1. Activer l'avis d'expiration des données d'identification pour la gestion des identités et des accès OCI
  2. En savoir plus sur l'activation de l'avis d'expiration des données d'identification pour OCI

En savoir plus sur l'activation de l'avis d'expiration des données d'identification pour OCI

Il est difficile pour une équipe des opérations de sécurité (SecOps) de suivre et d'assurer la rotation opportune des clés secrètes IAM. Cette solution d'automatisation contribue à améliorer la sécurité en permettant l'avis d'expiration anticipée des données d'identification Oracle Cloud Infrastructure (OCI).

Les clés secrètes du service de gestion des identités et des accès OCI sont des données d'identification telles que des clés d'API, des données d'identification de base de données et de nuage, des certificats, des clés SSH ou des jetons d'authentification stockés, consultés et distribués.

Les meilleures pratiques communautaires recommandent une rotation régulière des secrets. Plus vous chiffrez de données avec une clé, plus les données sont exposées si cette clé est compromise. Plus vous utilisez la clé, plus il est probable qu'elle soit divulguée par certains moyens. En effectuant une rotation des clés, vous compartimentez les données, ce qui limite l'incidence d'une fuite de clé. Par conséquent, l'obtention d'un avis anticipé est une clé pour l'utilisateur et l'équipe SecOps.

La rotation des données d'identification pour le service Gestion des identités et des accès OCI réduit la fenêtre d'opportunité d'utilisation d'une clé d'accès associée à un compte compromis ou interrompu. Oracle Cloud Guard est un service natif en nuage qui surveille la sécurité et déclenche des événements à l'expiration des clés secrètes du service de gestion des identités et des accès OCI. Nous recommandons la rotation des données d'identification IAM tous les 90 jours.

Architecture

Avec l'avis avancé, les utilisateurs peuvent effectuer une rotation de leurs clés secrètes et mettre à jour la charge de travail de l'application. Cette architecture OCI utilise le service des fonctions pour OCI, un service de calcul sans serveur, pour lire les données JSON à partir du service Gestion des identités et des accès OCI.

Le diagramme suivant illustre le flux de travail d'envoi de rapports à l'équipe SecOps et d'avis par courriel anticipé aux utilisateurs.

Une description de credential-expiry-notif-workflow.png suit
Description de l'illustration credential-expiry-notif-workflow.png

informations d'identification-expiration-avis-flux de travail-oracle.zip

Le flux de travail comporte deux sections : l'équipe SecOps et l'automatisation. Une fois la configuration terminée par l'équipe SecOps, les services du service des fonctions pour OCI et du programmateur de ressources OCI gèrent l'automatisation.

  1. L'équipe SecOps démarre le flux de travail en configurant les seuils, les utilisateurs exemptés et d'autres paramètres pour le service des fonctions pour OCI. Une fois que l'équipe SecOps a configuré les paramètres pour le service Fonctions OCI, le flux de travail se produit entièrement dans l'automatisation.
  2. Le programmateur OCI envoie des données au service Fonctions OCI.
  3. Le service Fonctions OCI valide l'expiration en interrogeant la clé secrète d'API, le code d'authentification et la clé secrète de client et en déterminant si elle dépasse le seuil.
  4. La décision Dépasser le seuil détermine si l'expiration est un avertissement, critique ou expirée et l'envoie à la décision suivante pour déterminer le rapport requis.
  5. La décision d'inclusion dans le rapport hebdomadaire/mensuel détermine le rapport.
    • Oui : Si la configuration opte pour un rapport hebdomadaire ou mensuel, un rapport par courriel est automatiquement envoyé à l'équipe SecOps, ce qui met fin au flux de travail.
    • Non : Si la configuration n'inclut pas de rapport hebdomadaire ou mensuel, l'automatisation détermine si l'utilisateur est exempté.
  6. La décision d'exemption d'utilisateur détermine l'automatisation :
    • Oui : Si l'utilisateur est exempté, l'automatisation envoie un rapport par courriel à l'utilisateur. Le flux de travail est arrêté.
    • Non : Si l'utilisateur n'est pas exempté, l'automatisation supprime les clés secrètes expirées et envoie un rapport par courriel à l'utilisateur. Le flux de travail est arrêté.

Cette architecture prend en charge les composants suivants :

  • Service de gestion des identités et des accès (GIA)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) est le plan de contrôle d'accès pour Oracle Cloud Infrastructure (OCI) et Oracle Cloud Applications. L'API IAM et l'interface utilisateur vous permettent de gérer les domaines d'identité et les ressources du domaine d'identité. Chaque domaine d'identité IAM OCI représente une solution autonome de gestion des identités et des accès ou une population d'utilisateurs différente.

