Assurer la sécurité des charges de travail d'entreprise dans un environnement de solution Bare Metal

Étant donné que la solution Bare Metal vous permet de rapprocher les charges de travail traditionnelles d'entreprise de Google Cloud, les architectes d'entreprise et les architectes de sécurité se demandent souvent comment ils peuvent sécuriser leurs charges de travail. L'objectif de ce guide est de vous fournir les éléments de conception de la sécurité et de conformité à prendre en compte lorsque vous envisagez de transférer vos charges de travail d'entreprise, telles que des bases de données Oracle, dans la solution Bare Metal. Nous aborderons également les fonctionnalités et les contrôles de sécurité de Google Cloud qui protègent vos ressources d'entreprise, et vous dirigerons vers certaines des bonnes pratiques d'Oracle en matière de sécurité.

Sécurité dans un environnement de solution Bare Metal

L'environnement de solution Bare Metal comprend des serveurs physiques sur mesure hébergés dans des extensions régionales. Comme le montre la Figure 1, une extension régionale est une installation hébergée en colocation située à proximité de certaines régions Google Cloud et connectée à Google Cloud avec une connexion gérée hautes performances et une faible - latence du réseau de latence.

Figure 1 : Solution Bare Metal – extension régionale connectée à Google Cloud

Extension régionale connectée à Google Cloud

En raison de cette architecture, vous devez envisager de sécuriser à la fois vos serveurs de solution Bare Metal et les composants Google Cloud inclus dans votre conception. Heureusement, Google Cloud fournit et gère les composants suivants pour la solution Bare Metal :

  • Infrastructure principale, y compris les installations et l'alimentation sécurisées et contrôlées dans un environnement
  • Sécurité physique
  • Infrastructure et sécurité du réseau
  • Fonctionnalités de surveillance matérielle
  • Accès aux services Google Cloud
  • Provisionner et gérer du matériel à location unique
  • Réseau de stockage (SAN) local
  • Assistance pratique : assistance sur site pour les activités telles que les remplacements matériels

Dans un environnement de solution Bare Metal, la sécurité est une responsabilité partagée. La bonne nouvelle, c'est que vous pouvez appliquer vos propres bonnes pratiques de sécurité et les compléter avec les offres intégrées fournies par la solution Bare Metal. La Figure 2 présente un récapitulatif des composants de sécurité que vous devez fournir et ceux que Google Cloud fournit.

Figure 2 : Résumé des responsabilités de sécurité (client et Google Cloud)

Résumé des responsabilités de sécurité (clients et Google Cloud)

Planifier la sécurité de votre environnement de solution Bare Metal

Pour planifier votre stratégie de sécurité pour la solution Bare Metal, vous devez prendre en compte les six piliers de sécurité suivants :

  1. Sécurité physique
  2. Conformité
  3. Sécurité du réseau
  4. Sécurité des données
  5. Sécurité opérationnelle
  6. Sécurité des bases de données

Examinons chacun de ces piliers de sécurité plus en détail.

Sécurité physique

Les composants physiques de la solution Bare Metal résident dans une extension régionale (installation hébergée en colocation) gérée par un fournisseur. Une connexion d'interconnexion partenaire à haut débit et faible latence associe l'extension régionale à la région Google Cloud la plus proche.

Le fournisseur gère l'extension régionale et ses installations, telles que l'alimentation, le refroidissement, le rack et la pile, ainsi que la gestion du stockage. Le fournisseur conserve également les fonctionnalités de sécurité physique standards, y compris, mais sans s'y limiter, les éléments suivants :

  • Les enceintes disposent de murs en dalle ou d'une pièce de maillage sécurisée.
  • Les caméras vidéo de chaque installation surveillent les enceintes, les allées et les portes 24h/24 et 7j/7. Elles offrent une vue claire à l'intérieur de chaque enceinte, pour chaque allée, et à chaque porte d'entrée et de sortie.
  • Toutes les portes de l'installation sont équipées d'alarmes pour garantir leur fermeture adéquate.
  • Toute personne qui intervient dans une enceinte doit disposer de l'approbation préalable de l'équipe de coordination des extensions régionales et d'un accès approprié accordé par l'équipe de sécurité des extensions régionales.
  • L'équipe de coordination de l'extension régionale gère tous les accès avec des demandes individuelles par visite.
  • Le personnel autorisé doit utiliser un verrou biométrique pour entrer dans l'installation et un badge de sortie.
  • Tous les racks sont verrouillés. Un casier électronique à clé distribue les clés de racks spécifiques au personnel autorisé, selon les besoins d'utilisation. Le verrou de clé suit également l'accès au rack.
  • Une équipe de sécurité hébergée en colocation gère l'accès et gère les rapports en fonction des exigences de certification PCI et ISO.
  • D'autres mesures de sécurité physiques sont conformes aux bonnes pratiques du secteur et aux exigences réglementaires applicables.

