Instructions de sécurité pour les charges de travail Oracle sur l’accélérateur de zones d’atterrissage de Machines Virtuelles Azure

  • Article

Cet article décrit comment exécuter en toute sécurité des charges de travail Oracle sur l’accélérateur de zone d’atterrissage Machines Virtuelles Azure à chaque étape de leur cycle de vie. L’article traite des composants de conception spécifiques et fournit des suggestions sur la sécurité de l’infrastructure as a service (IaaS) pour les charges de travail Oracle.

Vue d’ensemble

La sécurité est essentielle pour toute architecture. Azure offre un éventail complet d’outils pour vous aider à sécuriser efficacement votre charge de travail Oracle. L’objectif de cet article est de fournir des recommandations de sécurité pour le plan de contrôle Azure lié aux charges de travail des applications Oracle déployées sur Machines Virtuelles. Pour obtenir des informations détaillées et des instructions d’implémentation concernant les mesures de sécurité dans Oracle Database, consultez le Guide sur la sécurité d’Oracle Database.

La plupart des bases de données stockent des données sensibles. L’implémentation de la sécurité uniquement au niveau de la base de données n’est pas suffisante pour sécuriser l’architecture dans laquelle vous déployez ces charges de travail. La défense en profondeur est une approche globale de la sécurité qui implémente plusieurs couches de mécanismes de défense pour protéger les données. Au lieu de s’appuyer sur une seule mesure de sécurité à un niveau spécifique, par exemple en se concentrant uniquement sur les mécanismes de sécurité réseau, la stratégie de défense en profondeur utilise une combinaison de différentes mesures de sécurité de couche pour créer une posture de sécurité robuste. Vous pouvez concevoir une approche de défense en profondeur pour les charges de travail Oracle en utilisant une infrastructure d’authentification et d’autorisation forte, d’une sécurité réseau renforcée et du chiffrement des données au repos et en transit.

Vous pouvez déployer des charges de travail Oracle en tant que modèle cloud IaaS sur Azure. Revisitez la matrice de responsabilité partagée pour avoir une compréhension plus claire des tâches et responsabilités spécifiques affectées au fournisseur de cloud et au client. Pour plus d’informations, consultez Responsabilité partagée dans le cloud.

Vous devez évaluer régulièrement les services et technologies que vous utilisez pour vous assurer que vos mesures de sécurité sont adaptées à l’évolution du cadre des menaces.

Utiliser la gestion centralisée des identités

La gestion des identités est une infrastructure fondamentale qui détermine l’accès aux ressources importantes. La gestion des identités devient essentielle lorsque vous travaillez avec différents types de personnel, tels que des employés à temps partiel, des stagiaires temporaires ou des employés à temps plein. Ces personnes nécessitent différents niveaux d’accès qui doivent être surveillés, gérés et révoqués rapidement si nécessaire. Pour vos charges de travail Oracle, il existe quatre cas d’usage distincts de gestion des identités à prendre en compte et chaque cas d’usage nécessite une solution de gestion différente des identités.

  • Applications Oracle : les utilisateurs peuvent accéder aux applications Oracle sans avoir à saisir à nouveau leurs identifiants une fois qu’ils ont été autorisés via l’authentification unique (SSO). Utilisez l’intégration Microsoft Entra ID pour accéder aux applications Oracle. La stratégie d’authentification unique prise en charge pour chaque solution Oracle est répertoriée dans le tableau suivant.

    Application Oracle Lien vers le document
    E-business Suite (EBS) Activer le SSO pour EBS R12.2
    JD Edwards (JDE) Configurer le SSO JDE
    PeopleSoft Activer le SSO pour PeopleSoft
    Hyperion Documentation de la prise en charge Oracle #2144637.1
    Siebel Documentation de la prise en charge Oracle #2664515.1

  • Sécurité au niveau du système d’exploitation : les charges de travail Oracle peuvent s’exécuter sur différentes versions du système d’exploitation Linux ou Windows. Les organisations peuvent améliorer la sécurité des ordinateurs virtuels Windows et Linux dans Azure en y intégrant Microsoft Entra ID. Pour plus d’informations, consultez l’article suivant :

  • Azure Key Vault pour stocker les identifiants : le coffre de clés est un outil performant pour les applications et services cloud que vous pouvez utiliser pour sécuriser le stockage des secrets, tels que les mots de passe et les chaînes de connexion de base de données. Vous pouvez utiliser le coffre de clés pour stocker les identifiants des ordinateurs virtuels Windows et Linux de manière centralisée et sécurisée, quel que soit le système d’exploitation.

