Contrôle d'accès chez Oracle
Introduction
Le contrôle d'accès fait référence aux stratégies, procédures et outils qui régissent l'accès aux ressources et leur utilisation. Par exemple, il peut s'agir d'un serveur physique, d'un fichier, d'une application, de données dans une base de données et d'un périphérique réseau.
- Le moindre privilège est une approche orientée système dans laquelle les autorisations utilisateur et les fonctionnalités système sont soigneusement évaluées et l'accès est limité aux ressources requises pour que les utilisateurs ou les systèmes puissent effectuer leurs tâches.
- Le refus par défaut est une approche de configuration orientée réseau qui refuse la transmission de tout le trafic, puis autorise spécifiquement uniquement le trafic requis en fonction du protocole, du port, de l'adresse réseau source et de l'adresse réseau de destination.
Politiques et pratiques de contrôle d'accès d'Oracle
La politique de contrôle d'accès logique d'Oracle est applicable aux décisions de contrôle d'accès de tous les collaborateurs d'Oracle et à toute facilité de traitement de l'information pour laquelle Oracle dispose d'une autorité administrative. Les contrôles d'accès logiques pour les applications et les systèmes doivent fournir des fonctionnalités d'identification, d'authentification, d'autorisation, de responsabilité et d'audit. La présente politique ne s'applique pas aux comptes utilisateur final client pour les services cloud Oracle.
Gestion des accès utilisateur
L'accès utilisateur Oracle est attribué via un système de gestion des comptes intégré à la base de données des ressources humaines d'Oracle. Les privilèges d'accès sont accordés en fonction des rôles fonctionnels et nécessitent une approbation de la direction. Les opérations sont organisées en groupes fonctionnels, où chaque fonction est exécutée par des groupes distincts des collaborateurs. Les développeurs, les administrateurs de base de données, les administrateurs système et les ingénieurs réseau sont des exemples de groupes fonctionnels.
Gestion des privilèges
L'autorisation dépend de la réussite de l'authentification, car le contrôle de l'accès à des ressources spécifiques dépend de l'établissement de l'identité d'une entité ou d'un individu. Oracle exige que les décisions en matière d'autorisation pour l'octroi, l'approbation et la revue de l'accès reposent sur les principes suivants :
- Besoin de savoir : L'utilisateur a-t-il besoin de cet accès pour sa fonction ?
- Séparation des tâches : l'accès entraînera-t-il un conflit d'intérêts ?
- Le moindre privilège : L'accès est-il limité aux seules ressources et informations requises pour un objectif commercial légitime ?
Gestion des mots de passe
L'utilisation des mots de passe est régie par la politique des mots de passe d'Oracle. Oracle applique des règles strictes en matière de mots de passe (y compris les exigences de longueur et de complexité) pour le réseau, le système d'exploitation, la messagerie électronique, la base de données et les autres comptes Oracle afin de réduire les probabilités que des intrus accèdent à des systèmes ou des environnements grâce à l'exploitation des comptes utilisateur et des mots de passe associés. Les mots de passe générés et affectés par le système doivent être modifiés immédiatement à la réception.
Le personnel d'Oracle est tenu de respecter les règles relatives à la longueur, à la complexité et aux autres exigences relatives aux mots de passe. Les collaborateurs doivent garder leurs identifiants d'authentification, tels que les mots de passe, confidentiels et sécurisés à tout moment et ont interdiction de partager le mot de passe de leur compte individuel avec quiconque. Il est interdit aux collaborateurs d'utiliser tout mot de passe de système ou d'application Oracle pour les applications ou systèmes non Oracle.
Révision et révocation d'accès
Oracle exige des examens réguliers des comptes de réseau et de système d'exploitation en ce qui concerne les niveaux d'accès des collaborateurs appropriés. En cas de licenciement, de décès ou de démission d'un collaborateur, Oracle prend les mesures appropriées pour mettre fin sans délai au réseau et à l'accès physique.
Contrôles d'accès réseau
Oracle exige des contrôles réseau rigoureux pour la protection et le contrôle des données Oracle et des données clients pendant leur transmission. La stratégie de sécurité réseau d'Oracle établit les exigences en matière de gestion réseau, d'accès réseau et de gestion des périphériques réseau, y compris les exigences d'authentification et d'autorisation pour les périphériques physiques et les systèmes logiciels. Les ports réseau inutilisés doivent être désactivés.