Conformité

La solution Bare Metal répond aux exigences de conformité avec des certifications du secteur telles que ISO, PCI DSS et HIPAA, ainsi que des certifications régionales, le cas échéant. Pour en savoir plus sur la conformité, consultez le Centre de ressources pour la conformité.

Sécurité du réseau

La sécurité du réseau est assurée sur deux niveaux, comme illustré à la Figure 3 :

  1. Les rattachements de VLAN de couche 3 connectent votre cloud privé virtuel Google à une instance unique de routage et de transfert virtuel (VRF) sur les routeurs périphériques de la solution Bare Metal.

  2. Dans l'environnement de la solution Bare Metal, les VLAN de couche 2 offrent la sécurité et l'isolation requises pour vos données. Vous utilisez un sous-réseau client pour vous connecter à Google Cloud, et un sous-réseau privé facultatif pour héberger vos propres services et espaces de stockage.

Figure 3 : Sécurité du réseau dans un environnement de solution Bare Metal

Sécurité du réseau dans un environnement de solution Bare Metal

Si vous utilisez les API Google Cloud depuis l'environnement de solution Bare Metal pour accéder aux services Google Cloud, Google Cloud chiffre le transfert de données par défaut entre la solution Bare Metal et le service particulier conformément à nos règles de chiffrement. Par exemple, si vous utilisez l'utilitaire gsutil ou les API pour sauvegarder des données dans Cloud Storage, le transfert de données de la solution Bare Metal vers Cloud Storage utilise le chiffrement des données par défaut.

Appliquer un périmètre de sécurité à l'aide de l'accès privé à Google

L'accès privé à Google (également appelé VPC Service Controls) vous permet de définir des périmètres de sécurité autour des données sensibles dans les services Google Cloud et offre les avantages suivants :

  • Limite les risques d'exfiltration des données. L'exfiltration de données se produit lorsqu'une personne autorisée extrait des données d'un système sécurisé où elles appartiennent, et les partage avec un tiers non autorisé ou les transfère vers un système non sécurisé.
  • Accède aux services Google Cloud en privé depuis un environnement sur site.
  • Applique l'accès contextuel à partir d'Internet.
  • Gère les règles de sécurité depuis un emplacement central.

La solution Bare Metal vous permet d'exploiter les services cloud natifs et évolutifs de Google Cloud via l'interconnexion partenaire. L'activation d'un périmètre basé sur VPC Service Controls garantit que l'accès à tous les services Google Cloud, tels que BigQuery et Cloud Storage, s'effectue sans exfiltration de données sur Internet.

Pour configurer un accès privé aux API Google, consultez la page Configurer l'accès privé à Google pour les hôtes sur site. La Figure 4 illustre un exemple d'accès privé à Google :

Figure 4 : Accès privé à Google dans un environnement de solution Bare Metal

Accès privé à Google dans un environnement de solution Bare Metal

Sécurité des données

Lorsque vous planifiez la sécurité des données dans un environnement de solution Bare Metal, vous devez savoir comment les données chiffrées sont stockées et comment sécuriser vos applications s'exécutant sur Google Cloud ou dans un centre de données sur site.

Chiffrement du stockage

Par défaut, la solution Bare Metal chiffre les données au repos. Voici quelques faits concernant le chiffrement au repos dans un environnement de solution Bare Metal :

