Visión general de Security Zones

Conozca los conceptos y componentes clave relacionados con Security Zones.

En el siguiente diagrama se proporciona una visión general de Security Zones.

Zona de seguridad

Asociación entre un compartimento (y cero o más subcompartimentos) y una receta de zona de seguridad. Las operaciones con recursos en una zona de seguridad se validan con respecto a todas las políticas de la receta.

Una zona de seguridad incluye un compartimento y todos sus subcompartimentos, a menos que elimine explícitamente un subcompartimento de la zona de seguridad, o cree una zona independiente para el subcompartimento.

Un compartimento no se puede asociar a más de una zona de seguridad.

Receta de zona de seguridad

Recopilación de políticas del área de seguridad que Oracle Cloud Infrastructure aplica en zonas de seguridad que utilizan la receta.

Política de zona de seguridad

Requisito de seguridad para los recursos de una zona de seguridad. Si una zona de seguridad activa una política, se deniega cualquier acción que intente infringir esa política.

Destino de zona de seguridad (Cloud Guard)

Compartimento cuyos recursos comprueba periódicamente Cloud Guard en búsqueda de infracciones en las políticas de zona de seguridad.

Un destino incluye todos los subcompartimentos, a menos que cree un destino independiente para el subcompartimento.

Un destino está asociado a una o más recetas de detector. Cada receta de detector define una lista de posibles problemas de seguridad.

Una política de zona de seguridad difiere de una política de IAM en los siguientes aspectos:

• Los administradores crean políticas de IAM para otorgar a los usuarios la capacidad de gestionar determinados recursos en un compartimento.
• Una política de zona de seguridad garantiza que estas operaciones de gestión cumplan con la arquitectura de máxima seguridad y las mejores prácticas de Oracle.
• Se valida una política de zona de seguridad independientemente del usuario que esté realizando la operación.
• Una política de zona de seguridad deniega determinadas acciones; no otorga capacidades.

En general, las políticas de la zona de seguridad son coherentes con los siguientes principios básicos de seguridad.

• Los recursos de una zona de seguridad no se pueden mover a un compartimento fuera de la zona de seguridad porque podría ser menos seguro.
• Todos los componentes necesarios para un recurso en una zona de seguridad también deben estar ubicados en la misma zona de seguridad. Los recursos que no estén en una zona de seguridad podrían ser vulnerables y los recursos de una zona de seguridad diferente podrían tener una estrategia de seguridad menos estricta.

  Por ejemplo, una instancia (Compute)  en una zona de seguridad no puede utilizar un volumen de inicio que no esté en la misma zona de seguridad.

• Los recursos de una zona no deben ser accesibles desde la red Internet pública.
• Los recursos de una zona de seguridad se deben cifrar con claves gestionadas por el cliente.
• Se debe realizar una copia de seguridad regular y automática de los recursos de una zona de seguridad.
• Los datos de una zona de seguridad se consideran con privilegios y no se pueden copiar fuera de la zona de seguridad porque podrían ser menos seguros.
• Los recursos de una zona de seguridad solo pueden utilizar configuraciones y plantillas aprobadas por Oracle.

Conozca las relaciones entre compartimentos, zonas de seguridad, recetas y destinos.

Después de crear una zona de seguridad para un compartimento, evita automáticamente las operaciones, como la creación o modificación de recursos, que infringen las políticas de la zona de seguridad. Sin embargo, los recursos existentes que se hayan creado antes de la zona de seguridad también podrían infringir las políticas. Security Zones se integra con Cloud Guard para identificar infracciones de políticas en los recursos existentes.

Cloud Guard es un servicio de Oracle Cloud Infrastructure que proporciona un panel central de control para supervisar todos los recursos de la nube y detección de deficiencias de seguridad en los logs, las métricas y la configuración. Cuando detecta un problema, puede sugerir, ayudar o realizar acciones correctivas, según la configuración de Cloud Guard.

Estos son algunos conceptos clave de Cloud Guard:

Receta de detector

Define los tipos de recursos en la nube y las incidencias de seguridad que desea que supervise Cloud Guard.

