Documentación de Oracle Cloud Infrastructure

Servicios de Seguridad

Obtenga información sobre los servicios de seguridad de Oracle Cloud Infrastructure que proporcionan aislamiento de clientes, gestión de identidades, autorización, cifrado de datos, detección de vulnerabilidades, supervisión y mucho más.

En el siguiente diagrama se ilustran los servicios de seguridad de Oracle Cloud Infrastructure.


Una región tiene 2 VCN y cada VCN tiene un bastión y una subred privada. Cada subred privada tiene una instancia y una base de datos. Una de las VCN está en una zona de seguridad. La otra VCN también tiene una subred pública. La región también tiene un almacén y WAF.

Regiones y dominios de disponibilidad

Una región de Oracle Cloud Infrastructure es el componente de nivel superior de la infraestructura. Cada región es un área geográfica independiente con varias ubicaciones con aislamiento para fallos denominadas dominios de disponibilidad. Un dominio de disponibilidad es un subcomponente de una región y es independiente con un alto nivel de fiabilidad. Cada dominio de disponibilidad se crea con una infraestructura totalmente independiente: edificios, generadores de corriente, equipos de refrigeración y conectividad de red. Con la separación física, se proporciona protección contra desastres naturales y otros desastres.

Los dominios de disponibilidad de la misma región se conectan mediante una red segura, de alta velocidad y de baja latencia, que le permite crear y ejecutar aplicaciones y cargas de trabajo muy fiables con un impacto mínimo en la latencia y el rendimiento de las aplicaciones. Todos los enlaces entre dominios de disponibilidad están cifrados.

Para obtener más información, consulte Regiones y dominios de disponibilidad.

Oracle Cloud Infrastructure también ofrece regiones con características específicas para cumplir los requisitos de seguridad y conformidad de las organizaciones gubernamentales:

Identity and Access Management (IAM)


Este arrendamiento contiene tres dominios de identidad: por defecto, de desarrollo y de producción. Cada dominio de identidad tiene usuarios y grupos. El arrendamiento también tiene políticas y dos compartimentos: A y B. Cada compartimento tiene recursos (recursos informáticos, etc.) y políticas.

El servicio Oracle Cloud Infrastructure Identity and Access Management proporciona autenticación y autorización para todos los recursos y servicios de Oracle Cloud Infrastructure. Puede utilizar un único arrendamiento compartido por varias unidades de negocio, equipos y personas a la vez que se mantiene la seguridad, el aislamiento y la gobernanza.

IAM utiliza los componentes descritos en esta sección. Para comprender mejor cómo encajan los componentes entre sí, consulte Escenario de ejemplo.

COMPARTIMENTO
Recopilación de recursos relacionados. Los compartimentos son un componente fundamental de Oracle Cloud Infrastructure para la organización y el aislamiento de sus recursos en la nube. Los utiliza para separar claramente recursos con el fin de medir el uso y la facturación, el acceso (mediante el uso de políticas) y el aislamiento (separar los recursos de un proyecto o unidad de negocio de otro). Un enfoque común es crear un compartimento para cada parte principal de su organización. Para obtener más información, consulte Más información sobre las mejores prácticas para configurar el arrendamiento.
GRUPOS DINÁMICOS
Tipo especial de grupo que contiene recursos (como instancias informáticas) que coinciden con las reglas que defina (por lo tanto, la afiliación puede cambiar de forma dinámica a medida que se crean o suprimen recursos coincidentes). Estas instancias actúan como actores "principales" y pueden realizar llamadas de API a servicios según las políticas que escriba para el grupo dinámico.
FEDERACIÓN
Relación que un administrador configura entre un proveedor de identidad y un proveedor de servicios. Al federar Oracle Cloud Infrastructure con un proveedor de identidad, gestiona los usuarios y los grupos en él. La autorización se gestiona en el servicio IAM de Oracle Cloud Infrastructure.
GROUP
Recopilación de usuarios que comparten un conjunto similar de privilegios de acceso. Los administradores pueden otorgar políticas de acceso que autorizan a un grupo a usar o gestionar recursos en un arrendamiento. Todos los usuarios de un grupo heredan el mismo conjunto de privilegios.
REGIÓN PRINCIPAL
Región en la que residen sus recursos de IAM. Todos los recursos de IAM son globales y están disponibles en todas las regiones, pero el juego maestro de definiciones reside en una sola región, la región principal. Debe realizar cambios en sus recursos de IAM en la región principal. Los cambios se propagarán automáticamente a todas las regiones. Para obtener más información, consulte Gestión de regiones.
IDENTITY DOMAIN

Un dominio de identidad es un contenedor para gestionar usuarios y roles, federar y aprovisionar usuarios, y proteger la integración de aplicaciones mediante la configuración de Oracle Single Sign-On (SSO) y la administración de OAuth. Representa a un grupo de usuarios de Oracle Cloud Infrastructure y sus configuraciones y valores de seguridad asociados (como MFA).

