Controles de seguridad de nivel 1 de CIS 1.2

La siguiente información proporciona los controles de seguridad de Center for Internet Security, Inc. (CIS) incluidos en OELZ v2.

Recomendación 1.1: Asegúrese de que se crean administradores de nivel de servicio para gestionar los recursos de un servicio concreto (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: los siguientes grupos de IAM son Network-Admins, Security-Admins, Platform-Admins, IAM-Admins y Ops-Admins, creados en función de las políticas para gestionar sus recursos de servicio.

Recomendación 1.2: Asegurar que los permisos de todos los recursos solo se otorgan al grupo de administradores del arrendamiento (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: solo el grupo de administradores tiene permiso para todos los recursos. Se asigna una única cuenta break_glass_user_<number> al Administrators Group.

Recomendación 1.3: IAM-Admins no puede actualizar el grupo Administradores de arrendamiento (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: los administradores de IAM pueden gestionar grupos, grupos dinámicos y políticas. Los administradores de IAM también deben poder gestionar usuarios y permisos de grupo mediante IDP. Pueden utilizar y gestionar sus credenciales, incluidas las claves de API y los tokens de autenticación**.

Recomendación 1.4: Asegurar que la política de contraseñas de IAM requiere una longitud mínima igual o superior a 14 caracteres (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: política de contraseñas personalizada para la longitud de la contraseña (mínimo)

Recomendación 1.5: Asegurar que la política de contraseñas de IAM hace caducar las contraseñas en un plazo de 365 días (manual)

• Nivel: 1
• Compatible: no
• Oracle Enterprise Landing Zone: necesita una política de contraseñas personalizada para que caduque después de (días). No hay Terraform disponible. Necesita una política de contraseñas personalizada.
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  2. Seleccione el dominio de identidad en el que desea trabajar y haga clic en Configuración.
  3. Haga clic en Política de contraseñas.
  4. Seleccione la política que desea modificar. En la página de detalles de la política, haga clic en Edit password rules.
  5. Seleccione Click Custom.
  6. Edite los criterios Expira después de (días).
  7. Introduzca 60 (recomendado).

Recomendación 1.6: Asegúrese de que la política de contraseñas de IAM impide la reutilización de contraseñas (manual)

• Nivel: 1
• Compatible: no
• Oracle Enterprise Landing Zone: necesita una política de contraseñas personalizada para que caduque después de (días). No hay Terraform disponible. Necesita una política de contraseñas personalizada.
  1. Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Dominios.
  2. Seleccione el dominio de identidad en el que desea trabajar y haga clic en Configuración.
  3. Haga clic en Política de contraseñas.
  4. Seleccione la política que desea modificar. En la página de detalles de la política, haga clic en Edit password rules.
  5. Haga clic en Personalizado.
  6. Introduzca 24 (recomendado).

Recomendación 1.7: Asegurar que la MFA está activada para todos los usuarios con una contraseña de la consola (automatizada)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 1.8: Asegurar que las claves de API de usuario se rotan en un plazo de 90 días o menos (automatizadas)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 1.9: Asegúrese de que las claves secretas de cliente de usuario se roten en un plazo de 90 días o inferior (automatizadas)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 1.10: Asegúrese de que los tokens de autenticación de usuario se rotan en un plazo de 90 días o menos (automatizado)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 1.11: Asegurar que no se crean claves de API para los usuarios administradores del arrendamiento (automatizadas)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 1.12: Asegúrese de que todas las cuentas de usuario de OCI IAM tengan una dirección de correo electrónico válida y actual (manual)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 1.13: Asegúrese de que se utilizan grupos dinámicos para instancias de OCI, bases de datos en la nube de OCI y OCI Function para acceder a los recursos de OCI. (Manualmente)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 2.1: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 22 (automatizado)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la lista de seguridad por defecto está bloqueada y no permite la entrada desde el puerto 22

Recomendación 2.2: Asegurar que ninguna lista de seguridad permita la entrada desde 0.0.0.0/0 al puerto 3389 (automatizado)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la lista de seguridad por defecto está bloqueada y no permite la entrada desde el puerto 3389

Recomendación 2.3: Garantía de que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 22 (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: ningún grupo de seguridad de red permite la entrada desde el puerto 22

Recomendación 2.4: Garantía de que ningún grupo de seguridad de red permita la entrada desde 0.0.0.0/0 al puerto 3389 (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: ningún grupo de seguridad de red permite la entrada desde el puerto 3389

Recomendación 2.5: Garantía de que la lista de seguridad por defecto de cada VCN restringe todo el tráfico a excepción del ICMP (automatizado)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la lista de seguridad por defecto de cada VCN restringe todo el tráfico, a excepción de ICMP

