Sicherheit
Da Unternehmen weiterhin Cloud-Technologien einsetzen, ist die Sicherheit für Unternehmen jeder Größe zu einer kritischen Überlegung geworden. Mit der Zunahme von Cyberbedrohungen und Datenschutzverletzungen müssen Unternehmen sicherstellen, dass die Cloud-Infrastruktur sicher ist und die Compliance-Anforderungen erfüllt. Oracle Cloud Infrastructure (OCI) bietet eine Reihe von Sicherheitstools und -services, mit denen Sie Ihre Assets schützen und die Einhaltung gesetzlicher Vorschriften gewährleisten können.
Verwenden Sie die folgenden Best Practices, um sicherzustellen, dass Ihre Cloud-Infrastruktur sicher, zuverlässig und konform ist.
Identity and Access Management
In der sich ständig weiterentwickelnden digitalen Landschaft ist Sicherheit von größter Bedeutung. Wenn Unternehmen auf dem Weg zu Cloud-Computing sind, muss ein robustes Sicherheits-Framework eingerichtet werden. OCI bietet ein umfassendes Set an Tools und Services, um die Sicherheit Ihrer Daten und Anwendungen sicherzustellen. Einer der grundlegenden Aspekte des Sicherheitsangebots von OCI ist Identity and Access Management (IAM).
IAM ist das Rückgrat der Sicherheitsarchitektur von OCI und bietet Administratoren die Möglichkeit, den Benutzerzugriff und die Berechtigungen für Ressourcen in OCI zu verwalten. Damit können Sie steuern, wer Zugriff auf was hat, und sicherstellen, dass nur autorisierte Benutzer auf kritische Ressourcen zugreifen können. IAM bietet eine zentrale Plattform zur Verwaltung des Zugriffs auf OCI-Ressourcen wie Compute-, Speicher- und Netzwerkservices.
Um die Sicherheit Ihrer Systeme zu gewährleisten, implementieren Sie IAM-Best Practices wie Zugriff auf geringste Berechtigungen und Multifaktor-Authentifizierung. Der Zugriff mit den geringsten Berechtigungen stellt sicher, dass Benutzern nur die Mindestzugriffsebene erteilt wird, die für die Ausführung von Tätigkeitsfunktionen erforderlich ist. Dadurch wird das Risiko eines nicht autorisierten Zugriffs auf sensible Ressourcen reduziert. Die Multifaktor-Authentifizierung fügt eine zusätzliche Sicherheitsebene hinzu, indem Benutzer mehr als eine Form der Authentifizierung angeben müssen, z. B. ein Kennwort und ein Token.
Zusätzlich zu IAM stellt OCI weitere Sicherheitstools und -services bereit, wie Cloud Guard, das kontinuierliche Überwachung und automatisierte Behebung von Sicherheitsbedrohungen bietet. Just in Time Access (JIT) ermöglicht nur bei Bedarf einen temporären, zeitgebundenen Zugriff auf Ressourcen und reduziert so die Angriffsfläche. Mit Netzwerksicherheitstools wie Sicherheitslisten, Netzwerksicherheitsgruppen (NSGs) und Subnetznetzwerkfilterung können Sie den Trafficfluss in Ihrem Netzwerk steuern.
Um die Einhaltung von Branchenvorschriften und Anforderungen an die Datensouveränität sicherzustellen, bietet OCI Funktionen wie Data Residency Controls und die Möglichkeit, den geografischen Standort zu wählen, an dem Daten gespeichert werden. Mit der SIEM-Integration von OCI können Sie Sicherheitsprotokolle zentralisieren und auf Sicherheitsvorfälle analysieren. Intrusion Detection and Prevention (IDP) bietet Echtzeitüberwachung für böswillige Aktivitäten. Mit der SSL-Prüfung kann verschlüsselter Traffic auf böswilligen Inhalt geprüft werden, während die Trafficprüfung des Inter-VCN-Subnetzes und die Trafficprüfung des Inter-VCN eine granulare Kontrolle über den Trafficfluss zwischen VCNs bieten.