PROVEEDOR DE IDENTIDAD
Relación de confianza con un proveedor de identidad federado. Los usuarios federados que intentan autenticarse en la consola de Oracle Cloud Infrastructure se dirigen al proveedor de identidad configurado. Después de autenticarse correctamente, los usuarios federados pueden gestionar los recursos de Oracle Cloud Infrastructure en la consola al igual que un usuario nativo de IAM.
MFA
La Autenticación Multifactor (MFA) es un método de autenticación que requiere el uso de más de un factor para verificar la identidad de un usuario.
ORIGEN DE RED
Grupo de direcciones IP que pueden acceder a los recursos de su arrendamiento. Las direcciones IP pueden ser públicas o de una VCN de su arrendamiento. Después de crear el origen de red, utilice la política para restringir el acceso solo a solicitudes que procedan de las IP del origen de red.
RECURSO
Objeto en la nube que crea y utiliza al interactuar con los servicios de Oracle Cloud Infrastructure. Por ejemplo, las instancias informáticas, los volúmenes de almacenamiento de bloques, las redes virtuales en la nube (VCN ), las subredes, las bases de datos, las aplicaciones de terceros, las aplicaciones de software como servicio (SaaS), el software local y las aplicaciones web minoristas.
ROLE
Conjunto de privilegios administrativos que se pueden asignar a un usuario en un dominio de identidad.
POLÍTICA DE SEGURIDAD
Documento que especifica quién puede acceder a recursos determinados y cómo. Puede escribir políticas para controlar el acceso a todos los servicios de Oracle Cloud Infrastructure. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico o al propio arrendamiento. Si otorga a un grupo acceso al arrendamiento, el grupo obtiene automáticamente el mismo tipo de acceso a todos los compartimentos del arrendamiento. Para obtener más información, consulte Escenario de ejemplo y Visión general de las políticas de IAM. La palabra "política" se utiliza de distintas formas: para indicar una sentencia individual escrita en el lenguaje de la política; para indicar una recopilación de sentencias en un documento de "política" con nombre (que tiene un Oracle Cloud ID [OCID] asignado), y para hacer referencia al cuerpo general de políticas que utiliza la organización para controlar el acceso a los recursos.
Al aplicar una política, puede haber un ligero retraso antes de que la política sea efectiva.
POLÍTICA DE CONEXIÓN
Una política de conexión permite a los administradores de dominios de identidad, a los administradores de seguridad y a los administradores de aplicaciones definir criterios que determinen si un usuario puede conectarse a un dominio de identidad.
ETIQUETAS
Las etiquetas permiten organizar recursos en varios compartimentos para la generación de informes o para realizar acciones masivas.
ARRENDAMIENTO
Compartimento raíz que contiene todos los recursos de Oracle Cloud Infrastructure de su organización. Oracle crea automáticamente el arrendamiento de su compañía. Sus entidades de IAM están directamente en el arrendamiento (usuarios, grupos, compartimentos y algunas políticas). También puede colocar políticas en compartimentos dentro del arrendamiento. Puede colocar los otros tipos de recursos de nube (por ejemplo, instancias, redes virtuales, volúmenes de almacenamiento de bloques, etc) dentro de los compartimentos que haya creado.
Los administradores del arrendamiento pueden crear usuarios y grupos, así como asignarles acceso con menos privilegios a recursos particionados en compartimentos.
USER
Un empleado o sistema individual que necesita gestionar o utilizar los recursos de Oracle Cloud Infrastructure de la compañía. Es posible que los usuarios necesiten iniciar instancias, gestionar discos remotos, trabajar con su red virtual en la nube, etc. Los usuarios finales de la aplicación normalmente no son usuarios de IAM. Los usuarios tienen una o más credenciales de IAM (consulte Credenciales de usuario).

