Protección del firewall de red
En este tema se proporciona información y recomendaciones de seguridad para Service_Name.
Responsabilidades de seguridad
Para utilizar Network Firewall de forma segura, obtenga información sobre sus responsabilidades de seguridad y cumplimiento.
Oracle es responsable de los siguientes requisitos de seguridad:
- Seguridad física:Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.
Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:
- Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.
- Cifrado y confidencialidad: utilice claves y secretos de cifrado para proteger los datos y conectarse a recursos protegidos. Gire estas claves regularmente.
Tareas de seguridad iniciales
Utilice esta lista de control para identificar las tareas que debe realizar para proteger Service_Name en un nuevo arrendamiento de Oracle Cloud Infrastructure.
| Tarea | Más información |
|---|---|
| Utilice políticas de IAM para otorgar acceso a usuarios y recursos | Referencia de políticas de firewall de red |
| Acceso de red seguro a los recursos | Acceso a la red y seguridad |
Tareas de seguridad rutinarias
Después de empezar a utilizar Service_Name, utilice esta lista de control para identificar las tareas de seguridad que le recomendamos que realice con regularidad.
| Tarea | Más información |
|---|---|
| Rotar credenciales secretas | confidencialidad |
| Realice una auditoría de seguridad | Auditoría |
Políticas de IAM
Utilice políticas para limitar el acceso al firewall de red.
Una política especifica quién puede acceder a los recursos de Oracle Cloud Infrastructure y cómo. Para obtener más información, consulte Funcionamiento de las políticas.
Asigne a un grupo los privilegios mínimos necesarios para cumplir con sus responsabilidades. Cada política tiene un verbo que describe las acciones que puede realizar el grupo. Desde la menor cantidad de acceso a la mayor cantidad de acceso, los verbos disponibles son: inspect, read, use y manage.
Recomendamos que otorgue permisos DELETE a un juego mínimo de usuarios y grupos de IAM. Esta práctica minimiza la pérdida de datos de supresiones involuntarias por parte de usuarios autorizados o de actores maliciosos. Otorgue permisos DELETE solo a los administradores de arrendamiento y compartimento.
Puede restringir el acceso de un grupo a una política de firewall específica mediante el nombre de la política de firewall específica (target.display-name/*name/, /name*/, /*name*/) o las etiquetas definidas (target.tag.definition.name).
En el siguiente ejemplo, se restringe el acceso a los usuarios del grupo FirewallPolicyUsers a un cubo específico.
Allow group FirewallPolicyUsers to use firewallpolicies in tenancy
where target.display-name='MyFirewallPolicy'Puede modificar esta política para restringir el acceso a los usuarios del grupo FirewallPolicyUsers a todas las políticas de firewall cuyos nombres tengan el prefijo ProjectA_.
Allow group FirewallPolicyUsers to use firewallpolicies in tenancy
where target.display-name=/ProjectA_*/También puede coincidir con post-fix (/*_ProjectA/) o subcadena (/*ProjectA*/).
Para obtener más información sobre las políticas de Network Firewall y ver más ejemplos, consulte Network Policy Rules and Rule Components.
confidencialidad
Utilice el servicio Vault para gestionar y rotar las credenciales secretas que utilice con Network Firewall.
Un almacén incluye las claves de cifrado y los secretos que se utilizan para proteger los datos y conectarse a recursos protegidos. Los secretos se cifran mediante claves de cifrado maestras y almacenan credenciales como contraseñas, certificados, claves SSH o tokens de autenticación. Antes de crear y utilizar secretos, debe crear un almacén y una clave de cifrado maestra si no existen.
A cada secreto se le asigna automáticamente una versión. Al rotar un secreto, se genera una nueva versión del secreto proporcionando nuevo contenido del secreto al servicio Vault. La rotación periódica del contenido del secreto reduce el impacto en caso de que se exponga un secreto.
Auditorías
Localice los logs de acceso y otros datos de seguridad para Network Firewall.
El servicio Audit registra automáticamente todas las llamadas de API a los recursos de Oracle Cloud Infrastructure. Puede lograr sus objetivos de seguridad y conformidad mediante el servicio Audit para supervisar toda la actividad de los usuarios dentro de su arrendamiento. Dado que todas las llamadas a la consola, SDK y la línea de comandos (CLI) pasan por nuestras API, se incluye toda la actividad de esos orígenes. Los registros de auditoría están disponibles mediante una API de consulta autenticada y filtrable o se pueden recuperar como archivos por lotes de Object Storage. El contenido del log de auditoría incluye la actividad que se produjo, el usuario que la inició, la fecha y la hora de la solicitud, así como la IP de origen, el agente de usuario y las cabeceras HTTP de la solicitud. Consulte Visualización de eventos del log de auditoría.
Active Logging en firewalls de red específicos para supervisar el tráfico al firewall. Para obtener más información, consulte Logs de Network Firewall.