Aísle los recursos y controle el acceso
Debe planificar cuidadosamente los compartimentos y las redes virtuales en la nube, teniendo en cuenta los requisitos de seguridad actuales y futuros de su organización. Las recomendaciones de este artículo le ayudarán a cumplir con sus requisitos.
Organización de recursos mediante compartimentos y etiquetas
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
- Cree y designe compartimentos para categorías específicas de recursos, y escriba políticas de IAM para permitir el acceso a los recursos solo a los grupos de usuarios que necesiten acceso a ellos.
- Separar las cargas de trabajo de producción y no producción en compartimentos distintos.
- Crear y utilizar compartimentos secundarios para aislar recursos para capas organizativas adicionales. Escriba políticas distintas para cada nivel de compartimento.
- Permita solo a los usuarios autorizados mover compartimentos a diferentes compartimentos principales y mover recursos de un compartimento a otro. Escriba políticas adecuadas para aplicar esta restricción.
- Limite el número de recursos de cada tipo que se pueden crear en un compartimento mediante la definición de cuotas de nivel de compartimento.
- Evite escribir políticas de IAM en el nivel del compartimento raíz.
- Limite los recursos que puede gestionar un principal de instancia especificando un compartimento en la política de IAM.
- Asigne etiquetas a los recursos para organizarlos e identificarlos en función de sus necesidades empresariales.
Implantación del control de acceso basado en roles
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
- Limite los privilegios de acceso para los usuarios de cada grupo a solo los compartimentos a los que necesitan acceder mediante la escritura de políticas de nivel de compartimento.
- Escriba políticas que sean lo más granulares posible en términos de los recursos de destino y los privilegios de acceso necesarios.
- Cree grupos con permisos para realizar tareas comunes a todas las cargas de trabajo desplegadas (como administración de red y administración de volúmenes) y asigne usuarios administradores adecuados a estos grupos.
No almacenar credenciales de usuario en instancias informáticas
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Los certificados necesarios para que la instancia se autentique se crean automáticamente, se asignan a la instancia y se rotan. Puede agrupar dichas instancias en juegos lógicos, denominados grupos dinámicos, y escribir políticas para permitir a los grupos dinámicos realizar acciones específicas en recursos específicos.
Utilice Oracle Cloud Infrastructure Vault para gestionar y proteger las claves de cifrado con estrictos controles de acceso.
Reforzar el acceso de conexión a instancias informáticas
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
- Desactive la conexión basada en contraseña si tiene una solución de conexión empresarial estándar.
- Desactive el inicio de sesión root.
- Utilice solo la autenticación basada en claves SSH.
- No comparta las claves SSH. Utilice Oracle Cloud Infrastructure Bastion con claves SSH temporales para evitar el uso compartido de claves SSH.
- Utilice los grupos de seguridad de red para restringir el acceso en función de la dirección IP de origen.
- Deshabilite servicios innecesarios.
- Considere el uso de la integración del módulo de autenticación conectable (PAM) de Linux para máquinas virtuales con dominios de identidad de IAM.
Acceso seguro a recursos cruzados
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Aislar recursos en la capa de red
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Las redes virtuales en la nube proporcionan el primer nivel de aislamiento de red entre los recursos de Oracle Cloud Infrastructure.- Utilice los equilibradores de carga para exponer públicamente servicios y colocar destinos de backend en subredes privadas.
- Aproveche los grupos de seguridad de red para aplicar la microsegmentación de la aplicación para cada nivel de la aplicación.
- La lista blanca necesita tráfico este/oeste dentro de una VCN, no permite flujos de tráfico a menos que sean necesarios.
- En una topología de red de hub y radios, enrute todo el tráfico de la VCN radial a una VCN de zona desmilitarizada (DMZ) y a través de un firewall de red de OCI u otro dispositivo de red para garantizar el acceso adecuado.
Definición de zonas de seguridad
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
- Active las políticas de seguridad para los recursos de producción en subredes privadas en su propia VCN y compartimento.
- Separe los componentes orientados a Internet en una VCN independiente con una subred pública y enlácelos a la VCN de zona de seguridad con un gateway de intercambio de tráfico local. Además, agregue un firewall de aplicaciones web para proteger los componentes orientados a Internet, como los equilibradores de carga.
- Utilice Oracle Security Advisor para facilitar la creación de recursos en una zona de seguridad.