Isoler les ressources et contrôler l'accès
Vous devez planifier vos compartiments et réseaux en nuage virtuels avec soin, en gardant à l'esprit les exigences de sécurité courantes et futures de votre organisation. Les recommandations de cet article vous aideront à répondre à vos besoins.
Organiser les ressources à l'aide de compartiments et de marqueurs
Architecte d'entreprise, architecte de sécurité, architecte d'application
- Créez et désignez des compartiments pour des catégories de ressources spécifiques et écrivez des politiques IAM pour autoriser l'accès aux ressources uniquement aux groupes d'utilisateurs qui en ont besoin.
- Séparer les charges de travail de production et hors production dans des compartiments distincts.
- Créez et utilisez des compartiments enfants pour isoler les ressources et créer d'autres couches organisationnelles. Écrivez des politiques distinctes pour chaque niveau de compartiment.
- Autorisez uniquement des utilisateurs à déplacer des compartiments vers différents compartiments parents et à déplacer des ressources d'un compartiment à un autre. Écrivez les politiques appropriées pour appliquer cette restriction.
- Limitez le nombre de ressources de chaque type pouvant être créées dans un compartiment en définissant des quotas au niveau du compartiment.
- Évitez d'écrire des politiques IAM au niveau du compartiment racine.
- Limitez les ressources qu'un principal d'instance peut gérer en spécifiant un compartiment dans la politique GIA.
- Affectez des marqueurs aux ressources pour les organiser et les identifier en fonction de vos besoins d'affaires.
Mettre en oeuvre un contrôle d'accès basé sur les rôles
Architecte d'entreprise, architecte de sécurité, architecte d'applications
- Limitez les privilèges d'accès des utilisateurs de chaque groupe aux seuls compartiments auxquels ils doivent accéder en écrivant des politiques au niveau du compartiment.
- Écrivez des politiques qui sont aussi granulaires que possible en termes de ressources cibles et de privilèges d'accès requis.
- Créez des groupes disposant d'autorisations pour effectuer des tâches communes à toutes vos charges de travail déployées (telles que l'administration du réseau et l'administration des volumes) et affectez les utilisateurs administrateurs appropriés à ces groupes.
Ne pas stocker les données d'identification d'utilisateur sur les instances de calcul
Architecte d'entreprise, architecte de sécurité, architecte d'applications
Les certificats requis pour que l'instance s'authentifie elle-même sont créés automatiquement, affectés à l'instance et modifiés. Vous pouvez regrouper ces instances dans des jeux logiques, appelés groupes dynamiques, et écrire des politiques pour permettre aux groupes dynamiques d'effectuer des actions spécifiques sur des ressources spécifiques.
Utilisez Oracle Cloud Infrastructure Vault pour gérer et sécuriser des clés de chiffrement avec des contrôles d'accès stricts.
Renforcer l'accès de connexion aux instances de calcul
Architecte d'entreprise, architecte de sécurité, architecte d'applications
- Désactivez la connexion basée sur un mot de passe si vous disposez d'une solution de connexion d'entreprise standard.
- Désactiver la connexion racine.
- Utilisez uniquement l'authentification basée sur une clé SSH.
- Ne partagez pas de clés SSH. Tirez parti d'Oracle Cloud Infrastructure Bastion avec des clés SSH temporaires pour éviter le partage de clé SSH.
- Tirez parti des groupes de sécurité de réseau pour restreindre l'accès en fonction de l'adresse IP source.
- Désactiver des services inutiles.
- Envisagez d'utiliser l'intégration du module d'authentification enfichable Linux pour les machines virtuelles avec des domaines d'identité IAM.
Sécuriser l'accès interressources
Architecte d'entreprise, architecte de sécurité, architecte d'application
Isoler les ressources au niveau du réseau
Architecte d'entreprise, architecte de sécurité, architecte d'application
Les réseaux en nuage virtuels fournissent le premier niveau d'isolement réseau entre les ressources dans Oracle Cloud Infrastructure.- Tirez parti des équilibreurs de charge pour exposer publiquement les services et placer des cibles dorsales sur des sous-réseaux privés.
- Tirez parti des groupes de sécurité de réseau pour appliquer la micro segmentation des applications pour chaque niveau de l'application.
- Mettre en liste blanche le trafic est/ouest requis dans un réseau VCN. Ne pas autoriser les flux de trafic sauf s'ils sont requis.
- Dans une topologie de réseau en étoile, acheminez tout le trafic du VCN satellite vers un VCN de zone démilitarisée (DMZ) et au moyen d'un pare-feu de réseau OCI ou d'un autre boîtier de réseau pour assurer un accès approprié.
Définir les zones de sécurité
Architecte d'entreprise, architecte de sécurité, architecte d'application
- Activez les politiques de sécurité pour les ressources de production sur les sous-réseaux privés de leur propre VCN et compartiment.
- Séparez les composants accessibles par Internet dans un VCN distinct avec un sous-réseau public et liez-le au VCN de zone de sécurité avec une passerelle d'appairage local. En outre, ajoutez un pare-feu d'application Web pour protéger les composants accessibles sur Internet, tels que les équilibreurs de charge.
- Utilisez Oracle Security Advisor pour faciliter la création de ressources dans une zone de sécurité.
En savoir plus
- Meilleures pratiques de sécurité
- Empêcher une situation de sécurité infonuagique faible avec les zones de sécurité maximale
- Oracle Maximum Security Zones and Security Advisors for You (zones de sécurité et conseillers en sécurité maximum pour vous)
- Gestion des compartiments
- Fonctionnement des politiques
- Appel de services depuis une instance