Protección de Security Zones

En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.

Oracle es responsable de los siguientes requisitos de seguridad:

• Seguridad física:Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.
• Políticas de seguridad: Oracle es responsable de definir las políticas de zona de seguridad. Estas políticas implantan controles de seguridad y mejores prácticas para los recursos de los clientes que requieren la máxima seguridad, como las aplicaciones de producción.

Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:

• Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.
• Políticas de seguridad: active políticas de zona de seguridad que se alineen con los requisitos de seguridad y tenga cuidado al desactivar políticas en zonas. Aborde cualquier infracción de políticas en los recursos existentes para mantener el cumplimiento.

Utilice esta lista de control para identificar las tareas que debe realizar para proteger Security Zones en un nuevo arrendamiento de Oracle Cloud Infrastructure.

Después de empezar a utilizar Security Zones, utilice esta lista de control para identificar las tareas de seguridad que le recomendamos que realice con regularidad.

Utilice políticas de IAM para limitar el acceso administrativo a las zonas de seguridad.

Una política de zona de seguridad difiere de una política de IAM en los siguientes aspectos:

• Se valida una política de zona de seguridad independientemente del usuario que esté realizando la operación.
• Una política de zona de seguridad deniega determinadas acciones; no otorga capacidades.

Recomendamos que otorgue permisos DELETE a un juego mínimo de usuarios y grupos de IAM. Esta práctica minimiza la pérdida de datos de supresiones involuntarias por parte de usuarios autorizados o de actores maliciosos. Otorgue permisos DELETE solo a los administradores de arrendamiento y compartimento.

La práctica de limitar el permiso DELETE es especialmente crítica para Security Zones. La supresión de una zona desactiva todas las políticas de zona de seguridad en los recursos de los compartimentos de la zona y, por lo tanto, cambia drásticamente su estrategia de seguridad.

Políticas de IAM de ejemplo:

Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy

Allow group SecurityAdmins to manage security-recipe in compartment SecurityApps

Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Los tipos de recursos individuales para Security Zones se incluyen en el tipo de agregado cloud-guard-family. Una política que otorga permisos a cloud-guard-family también otorga los mismos permisos a Security Zones. Para obtener más información, consulte Políticas de Cloud Guard.

Evalúe y active las políticas de zona de seguridad para mantener una estrategia de seguridad sólida en Oracle Cloud Infrastructure.

Una receta es una recopilación de políticas de zonas de seguridad que puede asignar a una zona de seguridad. Si activa una política en una receta, se deniega cualquier acción de usuario en las zonas que utilizan la receta y que infringen la política.

La receta de máxima seguridad activa todas las políticas de zona de seguridad disponibles y no se puede modificar. Asigne esta receta a las nuevas zonas de seguridad para que tengan la postura de máxima seguridad. Si es necesario, puede modificar la zona en cualquier momento y seleccionar una receta personalizada que no active todas las políticas.

Para identificar nuevas políticas de zona de seguridad, revise periódicamente Maximum Security Recipe y las Notas de la versión. Para mejorar su estrategia de seguridad a lo largo del tiempo, evalúe cada nueva política y, si corresponde, active la política en recetas personalizadas.

Supervise las zonas de seguridad para detectar infracciones de políticas. Localice los logs de acceso y otros datos de seguridad de Security Zones.

Después de crear una zona de seguridad para un compartimento, evita automáticamente las operaciones, como la creación o modificación de recursos, que infringen las políticas de la zona de seguridad. Sin embargo, los recursos existentes que se hayan creado antes de la zona de seguridad también podrían infringir las políticas. Las zonas de seguridad se integran con Cloud Guard para identificar infracciones de políticas en los recursos existentes. Supervise de forma rutinaria las zonas de seguridad para identificar y resolver cualquier infracción de política en una zona. Consulte Gestión de zonas de seguridad.

El servicio Audit registra automáticamente todas las llamadas de API a los recursos de Oracle Cloud Infrastructure. Puede lograr sus objetivos de seguridad y conformidad mediante el servicio Audit para supervisar toda la actividad de los usuarios dentro de su arrendamiento. Dado que todas las llamadas a la consola, SDK y la línea de comandos (CLI) pasan por nuestras API, se incluye toda la actividad de esos orígenes. Los registros de auditoría están disponibles mediante una API de consulta autenticada y filtrable o se pueden recuperar como archivos por lotes de Object Storage. El contenido del log de auditoría incluye la actividad que se produjo, el usuario que la inició, la fecha y la hora de la solicitud, así como la IP de origen, el agente de usuario y las cabeceras HTTP de la solicitud. Consulte Visualización de eventos del log de auditoría.