Introducción a Security Zones

Después de crear políticas de IAM y activar Cloud Guard, cree una zona de seguridad para un compartimento y compruebe si hay infracciones de política de zona de seguridad.

Creación de pólizas de IAM

Para usar Security Zones y Cloud Guard, debe tener el tipo de acceso necesario en una política de de IAM escrita por un administrador, tanto si utiliza la consola como la API de REST con un SDK, una CLI u otra herramienta.

Si no es administrador de su arrendamiento, pida al administrador que realice estos pasos.

Abra el menú de navegación y haga clic en Identidad y seguridad. En Security Zones, haga clic en Visión general.

En la página Visión general, en la sección Introducción, copie la lista de sentencias de política de la IAM necesarias.

Allow group <group> to use cloud-guard-config in tenancy
Allow group <group> to read cloud-guard-targets in tenancy
Allow group <group> to inspect cloud-guard-problems in tenancy
Allow group <group> to manage security-zone in tenancy

Abra el menú de navegación y haga clic en Identidad y seguridad. En Identidad, haga clic en Políticas.
Seleccione el compartimento raíz para su arrendamiento.
Haga clic en Crear política.
Introduzca el nombre y la descripción de la política.
Por ejemplo:
- Name: política de Security Zones
- Description: permite la creación de zonas de seguridad
Haga clic en Mostrar editor manual.
Pegue las sentencias de política de la consola de Security Zones.

Sustituya <group> por el nombre de un grupo existente.
Haga clic en Crear.

Para obtener más información sobre Security Zones y las políticas de Nube Guard IAM, consulte Políticas deCloud Guard.

Activar Cloud Guard

Active Cloud Guard en su arrendamiento antes de crear Security Zones. Si Cloud Guard ya está activado, puede omitir esta tarea.

Cloud Guard es un servicio de Oracle Cloud Infrastructure que proporciona un panel central de control para supervisar todos los recursos de la nube y detección de deficiencias de seguridad en los logs, las métricas y la configuración. Cuando detecta un problema, puede sugerir, ayudar o realizar acciones correctivas, según la configuración de Cloud Guard.

Security Zones funciona con Cloud Guard para identificar infracciones en las políticas de las zonas de seguridad de sus recursos existentes.

La activación de Cloud Guard implica las siguientes tareas:

Creación de políticas de IAM que permitan a Cloud Guard supervisar los recursos de su arrendamiento
Selección de una región de informes
Opcionalmente, crear destinos para los compartimentos que desea que supervise Cloud Guard
Opcionalmente, seleccione las recetas de detector para los destinos

Para activar Cloud Guard, debe tener privilegios de administrador.

Nota

No tiene por qué crear un destino de Cloud Guard para un compartimento antes del crear una zona de seguridad para el mismo compartimento. Al crear una zona de seguridad, se crea automáticamente un nuevo destino de Cloud Guard.

Consulte Introducción a Cloud Guard para obtener instrucciones detalladas.

Creación de una receta de zona de seguridad (opcional)

Security Zones proporciona una receta gestionada por Oracle denominada Maximum Security Recipe, que aplica todas las políticas del área de seguridad disponibles. Si desea desactivar determinadas políticas, puede clonar esta receta.

Antes de crear una receta de zona de seguridad personalizada, conozca las políticas de zona de seguridad disponibles.

Abra el menú de navegación y haga clic en Identidad y seguridad. En Zonas de Seguridad, haga clic en Recetas.
Haga clic en el icono Acciones de la receta Maximum Security Recipe y, a continuación, seleccione Clonar.
Actualice el nombre y ladescripción de la nueva receta.

Evite introducir información confidencial.
Seleccione el compartimento en que desea crear la receta.

Puede crear recetas de zona de seguridad y zonas de seguridad en diferentes compartimentos.
Haga clic en Siguiente.
(Opcional) En la página Políticas, seleccione una casilla de Control para activar una política o desactiva una casilla de Control para desactivar una política.

Puede filtrar la lista de políticas seleccionando un Tipo de política específico. También puede buscar las políticas por nombre.
Haga clic en Siguiente.
En la página Revisar, revise el número de políticas activadas y desactivadas en esta receta y, a continuación, haga clic enCrear.

Se muestra la página Detalles de receta.

Creación de una zona de seguridad

Una vez que haya completado todas las tareas previas necesarias, puede crear una zona de seguridad para un compartimento existente.

Atención

Para obtener la máxima flexibilidad, evite asignar una zona de seguridad al compartimento raíz del arrendamiento. Las zonas de seguridad aplicadas al compartimento raíz pueden restringir las acciones que son posibles en todo un arrendamiento. Aunque esta configuración puede ser preferible para casos de uso específicos, es demasiado restrictiva para la mayoría de los usuarios.