Cloud Guard
Cloud Guard von OCI ist ein wesentliches Sicherheitstool, das eine kontinuierliche Bedrohungserkennung und automatisierte Korrektur zur Sicherung Ihrer Cloud-Infrastruktur bietet. Es wurde entwickelt, um Ihre OCI-Ressourcen auf Sicherheitsbedrohungen in Echtzeit zu überwachen und Administratoren über potenzielle Risiken zu informieren. Cloud Guard enthält vordefinierte Policys, die automatisierte Korrekturmaßnahmen ermöglichen, wie das Deaktivieren von Zugriffsschlüsseln oder das Beenden von Instanzen, wenn eine Policy-Verletzung auftritt.
Angenommen, Sie haben eine Policy eingerichtet, um Ihre Netzwerksicherheitsgruppen zu überwachen und Änderungen zu ermitteln, die an der Gruppe vorgenommen wurden. In diesem Fall überwacht Cloud Guard die Sicherheitsgruppe kontinuierlich auf Änderungen und benachrichtigt Sie, wenn Policy-Verstöße vorliegen. Sie können nicht autorisierte Änderungen an Ihrer Sicherheitsgruppe identifizieren, z.B. neue Regeln hinzufügen, und Korrekturmaßnahmen ergreifen, um Sicherheitsverletzungen zu verhindern.
Cloud Guard lässt sich in SIEM-Plattformen integrieren. So können Sie Sicherheitsereignisse und -logs auf Plattformen von Drittanbietern exportieren, um die Sichtbarkeit und Bedrohungserkennung zu verbessern. Durch die Nutzung der SIEM-Integration mit Cloud Guard können Sie Sicherheitsereignisse zentralisieren und effizienter verwalten und umfassende Sicherheitseinblicke in Ihre OCI-Ressourcen bereitstellen.
Just-in-Time-Zugriff
OCI bietet Just-in-Time-(JIT-)Zugriff, mit dem Administratoren temporären Zugriff auf bestimmte Ressourcen in der Cloud-Umgebung erteilen können. Dadurch wird eine zusätzliche Sicherheitsebene hinzugefügt, um das Risiko eines unbefugten Zugriffs auf Ressourcen zu reduzieren, indem die Zugriffsdauer begrenzt wird. JIT Access kann mit Identity and Access Management (IAM) und Least Privilege Access verwendet werden, um die Sicherheit Ihrer Cloud-Infrastruktur weiter zu verbessern.
Beispiel: Ein Administrator kann den JIT-Zugriff für einen Entwickler konfigurieren, der zur Fehlerbehebung temporären Zugriff auf eine Instanz benötigt. Der Administrator kann die Zugriffsdauer, die Rolle des Benutzers und die erforderlichen Berechtigungen für den Zugriff auf die Instanz angeben. Sobald die angegebene Dauer abgelaufen ist, wird der Zugriff des Benutzers auf die Instanz automatisch widerrufen, wodurch das Risiko eines nicht autorisierten Zugriffs verringert wird.
Der JIT-Zugriff kann mit der OCI-Konsole, der CLI oder der REST-API konfiguriert werden.
Virtueller TAP
Virtueller Testzugriffspunkt (Virtual Test Access Point, VTAP) ist ein Sicherheitsfeature, das von OCI angeboten wird und die Paketerfassung für den Netzwerkverkehr bereitstellt und Daten für die Netzwerkanalyse sammelt. Mit VTAP können Netzwerkadministratoren Sicherheitsbedrohungen erkennen und verhindern, indem sie Netzwerkverkehr zur Prüfung und Analyse erfassen.
Bei der Paketerfassung handelt es sich um den Prozess der Erfassung des Netzwerkverkehrs zur Überprüfung und Analyse, der für die Erkennung von Sicherheitsbedrohungen unerlässlich ist. Mit VTAP bietet OCI einen nativen Service für die vollständige Netzwerkerfassung und -analyse, um die Sicherheit Ihrer Cloud-Umgebung zu verbessern.
In OCI erfasst der Quell-VTAP Traffic basierend auf einem Erfassungsfilter, kapselt ihn mit dem VXLAN-Protokoll und spiegelt ihn in das angegebene Ziel wider. Dies ermöglicht die Echtzeitüberwachung und Analyse des gespiegelten Datenverkehrs mithilfe von Standard-Traffic-Analyse-Tools. Darüber hinaus können Administratoren den Datenverkehr für eine umfassendere forensische Analyse zu einem späteren Zeitpunkt speichern.
