عزل الموارد والتحكم في الوصول
يجب التخطيط بدقة لمقاطعاتك ومركبات VCN، مع مراعاة متطلبات الأمان الحالية والمستقبلية لمؤسستك. ستساعدك التوصيات الواردة في هذه المقالة على الوفاء بمتطلباتك.
تنظيم الموارد باستخدام المقاطع والعلامات
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
- تكوين مقاطع وتعيينها لفئات محددة من الموارد وكتابة أنظمة IAM للسماح بالوصول إلى الموارد لمجموعات المستخدمين الذين يحتاجون إلى الوصول إليها فقط.
- فصل أحمال عمل الإنتاج وغير الإنتاج إلى أقسام منفصلة.
- تكوين واستخدام المقاطع الفرعية لعزل الموارد لطبقات تنظيمية إضافية. كتابة أنظمة منفصلة لكل مستوى مقطع.
- السماح للمستخدمين المعتمدين فقط بنقل المقاطع إلى مقاطع رئيسية مختلفة ونقل الموارد من قسم إلى آخر. اكتب الأنظمة المناسبة لفرض هذا القيد.
- تقييد عدد الموارد من كل نوع التي يمكن تكوينها في قسم عن طريق إعداد حصص على مستوى المقطع.
- تجنب كتابة أنظمة IAM على مستوى المقطع الأولي.
- تقييد الموارد التي يمكن لمسئول الطبعة الرئيسي إدارتها من خلال تحديد مقطع في نظام IAM.
- قم بتخصيص علامات للموارد لتنظيمها وتحديدها استنادًا إلى احتياجات العمل الخاصة بك.
تنفيذ مراقبة صلاحية الوصول على أساس الدور
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
- قصر امتيازات الوصول للمستخدمين في كل مجموعة على المقاطع التي يحتاجون إلى الوصول إليها فقط، عن طريق كتابة السياسات على مستوى المقاطع.
- كتابة الأنظمة الجزئية قدر الإمكان من حيث الموارد الهدف وامتيازات الوصول المطلوبة.
- تكوين مجموعات بأذون للقيام بمهام مشتركة بين جميع أحمال العمل الموزعة (مثل إدارة الشبكة وإدارة وحدة التخزين)، وتعيين المستخدمين المسئولين المناسبين لهذه المجموعات.
عدم تخزين بيانات اعتماد المستخدم في طبعات الاحتساب
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
يتم تكوين الشهادات المطلوبة للطبعة للتصديق على نفسها تلقائيًا وتعيينها للطبعة وتداولها. يمكنك تجميع مثل هذه الطبعات في مجموعات منطقية وتسمى المجموعات الديناميكية وكتابة السياسات للسماح للمجموعات الديناميكية بتنفيذ إجراءات محددة على موارد محددة.
الوصول إلى تسجيل الدخول الثابت لحوسبة الطبعات
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
- تعطيل تسجيل الدخول المستند إلى كلمة السر.
- تعطيل تسجيل الدخول الأولي.
- استخدم التصديق المستند إلى مفتاح SSH فقط.
- الاستفادة من مجموعات السرية وقوائم السرية لتقييد الوصول على أساس عنوان IP المصدر.
- تعطيل الخدمات غير الضرورية.
تأمين الوصول عبر الموارد
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
عزل الموارد في طبقة الشبكة
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
توفر الشبكات السحابية الظاهرية المستوى الأول من عزلة الشبكة بين الموارد في Oracle Cloud Infrastructure.- الاستفادة من أرصدة التحميل لعرض الخدمات بشكل عام ووضع أهداف الخلفية على الشبكات الفرعية الخاصة.
- الاستفادة من مجموعات التأمين لفرض التجزئة الدقيقة للتطبيق لكل طبقة من مستويات التطبيق.
- القائمة البيضاء المطلوبة لحركة المرور الشرقية/الغربية داخل VCN، لا تسمح بتدفقات حركة المرور ما لم تكن مطلوبة.
تحديد الحد الأقصى لمناطق السرية
مهندس معماري مؤسسي، مهندس أمان، مهندس تطبيقات
- تمكين الحد الأقصى لسياسة التأمين لموارد الإنتاج على الشبكات الفرعية الخاصة في VCN وCompartment الخاصين بها.
- فصل مكونات الإنترنت في VCN منفصل بشبكة فرعية عامة وربطها بـ VCN الحد الأقصى لمنطقة الأمان بجيت واي النظير المحلي. بالإضافة إلى ذلك، أضف جدار حماية لتطبيق الويب لحماية مكونات الإنترنت، مثل موازنات التحميل.
- استخدم Oracle Security Advisor لتسهيل تكوين الموارد في الحد الأقصى لمنطقة التأمين.