  • Pour provisionner le stockage, nous créons une machine virtuelle de stockage (SVM) sur un cluster NetApp pour chaque client, et nous associons la SVM à un volume de données réservé avant de la donner au client.
  • Lorsque nous créons un volume de données chiffré, le processus de chiffrement génère une clé de chiffrement de données XTSAES-256 unique. Nous ne pré-gérons jamais une clé.
  • Les SVM fournissent une isolation dans un environnement mutualisé. Chaque SVM apparaît comme un serveur indépendant unique, ce qui permet à plusieurs SVM préemptives de coexister dans un cluster et garantit qu'aucune donnée ne circule entre les SVM.
  • Les clés n'apparaissent pas en texte brut. Le gestionnaire de clés NetApp OnBoard stocke, gère et protège les clés.
  • Ni Google Cloud, ni le fournisseur n'ont accès à vos clés.
  • Le cluster de stockage Netapp stocke et chiffre toutes les données au repos, y compris le système d'exploitation et les partitions de démarrage.
  • Si vous choisissez de cesser d'utiliser la solution Bare Metal à la fin de votre contrat, nous effaçons vos volumes de stockage de manière cryptographique et les mettons en quarantaine pendant sept jours avant de pouvoir les réutiliser.

Sécurité des applications

Lorsque vous utilisez la solution Bare Metal, vous pouvez sécuriser vos applications exécutées dans Google Cloud ou dans un environnement sur site.

Applications s'exécutant dans Google Cloud
  • La solution Bare Metal s'exécute dans des extensions régionales. Le seul chemin réseau vers ou depuis l'extension régionale via une interconnexion partenaire vers la région Google Cloud associée via des rattachements de VLAN spécifiques au client.
  • Par défaut, les serveurs de solution Bare Metal ne disposent pas d'un accès Internet. Si vous avez besoin d'un accès à Internet pour effectuer des opérations telles que l'application de correctifs ou les mises à jour, créez une instance NAT. Pour en savoir plus, consultez la page Accéder à Internet.
  • Une session BGP fournit un routage dynamique entre les routeurs Cloud du routeur VPC et les routeurs de l'extension régionale. Par conséquent, si vous placez des ressources dans le VPC associé à l'extension régionale, celles-ci disposent d'un accès direct aux serveurs de solution Bare Metal. De même, les ressources exécutées dans des sous-réseaux nouvellement ajoutés ont également accès aux serveurs de la solution Bare Metal. Si vous devez autoriser ou refuser l'accès à des ressources spécifiques, utilisez des stratégies de pare-feu pour limiter le comportement par défaut autorisant l'accès à toutes les ressources de la solution Bare Metal.
  • Comme illustré dans la Figure 5, utilisez l'appairage de VPC pour permettre aux ressources exécutées dans un autre projet VPC du même projet ou à un autre projet d'accéder aux serveurs de la solution Bare Metal. Sur les routeurs cloud redondants, ajoutez une annonce personnalisée pointant vers la plage CIDR du réseau appairé.

    Figure 5 : Appairage de VPC et environnement de solution Bare Metal

    Appairage de VPC et environnement de solution Bare Metal

  • Comme le montre la Figure 6, utilisez une architecture de VPC partagé pour autoriser les ressources de différents projets à accéder aux serveurs de la solution Bare Metal. Dans ce cas, vous devez créer des rattachements de VLAN dans le projet hôte afin que toutes les ressources puissent accéder aux serveurs associés au VPC partagé.

    Figure 6 : VPC partagé et environnement de solution Bare Metal

    VPC partagé et environnement de solution Bare Metal

  • Vous pouvez sauvegarder vos bases de données à l'aide d'Oracle Recovery Manager (RMAN) ou de solutions de sauvegarde telles que Actifio. Pour savoir comment Actifio s'intègre de manière native à RMAN, consultez le guide Actifio suivant. Vous pouvez stocker des données de sauvegarde dans Cloud Storage et sélectionner différents niveaux de Cloud Storage pour répondre à vos exigences d'objectif de temps de récupération (RTO, Recovery Time Objective) et d'objectif de point de récupération (RPO, Recovery Point Objective).

Applications s'exécutant sur site
  • Comme mentionné précédemment, le seul chemin réseau vers ou depuis l'extension régionale de la solution Bare Metal est via une interconnexion partenaire vers la région Google Cloud associée. Pour vous connecter à vos serveurs de solution Bare Metal à partir de votre environnement sur site, vous devez connecter votre centre de données sur site à Google Cloud à l'aide d'une Interconnexion dédiée, une Interconnexion partenaire ou Cloud VPN. Pour en savoir plus sur ces options de connexion, consultez la page Choisir un produit de connectivité réseau.
  • Pour activer les routes vers votre réseau sur site, vous devez modifier les routeurs Cloud redondants avec une annonce personnalisée pointant vers la plage CIDR du sous-réseau sur site. Utilisez des règles de pare-feu pour autoriser ou bloquer l'accès aux serveurs.

