Más información sobre la activación de la notificación de caducidad de credenciales para OCI
Los secretos de OCI Identity and Access Management son credenciales como claves de API, credenciales de base de datos y nube, certificados, claves SSH o tokens de autenticación que se almacenan, acceden y distribuyen.
Las mejores prácticas de la comunidad recomiendan rotar los secretos regularmente. Cuantos más datos cifre con una clave, más datos se expondrán si esa clave se ve comprometida. Cuanto más tiempo uses la llave, más probable será que se filtre por algunos medios. Al rotar claves, puede compartimentar los datos, lo que limita el impacto de la filtración de una clave. Por lo tanto, obtener una notificación anticipada es una clave para el usuario y el equipo SecOps.
La rotación de credenciales de OCI Identity and Access Management reduce la ventana de oportunidad para que se utilice una clave de acceso asociada a una cuenta comprometida o terminada. Oracle Cloud Guard es un servicio nativo en la nube para supervisar la estrategia de seguridad y disparar eventos al caducar los secretos de OCI Identity and Access Management. Recomendamos rotar credenciales de IAM cada 90 días.
Arquitectura
Con la notificación avanzada, los usuarios pueden rotar sus secretos y actualizar la carga de trabajo de la aplicación. Esta arquitectura de OCI utiliza OCI Functions, un servicio informático sin servidor, para leer datos JSON del servicio OCI Identity and Access Management.
En el siguiente diagrama se ilustra el flujo de trabajo para enviar informes al equipo SecOps y la notificación anticipada por correo electrónico a los usuarios.
Descripción de la ilustración credential-expiry-notif-workflow.png
credencial-expiry-notif-workflow-oracle.zip
El flujo de trabajo tiene dos secciones: El equipo SecOps y Automatización. Una vez que el equipo SecOps completa la configuración, los servicios de OCI Functions y OCI Resource Scheduler gestionan la automatización.
- El equipo SecOps inicia el flujo de trabajo configurando los umbrales, los usuarios exentos y otros parámetros para OCI Functions. Después de que el equipo SecOps configure los parámetros para OCI Functions, el flujo de trabajo se produce por completo en Automation.
- El programador de OCI envía datos a OCI Functions.
- OCI Functions valida la caducidad sondeando la clave de API, el código de autenticación y la clave secreta de cliente y determinando si supera el umbral.
- La decisión Superar umbral determina si la caducidad es una advertencia, crítica o caducada y la envía a la siguiente decisión para determinar el informe necesario.
- La decisión del informe semanal/mensual de inclusión determina el informe.
- Sí: si la configuración opta por un informe semanal o mensual, se envía automáticamente un informe por correo electrónico al equipo SecOps, que finaliza el flujo de trabajo.
- No: si la configuración no incluye un informe semanal o mensual, la automatización determina si el usuario está exento.
- La decisión de exención de usuario determina la automatización:
- Sí: si el usuario está exento, la automatización envía un informe por correo electrónico al usuario. El flujo de trabajo finalizó.
- No: si el usuario no está exento, la automatización suprime los secretos caducados y envía un informe por correo electrónico al usuario. El flujo de trabajo finalizó.
Esta arquitectura admite los siguientes componentes:
- Identity and Access Management (IAM)
Oracle Cloud Infrastructure Identity and Access Management (IAM) es el plano de control de acceso para Oracle Cloud Infrastructure (OCI) y Oracle Cloud Applications. La API de IAM y la interfaz de usuario le permiten gestionar los dominios de identidad y los recursos dentro del dominio de identidad. Cada dominio de identidad de OCI IAM representa una solución independiente de gestión de identidad y acceso o una población de usuarios diferente.
- Planificador de Recursos de OCI
El servicio Oracle Cloud Infrastructure Resource Scheduler está integrado con el servicio OCI Identity and Access Management, lo que proporciona una autenticación sencilla con la funcionalidad de identidad nativa de OCI. El programador de recursos de OCI actúa en los recursos de un arrendamiento o grupo de arrendamientos gestionados de forma programada en el nivel de compartimento raíz.
El servicio le permite crear y gestionar programas que realizan acciones en una recopilación de recursos de base de datos y recursos informáticos de OCI en su arrendamiento para que se gestionen su ciclo de vida y sus tiempos operativos.
- Cloud Guard
Puede utilizar Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de deficiencias de seguridad y para supervisar a los operadores y usuarios para determinadas actividades de riesgo. Cuando se detecta una configuración incorrecta o una actividad no segura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que pueda definir.
- Monitoring
El servicio Oracle Cloud Infrastructure Monitoring supervisa de forma activa y pasiva los recursos en la nube mediante métricas para supervisar recursos y alarmas para notificarle cuando estas métricas cumplen los disparadores especificados por la alarma.
- Funciones
Oracle Cloud Infrastructure Functions es una plataforma de funciones como servicio (FaaS) totalmente gestionada, multi-inquilino, altamente escalable y bajo demanda. Se basa en el motor de origen abierto Fn Project. OCI Functions permite desplegar el código y llamarlo directamente o dispararlo en respuesta a eventos. OCI Functions utiliza contenedores de Docker alojados en Oracle Cloud Infrastructure Registry.
- Email Delivery
Oracle Cloud Infrastructure Email Delivery es un servicio de entrega de correo electrónico fiable, rentable y con grandes posibilidades de ampliación para enviar correos electrónicos de gran volumen generados por aplicaciones para comunicaciones transaccionales, de notificaciones y de marketing esenciales, como confirmaciones, alertas de detección de fraude, verificación de identidad multifactor y restablecimientos de contraseña.
Acerca de los servicios y los roles necesarios
Esta solución requiere los siguientes servicios y roles de Oracle Cloud Infrastructure (OCI):
- OCI Vault
-
Funciones de OCI
-
Planificador de Recursos de OCI
- OCI Identity and Access Management
- Supervisión de OCI
- Oracle Cloud Guard
Estos son los roles necesarios para cada servicio.
| Nombre de servicio: rol | Necesario para... |
|---|---|
| OCI Vault: secreto | permiso de gestión. |
| OCI Functions: desarrollador de Functions con una cuenta de usuario de OCI que pertenece a grupos a los que las políticas adecuadas otorgan acceso a recursos relacionados con la función | Crear y desplegar OCI Functions. |
| Programador de recursos de OCI: programación | Crear y gestionar programas. |
| OCI Identity and Access Management: políticas | Crear las políticas necesarias. |
Consulte Productos, soluciones y servicios de Oracle para obtener lo que necesita.
Consideraciones de seguridad
Al diseñar esta solución, tenga en cuenta los siguientes requisitos de seguridad:
- Envíe al usuario un único correo electrónico para todos los dominios de identidad del arrendamiento después de superar el umbral para cada gravedad (advertencia, crítica o caducidad).
- Envíe un informe consolidado a SecOps, según el parámetro configurado. Por ejemplo, semanal o mensual.
- La automatización debe suprimir el secreto después de la caducidad, a menos que el usuario lo haya agregado a la lista de exentos.
- Envíe un informe consolidado a SecOps para cada parámetro configurado. Por ejemplo, semanal o mensual.
- Almacene la contraseña SMTP (protocolo simple de transferencia de correo) en Oracle Cloud Infrastructure Vault.
- Acepte varios parámetros de configuración para evitar el nuevo despliegue de la solución de automatización.