    • À l’aide du coffre de clés, vous pouvez éviter de devoir stocker les identifiants en texte brut dans vos fichiers de code ou de configuration. Vous pouvez récupérer les identifiants du coffre de clés au moment du runtime, ce qui ajoute une couche de sécurité supplémentaire à votre application et en aidant à empêcher l’accès non autorisé à vos ordinateurs virtuels. Le coffre de clés s’intègre en toute transparence avec d’autres services Azure, comme Machines Virtuelles, et vous pouvez contrôler l’accès au coffre de clés à l’aide d’Azure Active Directory. Ce processus garantit que seuls les utilisateurs et applications autorisés peuvent accéder aux identifiants stockés

  • Utiliser des images de système d’exploitation renforcées : l’utilisation d’une image CIS (Center for Internet Security) renforcée pour Windows ou Linux dans Azure peut offrir plusieurs avantages. Les benchmarks CIS sont reconnus globalement comme les meilleures pratiques pour sécuriser les systèmes informatiques et les données. Ces images sont préconfigurées pour répondre aux recommandations de sécurité du CIS, ce qui permet de gagner du temps et des efforts pour renforcer le système d’exploitation. Les images de système d’exploitation renforcées peuvent aider les organisations à améliorer leur état de sécurité et à se conformer aux cadres de sécurité telles que National Institute of Standards and Technology (NIST) et l’interconnexion de composants périphériques (PCI).

Renforcer le système d’exploitation

Assurez-vous que le système d’exploitation est renforcé pour éliminer les vulnérabilités pouvant être exploitées pour attaquer la base de données Oracle.

  • Utilisez des paires de clés Secure Shell (SSH) pour l’accès au compte Linux plutôt que des mots de passe.
  • Désactivez les comptes Linux protégés par mot de passe et ne les activez que sur demande pendant une courte période.
  • Désactivez l’accès de connexion pour les comptes Linux privilégiés (racine ou Oracle), ce qui permet l’accès à la connexion uniquement aux comptes personnalisés.
  • Au lieu d’un accès de connexion direct, utilisez sudo pour accorder l’accès aux comptes Linux privilégiés à partir de comptes personnalisés.
  • Capturez les journaux de piste d’audit Linux et les journaux d’accès sudo dans Journaux Azure Monitor à l’aide de l’utilitaire SYSLOG Linux.
  • Appliquer régulièrement des correctifs de sécurité et des correctifs ou mises à jour du système d’exploitation provenant uniquement de sources approuvées
  • Implémentez des restrictions pour limiter l’accès au système d’exploitation.
  • Interdisez l’accès non autorisé au serveur.
  • Contrôlez l’accès au serveur au niveau du réseau pour améliorer la sécurité globale.
  • Envisagez d’utiliser le démon de pare-feu Linux pour la protection locale en plus des groupes de sécurité réseau (NSG) Azure.
  • Configurez le démon de pare-feu Linux pour qu’il s’exécute automatiquement au démarrage.
  • Analysez les ports réseau qui sont écoutés pour comprendre les points d’accès potentiels, et assurez-vous qu’Azure NSG ou le démon de pare-feu Linux contrôle l’accès à ces ports. Utilisez la commande Linux netstat –l pour rechercher les ports.
  • Les commandes Linux potentiellement destructrices (telles que rm et mv) pour les forcer en mode interactif, de sorte que vous soyez invité au moins une fois avant l’exécution d’une commande irréversible. Les utilisateurs avancés peuvent exécuter une commande sans alias si nécessaire.
  • Configurez les journaux système unifiés de base de données Oracle pour envoyer des copies des journaux d’audit Oracle à Journaux Azure Monitor avec l’utilitaire SYSLOG Linux.

Utiliser la sécurité réseau

La sécurité réseau est le composant fondamental d’une approche de sécurité en couches pour les charges de travail Oracle sur Azure.

  • Utiliser des NSG : vous pouvez utiliser un NSG Azure pour filtrer le trafic réseau entre des ressources Azure dans un réseau virtuel Azure. Un NSG contient des règles de sécurité qui autorisent ou refusent le trafic réseau entrant vers les ressources Azure ou le trafic réseau sortant des ressources Azure. Les NSG peuvent filtrer le trafic entre les réseaux locaux vers/à partir d’Azure à l’aide de plages d’adresses IP et de ports spécifiques. Pour plus d’informations, consultez Groupe de sécurité réseau.

