Optimiser la sécurité pour votre charge de travail Oracle

La sécurité est cruciale pour toute architecture. Azure offre une gamme complète d’outils pour sécuriser efficacement votre charge de travail Oracle. Cet article décrit les recommandations de sécurité pour le plan de contrôle Azure lié aux charges de travail d’application Oracle déployées sur des machines virtuelles sur Azure. Pour plus d’informations sur les fonctionnalités de sécurité dans Oracle Database, consultez guide de sécurité Oracle Database.

La plupart des bases de données stockent des données sensibles. Les mesures de sécurité uniquement au niveau de la base de données ne suffisent pas pour sécuriser l’architecture entière dans laquelle atterrir ces charges de travail. La défense en profondeur est une approche complète de la sécurité dans laquelle vous implémentez plusieurs couches de mécanismes de défense pour protéger les données. Vous ne vous appuyez pas sur une seule mesure de sécurité à un niveau spécifique, tel que les mécanismes de sécurité réseau. Utilisez la stratégie de défense en profondeur pour utiliser une combinaison de différentes mesures de sécurité de couche afin de créer une posture de sécurité robuste.

Vous pouvez concevoir une approche de défense en profondeur pour les charges de travail Oracle en utilisant une infrastructure d’authentification et d’autorisation forte, une sécurité réseau renforcée et un chiffrement des données au repos et des données en transit. Vous pouvez déployer des charges de travail Oracle en tant que modèle cloud IaaS (Infrastructure as a Service) sur Azure. Revisitez la matrice de responsabilité partagée pour mieux comprendre les tâches et les responsabilités spécifiques attribuées au fournisseur de cloud et au client.

Vous devez évaluer régulièrement les services et les technologies que vous utilisez pour vous assurer que vos mesures de sécurité s’alignent sur l’évolution du paysage des menaces.

Utiliser la gestion centralisée des identités

La gestion des identités est une infrastructure fondamentale qui régit l’accès aux ressources importantes. La gestion des identités devient essentielle lorsque vous travaillez avec différents membres du personnel, tels que des stagiaires temporaires, des employés à temps partiel ou des employés à temps plein. Ces personnes ont besoin de différents niveaux d’accès que vous devez surveiller, gérer et révoquer rapidement si nécessaire.

Votre organization peut améliorer la sécurité des machines virtuelles Windows et Linux dans Azure en intégrant Microsoft Entra ID, qui est un service de gestion des identités et des accès entièrement géré.

Déployer des charges de travail sur des systèmes d’exploitation Windows ou Linux

Vous pouvez utiliser Microsoft Entra ID avec l’authentification unique (SSO) pour accéder aux applications Oracle et déployer des bases de données Oracle sur des systèmes d’exploitation Linux et des systèmes d’exploitation Windows. Intégrez votre système d’exploitation à Microsoft Entra ID pour améliorer sa posture de sécurité.

Améliorez la sécurité de vos charges de travail Oracle sur Azure IaaS en veillant à renforcer votre système d’exploitation pour éliminer les vulnérabilités que les attaquants peuvent exploiter pour endommager votre base de données Oracle.

Pour plus d’informations sur l’amélioration de la sécurité d’Oracle Database, consultez Instructions de sécurité pour les charges de travail Oracle sur Azure Machines Virtuelles accélérateur de zone d’atterrissage.

Recommandations

• Utilisez des paires de clés SSH (Secure Shell) pour l’accès aux comptes Linux au lieu de mots de passe.

• Désactivez les comptes Linux protégés par mot de passe et activez-les uniquement sur demande pendant une courte période.

• Désactivez l’accès de connexion pour les comptes Linux privilégiés, tels que les comptes racine et oracle, ce qui autorise l’accès de connexion uniquement aux comptes personnalisés.

• Utilisez la sudo commande pour accorder l’accès aux comptes Linux privilégiés, tels que les comptes racine et oracle, à partir de comptes personnalisés au lieu d’une connexion directe.

• Veillez à capturer les journaux de la piste d’audit Linux et sudo à accéder aux journaux d’activité Azure Monitor à l’aide de l’utilitaire syslog Linux.

• Appliquez régulièrement des correctifs de sécurité et des mises à jour du système d’exploitation à partir de sources approuvées uniquement.

• Implémentez des restrictions pour limiter l’accès au système d’exploitation.

• Limitez l’accès non autorisé aux serveurs.

• Contrôlez l’accès au serveur au niveau du réseau pour améliorer la sécurité globale.

• Envisagez d’utiliser le démon de pare-feu Linux comme couche supplémentaire de protection en plus des groupes de sécurité réseau (NSG) Azure.

• Veillez à configurer le démon de pare-feu Linux pour qu’il s’exécute automatiquement au démarrage.

• Analysez les ports d’écoute réseau pour déterminer les points d’accès potentiels. Utilisez la commande Linux netstat –l pour répertorier ces ports. Assurez-vous que les groupes de sécurité réseau Azure ou le démon de pare-feu Linux contrôlent l’accès à ces ports.

• Configurez des alias pour les commandes Linux potentiellement destructrices, telles que rm et mv, pour les forcer à s’exécuter en mode interactif afin que vous soyez invité au moins une fois avant l’exécution d’une commande irréversible. Les utilisateurs avancés savent comment supprimer les alias si nécessaire.

