Règles de sécurité pour Oracle Database@Azure

Cet article s’appuie sur des considérations et des recommandations dans la zone de conception de sécurité Azure. Il fournit des considérations et des recommandations de conception clés pour oracle Exadata Database@Azure.

Vue d’ensemble

La plupart des bases de données contiennent des données sensibles qui nécessitent une architecture hautement sécurisée au-delà des protections au niveau de la base de données. Une stratégie de défense en profondeur se compose de plusieurs mécanismes de défense pour garantir une sécurité complète. Cette approche empêche l’utilisation d’un seul type de sécurité, comme les défenses réseau. Les mécanismes de défense incluent des infrastructures d’authentification et d’autorisation fortes, la sécurité réseau, le chiffrement des données au repos et le chiffrement des données en transit. Vous pouvez utiliser cette stratégie multicouche pour sécuriser efficacement les charges de travail Oracle.

Pour plus d’informations, consultez le guide de sécurité pour Oracle Exadata Database@Azure sur l'infrastructure dédiée et les contrôles de sécurité Exadata .

Considérations sur la conception

Tenez compte des conseils suivants lorsque vous concevez des mesures de sécurité pour Oracle Exadata Database@Azure :

• Oracle Database@Azure est un service de base de données Oracle qui s’exécute sur Oracle Cloud Infrastructure (OCI), qui est colocalisé dans les centres de données Microsoft.

  Pour gérer les ressources d’Oracle Exadata Database@Azure, vous devez intégrer les plateformes cloud Azure et OCI. Régissez chaque plateforme avec leurs meilleures pratiques de sécurité respectives. Le plan de contrôle Azure gère l’approvisionnement de l’infrastructure, y compris le cluster de machine virtuelle et la connectivité réseau. La console OCI gère la gestion des bases de données et la gestion des nœuds individuels.

• Oracle Database@Azure est intégré aux réseaux virtuels Azure par le biais de la délégation de sous-réseau.

  Note

  Oracle Exadata Database@Azure n’a pas d’accès Internet entrant ou sortant par défaut.

• Un sous-réseau client Oracle Database@Azure ne prend pas en charge les groupes de sécurité réseau (NSG).

• La solution Oracle Exadata Database@Azure utilise une liste prédéfinie de ports TCP (Transmission Control Protocol) . Par défaut, ces ports sont inaccessibles à partir d’autres sous-réseaux, car les groupes de sécurité réseau dans OCI les gèrent.

• Par défaut, Oracle Exadata Database@Azure active le chiffrement des données au repos. Il applique le chiffrement au niveau de la couche de base de données via la fonctionnalité de chiffrement transparent des données. Ce chiffrement permet de sécuriser le conteneur (CDB$ROOT) et les bases de données enfichables.

• Par défaut, la base de données est chiffrée via des clés de chiffrement gérées par Oracle. Les clés utilisent le chiffrement AES-128 et sont stockées localement dans un portefeuille au sein du système de fichiers du cluster de machines virtuelles. Pour plus d’informations, consultez Gérer le chiffrement de tablespace.

• Stockez des clés de chiffrement gérées par le client dans OCI Vault ou Oracle Key Vault. Oracle Exadata Database@Azure ne prend pas en charge Azure Key Vault.

• Par défaut, les sauvegardes de base de données sont chiffrées avec les mêmes clés de chiffrement primaires. Utilisez ces clés pendant les opérations de restauration.

• Installez des agents non-Microsoft et Oracle sur Oracle Exadata Database@Azure. Assurez-vous qu’ils ne modifient pas ou ne compromissionnt pas le noyau du système d’exploitation de base de données.

Recommandations de conception

Tenez compte des recommandations de sécurité suivantes lorsque vous concevez votre déploiement d’Oracle Exadata Database@Azure :

• Accès à l’infrastructure et aux services de données distincts, en particulier lorsque différentes équipes accèdent à plusieurs bases de données sur la même infrastructure pour différentes raisons. Pour obtenir l’isolation du réseau et de la gestion au niveau de la charge de travail, déployez des clusters de machines virtuelles dans un autre réseau virtuel.

• Utilisez des règles de groupe de sécurité réseau pour limiter la plage d’adresses IP source, ce qui permet de sécuriser le plan de données et l’accès au réseau virtuel. Pour empêcher l’accès non autorisé, ouvrez uniquement les ports nécessaires pour la communication sécurisée et appliquez le principe de de privilège minimum. Vous pouvez configurer les règles NSG sur OCI.

• Configurez la traduction d’adresses réseau (NAT) ou utilisez un proxy comme pare-feu Azure ou une appliance virtuelle réseau non-Microsoft si vous avez besoin d’un accès Internet sortant.

• Tenez compte des recommandations de gestion clés suivantes :

  • Oracle Exadata Database@Azure a une intégration intégrée à OCI Vault. Si vous stockez des clés de chiffrement principales dans OCI Vault, les clés sont également stockées dans OCI, en dehors d’Azure.

  • Si vous devez conserver toutes les données et services dans Azure, utilisez Oracle Key Vault.

    Oracle Key Vault n’a pas d’intégration intégrée à Oracle Exadata Database@Azure. Oracle Key Vault sur Azure n’est pas proposé en tant que service géré. Vous devez installer la solution, intégrer des bases de données sur Oracle Exadata Database@Azure et vous assurer que la solution reste hautement disponible. Pour plus d’informations, consultez Créer une image Oracle Key Vault dans Microsoft Azure.

    Pour garantir la disponibilité des clés de chiffrement, créez un déploiement Oracle Key Vault multi-principal. Pour une haute disponibilité robuste, déployez un cluster Oracle Key Vault multi-principal qui a quatre nœuds qui s’étendent sur au moins deux zones de disponibilité ou régions. Pour plus d’informations, consultez concepts de cluster multi-principaux Oracle Key Vault.

  • Utilisez Oracle Key Vault si vous avez besoin d’une architecture hybride qui s’étend sur des environnements locaux ou d’autres plateformes cloud. Ces environnements prennent en charge cette solution.

    Note

    Oracle Key Vault nécessite des licences distinctes.

  • Commencez par un portefeuille stocké localement dans le magasin de clés logicielles si vous devez finaliser votre plateforme de gestion de clés ou effectuer une preuve de concept ou pilote.

    Le processus de transition vers un magasin de clés dépend de votre plateforme de gestion des clés. Si vous choisissez OCI Vault, la transition est une opération dynamique. Si vous choisissez Oracle Key Vault, vous devez migrer manuellement vos clés de chiffrement vers la plateforme Oracle Key Vault.

• Établissez un processus rigoureux de rotation des clés pour respecter les normes de sécurité et de conformité si vous utilisez vos propres clés de chiffrement.

• Stockez les clés de chiffrement et les sauvegardes de base de données dans des environnements distincts pour améliorer la sécurité et réduire le risque de compromission des données.

• Conservez les anciennes clés de chiffrement pour les opérations de restauration lorsque vous effectuez des sauvegardes à long terme.

• Installez des agents non-Microsoft ou Oracle sur Oracle Exadata Database@Azure dans des emplacements où les correctifs d’infrastructure de base de données ou de grille n’interfèrent pas avec eux.

Étapes suivantes

• Gestion des identités et des accès à Oracle Database@Azure
• Topologie de réseau et de connectivité pour Oracle Database@Azure
• Continuité d'activité et reprise après sinistre pour Oracle Database@Azure