    La table suivante répertorie les affectations de ports d’entrée pour les ordinateurs virtuels de base de données Oracle :

    Protocol Numéro de port Nom du service Commentaire
    TCP 22 SSH Port de gestion pour les ordinateurs virtuels Linux
    TCP 1521 Écouteur Oracle TNS Autres numéros de port fréquemment utilisés à des fins de sécurité ou d’équilibrage de charge de connexion
    TCP 3389 RDP Port de gestion pour les ordinateurs virtuels Windows

  • Décider comment se connecter à votre ordinateur virtuel : l’ordinateur virtuel sur lequel se trouve la charge de travail de base de données Oracle doit être sécurisé contre les accès non autorisés. L’accès à la gestion est sensible en raison des autorisations plus élevées requises pour les utilisateurs de gestion. Dans Azure, les utilisateurs autorisés disposent de plusieurs mécanismes permettant de gérer l’ordinateur virtuel en toute sécurité.

    • L’accès juste-à-temps (JAT) de Microsoft Defender pour le cloud utilise intelligemment les mécanismes de sécurité réseau d’Azure pour proposer des opportunités limitées dans le temps d’accéder aux ports de gestion sur votre ordinateur virtuel.
    • Azure Bastion est un déploiement solution de platform-as-a-service (PaaS) que vous déployez dans Azure. Azure Bastion héberge un serveur de rebond.

Vous pouvez utiliser l’une ou l’autre solution pour sécuriser la gestion de votre ordinateur virtuel de base de données Oracle. Si vous le souhaitez, vous pouvez combiner les deux solutions pour une approche multicouche avancée.

En règle générale, l’accès JAT réduit, mais n’élimine pas l’exposition aux risques en limitant les heures où les ports de gestion pour SSH ou RDP sont disponibles. JAT laisse ouverte la possibilité d’accès par d’autres sessions se talonnant pendant une fenêtre JAT obtenue. Ces talonneurs doivent tout de même franchir les ports SSH ou RDP exposés, de sorte que le risque d’exposition est faible. Cependant, de telles expositions peuvent rendre l’accès JIT moins acceptable pour bloquer l’accès depuis l’Internet ouvert.

Azure Bastion est essentiellement un serveur de rebond renforcé qui permet d’empêcher l’accès à l’Internet ouvert. Toutefois, il existe de nombreuses limitations pour Azure Bastion que vous devez prendre en compte.

  • Utiliser X-Windows et Virtual Networking Computing (VNC) : le logiciel de base de données Oracle nécessite généralement d’utiliser X-Windows, car la connectivité entre l’ordinateur virtuel Linux dans Azure et votre bureau ou ordinateur portable peut traverser des pare-feu et des NSG Azure. Pour cette raison, vous devez utiliser le réacheminement de port SSH pour faire passer les connexions X-Windows ou VNC par SSH. Pour obtenir un exemple qui utilise le paramètre -L 5901:localhost:5901, consultez Ouvrir un client VNC et tester votre déploiement.

  • Options d’interconnexion multicloud : activez la connectivité entre les charges de travail de base de données Oracle qui s’exécutent dans Azure et les charges de travail dans Oracle Cloud Infrastructure (OCI). Vous pouvez créer des liens privés ou des pipelines entre des applications à l’aide de l’interconnexion Azure ou OCI entre des régions spécifiques dans Azure et OCI. Pour plus d’informations, consultez Configurer une interconnexion directe entre Azure et Oracle Cloud Infrastructure. Cet article ne couvre pas la création de pare-feu de chaque côté de l’interconnexion Azure ou OCI, ce qui est généralement requis pour toute entrée ou sortie dans les clouds. Cette approche utilise les Recommandations de mise en réseau Microsoft Confiance Zéro.

Sécurité basée sur des stratégies Azure

Il n’existe aucune définition de stratégie Azure intégrée spécifique pour les charges de travail Oracle sur l’accélérateur de zones d’atterrissage Machines Virtuelles. Toutefois, Azure Policy offre une couverture complète pour les ressources essentielles utilisées par n’importe quelle solution Oracle sur Azure, notamment les ordinateurs virtuels, le stockage et la mise en réseau. Pour plus d’informations, consultez la section Définitions de stratégies intégrées Azure Policy.

Vous pouvez également créer des stratégies personnalisées pour répondre aux spécifications de votre organisation pour combler l’écart. Par exemple, utilisez des stratégies Oracle personnalisées pour appliquer le chiffrement de stockage, gérer les règles NSG ou interdire l’attribution d’adresse IP publique à un ordinateur virtuel Oracle.