Sécurité opérationnelle

Dans la section "Sécurité physique" de ce guide, vous avez appris que nous limitons fortement l'accès à l'infrastructure de la solution Bare Metal au sein d'une extension régionale. Nous fournissons un accès à notre personnel autorisé de manière temporaire et limitée, selon les besoins. Nous auditons les journaux d'accès, les analysons pour détecter toute anomalie, et nous utilisons la surveillance et les alertes 24h/24, 7j/7 pour empêcher tout accès non autorisé.

Pour des raisons de sécurité opérationnelle, il existe plusieurs options. Le produit Bindplane de Blue Medora est une solution qui s'intègre de manière native à Google Cloud. Bindplane s'intègre aux agents d'observabilité Google Cloud et vous permet de capturer les métriques et les journaux de l'infrastructure de la solution Bare Metal, y compris la base de données et les journaux des applications Oracle.

Prometheus est une solution de surveillance Open Source qui vous permet de surveiller l'infrastructure de la solution Bare Metal et les bases de données Oracle qui s'exécutent au-dessus. Vous pouvez diriger les outils d'audit de base de données et de système dans Prometheus, qui sert de vue centralisée pour envoyer des alertes en cas d'activité suspecte.

Oracle Enterprise Manager est populaire pour ceux qui l'utilisent dans un environnement sur site. Vous pouvez utiliser l'OEM dans un environnement de solution Bare Metal pour effectuer des tâches de surveillance et d'alerte de la même manière que votre centre de données sur site.

Sécurité des bases de données

Nous avons conçu la solution Bare Metal pour qu'elle soit aussi semblable que possible à votre environnement sur site, afin de vous permettre de l'utiliser avec un minimum d'efforts et d'apprentissage. Ainsi, vous pouvez facilement transférer vos fonctionnalités, pratiques et processus de sécurité Oracle existants vers la base de données Bare Metal. Vous pouvez compléter votre portefeuille de sécurité avec les fonctionnalités de sécurité fournies par Google Cloud.

Pour des raisons de sécurité des bases de données, examinons les contrôles de sécurité que vous devez activer dans Oracle. Cela inclut l'authentification des utilisateurs, l'autorisation et le contrôle des accès, l'audit et le chiffrement.

Authentification des utilisateurs

  • Mettez en œuvre des règles relatives aux mots de passe, telles que la complexité et la longueur, si vous utilisez l'authentification de base.
  • Renforcez votre système d'authentification à l'aide de certificats TLS, Kerberos ou RADIUS.
  • Utilisez l'authentification basée sur un proxy pour activer l'authentification et l'audit au niveau de la base de données. Cette méthode est utile si vous choisissez de ne pas mapper les utilisateurs de l'application aux utilisateurs de la base de données et si vous activez l'authentification au niveau de l'application.

Pour obtenir plus de recommandations d'authentification, consultez la section Configurer l'authentification dans le guide Database Security Oracle.

Autorisation et contrôle des accès

  • Gérez l'autorisation via des droits d'objet, des droits système et des rôles identifiés dans la base de données. Vous pouvez également compléter cette pratique avec des fonctionnalités plus avancées et sécurisées, telles que Database Vault.
  • Gérez les utilisateurs et les groupes à l'aide des utilisateurs gérés de manière centralisée. Avec CMU, vous pouvez exploiter votre infrastructure Active Directory existante pour centraliser la gestion des utilisateurs de la base de données et des autorisations dans plusieurs bases de données Oracle.

    Pour en savoir plus sur CMU, consultez la section Configurer des utilisateurs gérés de manière centralisée avec Microsoft Active Directory du guide Database Security Oracle.

  • Utilisez Database Vault pour introduire la séparation des tâches et le contrôle des accès pour les utilisateurs hautement privilégiés.

    Pour en savoir plus sur Database Vault, consultez le guide de l'administrateur Database Vault Oracle.

  • Exploiter des outils et techniques supplémentaires, tels que l'analyse des privilèges et le masquage des données

  • Utilisez Virtual Private Database (VPD) et Oracle Label Security (OLS) pour créer un accès précis aux données en modifiant les requêtes des utilisateurs de manière dynamique. Ces outils excluent les lignes filtrées par la règle VPD et gèrent les libellés de ligne et d'utilisateur pour déterminer si un utilisateur doit avoir accès à une ligne spécifique.

