Aislamiento de recursos y acceso de control
Debe planificar sus compartimentos y VCN cuidadosamente, teniendo en cuenta los requisitos de seguridad actuales y futuros de su organización. Las recomendaciones de este artículo le ayudarán a cumplir sus requisitos.
Organización de recursos mediante compartimentos y etiquetas
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
- Cree y designe compartimentos para categorías específicas de recursos y escriba políticas de IAM para permitir el acceso a los recursos solo a los grupos de usuarios que necesitan acceso a ellos.
- Separe las cargas de trabajo de producción y no producción en compartimentos independientes.
- Cree y utilice compartimentos secundarios para aislar recursos para capas organizativas adicionales. Escriba políticas independientes para cada nivel de compartimento.
- Permita que solo los usuarios autorizados muevan los compartimentos a diferentes compartimentos principales y muevan los recursos de un compartimento a otro. Escriba políticas adecuadas para aplicar esta restricción.
- Limite el número de recursos de cada tipo que se pueden crear en un compartimento mediante la definición de cuotas de nivel de compartimento.
- Evite escribir políticas de IAM en el nivel del compartimento raíz.
- Limite los recursos que puede gestionar un principal de instancia especificando un compartimento en la política de IAM.
- Asigne etiquetas a recursos para organizarlas e identificarlas en función de las necesidades de su negocio.
Implantar el control de acceso basado en roles
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
- Limite los privilegios de acceso para los usuarios de cada grupo a los compartimentos a los que necesitan acceder mediante la escritura de políticas de nivel de compartimento.
- Escribir políticas que sean lo más granulares posible en términos de recursos de destino y los privilegios de acceso necesarios.
- Cree grupos con permisos para realizar tareas comunes a todas las cargas de trabajo desplegadas (como administración de redes y volúmenes) y asigne usuarios administradores adecuados a estos grupos.
No almacenar credenciales de usuario en instancias informáticas
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Los certificados necesarios para que la instancia se autentique se crean automáticamente, se asignan a la instancia y se rotan. Puede agrupar dichas instancias en juegos lógicos, denominados grupos dinámicos y escribir políticas para permitir que los grupos dinámicos realicen acciones específicas en recursos específicos.
Reforzar el acceso de inicio de sesión a instancias informáticas
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
- Desactive el inicio de sesión basado en contraseña.
- Desactive el inicio de sesión root.
- Utilice solo autenticación basada en claves SSH.
- Aproveche los grupos de seguridad y las listas de seguridad para restringir el acceso según la dirección IP de origen.
- Permite desactivar servicios innecesarios.
Acceso seguro entre recursos
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Aislamiento de recursos en la capa de red
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
Las redes virtuales en la nube proporcionan el primer nivel de aislamiento de red entre los recursos de Oracle Cloud Infrastructure.- Aproveche los equilibradores de carga para exponer públicamente los servicios y colocar los destinos de backend en subredes privadas.
- Utilice grupos de seguridad para aplicar la micro segmentación de aplicaciones para cada nivel de la aplicación.
- La lista blanca necesita tráfico este/oeste dentro de una VCN, no permite flujos de tráfico a menos que sean necesarios.
Definir zonas de máxima seguridad
Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones
- Active la política de máxima seguridad para los recursos de producción en subredes privadas en su propia VCN y compartimento.
- Separe los componentes orientados a Internet en una VCN independiente con una subred pública y vincule a la VCN de zona de máxima seguridad con un gateway de intercambio de tráfico local. Además, agregue un firewall de aplicaciones web para proteger los componentes orientados a Internet, como los equilibradores de carga.
- Utilice el Asesor de Seguridad de Oracle para facilitar la creación de recursos en una zona de máxima seguridad.