VTAP kann Traffic aus verschiedenen Quellen spiegeln, einschließlich einer VNIC einer einzelnen Compute-Instanz in einem Subnetz, einem Load Balancer-as-a-Service (LBaaS), einer OCI-Datenbank, einem Exadata-VM-Cluster und einem Autonomous Data Warehouse über einen privaten Endpunkt.
Sicherheitslisten und Netzwerksicherheitsgruppen
Sicherheitslisten und Netzwerksicherheitsgruppen (NSGs) sind wichtige Komponenten des Netzwerksicherheitsangebots von OCI. Sicherheitslisten bieten Administratoren eine einfache Möglichkeit, Listen mit IP-Adressen zu erstellen und auf bestimmte Ressourcen anzuwenden. Dadurch können sie den Netzwerkverkehr auf und von diesen Ressourcen einschränken. Beispiel: Ein Administrator kann eine Sicherheitsliste erstellen, die nur Traffic aus einem bestimmten IP-Bereich für den Zugriff auf eine in OCI gehostete Webanwendung zulässt.
Mit NSGs können Administratoren Regeln definieren, die den Netzwerktraffic zwischen Ressourcen regulieren. Auf diese Weise können sie steuern, welche Ressourcen miteinander kommunizieren können und welche Arten von Traffic zulässig sind. Beispiel: Ein Administrator kann eine NSG-Regel erstellen, die nur SSH-Traffic von einem bestimmten IP-Bereich zu einer Compute-Instanz in OCI zulässt.
Mit Sicherheitslisten und NSGs können Administratoren das Risiko eines nicht autorisierten Zugriffs auf Ihre Ressourcen erheblich reduzieren. Sie bieten eine granulare Kontrolle über den Netzwerkverkehr und ermöglichen Administratoren die Durchsetzung des Least-Privilege-Prinzips. Dies ist eine grundlegende Best Practice für die Sicherheit.
Subnetz - Netzwerkfilterung und Firewalls
OCI bietet Netzwerksicherheitsfunktionen, um Ihre Ressourcen vor externen Bedrohungen und unbefugtem Zugriff zu schützen. Die Funktionen für Subnetznetzwerkfilterung und Firewalls arbeiten zusammen, um eine sichere Netzwerkumgebung bereitzustellen.
Die Netzwerkfilterung im Subnetz ist ein Tool, mit dem Administratoren den Netzwerkverkehr basierend auf IP-Adressen oder Ports filtern können. Sie können damit Zugriffskontrollregeln für Ihre Subnetze erstellen, mit denen Traffic basierend auf bestimmten Kriterien blockiert oder zugelassen werden kann. Durch die Filterung des Traffics auf Subnetzebene können Sie das Risiko eines nicht autorisierten Zugriffs verringern und sich vor externen Bedrohungen schützen.
Firewalls sind ein weiteres Sicherheitsfeature von OCI, mit dem Sie Regeln erstellen können, um bestimmten Netzwerktraffic zu blockieren oder zuzulassen. Mit OCI können Sie Firewallregeln erstellen, um den Zugriff auf Ihre Ressourcen basierend auf der Quell-IP-Adresse, der Ziel-IP-Adresse, dem Protokoll und der Portnummer zu kontrollieren. Durch die Erstellung spezifischer Firewallregeln können Sie die Sicherheit Ihres Netzwerks weiter verbessern und das Risiko eines unbefugten Zugriffs auf Ihre Ressourcen reduzieren.
Beispiel: Mit der Subnetz-Netzwerkfilterung können Sie den gesamten Datenverkehr aus einem bestimmten IP-Adressbereich blockieren. Mit Firewalls können Sie dann Datenverkehr nur von bestimmten IP-Adressen oder Ports zulassen. Dieser mehrschichtige Ansatz zur Netzwerksicherheit kann das Risiko von unbefugtem Zugriff erheblich reduzieren und Ihre Ressourcen vor externen Bedrohungen schützen.
Gateway
Internetgateway, NAT-Gateway und Servicegateway sind von OCI bereitgestellte Netzwerkfeatures, die eine entscheidende Rolle bei der Aufrechterhaltung einer sicheren und robusten Netzwerkinfrastruktur spielen.
