Table des Matières
Publicité
Contrôle d'accès
fournissent des hôtes dotés d'un plus grand nombre de fonctionnalités pour contrôler l'accès
aux services réseau. Par exemple, IP Filter permet le filtrage de paquets avec état et est capable
de filtrer les paquets en fonction de leur adresse IP, du port, du protocole, de l'interface réseau
et de la direction du trafic. Ces fonctionnalités sont importantes pour certaines plates-formes
comme SuperCluster qui gèrent de nombreuses interfaces réseau et prennent en charge diverses
communications réseau entrantes et sortantes.
Sur le système SuperCluster, le service IP Filter peut être configuré dans un domaine Oracle
VM Server for SPARC ou géré depuis une zone Oracle Solaris. La stratégie de contrôle d'accès
réseau peut donc être appliquée depuis le conteneur du système d'exploitation dans lequel les
services de base de données sont offerts. Dans un scénario multilocataire, le volume d'activités
réseau entrantes sera probablement minimal et pourra être facilement catégorisé de manière
à créer une stratégie qui limite les communications à des interfaces et des destinations réseau
spécifiques. Tout autre trafic est refusé et consigné, dans le cadre d'une stratégie de "refus par
défaut" destinée à bloquer les communications non autorisées, tant entrantes que sortantes.
La sécurité de l'utilisateur final d'Oracle permet aux locataires d'intégrer leurs applications
et bases de données à leurs services de gestion d'identité existants pour prendre en charge
le service SSO (Single Sign-On, connexion unique) et la gestion centralisée des utilisateurs
et des rôles. En particulier, la sécurité de l'utilisateur final d'Oracle permet de centraliser (1)
le provisionnement et le déprovisionnement des utilisateurs et des administrateurs de base
de données, (2) la gestion des mots de passe et la réinitialisation des mots de passe en libre-
service et (3) la gestion des autorisations à l'aide de rôles de base de données globaux. Les
organisations qui requièrent des méthodes d'authentification mutifacteur, telles que Kerberos ou
PKI, peuvent tirer parti d'Oracle Advanced Security.
La technologie Oracle Exadata Storage Server prend en charge un ensemble prédéfini de
comptes utilisateur, chacun doté de ses propres privilèges. Les administrateurs qui exécutent des
tâches d'administration Oracle Exadata Storage Server doivent utiliser un de ces rôles prédéfinis
pour accéder au système. L'appareil de stockage ZFS, quant à lui, prend en charge la création
de comptes d'administration locaux et distants, tous deux capables d'assurer l'attribution
individuelle de rôles et de privilèges.
Par défaut, les serveurs Oracle Exadata Storage Server utilisés dans le système SuperCluster
sont accessibles aux domaines de base de données qui utilisent l'utilitaire Oracle Automatic
Storage Management. Cet utilitaire permet aux fournisseurs de cloud de créer des groupes
de disques distincts pour chaque locataire capables de répondre à leurs besoins en termes de
capacité, performance et disponibilité. Oracle Automatic Storage Management prend en charge
trois modes de contrôle d'accès : la sécurité ouverte, la sécurité basée sur Oracle Automatic
Storage Management et la sécurité au niveau base de données.
Dans un scénario multilocataire, la sécurité basée sur les bases de données est recommandée,
car elle procure le plus haut niveau de précision en matière de contrôle d'accès. Dans ce mode,
il est possible de configurer des groupes de disques de manière à ce qu'ils soient accessibles
24
Guide de sécurité des serveurs Oracle SuperCluster série M7 • Février 2016
Publicité
Table des Matières
