Java-Management sichern
Dieses Thema enthält Sicherheitsinformationen und Empfehlungen für Java Management Service.
Java Management Service (JMS) überwacht Java-Deployments auf Oracle Cloud Infrastructure-(OCI-)Instanzen und Instanzen, die in Kunden-Data-Centern ausgeführt werden. Damit können Sie die Verwendung von Java in Ihrem Unternehmen beobachten und verwalten.
Sicherheitszuständigkeiten
Um JMS sicher zu verwenden, müssen Sie sich mit Ihren Zuständigkeiten im Bereich Sicherheit und Compliance vertraut machen.
Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:
- Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der alle in Oracle Cloud Infrastructure angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.
- Datenverschlüsselung: Oracle verwendet die standardmäßige Oracle Cloud Infrastructure-Verschlüsselung für alle Daten, die im Ruhezustand in JMS gespeichert sind. Es ist keine zusätzliche Konfiguration erforderlich.
JMS-Benutzer verwenden Verschlüsselungsschlüssel nicht direkt. Intern speichert JMS Daten in einer autonomen Datenbank, die Verschlüsselungsschlüssel mit Oracle Cloud Infrastructure Vault sicher speichert. Diese Ressourcen werden von Oracle verwaltet und gesichert.
- Dauerhaftigkeit von Daten: Oracle konfiguriert den JMS-Service für tägliche Backups. Es ist keine zusätzliche Backupkonfiguration von Ihnen erforderlich.
Ihre Sicherheitszuständigkeiten sind auf dieser Seite beschrieben. Sie umfassen die folgenden Bereiche:
- Zugriffskontrolle: Beschränken Sie Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.
- Agent-Sicherheit:
- Installieren Sie den Agent mit der minimalen Berechtigung auf der Instanz. Installieren Sie es nicht als
root. - Rufen Sie einen Installationsschlüssel ab. Prüfen Sie den Ablauf des Schlüssels und die Anzahl der Installationsinstanzen.
- Löschen Sie den Schlüssel, nachdem der Agent erfolgreich installiert wurde.
- Stellen Sie sicher, dass Ports oder Proxy korrekt eingerichtet sind, um nur die Agent-Verbindung zu OCI zuzulassen.
- Konfigurieren Sie den Agent so, dass nur die gewünschten Verzeichnisse mit der gewünschten Häufigkeit gescannt werden.
- Installieren Sie den Agent mit der minimalen Berechtigung auf der Instanz. Installieren Sie es nicht als
Erste Sicherheitsaufgaben
Mit dieser Checkliste können Sie die Aufgaben identifizieren, die zum Sichern von JMS in einem neuen Oracle Cloud Infrastructure-Mandanten ausgeführt werden.
Wenn Sie neu bei JMS sind, finden Sie weitere Informationen unter Oracle Cloud Infrastructure für Java Management Service einrichten.
| Aufgabe | Weitere Informationen |
|---|---|
| Mit IAM-Policys Benutzern und Ressourcen Zugriffsberechtigungen erteilen | IAM-Policys |
Routinemäßige Sicherheitsaufgaben
IAM-Policys
Schränken Sie mit Policys den Zugriff auf JMS ein.
In einer Policy ist definiert, wer wie auf Oracle Cloud Infrastructure-Ressourcen zugreifen kann. Weitere Informationen finden Sie unter Funktionsweise von Policys.
Weisen Sie einer Gruppe jeweils nur die geringsten Berechtigungen zu, die diese Gruppe benötigt, um ihre Zuständigkeiten ausführen zu können. Jede Policy enthält ein Verb, das beschreibt, welche Aktionen die Gruppe ausführen darf. Folgende Verben sind verfügbar (sortiert nach Berechtigung): inspect, read, use und manage.
Erstellen Sie Policys, damit die Gruppe FLEET_MANAGERS Flotten in Compartment Fleet_Compartment verwalten kann.
ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCYErstellen Sie Policys, damit die dynamische Gruppe JMS_DYNAMIC_GROUP Agents im Management Agent-Service in Compartment Fleet_Compartment bereitstellen und verwenden kann.
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
Allow service javamanagementservice to manage metrics IN COMPARTMENT Fleet_Compartment where target.metrics.namespace='java_management_service'Weitere Informationen zum Deployment von Management-Agents finden Sie unter Voraussetzungen für das Deployment von Management-Agents ausführen.
Weitere Informationen zu JMS-Policys finden Sie unter Details zum Java Management Service.
Patchen
Stellen Sie sicher, dass auf Ihren JMS-Ressourcen die neuesten Sicherheitsupdates ausgeführt werden.
Wenn Sie das Feature für das automatische Upgrade des Management Agent deaktiviert haben, müssen Sie manuell nach Updates für den Agent und das JMS-Plug-in suchen. Siehe Management-Agent upgraden.
Prüfen
Suchen Sie Zugriffslogs und andere Sicherheitsdaten für JMS.
Der Audit-Service zeichnet automatisch alle API-Aufrufe an Oracle Cloud Infrastructure-Ressourcen auf. Sie können Ihre Sicherheits- und Complianceziele erreichen, indem Sie mit dem Audit-Service alle Benutzeraktivitäten in Ihrem Mandanten überwachen. Da alle Konsolen-, SDK- und Befehlszeilenaufrufe über unsere APIs laufen, werden alle Aktivitäten aus diesen Quellen einbezogen. Auditdatensätze sind über eine authentifizierte, filterbare Abfrage-API verfügbar, oder sie können als in Batches verwendete Dateien aus Object Storage abgerufen werden. Zu den Inhalten des Auditlogs gehören die aufgetretenen Aktivitäten, der Benutzer, der diese initiiert hat, Datum und Uhrzeit der Anforderung sowie Quell-IP, Benutzer-Agent und HTTP-Header der Anforderung. Siehe Auditlogereignisse anzeigen.