Sicherheitszonen sichern

Im Allgemeinen bietet Oracle Sicherheit für Cloud-Infrastruktur und -Vorgänge, wie Zugriffskontrollen für Cloud-Benutzer und Infrastruktursicherheits-Patching. Sie sind für die sichere Konfiguration Ihrer Cloud-Ressourcen verantwortlich. Für die Sicherheit in der Cloud sind Sie und Oracle gleichermaßen verantwortlich.

Oracle ist für die folgenden Sicherheitsanforderungen verantwortlich:

• Physische Sicherheit: Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der alle in Oracle Cloud Infrastructure angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen, die Oracle Cloud Infrastructure-Services ausführen.
• Sicherheits-Policys: Oracle ist für die Definition von Sicherheitszonen-Policys verantwortlich. Diese Richtlinien implementieren Sicherheitskontrollen und Best Practices für Kundenressourcen, für die maximale Sicherheit erforderlich ist, wie Produktionsanwendungen.

Ihre Sicherheitszuständigkeiten sind auf dieser Seite beschrieben. Sie umfassen die folgenden Bereiche:

• Zugriffskontrolle: Beschränken Sie Berechtigungen so weit wie möglich. Benutzern sollte nur der erforderliche Zugriff zum Ausführen ihrer Aufgaben erteilt werden.
• Sicherheits-Policys: Aktivieren Sie Sicherheitszonen-Policys, die Ihren Sicherheitsanforderungen entsprechen, und gehen Sie beim Deaktivieren von Policys in Zonen mit Vorsicht vor. Beheben Sie Policy-Verstöße in Ihren vorhandenen Ressourcen, um die Compliance aufrechtzuerhalten.

Mit dieser Checkliste können Sie die Aufgaben identifizieren, die zum Sichern von Sicherheitszonen in einem neuen Oracle Cloud Infrastructure-Mandanten ausgeführt werden.

Nach den ersten Schritten mit Sicherheitszonen ermitteln Sie anhand dieser Checkliste, welche Sicherheitsaufgaben Sie regelmäßig ausführen sollten.

Verwenden Sie IAM-Policys, um den administrativen Zugriff auf Sicherheitszonen zu begrenzen.

Eine Sicherheitszonen-Policy unterscheidet sich wie folgt von einer IAM-Policy:

• Eine Sicherheitszonen-Policy wird unabhängig davon validiert, welcher Benutzer den Vorgang ausführt.
• Eine Sicherheitszonen-Policy lehnt bestimmte Aktionen ab, erteilt jedoch keine Funktionen.

Es wird empfohlen, einem Mindestset von IAM-Benutzern und -Gruppen DELETE-Berechtigungen zu erteilen. Diese Vorgehensweise minimiert den Datenverlust durch versehentliches Löschen durch autorisierte Benutzer oder durch böswillige Akteure. Erteilen Sie DELETE-Berechtigungen nur Mandanten- und Compartment-Administratoren.

Die Begrenzung der DELETE-Berechtigung ist besonders wichtig für Sicherheitszonen. Durch das Löschen einer Zone werden alle Sicherheitszonen-Policys für Ressourcen in den Compartments der Zone deaktiviert. Daher ändert sich der Sicherheitsstatus dramatisch.

Beispiel für IAM-Policys:

Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy

Allow group SecurityAdmins to manage security-recipe in compartment SecurityApps

Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Die einzelnen Ressourcentypen für Sicherheitszonen sind im aggregierten Typ cloud-guard-family enthalten. Eine Policy, die cloud-guard-family Berechtigungen erteilt, erteilt dieselben Berechtigungen auch Sicherheitszonen. Weitere Informationen finden Sie unter Cloud Guard-Policys.

Bewerten und aktivieren Sie Sicherheitszonen-Policys, um einen starken Sicherheitsstatus in Oracle Cloud Infrastructure aufrechtzuerhalten.

Ein Rezept ist eine Sammlung von Sicherheitszonen-Policys, die Sie einer Sicherheitszone zuweisen können. Wenn Sie eine Policy in einem Rezept aktivieren, werden alle Benutzeraktionen in den Zonen abgelehnt, die das Rezept verwenden und die gegen die Policy verstoßen.

Das Maximum Security Recipe aktiviert alle verfügbaren Sicherheitszonen-Policys und kann nicht geändert werden. Weisen Sie dieses Rezept neuen Sicherheitszonen zu, damit sie den maximalen Sicherheitsstatus haben. Bei Bedarf können Sie die Zone jederzeit ändern und ein benutzerdefiniertes Rezept auswählen, das nicht alle Policys aktiviert.

Um neue Sicherheitszonen-Policys zu identifizieren, prüfen Sie regelmäßig das Maximum Security Recipe und die Versionshinweise. Um Ihren Sicherheitsstatus im Laufe der Zeit zu verbessern, bewerten Sie jede neue Policy, und aktivieren Sie die Policy gegebenenfalls in benutzerdefinierten Rezepten.

Überwachen Sie Sicherheitszonen auf Policy-Verletzungen. Suchen Sie Zugriffslogs und andere Sicherheitsdaten für Sicherheitszonen.

Nachdem Sie eine Sicherheitszone für ein Compartment erstellt haben, werden Vorgänge wie das Erstellen oder Ändern von Ressourcen, die die Policys der Sicherheitszone verletzen, automatisch verhindert. Vorhandene Ressourcen, die vor der Sicherheitszone erstellt wurden, können jedoch auch Policys verletzen. Security Zones ist mit Cloud Guard integriert, um Policy-Verletzungen in vorhandenen Ressourcen zu ermitteln. Überwachen Sie Ihre Sicherheitszonen regelmäßig, um Richtlinienverletzungen in einer Zone zu identifizieren und zu beheben. Siehe Sicherheitszonen verwalten.

Der Audit-Service zeichnet automatisch alle API-Aufrufe an Oracle Cloud Infrastructure-Ressourcen auf. Sie können Ihre Sicherheits- und Complianceziele erreichen, indem Sie mit dem Audit-Service alle Benutzeraktivitäten in Ihrem Mandanten überwachen. Da alle Konsolen-, SDK- und Befehlszeilenaufrufe über unsere APIs laufen, werden alle Aktivitäten aus diesen Quellen einbezogen. Auditdatensätze sind über eine authentifizierte, filterbare Abfrage-API verfügbar, oder sie können als in Batches verwendete Dateien aus Object Storage abgerufen werden. Zu den Inhalten des Auditlogs gehören die aufgetretenen Aktivitäten, der Benutzer, der diese initiiert hat, Datum und Uhrzeit der Anforderung sowie Quell-IP, Benutzer-Agent und HTTP-Header der Anforderung. Siehe Auditlogereignisse anzeigen.