, utilisez des zones de sécurité. Une zone de sécurité est un compartiment associé à une recette de stratégies de sécurité définie par Oracle basée sur les meilleures pratiques. Par exemple, les ressources d'une zone de sécurité ne doivent pas être accessibles à partir du réseau Internet public et doivent être cryptées à l'aide de clés gérées par le client. Lors de la création et de la mise à jour de ressources dans une zone de sécurité, Oracle Cloud Infrastructure valide les opérations par rapport aux stratégies de la recette de zone de sécurité et refuse les opérations qui enfreignent l'une des stratégies.

Points à prendre en compte

Lors de l'implémentation de cette architecture de référence, tenez compte des facteurs suivants :

• Autorisations d'accès

  Le modèle de zone de renvoi peut provisionner des ressources en tant qu'administrateur de location (n'importe quel utilisateur membre du groupe Administrateurs) ou en tant qu'utilisateur disposant de droits d'accès plus étroits. Reportez-vous à En savoir plus sur les modes de déploiement de la zone de renvoi OCI CIS.

  Le modèle de zone de renvoi provisionne les ressources en tant qu'administrateur de location (tout utilisateur membre du groupe Administrators) et inclut des stratégies permettant à des groupes d'administrateurs distincts de gérer chaque compartiment après le provisionnement initial. Les stratégies préconfigurées ne couvrent pas toutes les ressources possibles disponibles dans OCI, c'est-à-dire qu'elles sont applicables aux ressources actuellement déployées par le modèle. Si vous ajoutez des ressources au modèle Terraform, vous devez définir les instructions de stratégie supplémentaires requises.

• Configuration réseau

  Le réseau de la zone de renvoi peut être déployé de différentes manières : avec un à plusieurs réseaux cloud virtuels autonomes ou dans une architecture Hub et Spoke avec le service V2 DRG Oracle Cloud Infrastructure. Il est également possible de configurer le réseau sans connexion Internet. Bien que la zone de renvoi permette de basculer entre autonome et Hub & Spoke, il est important de planifier une conception spécifique, car des actions manuelles peuvent être nécessaires lors du basculement.

• Personnalisation du modèle de zone de renvoi

  La configuration Terraform comporte un seul module racine et des modules individuels pour provisionner les ressources. Ce modèle modulaire permet une réutilisation efficace et cohérente du code. Pour ajouter des ressources à la configuration Terraform, réutilisez les modules existants, mais remplacez la variable spécifique par la configuration requise à l'aide des fichiers de remplacement de Terraform. Par exemple, pour ajouter un nouveau compartiment, définissez une nouvelle correspondance d'objets de compartiment dans le fichier override.tf avec le même nom que la correspondance d'origine des compartiments. Pour plus de détails, reportez-vous à Personnalisation de la zone de renvoi.

• Guide de déploiement

  Le guide de déploiement de démarrage rapide de la zone de renvoi CIS OCI dans GitHub fournit des instructions détaillées sur la configuration de la zone de renvoi CIS OCI. Il comprend des scénarios de déploiement et des étapes de personnalisation de la zone de renvoi.

Déployez

Le code Terraform pour cette solution est disponible dans GitHub. Vous pouvez extraire le code dans Oracle Cloud Infrastructure Resource Manager en un seul clic, créer la pile et la déployer. Vous pouvez également télécharger le code à partir de GitHub sur votre ordinateur, personnaliser le code et déployer l'architecture à l'aide de l'interface de ligne de commande Terraform.

• Déployez à l'aide de l'exemple de pile dans Oracle Cloud Infrastructure Resource Manager :
  1. Accédez à

     Si vous n'êtes pas déjà connecté, entrez les informations d'identification de la location et de l'utilisateur.

  2. Sélectionnez la région de déploiement de la pile.
  3. Suivez les invites à l'écran et les instructions pour créer la pile.
  4. Une fois la pile créée, cliquez sur Actions Terraform et sélectionnez Planifier.
  5. Attendez la fin du travail et vérifiez le plan.

     Pour apporter des modifications, revenez à la page Détails de la pile, cliquez sur Modifier la pile et apportez les modifications requises. Exécutez ensuite à nouveau l'action Planifier.

  6. Si aucune autre modification n'est nécessaire, revenez à la page Détails de la pile, cliquez sur Actions Terraform et sélectionnez Appliquer.
• Déployez à l'aide du code Terraform dans GitHub :
  1. Accédez à GitHub.
  2. Téléchargez ou clonez le code sur votre ordinateur local.
  3. Suivez les instructions du fichier README.

En savoir plus

En savoir plus sur la configuration et l'exploitation d'un environnement sécurisé dans Oracle Cloud.

• Structure des meilleures pratiques pour Oracle Cloud Infrastructure
• Liste de contrôle de sécurité pour Oracle Cloud Infrastructure
• Base Oracle Cloud Infrastructure CIS - Référence
• Guide de déploiement de la zone de renvoi OCI CIS

Consultez les billets de blog suivants :

• Création d'une zone de renvoi multi-région sécurisée
• Modèle de démarrage rapide de la zone de renvoi sécurisée OCI, version 2
• Modes de déploiement de la zone de renvoi sécurisée OCI
• Déploiement d'une zone de renvoi sécurisée OCI pour Exadata Cloud Service

Journal des modifications

Ce journal répertorie les modifications importantes :

Mai 16, 2024	Mise à jour de l'architecture recommandée à l'aide d'un compartiment englobant pour les autres compartiments. Remarques mises à jour pour inclure le guide de déploiement de la zone de renvoi CIS OCI. Ajout d'un lien vers le Centre pour la sécurité sur Internet (CIS).
Mai 2, 2023	Révision du diagramme d'architecture et du texte correspondant. Révision des sections suivantes dans Remarques : "Autorisations d'accès" et "Personnalisation du modèle de zone de renvoi". Déploiement mis à jour. Vous pouvez également effectuer le déploiement directement à partir de GitHub à l'aide du bouton Déployer vers Oracle Cloud.
19 octobre 2021	Révision du diagramme et du texte de l'architecture pour inclure le compartiment et l'administrateur Oracle Exadata en option. Amélioration du contenu dans les sections Architecture, Considérations et Déployer.