Überblick über Security Advisor
Oracle Cloud Infrastructure Security Advisor unterstützt und verstärkt Best Practices von Oracle zur Sicherheit, einschließlich der Konfigurationsanforderungen für Ressourcen in Sicherheitszonen. Der Service kombiniert und optimiert vorhandene Workflows, sodass von Anfang an effizient Ressourcen erstellt werden können, die grundlegende Sicherheitsanforderungen erfüllen.
Insbesondere können Sie einer Ressource beim Erstellen einen neuen vom Kunden verwalteten Verschlüsselungsschlüssel zuweisen, selbst wenn Sie zuvor noch keinen Vault oder Verschlüsselungsschlüssel erstellt haben. Sicherheitszonen erfordern nach Möglichkeit die Verschlüsselung mit vom Kunden verwalteten Schlüsseln. Da nur ein autorisierter Benutzer auf die Schlüssel zugreifen kann, können sensible Daten nur von Benutzern entschlüsselt und gelesen werden, denen dies explizit erlaubt ist.
Optimierte Workflows reduzieren Komplexität und Entscheidungsfindung. Während Sie sonst zwischen Konfigurationsoptionen wählen müssen, bietet Security Advisor nur die sicherere Option. Beispiel: Mit Security Advisor können Sie nur Master-Verschlüsselungsschlüssel mit einer Länge von 256 Bit erstellen. Längere Verschlüsselungsschlüssel bieten mehr Sicherheit als kürzere.
Authentifizierung und Autorisierung
Jeder Service in Oracle Cloud Infrastructure kann zur Authentifizierung und Autorisierung für alle Schnittstellen (Konsole, SDK oder CLI und REST-API) in IAM integriert werden.
Ein Administrator in der Organisation muss Gruppen , Compartments und Policys einrichten, die den Zugriffstyp sowie den Zugriff der Benutzer auf Services und Ressourcen steuern. Beispiel: Die Policys steuern, wer Benutzer erstellen, das Cloud-Netzwerk erstellen und verwalten, Instanzen starten, Buckets erstellen, Objekte herunterladen kann usw. Weitere Informationen finden Sie unter Identitätsdomains verwalten. Einzelheiten zum Schreiben von Policys für die einzelnen Services finden Sie in der Policy-Referenz.
Wenn Sie ein regulärer Benutzer (kein Administrator) sind, der die Oracle Cloud Infrastructure-Ressourcen verwenden muss, deren Eigentümer Ihr Unternehmen ist, muss Ihr Administrator eine Benutzer-ID für Sie einrichten. Der Administrator kann bestätigen, welche Compartments Sie verwenden sollten.
Security Advisor nutzt die Funktionalität vorhandener Workflows. Daher benötigt der Mandanten möglicherweise keine neuen Policys, um Berechtigungen über die bereits vorhandenen Berechtigungen hinaus zu erteilen. Um sicher zu sein, können Sie die vorhandenen Policys des Mandanten mit den Beispielberechtigungen vergleichen, die im ausgewählten Workflow beschrieben werden. Vergewissern Sie sich insbesondere, dass Sie über Policys verfügen, die Zugriff auf Vault-Ressourcen erteilen, vor allem, wenn Sie den Service zuvor nicht verwendet haben.
Mit den Beispiel-Policy-Anweisungen können die angegebenen Gruppen alle Aktionen ausführen, die Security Advisor zulässt. Wenn Sie stattdessen die Erstellung neuer Vaults einschränken möchten, können Sie eine Policy schreiben, die nur die Berechtigung zur Verwendung von Vaults statt der zum Verwalten von Vaults erforderlichen Zugriffsebene erteilt. Mit der Berechtigung zur Verwendung von Vaults kann ein Benutzer einen vorhandenen Vault auswählen, aber keinen neuen erstellen. Dadurch werden die Optionen von Security Advisor nicht geändert, es wirkt sich jedoch darauf aus, ob alle weitergestellten Vorgänge erfolgreich verlaufen.
Regionen und Availability-Domains
Sie können Security Advisor in allen kommerziellen Regionen von Oracle Cloud Infrastructure verwenden. Eine Liste der Regionen sowie der zugehörigen Standorte, Regions-IDs, Regionsschlüssel und Availability-Domains finden Sie unter Regionen und Availability-Domains.
Jeder Service, der in Security Advisor integriert ist, verfügt über einen einzelnen regionalen Endpunkt für alle API-Vorgänge, mit einer Ausnahme. Der Vault-Service hat einen regionalen Endpunkt für den Provisioning-Service, der Erstellungs-, Aktualisierungs- und Auflistungsvorgänge für Vaults verarbeitet. Zum Erstellen, Aktualisieren und Auflisten von Vorgängen für Schlüssel werden Serviceendpunkte über mehrere unabhängige Cluster verteilt.
Ressourcenlimits
Security Advisor führt keine Ressourcen ein und legt keine Einschränkungen für die Nutzungsebene einer Ressource fest. Security Advisor respektiert jedoch die von anderen Services eingerichteten Limits.
Eine Liste der jeweiligen Limits sowie Anweisungen dazu, wie Sie eine Erhöhung beantragen, finden Sie unter Limits. Um Compartment-spezifische Limits für eine Ressource oder Ressourcenfamilie festzulegen, können Administratoren Compartment-Quotas verwenden.
Anweisungen zum Anzeigen Ihrer Nutzung im Vergleich zu den Ressourcenlimits des Mandanten finden Sie unter Servicelimits, -Quotas und -nutzung anzeigen. Bei Vaults können Sie auch die Nutzung jedes einzelnen Vaults anhand der Schlüsselgrenzwerte abrufen, indem Sie die Anzahl der Schlüssel und Schlüsselversionen in den Vault-Details anzeigen.