IDs und Autorisierungs-Policys verwalten

Mit Oracle Cloud Infrastructure Identity and Access Management können Sie den Zugriff auf Ihre Cloud-Ressourcen kontrollieren. Zugangsdaten für den Zugriff und die Autorisierung umfassen API-Schlüssel, Anmeldekennwort, föderierte Anmeldung und Authentifizierungstoken. Verwenden Sie die entsprechenden Zugangsdaten, um Ihren Cloud-Account und Ihre Ressourcen zu schützen. Oracle empfiehlt Ihnen, bei der Implementierung des Identitätsmanagements in der Cloud die folgenden Empfehlungen zu übernehmen.

Multifaktor-Authentifizierung (MFA) verwenden

Enterprise Architect, Security Architect, Application Architect

Beschränken Sie den Zugriff auf Ressourcen nur auf Benutzer, die über die Single Sign-On-Lösung Ihres Unternehmens authentifiziert wurden, sowie auf ein zeitlich begrenztes Einmalkennwort oder einen anderen geeigneten Faktor wie eine biometrische Scanfunktion.

Mit OCI Identity and Access Management-(IAM-)Identitätsdomains wird MFA in einer vordefinierten Anmelde-Policy für die OCI-Konsole konfiguriert und durchgesetzt. Diese Policy darf nicht deaktiviert werden.

Sie müssen dies auf Benutzerebene erfordern und über IAM auf Ressourcenebene durchsetzen. Sie können MFA für eine Ressource in der Zugriffs-Policy erzwingen, die Zugriff auf die Ressource zulässt.

MFA kann auch für Anwendungsfälle mit Notfallzugriff konfiguriert werden, wenn Sie einem Benutzer temporären erweiterten Zugriff erteilen müssen, um die regelmäßige Zugriffskontrolle zu umgehen und sofortigen Zugriff auf kritische Systeme zu erhalten.

Mandantenadministratoraccount nicht für alltägliche Vorgänge verwenden

Enterprise Architect, Security Architect, Application Architect

Administratoren auf Serviceebene im Mandanten müssen erstellt werden, um den administrativen Zugriff weiter einzuschränken. Administratoren auf Serviceebene sollten nur Ressourcen eines bestimmten Service oder einer bestimmten Domain verwalten.
Beispiel: Mit der folgenden Policy können Benutzer in der Gruppe VolumeAdmins nur die Ressourcen in der Block-Volume-Familie verwalten.
Allow group VolumeAdmins to manage volume-family in tenancy

Sicherheits-Policys erstellen, um eine Sperrung des Administratorkontos zu verhindern

Enterprise Architect, Security Architect

Erstellen und schützen Sie einen Admin-Account speziell für den Fall, dass der Mandantenadministrator Ihre Organisation verlässt, oder für einen anderen Notfall, wenn keine Mandantenadministratoren verfügbar sind.

Beispiel: Erstellen Sie eine Notfallbenutzerpersona mit einer Mitgliedschaft in der OCI-Gruppe "Administratoren", nicht föderiert und nur mit einem lokalen Kennwort. Dies wird manchmal als "Break Glass"-Konto bezeichnet.

Break Glass bezieht sich auf die Prozesse und Mechanismen, die verwendet werden, um im Falle eines IT-Notfalls einen hoch privilegierten Zugang zu erhalten. Der Begriff leitet sich von der Praxis ab, einen Alarmauslöser hinter einer Schutzglasscheibe zu platzieren, die als physische Barriere dient, um eine unbefugte oder nicht notfallmäßige Aktivierung zu verhindern. In der IT wird Break Glass metaphorisch verwendet, um die Notwendigkeit vollständiger Zugriffsberechtigungen während eines kritischen Notfalls zu beschreiben, der nicht innerhalb der etablierten SOD- und am wenigsten privilegierten Zugriffskontrollen behandelt werden kann. Die Hauptmerkmale eines effektiven Break-Glass-Prozesses sind Hochverfügbarkeit, eingeschränkter Zugriff, Risikobewertung, beschleunigte Genehmigung, kurzlebige Berechtigungen, Auditing und regelmäßige Tests. Selbst ein gut durchdachtes Zugangsmodell berücksichtigt möglicherweise nicht alle möglichen Notfälle. In solchen Fällen bietet Break Glass eine Möglichkeit, die höchsten Zugriffsberechtigungen auf ein oder mehrere Break-Glass-Konten zu konzentrieren und so das etablierte Zugriffsmodell zu überschreiten. Mit der OCI-Administratorengruppe können Sie Zugriff mit Notfallzugriff sowie eine alternative Berechtigungsoption erteilen.