  • Suivez le principe du moindre privilège en attribuant des droits précis aux groupes et aux utilisateurs.

Audits

  • Utilisez la fonctionnalité d'audit unifié, une fonctionnalité qui envoie toutes les données d'audit à une piste d'audit unifiée. Introduit dans la version 12c afin de remplacer l'audit traditionnel de base de données, cette fonctionnalité crée un fichier central pour tous les événements d'audit liés aux bases de données et améliore les performances des rapports d'audit.
  • Activez l'audit précis pour étendre les fonctionnalités d'audit traditionnelles. Cette fonctionnalité ne capture les données d'audit que lorsqu'un utilisateur accède à une colonne spécifique ou remplit une condition spécifique.
  • Utilisez le pare-feu de base de données d'audit Vault (AVDF) pour gérer les règles d'audit et les événements capturés. L'un des principaux cas d'utilisation de l'ADVF est de prévenir les attaques par injection SQL. Vous allez configurer le pare-feu de la base de données de façon à surveiller toutes les instructions SQL émises par la base de données pour un cycle de vie complet des applications. La base de données crée un ensemble de clusters de confiance, puis bloque toute instruction SQL inconnue par le pare-feu de la base de données.

    Pour en savoir plus, consultez la section Surveiller l'activité de la base de données avec des audits dans le guide Database Security Oracle et le guide Audit Vault and Database Firewall.

Chiffrement des données au repos et en transit

  • Alors que la solution Bare Metal chiffre automatiquement les données utilisateur au repos à l'aide d'une clé AES 256 bits unique par volume de données, vous pouvez également activer le chiffrement transparent des données (TDE, Transparent Data Encryption) pour mieux contrôler le cycle de vie de la clé de chiffrement.
  • Utilisez le chiffrement de réseau natif ou le chiffrement basé sur le protocole TLS (Transport Layer Security) pour sécuriser les données entre le client et la base de données.
  • Lorsque vous utilisez des clés de chiffrement gérées par le client (CMEK) pour les données de base de données Oracle, utilisez l'option de sécurité avancée (ASO) pour activer le chiffrement, les sommes de contrôle réseau cryptographiques (différentes des sommes de contrôle des journaux lors des lectures et des écritures) et les services d'authentification entre le système principal et le système de secours dans Data Guard.

    Pour en savoir plus sur les options de chiffrement, consultez la page Utiliser le chiffrement transparent des données dans le guide Database Advanced Security Oracle.

Les suggestions que nous avons mentionnées pour la sécurité de la base de données Oracle sur la solution Bare Metal ne sont pas exhaustives. Nous vous recommandons vivement de suivre les bonnes pratiques et les recommandations fournies par Oracle, et de mettre en œuvre des contrôles adaptés à vos besoins spécifiques en termes d'activité et de sécurité.

Résumé

La solution Bare Metal est votre passerelle vers l'univers de Google Cloud. Il vous permet de migrer et d'exécuter vos charges de travail critiques telles quelles et à proximité du cloud, pendant que vous décidez, concevez et planifiez votre avenir cloud. Associé aux bonnes pratiques, aux outils et aux techniques partagés dans ce guide, la solution Bare Metal fournit une plate-forme sécurisée, robuste et puissante pour exécuter vos charges de travail critiques.

Plus important encore, cette opération n'a pas besoin au détriment de la sécurité. Lorsque vous vous abonnez à la solution Bare Metal, vous recevez des serveurs physiques sauvegardés par plusieurs couches de sécurité intégrées, y compris la couche physique, la couche de stockage et la couche réseau. Ainsi, le service de solution Bare Metal intègre la sécurité à chaque étape de l'infrastructure pour répondre à vos besoins critiques en matière de performances sécurisées à grande échelle.

Ce qu'il faut retenir :

  1. La sécurité est une responsabilité partagée.
  2. Suivez le principe du moindre privilège.
  3. Respectez le principe de séparation des tâches.
  4. Évitez l'exfiltration de données en accédant aux services Google Cloud via restricted.googleapis.com.
  5. Activez l'accès privé à Google dans votre projet pour limiter l'exfiltration de données et les accès non autorisés, et pour contrôler les règles de sécurité de manière centralisée.
  6. Suivez les bonnes pratiques définies par Oracle pour la sécurité des bases de données Oracle.