Componentes

Un compartimento es un grupo de recursos que se puede gestionar como una sola unidad lógica y ofrece una forma optimizada de gestionar una infraestructura grande. Por ejemplo, puede crear un compartimento HR-Compartment para alojar un juego específico de redes en la nube, instancias informáticas, volúmenes de almacenamiento y bases de datos necesarios para sus aplicaciones de RR. HH.

Utilice compartimentos para separar claramente los recursos de un proyecto o unidad de negocio de otro proyecto o unidad de negocio. Un enfoque común es crear un compartimento para cada parte principal de una organización.

Credenciales

Cada usuario tiene una o más credenciales para autenticarse en Oracle Cloud Infrastructure. Los usuarios pueden generar y rotar sus propias credenciales. Además, un administrador de seguridad del arrendamiento puede restablecer las credenciales de cualquier usuario de su arrendamiento.

  • Contraseña de la consola: se utiliza para autenticar un usuario en la consola de Oracle Cloud Infrastructure.
  • Clave de API: todas las llamadas de API se firman con una clave privada RSA específica del usuario de 2048 bits. El usuario crea un par de claves públicas y carga la clave pública en la consola.
  • Token de autenticación: los tokens de autenticación son cadenas de tokens generadas por Oracle que puede utilizar para autenticarse con API de terceros que no soporten la autenticación basada en firma de Oracle Cloud Infrastructure. Por ejemplo, utilice un token de autenticación para autenticarse con un cliente Swift. Para garantizar una complejidad suficiente, el servicio IAM crea el token y no puede proporcionarlo.
  • Clave secreta de cliente: la utilizan los clientes de Amazon S3 para acceder a la API compatible con S3 del servicio Object Storage. Para garantizar una complejidad suficiente, el servicio IAM crea esta contraseña y no puede proporcionarla.

Oracle Cloud Infrastructure soporta la federación con Microsoft Active Directory, Microsoft Azure Active Directory y otros proveedores de identidad que soporten el protocolo SAML (Lenguaje de marcado para confirmaciones de seguridad) 2.0. Los grupos federados se asignan a grupos de IAM nativos, que determinan los permisos de un usuario federado.

Dominios de identidad

Si Oracle Cloud Infrastructure ha actualizado la región principal de su arrendamiento, también puede crear dominios de identidad en el arrendamiento. Un dominio de identidad es un contenedor para gestionar usuarios y grupos, federar y aprovisionar usuarios, configurar la conexión única (SSO) y configurar OAuth. Cada arrendamiento incluye un dominio de identidad por defecto. Consulte ¿Tiene acceso a dominios de identidad?

Utilice varios dominios de identidad en su arrendamiento si, por ejemplo, los estándares de seguridad de su organización:

  • Evitar que los ID de usuario de desarrollo existan en los entornos de producción
  • Requerir que diferentes administradores tengan control sobre diferentes entornos de usuario

Los dominios de identidad soportan OpenID Connect y OAuth para ofrecer un servicio de token multiinquilino altamente escalable para proteger el acceso programático a aplicaciones personalizadas desde otras aplicaciones personalizadas.

  • Utilice OAuth 2.0 para definir la autorización para sus aplicaciones personalizadas. El marco OAuth 2.0 se suele utilizar para solicitudes de autorización de terceros con consentimiento. Las aplicaciones personalizadas pueden implantar flujos de OAuth de dos partes y de tres partes.
  • Utilice OpenID Connect para externalizar la autenticación para sus aplicaciones personalizadas. OpenID Connect cuenta con un protocolo de autenticación que proporciona SSO federada utilizando el marco de autorización OAuth 2.0 como una forma de federar identidades en la nube. Las aplicaciones personalizadas participan en un flujo de Open ID Connect.

Políticas

Todas las llamadas de clientes para acceder a los recursos de Oracle Cloud Infrastructure se autentican primero por el servicio de IAM (o proveedor federado) y, a continuación, se autorizan según las políticas de IAM. Puede crear una política que proporcione un conjunto de permisos de usuario para acceder a los recursos de infraestructura (red, recurso informático, almacenamiento, etc.) dentro de un compartimento en el arrendamiento. Estas políticas son flexibles y se escriben en un formato legible para el usuario que es fácil de comprender y auditar. Una política contiene una o varias sentencias de política que siguen esta sintaxis:

Allow group <group_name> to <verb> <resource-type> in compartment <compartment_name>

