Documentación de Oracle Cloud Infrastructure

Protección de Java Management

En este tema se proporciona información y recomendaciones de seguridad para Java Management Service.

Java Management Service (JMS) supervisa los despliegues de Java en instancias de Oracle Cloud Infrastructure (OCI) e instancias que se ejecutan en centros de datos de clientes. Permite observar y gestionar el uso de Java en la empresa.

Responsabilidades de seguridad

Para utilizar JMS de forma segura, conozca sus responsabilidades en materia de seguridad y conformidad.

En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.

Oracle es responsable de los siguientes requisitos de seguridad:

  • Seguridad física:Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.
  • Cifrado de datos: Oracle utiliza el cifrado estándar de Oracle Cloud Infrastructure para todos los datos almacenados estáticos en JMS. No es necesario realizar ninguna configuración adicional.

    Los usuarios de JMS no utilizan claves de cifrado directamente. Internamente, JMS almacena datos en una base de datos autónoma, que utiliza Oracle Cloud Infrastructure Vault para almacenar de forma segura las claves de cifrado. Oracle gestiona y protege estos recursos.

  • Durabilidad de Datos: Oracle configura el servicio JMS para copias de seguridad diarias. No es necesaria ninguna configuración de copia de seguridad adicional.

Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:

  • Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.
  • Seguridad de agente:
    • Instale el agente en la instancia con el privilegio mínimo. No lo instale como root.
    • Obtenga una clave de instalación. Verifique la caducidad de la clave y el número de instancias de instalación.
    • Suprima la clave una vez que el agente se haya instalado correctamente.
    • Verifique que los puertos o el proxy estén configurados correctamente para permitir solo la conexión del agente a OCI.
    • Configure el agente para que escanee solo los directorios deseados y con la frecuencia deseada.

Tareas de seguridad rutinarias

Después de empezar a utilizar JMS, utilice esta lista de control para identificar las tareas de seguridad que le recomendamos que realice con regularidad.

Tarea Más información
Mantener al agente actualizado Parches
Realice una auditoría de seguridad Auditoría

Políticas de IAM

Utilice políticas para limitar el acceso a JMS.

Una política especifica quién puede acceder a los recursos de Oracle Cloud Infrastructure y cómo. Para obtener más información, consulte Funcionamiento de las políticas.

Asigne a un grupo los privilegios mínimos necesarios para cumplir con sus responsabilidades. Cada política tiene un verbo que describe las acciones que puede realizar el grupo. Desde la menor cantidad de acceso a la mayor cantidad de acceso, los verbos disponibles son: inspect, read, use y manage.

Permitir a un grupo gestionar conjuntos en un compartimento

Cree políticas para permitir que el grupo FLEET_MANAGERS gestione conjuntos en el compartimento Fleet_Compartment.

ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCY
Permitir que las instancias de un grupo dinámico gestionen agentes en un compartimento

Cree políticas para permitir que el grupo dinámico JMS_DYNAMIC_GROUP despliegue y utilice agentes en el servicio Management Agent en el compartimento Fleet_Compartment.

ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
Allow service javamanagementservice to manage metrics IN COMPARTMENT Fleet_Compartment where target.metrics.namespace='java_management_service'

Para obtener más información sobre el despliegue de agentes de gestión, consulte Requisitos para desplegar agentes de gestión.

Para obtener más información sobre las políticas de JMS, consulte Detalles de Java Management Service.

Parches

Asegúrese de que los recursos de JMS ejecutan las últimas actualizaciones de seguridad.

Si ha desactivado la función de cambio de versión automático de Management Agent, debe comprobar manualmente si hay actualizaciones en el agente y en el plugin de JMS. Consulte Actualización de las instancias de Management Agent.

Auditorías

Busque logs de acceso y otros datos de seguridad para JMS.

El servicio Audit registra automáticamente todas las llamadas de API a los recursos de Oracle Cloud Infrastructure. Puede lograr sus objetivos de seguridad y conformidad mediante el servicio Audit para supervisar toda la actividad de los usuarios dentro de su arrendamiento. Dado que todas las llamadas a la consola, SDK y la línea de comandos (CLI) pasan por nuestras API, se incluye toda la actividad de esos orígenes. Los registros de auditoría están disponibles mediante una API de consulta autenticada y filtrable o se pueden recuperar como archivos por lotes de Object Storage. El contenido del log de auditoría incluye la actividad que se produjo, el usuario que la inició, la fecha y la hora de la solicitud, así como la IP de origen, el agente de usuario y las cabeceras HTTP de la solicitud. Consulte Visualización de eventos del log de auditoría.