Recomendación 2.6: Asegúrese de que el acceso a Oracle Integration Cloud (OIC) está restringido a los orígenes permitidos. (Manualmente)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 2.7: Asegúrese de que el acceso a Oracle Analytics Cloud (OAC) está restringido a orígenes permitidos o desplegado en una red virtual en la nube. (Manualmente)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 2.8: Asegúrese de que el acceso a las bases de datos autónomas compartidas (ADB) de Oracle está restringido a orígenes permitidos o desplegado en una red virtual en la nube (manual)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 3.1: Asegúrese de que el período de retención del log de auditoría está definido en 365 días (automatizado)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la variable de retención del log de auditoría se define en 365 días

Recomendación 3.2: Asegurar que las etiquetas por defecto se utilizan en los recursos (Manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: Oracle Enterprise Landing Zone incluye un conjunto de etiquetas de formato libre que se aplican a los recursos creados dentro de la plantilla. A cada recurso se le otorga un valor asignado por defecto para la etiqueta Descripción. Los valores que defina al crear la pila de Oracle Enterprise Landing Zone se propagan a las etiquetas CostCenter y GeoLocation.

Recomendación 3.3: Crear al menos un tema de notificación y una suscripción para recibir alertas de supervisión (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: notificaciones y suscripciones de red e IAM para recibir alertas de supervisión por parte de sus grupos de administradores correspondientes

Recomendación 3.4: Asegúrese de que se ha configurado una notificación para los cambios del proveedor de identidad (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de IAM está activada para todos los cambios de IAM, incluidos los cambios de IDP

Recomendación 3.5: Asegúrese de que se ha configurado una notificación para los cambios de asignación de grupo IdP (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de IAM está activada para todos los cambios de IAM, incluidos los cambios de asignación de grupo

Recomendación 3.6: Asegúrese de que se ha configurado una notificación para los cambios de grupo de IAM (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de IAM está activada para todos los cambios de IAM, incluidos los cambios de grupo de IAM

Recomendación 3.7: Garantía de que se ha configurado una notificación para los cambios de la política de IAM (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de IAM está activada para todos los cambios de IAM, incluidos los cambios de política de IAM

Recomendación 3.8: Asegúrese de que se ha configurado una notificación para los cambios de usuario (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de IAM está activada para todos los cambios de IAM, incluidos los cambios de usuario

Recomendación 3.9: Asegurar que se ha configurado una notificación para los cambios de VCN (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de red está activada para todos los cambios de red, incluidos los cambios de la VCN, se supervisan todas las subredes de la VCN

Recomendación 3.10: Asegurar que se ha configurado una notificación para los cambios en las tablas de rutas (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de red está activada para todos los cambios de red, incluidos los cambios en tablas de rutas

Recomendación 3.11: Asegurar que se ha configurado una notificación para los cambios de las listas de seguridad (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de red está activada para todos los cambios de red, incluidos los cambios en listas de seguridad

Recomendación 3.12: Asegurar que se ha configurado una notificación para los cambios de los grupos de seguridad de red (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de red está activada para todos los cambios de red, incluidos los cambios en grupo de seguridad de red

Recomendación 3.13: Garantía de que se ha configurado una notificación para los cambios de los gateways de red (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la notificación de red está activada para todos los cambios de red, incluidos los cambios en puertas de enlace de red

Recomendación 3.14: Asegúrese de que el registro de flujo de VCN está activado para todas las subredes (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: el registro de flujo de VCN está activado para todas las subredes

Recomendación 3.15: Asegúrese de que Cloud Guard está activado en el compartimento raíz del arrendamiento (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: Cloud Guard está activado en el compartimento raíz de la región principal del arrendamiento. Tenga en cuenta que para los clientes de campo marrón, es posible que Cloud Guard ya esté desplegado en la región principal del arrendamiento y que Oracle Enterprise Landing Zone no necesite volver a desplegar Cloud Guard.

Recomendación 3.16: Asegurar que la clave administrada por el cliente (CMK) creada por el cliente se rota al menos anualmente (manual)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: responsabilidad del cliente

Recomendación 4.1.1: Asegúrese de que ningún cubo de Object Storage sea visible públicamente (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: la visibilidad pública está desactivada para los cubos de Oracle Enterprise Landing Zone Object Storage

Recomendación 5.1: cree al menos un compartimento en su arrendamiento para almacenar recursos en la nube (manual)

• Nivel: 1
• Compatible: cliente
• Oracle Enterprise Landing Zone: se crean compartimentos, por ejemplo, Network Compartment y al grupo Network-Admins se le asigna el acceso adecuado.

Recomendación 5.2: Asegúrese de que no se ha creado ningún recurso en el compartimento raíz (manual)

• Nivel: 1
• Compatible: sí
• Oracle Enterprise Landing Zone: Oracle Enterprise Landing Zones no crea recursos en la nube, como instancias informáticas, almacenamiento de volúmenes en bloque o servicios de red, en el compartimento raíz.