La siguiente política de ejemplo permite al grupo GroupAdmins crear, actualizar o suprimir cualquier grupo:

Allow group GroupAdmins to manage groups in tenancy

La siguiente política de ejemplo permite al grupo TestNetworkAdmins crear, actualizar o suprimir cualquier red en el compartimento TestCompartment:

Allow group TestNetworkAdmins to manage virtual-network-family in compartment TestCompartment

Para obtener más información, consulte:

Cloud Guard


Los objetivos son supervisados por los detectores, que disparan problemas, que disparan los responsables de respuesta

Utilice Cloud Guard para examinar los recursos de Oracle Cloud Infrastructure y detectar deficiencias de seguridad relacionadas con la configuración, así como para examinar a los operadores y usuarios en busca de actividades de riesgo. Tras la detección, Cloud Guard sugiere acciones correctivas y se puede configurar para que realice automáticamente determinadas acciones. Por ejemplo:

  • Detecte una instancia a la que se pueda acceder públicamente (tiene una dirección IP pública o está en una subred pública) y pare la instancia.
  • Detecte un bloque de Object Storage al que se pueda acceder públicamente y desactive el cubo.
  • Detecte el inicio de sesión de un usuario desde una dirección IP sospechosa y restrinja el tráfico de esta dirección.
  • Detecte actividades de usuario que puedan indicar una cuenta comprometida o una amenaza interna.

Oracle recomienda activar Cloud Guard en su arrendamiento. Puede configurar un destino de Cloud Guard para examinar todo el arrendamiento (compartimento raíz y todos los subcompartimentos), o bien puede configurar destinos para comprobar solo los compartimentos específicos.

Cada destino está asociado a recetas de detector, que definen acciones de usuario o configuraciones de recursos específicas que hacen que Cloud Guard informe de un problema. Oracle proporciona varias recetas de detector de Cloud Guard por defecto, que puede utilizar tal cual o personalizar según sea necesario. Por ejemplo, puede que desee cambiar el nivel de riesgo o la configuración asociados a determinadas reglas de detector. A medida que Cloud Guard agrega nuevas reglas de detector, se activan automáticamente en recetas gestionadas por Oracle y se desactivan en recetas personalizadas.

La receta de Threat Detector en Cloud Guard contiene un juego de reglas diseñadas específicamente para detectar patrones sutiles de actividad en su arrendamiento que, finalmente, podrían plantear un problema de seguridad.

Una receta de responsable de respuesta de Cloud Guard define la acción o el juego de acciones que se deben realizar en respuesta a un problema que ha identificado un detector. También puede utilizar los servicios Events y Notifications para enviar notificaciones siempre que Cloud Guard detecte un tipo de problema para el que desee que se le notifique. Puede enviar notificaciones a través de correo electrónico o Slack, o ejecutar código personalizado en el servicio Functions.

Para obtener más información, consulte Cloud Guard.

Análisis de vulnerabilidades


Una receta de exploración está asociada a uno o más destinos, como instancias de Compute y repositorios de Container Registry. Se necesita un gateway de servicio para acceder a las instancias de subredes privadas. Cloud Guard también se puede utilizar para ver problemas de exploración.

Oracle Cloud Infrastructure Vulnerability Scanning Service ayuda a mejorar su estrategia de seguridad comprobando de forma rutinaria las posibles vulnerabilidades de las instancias informáticas y las imágenes de contenedor. El servicio genera informes con métricas y detalles sobre estas vulnerabilidades, y asigna a cada uno un nivel de riesgo. Por ejemplo:

  • Los puertos que se dejen abiertos involuntariamente pueden ser un posible vector de ataque a sus recursos en la nube, o bien permiten a los hackers aprovechar otras vulnerabilidades.
  • Paquetes del sistema operativo que requieren actualizaciones y parches para abordar las vulnerabilidades
  • Configuraciones del sistema operativo que los hackers pueden aprovechar
  • Referencias estándar del sector publicadas por el Centro para la seguridad informática (CIS) para el sistema operativo de destino.

También puede supervisar estas vulnerabilidades en Cloud Guard. Tras la detección de una vulnerabilidad, Cloud Guard sugiere acciones correctivas y se puede configurar para que realice automáticamente determinadas acciones.

Para obtener más información, consulte Visión general de Scanning.