Internetgateway ist ein Service, der Zugriff auf das öffentliche Internet über Ihr virtuelles Cloud-Netzwerk (VCN) ermöglicht. Ein Internetgateway ermöglicht Traffic zwischen Instanzen in Ihrem VCN und im Internet. So können Sie Websites hosten, Anwendungen ausführen, die Internetzugriff erfordern, und eine Verbindung zu anderen Cloud-Services herstellen.
Mit der Bequemlichkeit von Internet Gateway kommt erhöhte Sicherheitsrisiken. Unerwünschter Verkehr und potenzielle Angriffe können über das Internet kommen. Es ist wichtig, die Kommunikation und die über dieses Gateway freigegebenen Daten zu sichern. Die Verwendung von SSL/TLS-Verschlüsselungsprotokollen ist hierfür der beste Ansatz.
Mit NAT-Gateway können private Instanzen in Ihrem VCN auf das Internet zugreifen und gleichzeitig einen sicheren Status beibehalten. NAT-Gateway bietet ausgehende Internetkonnektivität für private Instanzen, denen keine öffentlichen IP-Adressen zugewiesen sind. Sie fungiert als Gatekeeper zwischen dem Internet und Ihrem VCN, indem sie private IP-Adressen in eine öffentliche IP-Adresse übersetzt. NAT Gateway bietet eine sichere und kontrollierte Möglichkeit, auf das Internet zuzugreifen, ohne dass das interne Netzwerk externen Bedrohungen ausgesetzt wird.
Service Gateway ermöglicht den Zugriff auf OCI-Services über eine On-Premises-Infrastruktur oder andere Cloud-Provider. Es bietet eine sichere Verbindung zwischen Ihrem VCN und anderen Cloud-Services oder On-Premise-Infrastrukturen, ohne dass ein Internetgateway erforderlich ist. Service Gateway ist eine Alternative zu internetbasierten Verbindungen und bietet eine sichere und private Möglichkeit, eine Verbindung zu anderen Cloud-Providern oder einer On-Premises-Infrastruktur herzustellen.
Internetgateway, NAT-Gateway und Servicegateway sind wesentliche Netzwerkfeatures von OCI, die Konnektivität zum Internet und zu anderen Cloud-Providern ermöglichen und gleichzeitig eine sichere Position gewährleisten. Es ist wichtig, sicherzustellen, dass angemessene Sicherheitsmaßnahmen wie SSL/TLS-Verschlüsselung vorhanden sind, um unbefugten Zugriff zu verhindern und Ihre Daten zu schützen.
Privater Zugriff
Privater Zugriff ermöglicht eine sichere Kommunikation zwischen Ressourcen innerhalb eines virtuellen Cloud-Netzwerks (VCN) oder von On-Premise-Netzwerken, ohne das Internet zu durchlaufen. So können Sie ein hohes Maß an Sicherheit und Kontrolle über Ihre Cloud-Umgebung aufrechterhalten.
Private Access trägt dazu bei, die Sicherheit zu gewährleisten, indem unbefugter Zugriff auf Ressourcen aus dem Internet verhindert wird. Dies reduziert das Risiko von Cyberangriffen und Datenverletzungen. Private Access stellt auch sicher, dass der Netzwerkverkehr im Netzwerk der Organisation bleibt und nicht dem öffentlichen Internet ausgesetzt ist.
Beispiel: Möglicherweise befindet sich eine Datenbankinstanz in einem privaten Subnetz, auf die nur bestimmte Instanzen innerhalb desselben VCN- oder On-Premise-Netzwerks zugreifen dürfen. Mit Private Access können Sie sicherstellen, dass die Datenbank nicht dem öffentlichen Internet zugänglich ist und nur autorisierte Benutzer und Anwendungen darauf zugreifen können.
Darüber hinaus kann Private Access Ihnen dabei helfen, Vorschriften einzuhalten, die eine sichere Speicherung und Übermittlung von Daten erfordern, wie die Datenschutz-Grundverordnung (DSGVO) und das Health Insurance Portability and Accountability Act (HIPAA).
API Gateway
API Gateway ist ein von OCI bereitgestellter Service, der eine entscheidende Rolle bei der Aufrechterhaltung des Sicherheitsstatus einer Organisation spielt. Damit können Sie APIs mit privaten Endpunkten veröffentlichen, auf die über Ihr Netzwerk zugegriffen werden kann, wodurch der Internettraffic reduziert wird. Dieser private Zugriff auf APIs schützt vor unbefugtem Zugriff und potenziellen Sicherheitsverletzungen.
