Sécurisation de Compute Cloud@Customer

Compute Cloud@Customer offre une sécurité efficace et gérable qui vous permet d'exécuter des charges de travail stratégiques et de stocker des données en toute confiance.

Compute Cloud@Customer est une ressource régionale OCI entièrement gérée à l'échelle du rack, qui apporte les services cloud de deuxième génération d'Oracle sur site. Le système est installé par Oracle, qui fournit un niveau de sécurité indépendant des pratiques locales. Toutefois, les administrateurs système doivent également comprendre exactement ce qui est fourni en tant que référence de sécurité. Les administrateurs peuvent ensuite ajuster les pratiques et les configurations de sécurité pour atteindre le niveau de sécurité requis pour leur situation spécifique.

Remarque

Pour obtenir des informations complètes sur la sécurité Oracle Cloud Infrastructure, reportez-vous à Oracle Cloud Infrastructure : sécurité.

Principales zones de sécurité

La sécurité de Compute Cloud@Customer est gérée dans trois domaines :

  • Infrastructure Compute Cloud@Customer : matériel de rack physique appartenant à Oracle et installé sur site du client. Certaines tâches liées à la sécurité sont effectuées à ce niveau de base lorsque le système est installé.

    Cette couche d'infrastructure comprend également un logiciel de contrôle de l'infrastructure. L'accès à cette couche est limité au personnel Oracle autorisé et est étroitement surveillé. Vous pouvez contrôler quand le personnel Oracle autorisé peut accéder à l'infrastructure.

  • Ressources basées sur l'infrastructure Compute Cloud@Customer : là où vos workloads sont créés, configurés et hébergés, et où les ressources cloud telles que les instances de calcul, les réseaux et le stockage sont gérées.

    Vous gérez la sécurité dans ce domaine en configurant les ressources (réseaux, instances et stockage) de manière sécurisée. Par exemple, pour sécuriser votre VCN, vous pouvez utiliser des groupes de sécurité réseau (NSG) et des listes de sécurité pour sécuriser l'accès réseau, et utiliser d'autres fonctionnalités de sécurité réseau. Vous pouvez déployer des instances qui utilisent des clés SSH utilisateur pour l'authentification. Vous pouvez utiliser les fonctionnalités de stockage pour sécuriser le stockage de blocs, de fichiers et d'objets.

  • Service Oracle Cloud Infrastructure Identity and Access Management (IAM) : cet emplacement permet de configurer des compartiments et des stratégies afin de contrôler qui a accès aux ressources basées sur l'infrastructure.

    Le service IAM gère l'authentification : identifie les utilisateurs via des informations confidentielles telles que le nom utilisateur et le mot de passe ou les clés partagées. IAM gère également les autorisations : les utilisateurs ne peuvent accéder aux ressources qu'avec le niveau d'accès qui leur a été accordé.

    Remarque

    Pour Compute Cloud@Customer, les ressources IAM sont gérées dans OCI au sein de votre location et synchronisées avec Compute Cloud@Customer environ toutes les dix minutes. Les ressources IAM ne peuvent pas être gérées sur l'infrastructure Compute Cloud@Customer.

    Pour plus d'informations sur la gestion d'IAM, reportez-vous à IAM avec des domaines d'identité.

Lorsqu'elles sont configurées, les zones de sécurité précédentes activent les environnements sécurisés suivants :
  • Survivabilité des charges de travail stratégiques : Compute Cloud@Customer empêche ou minimise les dommages causés par des actions accidentelles et malveillantes effectuées par des utilisateurs internes ou des parties externes. Ceci est réalisé par le test de sécurité des composants, la vérification des protocoles pour les vulnérabilités et la vérification de la continuité du logiciel même pendant les failles de sécurité.

  • Défense en profondeur pour sécuriser l'environnement d'exploitation : Compute Cloud@Customer applique plusieurs contrôles de sécurité indépendants et se renforçant mutuellement afin de permettre de créer un environnement d'exploitation sûr pour les charges de travail et les données. Tous les niveaux du système sont protégés par un ensemble de fonctionnalités de sécurité.

  • Accès le moins privilégié pour les services et les utilisateurs : Compute Cloud@Customer favorise l'utilisation de stratégies de sécurité qui garantissent que les applications, les services et les utilisateurs ont accès aux fonctionnalités dont ils ont besoin pour effectuer leurs tâches. Cependant, il est tout aussi important de faire en sorte que l'accès aux fonctionnalités, services et interfaces inutiles soit limité. Les utilisateurs et les administrateurs sont limités à leurs domaines de préoccupation particuliers.

  • Responsabilité des événements et des actions : Compute Cloud@Customer propose des pistes d'audit détaillées sur chaque couche et des contrôles pour faciliter la prise en compte des ressources. Cela aide un administrateur à détecter et à signaler les incidents au fur et à mesure qu'ils se produisent (par exemple, une attaque par déni de service) ou après qu'ils se sont produits si cela n'était pas évitable (via la traçabilité via les journaux d'audit jusqu'aux modifications résultantes apportées aux ressources).

  • Comptabilité : la comptabilité permet aux administrateurs de suivre les stocks de matériel et de ressources cloud. A partir de la console Oracle Cloud, un administrateur peut extraire le numéro de série de rack Compute Cloud@Customer.