1. Best Practices-Framework für Oracle Cloud Infrastructure
  2. Identitäten und Autorisierungs-Policys verwalten

Identitäten und Autorisierungs-Policys verwalten

Mit Oracle Cloud Infrastructure Identity and Access Management können Sie kontrollieren, wer auf Ihre Cloud-Ressourcen zugreifen kann.Zu den Zugangsdaten für Zugriff und Autorisierung gehören API-Schlüssel, Anmeldekennwort, föderierte Anmeldung und Authentifizierungstoken. Schützen Sie Ihren Cloud-Account und Ihre Ressourcen mit den entsprechenden Zugangsdaten. Oracle empfiehlt Ihnen, bei der Implementierung des Identity-Managements in der Cloud die folgenden Empfehlungen anzunehmen.

Verwendung der Multi-Factor Authentication (MFA) erzwingen

Enterprise Architect, Security Architect, Application Architect

Schränken Sie den Zugriff auf Ressourcen nur auf Benutzer ein, die über ein zeitlich begrenztes Einmalkennwort authentifiziert wurden.
Sie sollten dies auf Benutzerebene erforderlich machen und auf Ressourcenebene über IAM erzwingen. Sie können MFA für eine Ressource in der Zugriffs-Policy erzwingen, die den Zugriff auf die Ressource zulässt. Beispiel: Die folgende Policy erzwingt MFA, wenn Benutzer in GroupA Ressourcen verwalten, die zur Instanzfamilie in einem beliebigen Compartment gehören.
allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

Mandantenadministratoraccount nicht für alltägliche Vorgänge verwenden

Enterprise Architect, Security Architect, Application Architect

Administratoren auf Serviceebene im Mandanten müssen erstellt werden, um den administrativen Zugriff weiter einzuschränken. Administratoren auf Serviceebene dürfen nur Ressourcen eines bestimmten Service oder einer bestimmten Domain verwalten.
Beispiel: Mit der folgenden Policy können Benutzer in der Gruppe VolumeAdmins nur die Ressourcen in der Familie der Block-Volumes verwalten.
Allow group VolumeAdmins to manage volume-family in tenancy

Sicherheits-Policys erstellen, um Sperre von Administratoraccounts zu verhindern

Enterprise Architect, Security Architect

In diesem Fall verlässt der Mandantenadministrator Ihre Organisation.

Administratorfähigkeiten einer Mandantenadministratorengruppe einschränken

Enterprise Architect, Security Architect

Administratorberechtigungen müssen der Regel der geringsten Berechtigung entsprechen, sodass die Mitgliedschaft zu einer Admin-Gruppe oder der Anhang zu einer Admin-Policy auf die erforderliche Basis beschränkt werden muss.

Mit der folgenden Policy können Benutzer in der Gruppe UserAdmins nur die Gruppen im Mandanten prüfen. 

Allow group UserAdmins to inspect groups in tenancy

Versehentliches oder böswilliges Löschen von (und Änderungen an) Zugriffs-Policys verhindern

Enterprise Architect, Security Architect, Application Architect

Beispiel: Mit der folgenden Policy können Benutzer in der Gruppe PolicyAdmins nur Policys erstellen, jedoch nicht bearbeiten oder löschen. 
Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

Oracle Cloud Infrastructure Identity and Access Management föderieren

Enterprise Architect, Security Architect, Application Architect

Föderieren Sie Oracle Cloud Infrastructure Identity and Access Management nach Möglichkeit und relevant mit dem zentralen Identitätsprovider Ihrer Organisation (IdP).
  • Erstellen Sie eine Federation-Administratorgruppe, die der Administratorgruppe des föderierten IdP zugeordnet ist und denselben Sicherheits-Policys unterliegt wie die Administratorgruppe des föderierten IdP.
  • Erstellen Sie einen lokalen Benutzer, und weisen Sie ihn der Standard-IAM-Gruppe Administrators zu. Verwenden Sie diesen Benutzer für Break-Glass-Szenarios (z.B. nicht auf Ressourcen über Federation zugreifen).
  • Definieren Sie eine Policy, um zu verhindern, dass die IAM-Gruppe der föderierten Administratoren die Mitgliedschaft der Standardmandantengruppe Administrators ändert.
  • Erkennen Sie nicht autorisierten Zugriff und Vorgänge, indem Sie die Auditlogs auf Vorgänge durch Mandantenadministratoren und Änderungen an der Gruppe Administrators überwachen.

Aktivitäten und Status aller Benutzer überwachen und verwalten

Enterprise Architect, Security Architect, Application Architect

Aktivitäten und Status aller Benutzer überwachen und verwalten
  • Wenn ein Mitarbeiter die Organisation verlässt, deaktivieren Sie den Zugriff auf den Mandanten, indem Sie den Benutzer sofort löschen.
  • Erzwingen Sie die Rotation des Benutzerpassworts und der API-Schlüssel alle 90 Tage oder weniger.
  • Stellen Sie sicher, dass die Identity and Access Management-(IAM-)Zugangsdaten in Ihrer Software- oder Vorgangsdokumentation nicht hartcodiert sind.
  • Erstellen Sie einen IAM-Benutzer für alle Personen in der Organisation, die Zugriff auf Ressourcen im Mandanten benötigen. IAM-Benutzer nicht für mehrere Benutzer freigeben.
  • Prüfen Sie die Benutzer in IAM-Gruppen regelmäßig, und entfernen Sie Benutzer, die keinen Zugriff mehr benötigen.
  • Ändern Sie IAM-API-Schlüssel mindestens alle 90 Tage, um das Risiko einer Kompromisslösung zu reduzieren.

Weitere Informationen