Gestión de identidades y políticas de autorización

Oracle Cloud Infrastructure Identity and Access Management le permite controlar quién tiene acceso a sus recursos en la nube. Las credenciales de acceso y autorización incluyen claves de API, contraseña de conexión, inicio de sesión federado y tokens de autenticación. Utilice las credenciales adecuadas para proteger su cuenta y sus recursos en la nube. Oracle le recomienda que adopte las siguientes recomendaciones al implantar la gestión de identidades en la nube.

Usar autenticación multifactor (MFA)

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Restrinja el acceso a los recursos solo a los usuarios que se hayan autenticado mediante la solución de inicio de sesión único de su empresa, y una contraseña de un solo uso con un tiempo limitado u otro factor adecuado, como una función de exploración biométrica.

Con los dominios de identidad de OCI Identity and Access Management (IAM), la MFA se configura y aplica en una política de conexión predefinida para la consola de OCI. Esta política no debe desactivarse.

Debe necesitarlo en el nivel de usuario y aplicarlo en el nivel de recursos a través de IAM. Puede aplicar MFA para un recurso en la política de acceso que permite el acceso al recurso.

La MFA también se puede configurar para casos de uso de acceso de emergencia cuando necesite otorgar a un usuario un acceso elevado temporal para omitir el control de acceso regular y obtener acceso inmediato a sistemas críticos.

No utilizar la cuenta de administrador de arrendamiento para operaciones diarias

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Se deben crear administradores de nivel de servicio en el arrendamiento para limitar aún más el acceso administrativo. Los administradores de nivel de servicio solo deben gestionar recursos de un servicio o dominio específico.

Por ejemplo, la siguiente política permite a los usuarios del grupo VolumeAdmins gestionar solo los recursos de la familia de volúmenes en bloque.

Allow group VolumeAdmins to manage volume-family in tenancy

Creación de políticas de seguridad para evitar el bloqueo de cuentas de administrador

Arquitecto empresarial, arquitecto de seguridad

Cree y proteja una cuenta de administrador específicamente para su uso en caso de que el administrador de arrendamiento abandone su organización o en caso de alguna otra emergencia cuando no haya administradores de arrendamiento disponibles.

Por ejemplo, cree un usuario de emergencia, con miembros en el grupo Administradores de OCI, no federado y solo con contraseña local. Esto a veces se conoce como una cuenta de "Break glass".

Break Glass se refiere a los procesos y mecanismos utilizados para obtener un acceso altamente privilegiado en caso de una emergencia de TI. El término se deriva de la práctica de colocar un disparador de alarma detrás de un panel de vidrio protector, que sirve como una barrera física para evitar la activación no autorizada o no de emergencia. En TI, el break glass se utiliza metafóricamente para describir la necesidad de privilegios de acceso completos durante una emergencia crítica que no se puede abordar dentro de la segregación de funciones establecida (SOD) y los controles de acceso con menos privilegios. Las características clave de un proceso de acceso de emergencia eficaz son la alta disponibilidad, el acceso restringido, la evaluación de riesgos, la aprobación acelerada, los derechos de corta duración, la auditoría y las pruebas periódicas. Incluso un modelo de acceso bien diseñado puede no tener en cuenta todas las posibles emergencias. En tales casos, break glass proporciona una forma de concentrar el nivel más alto de privilegios de acceso en una o más cuentas break-glass, trascendiendo el modelo de acceso establecido. El grupo de administradores de OCI se puede utilizar para otorgar acceso de acceso de acceso de emergencia, junto con una opción de derecho alternativa.

Restricción de grupos de administradores de IAM de la gestión de administradores por defecto y grupos de administradores de credenciales

Arquitecto empresarial, arquitecto de seguridad

Los permisos de administrador deben seguir la regla de privilegio mínimo, por lo que la afiliación a un grupo de administradores o la asociación a una política de administrador se deben limitar según sea necesario.

La siguiente política permite a los usuarios del grupo UserAdmins inspeccionar solo los grupos del arrendamiento.

Allow group UserAdmins to inspect groups in tenancy

Tampoco se debe modificar la política de administración del arrendamiento lista para usar.

Evitar la eliminación accidental o maliciosa de (y cambios en) las políticas de acceso

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Por ejemplo, la siguiente política solo permite a los usuarios del grupo PolicyAdmins crear políticas, pero no editarlas ni suprimirlas.

Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

Restrinja a los administradores de credenciales a gestionar solo las capacidades de usuario y las credenciales de usuario, como claves de API, tokens de autenticación y claves secretas.

Uso de varios dominios de identidad

Arquitecto empresarial, arquitecto de seguridad

Utilice el dominio de identidad de OCI Identity and Access Management por defecto solo para administradores de OCI.

• Para cargas de trabajo de aplicaciones, utilice dominios de identidad independientes para cada entorno, como desarrollo, prueba y producción.
• Cada dominio puede tener diferentes requisitos de identidad y seguridad para proteger sus aplicaciones y servicios de OCI.
• El uso de varios dominios de identidad puede ayudarle a mantener el aislamiento del control administrativo en cada dominio de identidad. Se necesitan varios dominios de identidad, por ejemplo, cuando los estándares de seguridad impiden que los identificadores de usuario para el desarrollo existan en el entorno de producción. También se utilizan varios dominios cuando se requiere que diferentes administradores tengan el control de varios entornos.

Federación de Oracle Cloud Infrastructure Identity and Access Management

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Siempre que sea posible y relevante, federe Oracle Cloud Infrastructure Identity and Access Management con el proveedor de identidad centralizado de su organización (IdP).

• Cree un grupo de administradores de federación que se asigne al grupo de administradores del IdP federado y se rija por las mismas políticas de seguridad que el grupo de administradores del IdP federado.
• Cree usuarios locales y asigne los usuarios a los grupos de IAM Administrators, IAM Administrators y Credential Administrators por defecto. Utilice estos usuarios para escenarios de tipo de acceso de emergencia (por ejemplo, incapacidad para acceder a los recursos a través de la federación).
• Defina una política para evitar que el grupo de IAM de administradores federados modifique los miembros de los grupos Administrators del arrendamiento por defecto.
• Detecte operaciones y accesos no autorizados mediante la supervisión de los logs de auditoría para las operaciones de los administradores del arrendamiento y los cambios en los grupos Administrators.

Supervisión y gestión de las actividades y el estado de todos los usuarios

Arquitecto empresarial, arquitecto de seguridad, arquitecto de aplicaciones

Supervise y gestione las actividades y el estado de todos los usuarios.

• Cuando un empleado abandona la organización, desactive el acceso al arrendamiento suprimiendo el usuario inmediatamente.
• Aplique la rotación de la contraseña de usuario, las claves de API y todas las capacidades de usuario relacionadas con la autenticación cada 90 días o menos.
• Asegúrese de que las credenciales de Identity and Access Management (IAM) no estén codificadas en ninguna de la documentación de software u operaciones.
• Cree un usuario de IAM para todos los usuarios de la organización que necesiten acceder a recursos del arrendamiento. No comparta un usuario de IAM con varios usuarios humanos.
• Implante la conexión única federada para optimizar el acceso a varias aplicaciones y centralizar la autenticación.
• Revise los usuarios de los grupos de IAM periódicamente y elimine los usuarios que ya no necesitan acceder.

Más información

• Mejores prácticas de seguridad
• Gestión de autenticación multifactor
• Protección de IAM
• Federación de IAM
• Tutoriales de IAM con dominios de identidad