• Configurez les journaux système unifiés de base de données Oracle pour utiliser l’utilitaire syslog Linux pour envoyer des copies des journaux d’audit Oracle aux journaux d’activité Azure Monitor.

Concevoir votre topologie de réseau

La topologie réseau est le composant fondamental d’une approche de sécurité en couches pour les charges de travail Oracle sur Azure.

Placez tous les services cloud dans un réseau virtuel unique et utilisez des groupes de sécurité réseau Azure pour surveiller et filtrer le trafic. Ajoutez un pare-feu pour sécuriser le trafic entrant. Veillez à dédier et à séparer de manière sécurisée le sous-réseau dans lequel vous déployez la base de données à partir d’Internet et du réseau local. Évaluez les utilisateurs qui accèdent en interne et en externe à la base de données pour vous assurer que votre topologie réseau est robuste et sécurisée.

Pour plus d’informations sur la topologie réseau, consultez Topologie et connectivité réseau pour Oracle sur Azure Machines Virtuelles accélérateur de zone d’atterrissage.

Recommandations

• Utilisez des groupes de sécurité réseau Azure pour filtrer le trafic réseau entre les ressources Azure dans un réseau virtuel Azure et pour filtrer le trafic entre les réseaux locaux et Azure.

• Utilisez Pare-feu Azure ou une Appliance virtuelle réseau (NVA) pour sécuriser votre environnement.

• Sécurisez la machine virtuelle sur laquelle réside la charge de travail Oracle Database contre un accès non autorisé à l’aide de fonctionnalités fournies par Azure, telles que Microsoft Defender pour l’accès juste-à-temps (JIT) cloud et les fonctionnalités Azure Bastion.

• Utilisez le transfert de port SSH pour les utilitaires X Windows System et Réseau virtuel Computing (VNC) pour tunneliser les connexions via SSH. Pour plus d’informations, consultez un exemple qui ouvre un client VNC et teste un déploiement.

• Dirigez tout le trafic via un réseau virtuel hub en plaçant des machines virtuelles dans un sous-réseau dédié isolé d’Internet et du réseau local.

Utiliser le chiffrement pour sécuriser les données

Chiffrez les données au repos lorsqu’elles sont écrites dans le stockage pour protéger les données. Lorsque vous chiffrez des données, les utilisateurs non autorisés ne peuvent pas les exposer ou les modifier. Seuls les utilisateurs autorisés et authentifiés peuvent afficher ou modifier les données. Microsoft Azure offre différentes solutions de stockage de données, notamment le stockage de fichiers, de disques et d’objets blob, pour répondre à différents besoins. Ces solutions de stockage disposent de fonctionnalités de chiffrement pour sécuriser les données au repos.

Chiffrer les données en transit pour protéger les données qui se déplacent d’un emplacement à un autre, généralement via une connexion réseau. Vous pouvez utiliser différentes méthodes pour chiffrer les données en transit en fonction de la nature de la connexion. Azure offre de nombreux mécanismes pour conserver les données en transit privées à mesure qu’elles se déplacent d’un emplacement à un autre.

Recommandations

• Découvrez comment Microsoft chiffre les données au repos.

• Tenez compte des fonctionnalités d’Oracle Advanced Security, qui incluent le chiffrement transparent des données (TDE) et la rédaction des données.

• Gérez les clés avec oracle Key Vault. Si vous implémentez Oracle TDE en tant que couche de chiffrement supplémentaire, notez qu’Oracle ne prend pas en charge les solutions de gestion des clés Azure, telles qu’Azure Key Vault, ou les solutions de gestion des clés d’autres fournisseurs de cloud. L’emplacement Oracle Wallet par défaut se trouve dans le système de fichiers de la machine virtuelle de base de données Oracle. Toutefois, vous pouvez utiliser Oracle Key Vault comme solution de gestion des clés sur Azure. Pour plus d’informations, consultez Provisionnement d’Oracle Key Vault dans Azure.

• Comprendre comment Microsoft chiffre les données en transit.

• Envisagez d’utiliser la fonctionnalité Oracle Native Network Encryption and Data Integrity. Pour plus d’informations, consultez Configuration du chiffrement et de l’intégrité des données d’Oracle Database Native Network.

Intégrer des pistes d’audit Oracle Database

La surveillance du journal des applications est essentielle pour détecter les menaces de sécurité au niveau de l’application. Azure Sentinel est une solution SIEM (Security Information and Event Management) native cloud qui peut être utilisée pour surveiller les événements de sécurité de votre charge de travail Oracle.

Pour plus d’informations, consultez Connecteur d’audit Oracle Database pour Microsoft Sentinel.

Recommandations

• Utilisez la solution Microsoft Sentinel pour les charges de travail Oracle Database. Le connecteur d’audit Oracle Database utilise une interface syslog standard pour récupérer les enregistrements d’audit Oracle Database et les ingérer dans les journaux Azure Monitor.

• Utilisez Azure Sentinel pour passer en revue les enregistrements d’audit des applications, de l’infrastructure Azure et des systèmes d’exploitation invités.

Étape suivante

Superviser les charges de travail