Utiliser le chiffrement pour stocker des données

  • Chiffre les données en transit : cela s’applique à l’état des données qui passent d’un emplacement à un autre et généralement sur une connexion réseau. Les données en transit peuvent être chiffrées de plusieurs façons, en fonction de la nature de la connexion. Par défaut, vous devez activer manuellement le chiffrement de données pour les données en transit dans les centres de données Azure. Pour plus d’informations dans la documentation Azure, consultez Chiffrement des données en transit.

  • Chiffrer les données au repos : vous devez également protéger les données lorsqu’elles sont écrites dans le stockage, tandis qu’elles sont au repos. Les données confidentielles peuvent être exposées ou modifiées lorsque le support de stockage est supprimé ou que l’on y accède en cours d’utilisation. Par conséquent, les données doivent être chiffrées afin de garantir que seuls les utilisateurs autorisés et authentifiés puissent les consulter ou les modifier. Azure fournit trois couches de chiffrement au repos.

    • Toutes les données sont chiffrées au niveau le plus bas lorsqu’elles sont conservées dans n’importe quel appareil de stockage Azure avec le chiffrement côté service du stockage. Le chiffrement côté service assure qu’il n’est pas nécessaire d’effacer ou de détruire le support de stockage lorsqu’un client Azure l’utilise. Les données toujours chiffrées au repos peuvent être perdues définitivement si la clé gérée par la plateforme est supprimée. Le chiffrement côté service est plus rapide et plus sûr que d’essayer de supprimer toutes les données du stockage.
    • Azure offre également la possibilité de chiffrer deux fois les données stockées au sein de l’infrastructure de stockage en utilisant la procédure de chiffrement de l’infrastructure de stockage qui utilise deux clés distinctes gérées par la plateforme.
    • En outre, le chiffrement de disque Azure est un chiffrement des données au repos géré au sein du SE invité (BitLocker pour Windows et DM-CRYPT pour Linux).

L’infrastructure de stockage comporte jusqu’à trois couches possibles de chiffrement des données au repos. Si vous disposez de l’option Oracle Advanced Security, la base de données Oracle peut également chiffrer des fichiers de base de données avec Transparent Data Encryption (TDE) et fournir un autre niveau de chiffrement au repos.

L’option Oracle Advanced Security offre également une fonctionnalité appelée rédaction des données, qui est une forme de masquage dynamique des données. Lorsque la base de données récupère des données, elle masque la valeur, sans modifier la valeur des données stockées.

Ces multiples couches de chiffrement au repos représentent la définition même de la défense en profondeur. Si, pour une raison quelconque, l’une des formes de chiffrement au repos est compromise, il existe encore d’autres couches de chiffrement pour protéger les données.

  • Gérer les clés : si vous mettez en œuvre Oracle TDE comme autre couche de chiffrement, il est important de noter qu’Oracle ne prend pas en charge les solutions natives de gestion des clés, telles que le coffre de clés, fournies par Azure ou d’autres fournisseurs de services cloud. Au lieu de cela, l’emplacement par défaut du portefeuille Oracle se trouve dans le système de fichiers de la base de données de l’ordinateur virtuel Oracle.

Pour plus d’informations, consultez Approvisionnement du coffre de clés d’Oracle dans Azure pour savoir comment utiliser le coffre de clés Oracle comme solution de gestion de clés Azure.

Intégrer les pistes d’audit

La surveillance des journaux d’application est essentielle pour détecter les menaces de sécurité au niveau de l’application. Utilisez la solution Microsoft Sentinel pour les charges de travail d’Oracle Database. Le connecteur d’audit Oracle Database récupère et ingère tous les enregistrements d’audit de base de données Oracle dans Journaux Azure Monitor à l’aide d’une interface SYSLOG standard. Ce processus permet d’examiner ces enregistrements en même temps que les enregistrements d’audit de l’infrastructure Azure et les enregistrements d’audit du SE invité (Linux ou Windows). La solution Microsoft Sentinel est une solution de gestion des informations et des événements de sécurité conçue pour votre charge de travail Oracle qui s’exécute sur ordinateur virtuel Linux ou Windows. Pour plus d’informations, consultez Connecteur d’audit de base de données Oracle pour Microsoft Sentinel.

Étape suivante

Pour comprendre comment planifier les besoins en capacité pour des charges de travail Oracle sur Azure, consultez Planification de capacité pour des charges de travail Oracle dans des zones d’atterrissage Azure.