1. Benachrichtigung über Zugangsdatenablauf für OCI Identity and Access Management aktivieren
  2. Informationen zum Aktivieren der Benachrichtigung über Zugangsdatenablauf für OCI

Informationen zum Aktivieren der Benachrichtigung über Zugangsdatenablauf für OCI

Für ein Team für Sicherheitsvorgänge (SecOps) ist es eine Herausforderung, die rechtzeitige Rotation von IAM-Secrets zu verfolgen und sicherzustellen. Diese Automatisierungslösung trägt zur Verbesserung der Sicherheit bei, indem sie eine Benachrichtigung über den vorzeitigen Ablauf von Oracle Cloud Infrastructure-(OCI-)Zugangsdaten ermöglicht.

OCI Identity and Access Management-Secrets sind Zugangsdaten wie API-Schlüssel, Datenbank- und Cloud-Zugangsdaten, Zertifikate, SSH-Schlüssel oder Authentifizierungstoken, die gespeichert, aufgerufen und verteilt werden.

Best Practices der Gemeinschaft empfehlen, Geheimnisse regelmäßig zu wechseln. Je mehr Daten Sie mit einem Schlüssel verschlüsseln, desto mehr Daten werden verfügbar gemacht, wenn dieser Schlüssel kompromittiert wird. Je länger Sie den Schlüssel verwenden, desto wahrscheinlicher ist es, dass er durch einige Mittel geleakt wird. Durch Drehen von Schlüsseln können Sie die Daten in Compartments einteilen und so die Auswirkungen eines durchgesickerten Schlüssels begrenzen. Daher ist eine frühzeitige Benachrichtigung ein Schlüssel für den Benutzer und das SecOps-Team.

Durch das Rotieren von OCI Identity and Access Management-Zugangsdaten wird das Zeitfenster für die Verwendung eines Zugriffsschlüssels reduziert, der mit einem kompromittierten oder beendeten Account verknüpft ist. Oracle Cloud Guard ist ein Cloud-nativer Service, mit dem Sie den Sicherheitsstatus überwachen und Ereignisse nach Ablauf von OCI Identity and Access Management-Secrets auslösen können. Wir empfehlen, IAM-Zugangsdaten alle 90 Tage zu rotieren.

Architektur

Mit erweiterten Benachrichtigungen können Benutzer ihre Secrets rotieren und die Anwendungs-Workload aktualisieren. Diese OCI-Architektur verwendet OCI Functions, einen serverlosen Compute-Service, um JSON-Daten aus dem OCI Identity and Access Management-Service zu lesen.

Das folgende Diagramm veranschaulicht den Workflow zum Senden von Berichten an das SecOps-Team und zur frühzeitigen E-Mail-Benachrichtigung an Benutzer.

Beschreibung von credential-expiry-notif-workflow.png folgt
Beschreibung der Abbildung credential-expiry-notif-workflow.png

credential-expiry-notif-workflow-oracle.zip

Der Workflow besteht aus zwei Abschnitten: dem Team SecOps und der Automatisierung. Nachdem das SecOps-Team die Konfiguration abgeschlossen hat, verarbeiten die OCI Functions- und OCI Resource Scheduler-Services die Automatisierung.

  1. Das SecOps-Team startet den Workflow, indem es die Schwellenwerte, ausgenommenen Benutzer und andere Parameter für OCI Functions konfiguriert. Nachdem das SecOps-Team die Parameter für OCI Functions konfiguriert hat, erfolgt der Workflow vollständig in Automation.
  2. Der OCI Scheduler sendet Daten an OCI Functions.
  3. OCI Functions validiert den Ablauf, indem der API-Schlüssel, der Authentifizierungscode und der Kunden-Secret-Key abgerufen und ermittelt wird, ob er den Schwellenwert überschreitet.
  4. Die Entscheidung "Schwellenwert überschreiten" bestimmt, ob es sich bei dem Ablauf um eine Warnung, einen kritischen oder einen abgelaufenen Wert handelt, und sendet diesen an die nächste Entscheidung, um den erforderlichen Bericht zu bestimmen.
  5. Die Entscheidung für den wöchentlichen/monatlichen Opt-in-Bericht bestimmt das Reporting.
    • Ja: Wenn sich die Konfiguration für einen wöchentlichen oder monatlichen Bericht entscheidet, wird automatisch ein E-Mail-Bericht an das SecOps-Team gesendet, das den Workflow beendet.
    • Nein: Wenn die Konfiguration keinen wöchentlichen oder monatlichen Bericht enthält, bestimmt die Automatisierung, ob der Benutzer befreit ist.
  6. Die Entscheidung "Benutzerbefreit" bestimmt die Automatisierung:
    • Ja: Wenn der Benutzer von der Steuer befreit ist, sendet die Automatisierung einen E-Mail-Bericht an den Benutzer. Der Workflow ist beendet.
    • Nein: Wenn der Benutzer nicht befreit ist, löscht die Automatisierung die abgelaufenen Secrets und sendet einen E-Mail-Bericht an den Benutzer. Der Workflow ist beendet.