Cloud Guard proporciona algunas recetas de detector gestionadas por Oracle por defecto y también puede crear recetas personalizadas.

Destino

Compartimento que desea que supervise Cloud Guard y que está asociado a una receta de Cloud Guard.

Un destino se puede asociar a varias recetas de detector, pero solo uno de cada tipo (configuración, actividad, etc.).

Destino de zona de seguridad

Un tipo de destino de Cloud Guard que también está asociado a una zona de seguridad. El destino supervisa los recursos del compartimento para detectar infracciones de política de zona de seguridad.

El siguiente diagrama ilustra la configuración de Cloud Guard para una nueva zona del sistema:

Si crea una zona de seguridad para un subcompartimento cuyo compartimento principal ya esté en una zona de seguridad, Cloud Guard realiza las siguientes tareas:

• Crea un destino para el subcompartimento de zona de seguridad independiente
• Agrega las Recetas de Detector Gestionadas por Oracle por Defecto al Nuevo Destino de Zona de Seguridad

No se realizan cambios en el destino existente de Cloud Guard para el compartimento principal.

El siguiente diagrama ilustra la configuración de Cloud Guard para una nueva zona del subcompartimento:

Un único compartimento no puede estar en varias zonas de seguridad y tampoco puede estar en varios objetivos de Cloud Guard.

Para obtener más información sobre Cloud Guard, consulte Conceptos deCloud Guard.

Puede acceder a Security Zones mediante la consola (interfaz basada en explorador), las API REST, la interfaz de línea de comandos (CLI) o los SDK.

En esta guía se incluyen instrucciones para la consola, la API y la CLI. Para obtener una lista de los SDK disponibles, consulte Software development kits e interfaz de línea de comandos.

Para acceder a la consola, debe utilizar un explorador soportado. Para ir a la página de conexión de la consola, abra el menú que se encuentra en la parte superior de esta página y haga clic en la consola de Infrastructure. Se le pedirá que introduzca el inquilino en la nube, el nombre de usuario y la contraseña.

Cada servicio de Oracle Cloud Infrastructure se integra con IAM con fines de autenticación y autorización para todas las interfaces (la consola, el SDK o la CLI, y la API de REST).

Un administrador de la organización debe definir grupos, compartimentos y políticas que controlen qué usuarios pueden acceder a qué servicios, qué recursos y el tipo de acceso. Por ejemplo, las políticas controlan quién puede crear usuarios, crear y gestionar una VCN (red virtual en la nube) , iniciar instancias y crear cubos.

• Si es un administrador nuevo, consulte Introducción a las políticas.
• Para obtener detalles específicos sobre el diseño de políticas para este servicio, consulte Políticas de Cloud Guard. Los tipos de recursos individuales para Security Zones se incluyen en el tipo de agregado cloud-guard-family.
• Para obtener detalles específicos acerca de la escritura de políticas de otros servicios, consulte Referencia de políticas.

Además de crear políticas de la instancia de IAM, siga estas otras mejores prácticas para las zonas de seguridad.

Consulte Protección de Security Zones.

Cuando se registra en Oracle Cloud Infrastructure, se configura un conjunto de límites de servicio para su arrendamiento. Estos límites restringen el número total de recursos de Security Zones que puede crear.

• Límites de Cloud Guard

Consulte la sección Límites de servicio para obtener instrucciones sobre cómo solicitar un aumento del límite.

Los recursos del área de seguridad, como los de la mayoría de los tipos de recursos en Oracle Cloud Infrastructure, tienen un identificador asignado único por Oracle denominado ID de Oracle Cloud (OCID).

Para obtener información sobre el formato del OCID y otras formas de identificar los recursos, consulte Identificadores de recursos.

Security Zones se integra con otros servicios del control en Oracle Cloud Infrastructure.

• El servicio Audit registra automáticamente todas las llamadas a todos los Puntos Finales de la API pública de Cloud Guard como entradas de log. Estos puntos finales incluyen todas las operaciones de Security Zones. Consulte Visión general de auditoría.
• El servicio Events permite que los equipos de desarrollo respondan automáticamente cuando un recurso de Security Zones cambie su estado. Consulte Security Zones Events.