Security Zones


Los recursos de una región se organizan en dos compartimentos. Uno de los compartimentos está asociado a una zona de seguridad, una receta de zona de seguridad y un destino de zona de seguridad de Cloud Guard.

Las zonas de seguridad le permiten estar seguro de que los recursos informáticos, las redes, el almacenamiento de objetos, la base de datos y otros recursos cumplen los principios y las mejores prácticas de seguridad de Oracle. Una zona de seguridad está asociada a uno o más compartimentos y a una receta de zona de seguridad. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure valida estas operaciones con las políticas de zona de seguridad en la receta de la zona. Si se infringe alguna política de la zona de seguridad, la operación se deniega.

A continuación se muestran algunos ejemplos de políticas de zonas de seguridad:

  • Las subredes de una zona de seguridad no pueden ser públicas. Todas las subredes deben ser privadas.
  • El volumen de inicio de una instancia informática en una zona de seguridad también debe estar en una zona de seguridad.
  • Los cubos de almacenamiento de objetos de una zona de seguridad deben utilizar una clave de cifrado maestra gestionada por el cliente.
  • No puede mover determinados recursos, como volúmenes en bloque e instancias informáticas, de una zona de seguridad a un compartimento estándar.

Debe activar Cloud Guard antes de crear las zonas de seguridad. Cloud Guard le ayuda a detectar infracciones de políticas en los recursos existentes que se hayan creado antes de la zona de seguridad.

Para obtener más información, consulte Visión general de Security Zones.

Vault

Puede utilizar el servicio Vault para crear y gestionar los siguientes recursos:

  • Vault
  • Claves
  • Secretos

Un almacén incluye las claves de cifrado y las credenciales secretas que utiliza para proteger sus datos y conectarse a recursos protegidos. Como recursos gestionados por el cliente, tiene control completo sobre quién tiene acceso a sus almacenes, claves y secretos. También controla lo que los usuarios y servicios autorizados pueden hacer con los recursos de almacén. Los niveles de acceso pueden ir desde algo tan granular como si un servicio concreto puede utilizar una clave individual, hasta actividades de gestión del ciclo de vida más impactantes, como si un usuario puede suprimir una clave de un almacén para evitar su uso por completo.

Las claves se almacenan en módulos de seguridad de hardware altamente disponibles y duraderos (HSM) que cumplen con la certificación de seguridad de nivel 3 de seguridad del sistema Federal Information Processing Standards (FIPS) 140-2. Los secretos y las versiones secretas están codificados en base64 y cifrados con claves de cifrado maestras, pero no residen en el HSM.

Los algoritmos de cifrado de claves que admite el servicio Vault incluyen el estándar de cifrado avanzado (AES), el algoritmo Rivest-Shamir-Adleman (RSA) y el algoritmo de firma digital de curva elíptica (ECDSA). Puede crear y utilizar claves simétricas AES y claves asimétricas RSA para el cifrado y el descifrado. También puede utilizar claves asimétricas RSA o ECDSA para firmar mensajes digitales.

Las políticas de zona de seguridad requieren que cifre los recursos mediante claves gestionadas por el cliente siempre que sea posible. Los siguientes servicios soportan el uso de claves gestionadas por el cliente para el cifrado de recursos:

  • Volumen en bloque
  • Kubernetes Engine
  • Oracle Cloud Infrastructure Database
  • File Storage
  • Almacenamiento de objetos
  • Flujo

Para obtener más información, consulte Visión general de Vault.

Security Advisor

Security Advisor le ayuda a crear recursos en la nube que se alinean con los principios de seguridad y las mejores prácticas de Oracle. También garantiza que los recursos cumplan con los requisitos aplicados por las políticas de zona de seguridad. Por ejemplo, puede crear rápidamente recursos cifrados con una clave de cifrado maestra gestionada por el cliente mediante el servicio Vault.

Por ejemplo, puede utilizar Security Advisor para crear los siguientes recursos:

  • Cubo de almacenamiento de objetos
  • Sistema de archivos de almacenamiento de archivos
  • Instancia informática (Compute) (y volumen de inicio asociado)
  • Volumen de almacenamiento de bloques de volumen en bloque

Para obtener más información, consulte Visión general de Security Advisor.

Bastion

Oracle Cloud Infrastructure Bastion proporciona acceso restringido y limitado en el tiempo a recursos de destino que no tengan puntos finales públicos.


