عزل الموارد والتحكم في الوصول
تُعد عزلة الموارد أحد الاعتبارات الرئيسية عند تنظيم مواردك السحابية. تتيح لك المقاطع إمكانية تنظيم مواردك منطقيًا والتحكم في الوصول إليها بطريقة مفيدة لأعمالك. على سبيل المثال، يمكنك عزل الموارد المستخدمة بواسطة كل قسم من أقسام شركتك في قسم منفصل. يمكنك أيضًا استخدام شبكات السحابة الظاهرية (VCNs) لعزل الموارد في طبقة الشبكة.
يجب التخطيط بدقة لمقاطعاتك ومركبات VCN، مع مراعاة متطلبات الأمان الحالية والمستقبلية لمؤسستك. ستساعدك التوصيات الواردة في هذه المقالة على الوفاء بمتطلباتك.
تنظيم الموارد باستخدام المقاطع والعلامات
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
وتمثل المقاطع والعلامات أدوات مفيدة لتنظيم الموارد وعزلها من أجل التحكم في الوصول.
- تكوين مقاطع وتعيينها لفئات محددة من الموارد وكتابة أنظمة IAM للسماح بالوصول إلى الموارد لمجموعات المستخدمين الذين يحتاجون إلى الوصول إليها فقط.
- فصل أحمال عمل الإنتاج وغير الإنتاج إلى أقسام منفصلة.
- تكوين واستخدام المقاطع الفرعية لعزل الموارد لطبقات تنظيمية إضافية. كتابة أنظمة منفصلة لكل مستوى مقطع.
- السماح للمستخدمين المعتمدين فقط بنقل المقاطع إلى مقاطع رئيسية مختلفة ونقل الموارد من قسم إلى آخر. اكتب الأنظمة المناسبة لفرض هذا القيد.
- تقييد عدد الموارد من كل نوع التي يمكن تكوينها في قسم عن طريق إعداد حصص على مستوى المقطع.
- تجنب كتابة أنظمة IAM على مستوى المقطع الأولي.
- تقييد الموارد التي يمكن لمسئول الطبعة الرئيسي إدارتها من خلال تحديد مقطع في نظام IAM.
- قم بتخصيص علامات للموارد لتنظيمها وتحديدها استنادًا إلى احتياجات العمل الخاصة بك.
تنفيذ مراقبة صلاحية الوصول على أساس الدور
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
تقييد الوصول عن طريق تعيين الامتيازات حسب الدور.
- قصر امتيازات الوصول للمستخدمين في كل مجموعة على المقاطع التي يحتاجون إلى الوصول إليها فقط، عن طريق كتابة السياسات على مستوى المقاطع.
- كتابة الأنظمة الجزئية قدر الإمكان من حيث الموارد الهدف وامتيازات الوصول المطلوبة.
- تكوين مجموعات بأذون للقيام بمهام مشتركة بين جميع أحمال العمل الموزعة (مثل إدارة الشبكة وإدارة وحدة التخزين)، وتعيين المستخدمين المسئولين المناسبين لهذه المجموعات.
عدم تخزين بيانات اعتماد المستخدم في طبعات الاحتساب
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
عندما ترغب في اعتماد طبعة حوسبة لإجراء مكالمات إلى واجهات برمجة تطبيقات Oracle Cloud Infrastructure، لا تقم بتخزين أية صلاحيات مستخدم على الطبعة. بدلاً من ذلك، قم بتعيين الطبعة كرئيسي للطبعة.
يتم تكوين الشهادات المطلوبة للطبعة للتصديق على نفسها تلقائيًا وتعيينها للطبعة وتداولها. يمكنك تجميع مثل هذه الطبعات في مجموعات منطقية وتسمى المجموعات الديناميكية وكتابة السياسات للسماح للمجموعات الديناميكية بتنفيذ إجراءات محددة على موارد محددة.
الوصول إلى تسجيل الدخول الثابت لحوسبة الطبعات
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
تأكد من استخدام الأساليب الآمنة فقط لتسجيل الدخول لحساب الطبعات.
- تعطيل تسجيل الدخول المستند إلى كلمة السر.
- تعطيل تسجيل الدخول الأولي.
- استخدم التصديق المستند إلى مفتاح SSH فقط.
- الاستفادة من مجموعات السرية وقوائم السرية لتقييد الوصول على أساس عنوان IP المصدر.
- تعطيل الخدمات غير الضرورية.
تأمين الوصول عبر الموارد
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
إذا قمت بتعيين أية طبعات كأعضاء رئيسيين، فقم بمراجعة المستخدمين والمجموعات التي لديها حق الوصول إلى مثل هذه الطبعات. تأكد من أنه لا يمكن الوصول إليها إلا للمستخدمين والمجموعات المناسبة.
عزل الموارد في طبقة الشبكة
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
توفر الشبكات السحابية الظاهرية المستوى الأول من عزلة الشبكة بين الموارد في Oracle Cloud Infrastructure.إذا كان لديك أحمال عمل متعددة أو أقسام/تنظيمات مختلفة، فاستخدم أرقام VCN مختلفة لكل منها لعزل الموارد في طبقة الشبكة.
استخدم خدمة VCN عند الحاجة. وبالإضافة إلى ذلك، استخدم الشبكات الفرعية العامة والخاصة بعناية، بعد تقييم الموارد التي تتطلب وصول الجمهور إليها.
- الاستفادة من أرصدة التحميل لعرض الخدمات بشكل عام ووضع أهداف الخلفية على الشبكات الفرعية الخاصة.
- الاستفادة من مجموعات التأمين لفرض التجزئة الدقيقة للتطبيق لكل طبقة من مستويات التطبيق.
- القائمة البيضاء المطلوبة لحركة المرور الشرقية/الغربية داخل VCN، لا تسمح بتدفقات حركة المرور ما لم تكن مطلوبة.
تحديد الحد الأقصى لمناطق السرية
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
يفرض الحد الأقصى لمناطق التأمين أنظمة التأمين للمقاطع في Oracle Cloud Infrastructure. وهي تتضمن مكتبة سياسات وأفضل ممارسات الأمان المضمنة لتمكين إدارة مواقف أمان السحابة.
- تمكين الحد الأقصى لسياسة التأمين لموارد الإنتاج على الشبكات الفرعية الخاصة في VCN وCompartment الخاصين بها.
- فصل مكونات الإنترنت في VCN منفصل بشبكة فرعية عامة وربطها بـ VCN الحد الأقصى لمنطقة الأمان بجيت واي النظير المحلي. بالإضافة إلى ذلك، أضف جدار حماية لتطبيق الويب لحماية مكونات الإنترنت، مثل موازنات التحميل.
- استخدم Oracle Security Advisor لتسهيل تكوين الموارد في الحد الأقصى لمنطقة التأمين.