Aísle los recursos y controle el acceso

El aislamiento de recursos es una consideración clave a la hora de organizar los recursos en la nube. Los compartimentos le permiten organizar lógicamente sus recursos y controlar el acceso a ellos de una manera que sea significativa para su negocio. Por ejemplo, puede aislar los recursos utilizados por cada departamento de la compañía en un compartimento independiente. En su lugar, puede que desee segmentar por función operativa, como redes, seguridad, base de datos o desarrollo de aplicaciones. También puede utilizar redes virtuales en la nube (VCN) para aislar recursos en la capa de red.

Debe planificar cuidadosamente los compartimentos y las redes virtuales en la nube, teniendo en cuenta los requisitos de seguridad actuales y futuros de su organización. Las recomendaciones de este artículo le ayudarán a cumplir con sus requisitos.

Organización de recursos mediante compartimentos y etiquetas

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Los compartimentos y las etiquetas son herramientas útiles para organizar y aislar recursos para el control de acceso.
  • Cree y designe compartimentos para categorías específicas de recursos, y escriba políticas de IAM para permitir el acceso a los recursos solo a los grupos de usuarios que necesiten acceso a ellos.
  • Separar las cargas de trabajo de producción y no producción en compartimentos distintos.
  • Crear y utilizar compartimentos secundarios para aislar recursos para capas organizativas adicionales. Escriba políticas distintas para cada nivel de compartimento.
  • Permita solo a los usuarios autorizados mover compartimentos a diferentes compartimentos principales y mover recursos de un compartimento a otro. Escriba políticas adecuadas para aplicar esta restricción.
  • Limite el número de recursos de cada tipo que se pueden crear en un compartimento mediante la definición de cuotas de nivel de compartimento.
  • Evite escribir políticas de IAM en el nivel del compartimento raíz.
  • Limite los recursos que puede gestionar un principal de instancia especificando un compartimento en la política de IAM.
  • Asigne etiquetas a los recursos para organizarlos e identificarlos en función de sus necesidades empresariales.

Implantación del control de acceso basado en roles

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Restrinja el acceso mediante la asignación de privilegios por rol.
  • Limite los privilegios de acceso para los usuarios de cada grupo a solo los compartimentos a los que necesitan acceder mediante la escritura de políticas de nivel de compartimento.
  • Escriba políticas que sean lo más granulares posible en términos de los recursos de destino y los privilegios de acceso necesarios.
  • Cree grupos con permisos para realizar tareas comunes a todas las cargas de trabajo desplegadas (como administración de red y administración de volúmenes) y asigne usuarios administradores adecuados a estos grupos.

No almacenar credenciales de usuario en instancias informáticas

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Cuando desee autorizar a una instancia informática para que realice llamadas a las API de Oracle Cloud Infrastructure, no almacene ninguna credencial de usuario en la instancia. En su lugar, designe la instancia como principal de instancia.

Los certificados necesarios para que la instancia se autentique se crean automáticamente, se asignan a la instancia y se rotan. Puede agrupar dichas instancias en juegos lógicos, denominados grupos dinámicos, y escribir políticas para permitir a los grupos dinámicos realizar acciones específicas en recursos específicos.

Utilice Oracle Cloud Infrastructure Vault para gestionar y proteger las claves de cifrado con estrictos controles de acceso.

Reforzar el acceso de conexión a instancias informáticas

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Asegúrese de que solo se utilizan métodos seguros para conectarse a las instancias informáticas.
  • Desactive la conexión basada en contraseña si tiene una solución de conexión empresarial estándar.
  • Desactive el inicio de sesión root.
  • Utilice solo la autenticación basada en claves SSH.
  • No comparta las claves SSH. Utilice Oracle Cloud Infrastructure Bastion con claves SSH temporales para evitar el uso compartido de claves SSH.
  • Utilice los grupos de seguridad de red para restringir el acceso en función de la dirección IP de origen.
  • Deshabilite servicios innecesarios.
  • Considere el uso de la integración del módulo de autenticación conectable (PAM) de Linux para máquinas virtuales con dominios de identidad de IAM.

Acceso seguro a recursos cruzados

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Si designa instancias como principales, revise los usuarios y grupos que tienen acceso a dichas instancias. Asegúrese de que solo los usuarios y grupos adecuados puedan acceder a ellos.

Aislar recursos en la capa de red

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Las redes virtuales en la nube proporcionan el primer nivel de aislamiento de red entre los recursos de Oracle Cloud Infrastructure.
Si tiene varias cargas de trabajo o diferentes departamentos/organizaciones, use diferentes redes virtuales en la nube para cada una a fin de aislar los recursos en la capa de red.
Utilice el intercambio de tráfico de VCN cuando sea necesario. Una VCN de zona desmilitarizada (DMZ) permite analizar el tráfico entre VCN. Además, utilice las subredes públicas y privadas con cuidado, después de evaluar qué recursos necesitan acceso público.
  • Utilice los equilibradores de carga para exponer públicamente servicios y colocar destinos de backend en subredes privadas.
  • Aproveche los grupos de seguridad de red para aplicar la microsegmentación de la aplicación para cada nivel de la aplicación.
  • La lista blanca necesita tráfico este/oeste dentro de una VCN, no permite flujos de tráfico a menos que sean necesarios.
  • En una topología de red de hub y radios, enrute todo el tráfico de la VCN radial a una VCN de zona desmilitarizada (DMZ) y a través de un firewall de red de OCI u otro dispositivo de red para garantizar el acceso adecuado.

Definición de zonas de seguridad

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Las zonas de seguridad aplican políticas de seguridad base para compartimentos en Oracle Cloud Infrastructure, para evitar configuraciones incorrectas. Incluyen una biblioteca de políticas y mejores prácticas de seguridad integradas para permitir la gestión de la estrategia de seguridad en la nube.
  • Active las políticas de seguridad para los recursos de producción en subredes privadas en su propia VCN y compartimento.
  • Separe los componentes orientados a Internet en una VCN independiente con una subred pública y enlácelos a la VCN de zona de seguridad con un gateway de intercambio de tráfico local. Además, agregue un firewall de aplicaciones web para proteger los componentes orientados a Internet, como los equilibradores de carga.
  • Utilice Oracle Security Advisor para facilitar la creación de recursos en una zona de seguridad.