El cliente se conecta a una sesión en un bastión mediante un cliente SSH o un túnel SSH. Las dos sesiones se conectan a una instancia y a una base de datos en una subred privada. La VCN que contiene la subred privada tiene un gateway de servicio.

Mediante la configuración de un bastión, puede permitir que los usuarios autorizados se conecten a los recursos de destino en puntos finales privados mediante sesiones de shell seguro (SSH). Cuando están conectados, los usuarios pueden interactuar con el recurso de destino mediante cualquier software o protocolo soportado por SSH. Por ejemplo, puede ejecutar comandos del protocolo de escritorio remoto (RDP) o conectarse a una base de datos mediante Oracle Net Services. Los destinos pueden incluir recursos como instancias informáticas, sistemas de base de datos y bases de datos de Autonomous Database para el procesamiento de transacciones y cargas de trabajo mixtas.

Las bastiones residen en una subred pública y establecen la infraestructura de red necesaria para conectar un usuario a un recurso de destino en una subred privada . La integración con el servicio IAM proporciona autenticación y autorización de usuarios. Los bastiones proporcionan una capa adicional de seguridad al permitirle especificar qué direcciones IP se pueden conectar a una sesión alojada en el bastión.

Para obtener más información, consulte Bastion.

Información sobre amenazas

Oracle Cloud Infrastructure Threat Intelligence agrega datos de inteligencia de amenazas en muchos orígenes diferentes y selecciona estos datos para proporcionar orientación práctica para la detección y prevención de amenazas en Oracle Cloud Guard y otros servicios de Oracle Cloud Infrastructure.

Los actores maliciosos suelen utilizar técnicas conocidas para atacar entornos de destino. La información contextual sobre los indicadores de amenazas que se encuentran en su entorno puede ayudarlo a priorizar las alertas y comprender su panorama de amenazas. Threat Intelligence proporciona estadísticas de investigadores de seguridad de Oracle de élite, nuestra propia telemetría única, fuentes de código abierto estándar del sector y partners externos.

Cuando la receta de Threat Detector está activada en Cloud Guard, compara los datos de Threat Intelligence con los logs y la telemetría de auditoría para detectar actividades sospechosas e informarlas como un problema.

Para obtener más información, consulte Visión general de Threat Intelligence.

Firewall de aplicaciones web

Oracle Cloud Infrastructure Web Application Firewall (WAF) es un servicio de seguridad basado en la nube y en conformidad con la industria de tarjetas de pago (PCI) que protege las aplicaciones frente al tráfico de Internet no deseado y malicioso. WAF puede proteger cualquier punto final orientado a Internet, lo que proporciona un cumplimiento de reglas consistente en todas sus aplicaciones.

Utilice WAF para crear y gestionar reglas de protección para amenazas de Internet, incluidos los scripts de sitios (XSS), la inyección SQL y otras vulnerabilidades definidas por OWASP. Los bots no deseados se pueden mitigar mientras se permite la entrada de bots deseables. También puede definir y aplicar reglas de protección personalizadas a las configuraciones de WAF mediante el lenguaje de reglas ModSecurity.

Utilice WAF para crear reglas de acceso que definan acciones explícitas para solicitudes que cumplan diversas condiciones. Por ejemplo, las reglas de acceso pueden limitar las solicitudes en función de la geografía o la firma de la solicitud. Se puede definir una acción de regla para registrar y mostrar CAPTCHA para todas las solicitudes que coincidan con las condiciones.

Para obtener más información, consulte Visión general de Web Application Firewall.

Auditar

El servicio Oracle Cloud Infrastructure Audit registra todas las llamadas de API a recursos en el arrendamiento de un cliente y la actividad de conexión desde la consola. Puede lograr sus objetivos de seguridad y conformidad mediante el servicio Audit para supervisar toda la actividad de los usuarios dentro de su arrendamiento. Dado que todas las llamadas a la consola, SDK y la línea de comandos (CLI) pasan por nuestras API, se incluye toda la actividad de esos orígenes. Los registros de auditoría están disponibles mediante una API de consulta autenticada y filtrable o se pueden recuperar como archivos por lotes de Oracle Cloud Infrastructure Object Storage. El contenido del log de auditoría incluye la actividad que se produjo, el usuario que la inició, la fecha y la hora de la solicitud, así como la IP de origen, el agente de usuario y las cabeceras HTTP de la solicitud.

Para obtener más información, consulte Visión general de Audit.