1. Marco de mejores prácticas para Oracle Cloud Infrastructure
  2. Gestión de identidades y políticas de autorización

Gestión de identidades y políticas de autorización

Oracle Cloud Infrastructure Identity and Access Management permite controlar quién tiene acceso a sus recursos en la nube.Las credenciales de acceso y autorización incluyen claves de API, contraseñas de inicio de sesión, conexiones federadas y tokens de autenticación. Utilice las credenciales adecuadas para proteger su cuenta y recursos en la nube. Oracle le recomienda que adopte las siguientes recomendaciones al implantar la gestión de identidades en la nube.

Aplicación del uso de la autenticación de varios factores (MFA)

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Restrinja el acceso a los recursos exclusivamente a los usuarios autenticados a través de una contraseña de un solo uso limitada por tiempo.
Debe solicitarlo a nivel de usuario y aplicarlo a nivel de recursos mediante IAM. Puede aplicar MFA para un recurso en la política de acceso que permite el acceso al recurso. Por ejemplo, la siguiente política aplica MFA cuando los usuarios de GroupA gestionan los recursos que pertenecen a la familia de instancias en cualquier compartimento.
allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

No utilizar la cuenta de administrador de arrendamiento para las operaciones diarias

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Se deben crear administradores de nivel de servicio en el arrendamiento para limitar aún más el acceso administrativo. Los administradores de nivel de servicio solo deben gestionar recursos de un dominio o servicio específico.
Por ejemplo, la siguiente política permite a los usuarios del grupo VolumeAdmins gestionar solo los recursos de la familia de volúmenes en bloque.
Allow group VolumeAdmins to manage volume-family in tenancy

Crear políticas de seguridad para evitar el bloqueo de cuentas de administrador

Arquitecto empresarial, arquitecto de seguridad

En caso de que el administrador del arrendamiento abandone su organización.

Restricción de las capacidades de administrador de un grupo de administradores de arrendamiento

Arquitecto empresarial, arquitecto de seguridad

Los permisos de administrador deben seguir la regla de privilegio mínimo, por lo que la pertenencia a un grupo de administradores o el anexo a una política de administración se debe limitar a una base según sea necesario.

La siguiente política permite a los usuarios del grupo UserAdmins inspeccionar solo los grupos del arrendamiento. 

Allow group UserAdmins to inspect groups in tenancy

Evitar la eliminación accidental o maliciosa de (y cambios en) políticas de acceso

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Por ejemplo, la siguiente política solo permite a los usuarios del grupo PolicyAdmins crear políticas, pero no editarlas ni suprimirlas. 
Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

Federación de Oracle Cloud Infrastructure Identity and Access Management

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Cuando sea posible y pertinente, federe Oracle Cloud Infrastructure Identity and Access Management con el proveedor de identidad centralizada de su organización (IdP).
  • Cree un grupo de administradores de federación que se asigne al grupo de administradores del IdP federado y se rija por las mismas políticas de seguridad que el grupo de administradores del IdP federado.
  • Cree un usuario local y asigne el usuario al grupo de IAM por defecto Administrators. Utilice este usuario para escenarios de tipo break-glass (por ejemplo, incapacidad para acceder a recursos mediante federación).
  • Defina una política para evitar que el grupo de IAM de administradores federados modifique la pertenencia al grupo Administrators de arrendamiento por defecto.
  • Detecte operaciones y acceso no autorizados mediante la supervisión de los logs de auditoría para las operaciones de los administradores de arrendamiento y los cambios en el grupo Administrators.

Supervisión y gestión de las actividades y el estado de todos los usuarios

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Supervise y gestione las actividades y el estado de todos los usuarios.
  • Cuando un empleado abandone la organización, desactive el acceso al arrendamiento suprimiendo el usuario inmediatamente.
  • Aplique la rotación de la contraseña de usuario y las claves de API cada 90 días o menos.
  • Asegúrese de que las credenciales de Identity and Access Management (IAM) no están codificadas en ninguna de la documentación de operaciones o software.
  • Cree un usuario de IAM para todos los usuarios de la organización que necesiten acceder a recursos del arrendamiento. No comparta un usuario de IAM entre varios usuarios humanos.
  • Revise los usuarios de los grupos de IAM periódicamente y elimine los usuarios que ya no necesitan acceder.
  • Cambie las claves de API de IAM al menos cada 90 días para reducir el riesgo de comprometerse.

Más Información