Abra el menú de navegación y haga clic en Identidad y seguridad. En Security Zones, haga clic en Visión general.
En Ámbito de lista, seleccione el compartimento que desea proteger con la zona de seguridad.

Seleccione un compartimiento que aún no está asociado a una zona de seguridad.

El recurso de zona de seguridad se crea en el compartimento que seleccione.

Por defecto, todos los subcompartimentos tienen asignada la misma zona de seguridad que el compartimento principal.
Seleccione Create Security Zone.

Si el compartimento seleccionado ya está asociado a una zona de seguridad, este botón está desactivado.
Seleccione una receta de zona de seguridad.
- Gestionada por Oracle: seleccione esta opción si no ha creado una receta gestionada por la cliente. La zona de seguridad utiliza Maximum Security Recipe.
- Gestionada por el usuario: seleccione su receta personalizada.
Si la receta está en un compartimento diferente, haga clic en el botón Cambiar compartimento.
Introduzca un nombre y una descripción para la zona de seguridad.

Evite revelar información confidencial al nombrar o describir zonas de seguridad.

No puede cambiar el nombre de una zona de seguridad después de crearla.
Seleccione Create Security Zone.

Si el compartimento seleccionado ya está asociado a una zona de seguridad, este botón está desactivado.

Al crear una zona de seguridad para un compartimento, Cloud Guard realiza las siguientes tareas:

Suprime cualquier destino de Cloud Guard existente para el compartimento y para cualquier compartimento secundario
Crea un destino para el compartimento de zona de seguridad
Agrega las Recetas de Detector Gestionadas por Oracle por Defecto al Destino de Zona de Seguridad

Si crea una zona del sistema de seguridad para un subcompartimento cuyo compartimento principal ya esté en una zona del sistema de seguridad, Cloud Guard crea un destino independiente de zona del sistema de seguridad para el subcompartimento. No se realizan cambios en el destino existente para el compartimento principal.

Visualización de infracciones de políticas de zona de seguridad

Si el compartimento de su zona de seguridad tiene recursos existentes, puede identificar los recursos que infrinjan las políticas de la zona de seguridad y realizar acciones correctivas.

Cloud Guard examina los recursos de las zonas de seguridad de forma rutinaria para identificar infracciones de políticas. Cada infracción de política se registra como un problema en Cloud Guard. En una zona con seguridad nueva, se puede tardar hasta tres horas antes de detectar infracciones.

En la página Visión general, haga clic en su nueva zona de seguridad.
Aparece la página Detalles de zona de seguridad.
En la página de detalles, en Compartimentos asociados, amplíe el compartimento actual para mostrar todos los subcompartimentos que también están en la zona de seguridad.
Si el compartimento o cualquier subcompartimento tiene alguna política Violaciones, seleccione Ver detalles en Cloud Guard.

Se abre la página Problemas de Cloud Guard y muestra solo los problemas detectados en esta zona de seguridad.
Seleccione un problema para ver los siguientes detalles:
- Una descripción de la política de zona de seguridad
- El nombre y la ubicación del recurso en la infracción de la política
- El nivel de riesgo relativo de la infracción de la política (Crítico, Grave, Menor, etc.)
- Acciones recomendadas que se deben realizar para corregir el problema

Consulte Políticas de zona de seguridad para obtener descripciones de todas las políticas disponibles.

Siguientes pasos

Después de activar Cloud Guard y crear su primera zona de seguridad, puede probar la zona, personalizar la zona o crear otras zonas.

Tarea	Más información
Probar una zona intentando infringir una de las políticas de la zona	Seleccione una política de zona de seguridad que esté activada en la receta de la zona. Por ejemplo, verifique que no puede crear una subred pública ni un cubo público de Object Storage. Consulte Políticas de zona de seguridad.
Crear una zona independiente en un subcompartimento	Creación de una zona de seguridad
Eliminar un subcompartimento de la zona	Eliminación de un subcompartimiento de una zona de seguridad
Suprimir una zona	Supresión de una zona de seguridad
Personalizar las recetas del detector de Cloud Guard en un destino del área de seguridad	Personalización de la configuración de Cloud Guard
Buscar otros problemas en la seguridad detectados por Cloud Guard	Procesamiento de los problemas notificados
Crear políticas de IAM para que otros grupos puedan gestionar zonas de seguridad	Políticas de Cloud Guard

Si no puede crear o probar una zona de seguridad correctamente, consulte Solución de problemas de Security Zones.