Der API Gateway-Service bietet außerdem eine Reihe von Sicherheitsfunktionen wie API-Validierung, Anforderungs- und Antworttransformation, Cross-Origin Resource Sharing (CORS), Authentifizierung und Autorisierung sowie Anforderungsbegrenzung. Mit diesen Funktionen können Sie die API-Endpunkte sichern, indem Sie sicherstellen, dass nur autorisierte Benutzer und Geräte darauf zugreifen können. API Gateway bietet eine einfache Authentifizierung mit nativer OCI Identity and Access Management-(IAM-)Funktionalität, mit der Administratoren den Benutzerzugriff und die Berechtigungen für Ressourcen in OCI verwalten können.
Mit dem API-Gateway-Service können Sie API-Gateways in einem regionalen Subnetz erstellen, um Traffic von API-Clients zu verarbeiten und an Backend-Services weiterzuleiten. Dieser Service kann mehrere Backend-Services wie Load Balancer, Compute-Instanzen und OCI Functions mit einem einzigen konsolidierten API-Endpunkt verknüpfen, um die Verwaltung und Sicherheit zu vereinfachen.
Beispiel: Mit dem API-Gateway-Service können Sie eine RESTful-API sicher bereitstellen, mit der Ihre Kunden von mobilen Geräten auf bestimmte Daten und Services wie Kontoinformationen zugreifen können. Das API-Gateway kann so konfiguriert werden, dass nur autorisierte Benutzer auf die Daten und Services zugreifen können. Außerdem kann es die Daten validieren und transformieren, um sicherzustellen, dass sie die erforderlichen Standards erfüllen.
Zero Trust
OCI unterstützt einen Zero Trust-Sicherheitsansatz, bei dem davon ausgegangen wird, dass der gesamte Netzwerktraffic unabhängig von der Quelle nicht vertrauenswürdig ist. Der Zugriff auf Ressourcen wird autorisierten Benutzern nur auf der Grundlage von Kenntnissen und mit den entsprechenden Berechtigungen gewährt. Bei diesem Ansatz werden die Identität und der Sicherheitsstatus von Geräten und Benutzern kontinuierlich überprüft, bevor der Zugriff auf Ressourcen gewährt wird.
Mit dem Identity and Access Management-(IAM-)Service von OCI können Sie beispielsweise Zugriffskontroll-Policys mit geringsten Berechtigungen durchsetzen, die Multifaktor-Authentifizierung (MFA) implementieren und den Zugriff auf Ressourcen in Echtzeit überwachen. Darüber hinaus helfen die Verwendung von VPN und privaten Zugriffsoptionen, wie FastConnect und VPN Connect, den Netzwerkverkehr zu sichern und bieten eine zusätzliche Schutzschicht vor unbefugtem Zugriff.
Die Integrationen von OCI mit Sicherheitspartnern wie CrowdStrike und Check Point verbessern auch die Sicherheit, indem sie Funktionen zur Erkennung von Bedrohungen und zur Reaktion bereitstellen.
Eindringerkennung und -prävention und SSL-Inspektion
OCI bietet mehrere Sicherheitsfunktionen zum Schutz vor Netzwerkbedrohungen, darunter Intrusion Detection and Prevention (IDP) und SSL Inspection. Mit IDP können Administratoren den Netzwerkverkehr in Echtzeit überwachen und Warnungen erhalten, wenn verdächtige Aktivitäten erkannt werden. Darüber hinaus kann IDP automatisch Maßnahmen ergreifen, um zu verhindern, dass identifizierte Bedrohungen Schaden verursachen. Mit SSL Inspection können Administratoren verschlüsselten Datenverkehr überprüfen, um sicherzustellen, dass er nicht zur Verteilung von Malware oder anderen böswilligen Inhalten verwendet wird. Mit diesen Features können Sie den Sicherheitsstatus von Cloud-Umgebungen aufrechterhalten und zusätzliche Schutzschichten vor potenziellen Bedrohungen bieten.
Beispiel: Sie können IDP konfigurieren, um Brute-Force-Angriffe auf Ihre Cloud-Ressourcen zu erkennen und zu verhindern, während Sie gleichzeitig SSL Inspection verwenden, um verschlüsselten Datenverkehr zu und von sensiblen Datenbanken zu überwachen.