IAM-Administratorgruppen von der Verwaltung von Standardadministratoren und Zugangsdatenadministratorgruppen einschränken

Enterprise Architect, Security Architect

Administratorberechtigungen sollten der Regel der geringsten Berechtigung entsprechen, sodass die Mitgliedschaft bei einer Admin-Gruppe oder der Anhang an eine Admin-Policy auf eine Bedarfsbasis beschränkt werden muss.

Mit der folgenden Policy können die Benutzer in der Gruppe UserAdmins nur die Gruppen im Mandanten prüfen. 

Allow group UserAdmins to inspect groups in tenancy

Die sofort einsatzbereite Mandanten-Admin-Policy darf ebenfalls nicht geändert werden.

Verhindern Sie versehentliches oder böswilliges Löschen (und Änderungen) von Zugriffsrichtlinien

Enterprise Architect, Security Architect, Application Architect

Beispiel: Mit der folgenden Policy können Benutzer in der Gruppe PolicyAdmins Policys erstellen, aber nicht bearbeiten oder löschen. 
Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

Beschränken Sie Zugangsdatenadministratoren darauf, nur Benutzerfunktionen und Benutzerzugangsdaten wie API-Schlüssel, Authentifizierungstoken und Secret Keys zu verwalten.

Mehrere Identitätsdomains verwenden

Enterprise Architect, Security Architect

Verwenden Sie die OCI Identity and Access Management-Standardidentitätsdomain nur für OCI-Admins.
  • Verwenden Sie für Anwendungs-Workloads separate Identitätsdomains für jede Umgebung, wie Entwicklung, Test und Produktion.
  • Jede Domain kann unterschiedliche Identitäts- und Sicherheitsanforderungen haben, um Ihre Anwendungen und OCI-Services zu schützen.
  • Mit mehreren Identitätsdomains können Sie die Isolation der Admin-Kontrolle für jede Identitätsdomain beibehalten. Beispiel: Wenn Ihre Sicherheitsstandards verhindern, dass Benutzer-IDs für die Entwicklung in der Produktionsumgebung vorhanden sind, sind mehrere Identitätsdomains erforderlich. Mehrere Domains werden auch verwendet, wenn verschiedene Administratoren die Kontrolle über verschiedene Umgebungen haben müssen.

Oracle Cloud Infrastructure Identity and Access Management föderieren

Enterprise Architect, Security Architect, Application Architect

Föderieren Sie Oracle Cloud Infrastructure Identity and Access Management nach Möglichkeit und Relevanz mit dem zentralisierten Identitätsprovider Ihrer Organisation (IdP).
  • Erstellen Sie eine Föderationsadministratorengruppe, die der Administratorgruppe des föderierten IdP zugeordnet ist und von denselben Sicherheits-Policys wie die Administratorgruppe des föderierten IdP verwaltet wird.
  • Erstellen Sie lokale Benutzer, und weisen Sie die Benutzer den IAM-Standardgruppen Administrators, IAM Administrators und Credential Administrators zu. Verwenden Sie diese Benutzer für Break-Glass-Szenarios (z.B. Unfähigkeit, über Föderation auf Ressourcen zuzugreifen).
  • Definieren Sie eine Policy, um zu verhindern, dass die IAM-Gruppe föderierter Administratoren die Mitgliedschaft der Administrators-Standardmandantengruppen ändert.
  • Erkennen Sie nicht autorisierten Zugriff und nicht autorisierte Vorgänge, indem Sie die Auditlogs auf Vorgänge durch Mandantenadministratoren und Änderungen an den Administrators-Gruppen überwachen.

Aktivitäten und Status aller Benutzer überwachen und verwalten

Enterprise Architect, Security Architect, Application Architect

Überwachen und verwalten Sie die Aktivitäten und den Status aller Benutzer.
  • Wenn ein Mitarbeiter die Organisation verlässt, deaktivieren Sie den Zugriff auf den Mandanten, indem Sie den Benutzer sofort löschen.
  • Setzen Sie die Rotation des Benutzerkennworts, der API-Schlüssel und aller Benutzerfunktionen im Zusammenhang mit der Authentifizierung alle 90 Tage oder weniger durch.
  • Stellen Sie sicher, dass Identity and Access Management-(IAM-)Zugangsdaten in der Dokumentation zu Software oder Vorgängen nicht hartcodiert sind.
  • Erstellen Sie einen IAM-Benutzer für alle Personen in der Organisation, die Zugriff auf Ressourcen im Mandanten benötigen. Geben Sie einen IAM-Benutzer nicht für mehrere menschliche Benutzer frei.
  • Implementieren Sie föderiertes Single Sign-On, um den Zugriff auf mehrere Anwendungen zu optimieren und die Authentifizierung zu zentralisieren.
  • Prüfen Sie die Benutzer in IAM-Gruppen regelmäßig, und entfernen Sie Benutzer, die keinen Zugriff mehr benötigen.

Weitere Informationen