Diese Architektur unterstützt die folgenden Komponenten:

  • Identity and Access Management (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) ist die Zugriffskontrollebene für Oracle Cloud Infrastructure (OCI) und Oracle Cloud Applications. Mit der IAM-API und der Benutzeroberfläche können Sie Identitätsdomains und die Ressourcen innerhalb der Identitätsdomain verwalten. Jede OCI-IAM-Identitätsdomain stellt eine eigenständige Identity and Access Management-Lösung oder eine andere Benutzerpopulation dar.

  • OCI-Ressourcenplanung

    Der Oracle Cloud Infrastructure Resource Scheduler-Service ist in den OCI Identity and Access Management-Service integriert und bietet eine einfache Authentifizierung mit nativer OCI-Identitätsfunktionalität. OCI Resource Scheduler verarbeitet Ressourcen in einem Mandanten oder einer Gruppe von verwalteten Mandanten planmäßig auf Root-Compartment-Ebene.

    Mit dem Service können Sie Pläne erstellen und verwalten, die Aktionen für eine Sammlung von Datenbank- und Compute-OCI-Ressourcen in Ihrem Mandanten ausführen, sodass deren Lebenszyklus und Betriebszeiten verwaltet werden.

  • Cloud Guard

    Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf bestimmte riskante Aktivitäten zu überwachen. Wenn eine falsche Konfiguration oder unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf den Responder-Rezepten, die Sie definieren können.

  • Monitoring

    Der Oracle Cloud Infrastructure Monitoring-Service überwacht Ihre Cloud-Ressourcen aktiv und passiv mit Metriken, um Ressourcen und Alarme zu überwachen und Sie zu benachrichtigen, wenn diese Metriken alarmspezifische Trigger erfüllen.

  • Funktionen

    Oracle Cloud Infrastructure Functions ist eine vollständig verwaltete, mehrmandantenfähige, hoch skalierbare, bedarfsgesteuerte Functions-as-a-Service-(FaaS-)Plattform. Es wird von der Open-Source-Engine Fn Project angetrieben. Mit OCI Functions können Sie Ihren Code bereitstellen und entweder direkt aufrufen oder als Reaktion auf Ereignisse auslösen. OCI Functions verwendet Docker-Container, die in Oracle Cloud Infrastructure Registry gehostet werden.

  • E-Mail-Versand

    Oracle Cloud Infrastructure Email Delivery ist ein hoch skalierbarer, kosteneffektiver und zuverlässiger E-Mail-Zustellungsservice zum Senden von anwendungsgenerierten E-Mails mit hohem Volumen für geschäftskritisches Marketing, Benachrichtigungen und Transaktionskommunikation wie Quittungen, Betrugserkennungsalerts, Multifaktor-Identitätsverifizierung und Kennwortzurücksetzungen.

Erforderliche Services und Rollen

Für diese Lösung sind die folgenden Oracle Cloud Infrastructure-(OCI-)Services und -Rollen erforderlich:

  • OCI Vault

  • OCI Functions

  • OCI-Ressourcenplanung

  • OCI Identity and Access Management
  • OCI Monitoring
  • Oracle Cloud Guard

Dies sind die Rollen, die für jeden Service erforderlich sind.

Servicename: Rolle Erforderlich für...
OCI Vault: Secret Berechtigungen verwalten.
OCI Functions: Functions-Entwickler mit einem OCI-Benutzeraccount, der zu Gruppen gehört, denen entsprechende Policys Zugriff auf funktionsbezogene Ressourcen erteilen OCI Functions erstellen und bereitstellen.
OCI Resource Scheduler: Planen Zeitpläne erstellen und verwalten
OCI Identity and Access Management: Policys Erstellen Sie die erforderlichen Policys.

Weitere Informationen finden Sie unter Oracle-Produkte, -Lösungen und -Services.

Überlegungen zur Sicherheit

Berücksichtigen Sie beim Entwerfen dieser Lösung die folgenden Sicherheitsanforderungen:

Empfohlen
  1. Senden Sie dem Benutzer eine einzelne E-Mail für alle Identitätsdomains im Mandanten, nachdem der Schwellenwert für jeden Schweregrad überschritten wurde (Warnung, kritisch oder Ablauf).
  2. Senden Sie einen konsolidierten Bericht gemäß dem konfigurierten Parameter an SecOps. Beispiel: wöchentlich oder monatlich.
Erforderlich
  1. Die Automatisierung muss den Ablauf des Secret-Posts löschen, es sei denn, der Benutzer hat ihn in die Liste der Ausnahmen aufgenommen.
  2. Senden Sie für jeden konfigurierten Parameter einen konsolidierten Bericht an SecOps. Beispiel: wöchentlich oder monatlich.
  3. Speichern Sie das SMTP-(Simple Mail Transfer Protocol-)Kennwort in Oracle Cloud Infrastructure Vault.
  4. Akzeptieren Sie verschiedene Konfigurationsparameter, um ein erneutes Deployment der Automatisierungslösung zu vermeiden.