Trafficprüfung für Inter-VCN-Subnetz und Trafficprüfung zwischen VCN
OCI bietet zwei leistungsstarke Sicherheitsfeatures, Inter-VCN-Subnetz-Trafficprüfung und Inter-VCN-Trafficprüfung, mit denen Administratoren den Traffic zwischen virtuellen Cloud-Netzwerken (VCNs) überwachen und prüfen können. Die Prüfung des Inter-VCN-Subnetztraffics ermöglicht die Überwachung und Prüfung des Traffics zwischen Subnetzen innerhalb desselben VCN, während die Prüfung des Inter-VCN-Traffics dieselbe Funktion für Traffic bereitstellt, die zwischen VCNs durchläuft. Diese Funktionen bieten einen tiefen Einblick in den Netzwerkverkehrsfluss, sodass Sie potenzielle Bedrohungen identifizieren und Maßnahmen ergreifen können, um sie zu verhindern. Durch das Erkennen und Blockieren nicht autorisierter Zugriffsversuche können die Inter-VCN-Trafficprüfung und die Inter-VCN-Subnetz-Trafficprüfung den Sicherheitsstatus Ihrer Cloud-Umgebung aufrechterhalten.
Beispiel: In der OCI-Umgebung können mehrere VCNs vorhanden sein, die jeweils unterschiedliche Ressourcen und Anwendungen enthalten. Mit der Inter-VCN-Trafficprüfung können Sie sicherstellen, dass der Traffic zwischen diesen VCNs geprüft wird und dass böswillige Aktivitäten erkannt und verhindert werden.
Dieses Feature kann besonders nützlich sein, wenn ein VCN sensible Daten oder Anwendungen enthält, die zusätzliche Sicherheitsmaßnahmen erfordern, um sie vor unbefugtem Zugriff zu schützen.
Datenresidenz und -souveränität
Datenresidenz und -souveränität sind für die Sicherheit von Unternehmen, die in mehreren Ländern tätig sind, von wesentlicher Bedeutung. Die Vorschriften zum Datenschutz und zum Datenschutz können von Region zu Region unterschiedlich sein, und es ist wichtig, sie einzuhalten, um die Sicherheit sensibler Daten zu gewährleisten. OCI bietet Optionen zur Datenresidenz, mit denen Sie Ihre Daten in bestimmten Regionen oder Ländern speichern können, um die gesetzlichen Anforderungen zu erfüllen. Dies stellt sicher, dass Sie lokale Datenschutzgesetze einhalten und das Risiko von Datenschutzverletzungen oder unbefugtem Zugriff aufgrund von Nichteinhaltung reduzieren können. Darüber hinaus werden die Datenresidenzoptionen von OCI durch robuste Sicherheitskontrollen wie Verschlüsselung im Ruhezustand und während der Übertragung, Zugriffskontrollen und Netzwerksicherheitsfunktionen unterstützt, um eine sichere Umgebung zum Speichern und Verarbeiten von Daten bereitzustellen.
Logging und Erkennungskontrolle
Logging and Detection Control ist ein wichtiges Sicherheitstool, mit dem Administratoren Logs in OCI zu Compliancezwecken effektiv überwachen und verwalten können. Mit diesem Feature können Sie Benutzeraktivitäten verfolgen und analysieren, einschließlich Änderungen an Konfigurationen, Authentifizierungs- und Autorisierungsversuchen sowie Netzwerkverkehr. Dadurch erhalten Sie einen umfassenden Überblick über den allgemeinen Sicherheitsstatus des Systems.
Das Feature Logging und Detection Control von OCI umfasst vorkonfigurierte Logging-Policys, mit denen Sie potenzielle Sicherheitsbedrohungen schnell identifizieren und darauf reagieren können. Sie können diese Policys an Ihre Anforderungen anpassen und automatische Alerts für Ereignisse mit hohem Risiko aktivieren. Die von Logging and Detection Control generierten Protokolle können in SIEM-(Security Information and Event Management-)Systeme von Drittanbietern integriert werden, um eine noch umfassendere Sicherheitsanalyse bereitzustellen.