  • Programmateur de ressources OCI

    Le service de programmateur de ressources pour Oracle Cloud Infrastructure est intégré au service de gestion des identités et des accès OCI, ce qui facilite l'authentification avec la fonctionnalité d'identité OCI native. Le programmateur de ressources OCI agit sur les ressources d'une location ou d'un groupe de locations gérées sur une base programmée au niveau du compartiment racine.

    Le service vous permet de créer et de gérer des programmes qui effectuent des actions sur une collection de ressources OCI de base de données et de calcul dans votre location afin que leur cycle de vie et leurs temps d'exploitation soient gérés.

  • Protection d'infrastructure en nuage

    Vous pouvez utiliser Oracle Cloud Guard pour surveiller et maintenir la sécurité de vos ressources dans Oracle Cloud Infrastructure. Le service de protection d'infrastructure en nuage utilise des recettes de détecteur que vous pouvez définir pour examiner vos ressources afin de détecter les faiblesses en matière de sécurité et pour surveiller les opérateurs et les utilisateurs pour certaines activités risquées. Lorsqu'une mauvaise configuration ou une activité non sécurisée est détectée, le service de protection d'infrastructure en nuage recommande des actions correctives et aide à effectuer ces actions, en fonction des recettes de répondant que vous pouvez définir.

  • Surveillance

    Le service Oracle Cloud Infrastructure Monitoring surveille activement et passivement vos ressources en nuage à l'aide de mesures pour surveiller les ressources et les alarmes pour vous aviser lorsque ces mesures répondent aux déclencheurs spécifiés par l'alarme.

  • Fonctions

    Oracle Cloud Infrastructure Functions est une plate-forme de fonctions-service (FaaS) sur demande, entièrement gérée, multilocataire et hautement évolutive. Il est alimenté par le moteur open source Fn Project. Le service Fonctions OCI vous permet de déployer votre code et de l'appeler directement ou de le déclencher en réponse à des événements. Le service des fonctions pour OCI utilise des conteneurs Docker hébergés dans Oracle Cloud Infrastructure Registry.

  • Transmission de messages

    Le service de transmission de messages pour Oracle Cloud Infrastructure est un service de transmission de messages hautement évolutif, rentable et fiable pour l'envoi de courriels en masse générés par les applications pour des communications marketing, d'avis et transactionnelles essentielles telles que les reçus, les alertes de détection de fraude, la vérification d'identité à plusieurs facteurs et la réinitialisation de mots de passe.

À propos des services et des rôles requis

Cette solution nécessite les services et rôles Oracle Cloud Infrastructure (OCI) suivants :

  • Service de chambre forte pour OCI

  • Fonctions OCI

  • Programmateur de ressources OCI

  • Service de gestion des identités et des accès pour OCI
  • Service de surveillance pour OCI
  • Service de protection d'infrastructure en nuage

Il s'agit des rôles nécessaires pour chaque service.

Nom de service : Rôle Obligatoire pour...
Chambre forte OCI : Clé secrète gérer l'autorisation.
Service des fonctions pour OCI : Développeur de fonctions avec un compte d'utilisateur OCI appartenant à des groupes auxquels les politiques appropriées accordent l'accès aux ressources liées aux fonctions créer et déployer des fonctions OCI.
Programmateur de ressources OCI : Programme créer et gérer des horaires.
OCI Identity and Access Management : Politiques créer les politiques requises.

Voir Produits, solutions et services Oracle pour obtenir ce dont vous avez besoin.

Considérations relatives à la sécurité

Lors de la conception de cette solution, tenez compte des exigences de sécurité suivantes :

Recommandations
  1. Envoyez un seul courriel à l'utilisateur pour tous les domaines d'identité de la location après avoir dépassé le seuil pour chaque gravité (avertissement, critique ou expiration).
  2. Envoyez un rapport consolidé à SecOps, selon le paramètre configuré. Par exemple, hebdomadaire ou mensuelle.
Obligatoire
  1. L'automatisation doit supprimer l'expiration de la publication de la clé secrète, sauf si l'utilisateur l'a ajoutée dans la liste des exemptions.
  2. Envoyez un rapport consolidé à SecOps pour chaque paramètre configuré. Par exemple, hebdomadaire ou mensuelle.
  3. Stockez le mot de passe SMTP (Simple Mail Transfer Protocol) dans Oracle Cloud Infrastructure Vault.
  4. Acceptez divers paramètres de configuration pour éviter le redéploiement de la solution d'automatisation.