Beispiel: Mit Logging and Detection Control von OCI können Sie Bedrohungen über mehrere Ressourcen hinweg überwachen und erkennen, wie Compute-Instanzen, Load Balancer und Datenbanken. Im Falle eines potenziellen Sicherheitsvorfalls können Sie schnell auf die Bedrohung reagieren und geeignete Maßnahmen ergreifen, wie das Entziehen des Zugriffs oder das Ändern von Konfigurationen, um die Sicherheit des Systems zu gewährleisten.
Gemeinsame Verantwortung
Die Cloud-Sicherheit ist ein Modell mit gemeinsamer Verantwortung, bei dem sowohl der Cloud-Serviceprovider als auch der Kunde eine Rolle bei der Gewährleistung der Sicherheit von Ressourcen spielen. Der Cloud-Service-Provider ist für die Sicherheit der zugrunde liegenden Cloud-Infrastruktur verantwortlich, während der Kunde für die Sicherung seiner Anwendungen und Daten, die er in der Cloud bereitstellt, verantwortlich ist.
Beispiel: In OCI ist Oracle für die physische Sicherheit der Data Center, die Sicherheit des Netzwerks und die Verfügbarkeit der Infrastruktur verantwortlich. Sie sind für die Sicherung Ihrer Cloud-Anwendungen, virtuellen Maschinen und Daten verantwortlich. Stellen Sie sicher, dass Sie Sicherheitsgruppen und Netzwerksicherheitsregeln ordnungsgemäß konfiguriert haben, um nicht autorisierten Zugriff zu verhindern.
Verschlüsselung in Transit und Rest
OCI bietet wichtige Tools und Services wie SSL/TLS-Verschlüsselung und Oracle Key Management, um die Verschlüsselung während der Übertragung und im Ruhezustand sicherzustellen, die wichtige Elemente einer umfassenden Sicherheitsstrategie sind. Die Verschlüsselung trägt dazu bei, sensible Daten vor unbefugtem Zugriff zu schützen und die Vertraulichkeit und Integrität von Daten sowohl während der Übertragung als auch im Ruhezustand zu wahren.
Beispiel: Sie können die SSL-/TLS-Verschlüsselung verwenden, um den Netzwerkverkehr zwischen Ihren Clients und Services zu sichern und sicherzustellen, dass die zwischen ihnen ausgetauschten Daten verschlüsselt und sicher sind.
Ebenso bietet Oracle Key Management eine sichere und zentralisierte Schlüsselverwaltungslösung, mit der Sie die Verschlüsselungsschlüssel verwalten und schützen können, die zum Sichern Ihrer Daten in OCI verwendet werden.
Multifaktor-Authentifizierung
Die Multifaktor-Authentifizierung (MFA) ist eine Sicherheitsmaßnahme, bei der Benutzer zwei oder mehr Authentifizierungsformen angeben müssen, bevor sie auf ein System oder eine Anwendung zugreifen können. Dies verhindert den unbefugten Zugriff auf sensible Daten und Ressourcen, selbst wenn das Kennwort eines Benutzers kompromittiert ist. MFA ist ein wichtiger Bestandteil jeder Sicherheitsstrategie, insbesondere in der Cloud, in der häufig von entfernten Standorten aus auf Daten und Anwendungen zugegriffen wird.
OCI bietet MFA als Feature, mit dem Sie Ihren Sicherheitsstatus verbessern können. Bei MFA müssen Benutzer zusätzlich zu Benutzername und Kennwort eine zweite Form der Authentifizierung angeben, wie z.B. ein einmaliges Kennwort oder biometrische Informationen. Dies bedeutet, dass selbst wenn das Passwort eines Benutzers gestohlen oder erraten wird, ein Angreifer immer noch Zugriff auf das Telefon oder ein anderes physisches Gerät des Benutzers haben muss, um Zugang zu Ihrem Konto zu erhalten.
Neben der Verbesserung der Sicherheit kann MFA Ihnen auch dabei helfen, Branchenvorschriften und -standards einzuhalten. Beispiel: Der Payment Card Industry Data Security Standard (PCI DSS) erfordert MFA für den gesamten Remotezugriff auf Karteninhaberdaten. Durch die Implementierung von MFA in Ihrer Cloud-Umgebung können Sie diese Anforderungen erfüllen und potenzielle Bußgelder oder andere Strafen vermeiden.