Isolation des ressources et contrôle de l'accès
Vous devez planifier soigneusement les compartiments et les réseaux cloud virtuels en tenant compte des exigences de sécurité actuelles et futures de l'organisation. Les recommandations de cet article vous aideront à répondre à vos besoins.
Organisation des ressources à l'aide de compartiments et de balises
Enterprise Architect, Security Architect, Application Architect
- Créez et désignez des compartiments pour des catégories spécifiques de ressources, et écrivez des stratégies IAM autorisant l'accès aux ressources uniquement aux groupes d'utilisateurs qui en ont besoin.
- Séparer les charges globales de production et non de production dans des compartiments distincts.
- Créez et utilisez des compartiments enfant pour isoler les ressources et obtenir des couches organisationnelles supplémentaires. Ecrivez des stratégies distinctes pour chaque niveau de compartiment.
- Permettez uniquement aux utilisateurs autorisés de déplacer des compartiments vers d'autres compartiments parent et de déplacer des ressources d'un compartiment vers un autre. Ecrivez des stratégies appropriées pour appliquer cette restriction.
- Limitez le nombre de ressources de chaque type pouvant être créées dans un compartiment en définissant des quotas au niveau du compartiment.
- Evitez d'écrire des stratégies IAM au niveau du compartiment racine.
- Limitez les ressources qu'un principal d'instance peut gérer en indiquant un compartiment dans la stratégie IAM.
- Affectez des balises aux ressources pour les organiser et les identifier en fonction des besoins de votre entreprise.
Implémenter le contrôle d'accès basé sur les rôles
Enterprise Architect, Security Architect, Application Architect
- Limitez les privilèges d'accès des utilisateurs de chaque groupe aux compartiments auxquels ils doivent accéder en écrivant des stratégies au niveau du compartiment.
- Ecrivez des stratégies aussi granulaires que possible en termes de ressources cible et de privilèges d'accès requis.
- Créez des groupes avec des droits d'accès permettant d'effectuer des tâches communes à toutes vos charges globales déployées (telles que l'administration réseau et l'administration des volumes), et affectez les administrateurs appropriés à ces groupes.
Ne pas stocker les informations d'identification utilisateur sur les instances de calcul
Enterprise Architect, Security Architect, Application Architect
Les certificats requis pour que l'instance s'authentifie sont créés automatiquement, affectés à l'instance et soumis à une rotation. Vous pouvez regrouper ces instances dans des ensembles logiques, appelés groupes dynamiques, et écrire des stratégies pour permettre aux groupes dynamiques d'effectuer des actions spécifiques sur des ressources spécifiques.
Utilisez Oracle Cloud Infrastructure Vault pour gérer et sécuriser les clés de cryptage avec des contrôles d'accès stricts.
Renforcer l'accès par connexion aux instances de calcul
Enterprise Architect, Security Architect, Application Architect
- Désactivez la connexion basée sur un mot de passe si vous disposez d'une solution de connexion Enterprise standard.
- Désactivez la connexion root.
- Utilisez uniquement l'authentification basée sur une clé SSH.
- Ne partagez pas les clés SSH. Tirez parti d'Oracle Cloud Infrastructure Bastion avec des clés SSH temporaires pour éviter le partage de clés SSH.
- Utilisez les groupes de sécurité réseau pour restreindre l'accès en fonction de l'adresse IP source.
- Désactivez les services non nécessaires.
- Envisagez d'utiliser l'intégration PAM (Pluggable Authentication Module) Linux pour les machines virtuelles avec les domaines d'identité IAM.
Sécuriser l'accès entre les ressources
Architecte d'entreprise, architecte de sécurité, architecte d'application
Isoler les ressources au niveau de la couche réseau
Architecte d'entreprise, architecte de sécurité, architecte d'application
Les réseaux cloud virtuels fournissent le premier niveau d'isolement réseau entre les ressources dans Oracle Cloud Infrastructure.- Utilisez les équilibreurs de charge pour exposer publiquement les services et placer les cibles back-end sur des sous-réseaux privés.
- Tirez parti des groupes de sécurité réseau pour appliquer la microsegmentation des applications pour chaque niveau de l'application.
- La liste blanche exige le trafic est/ouest à l'intérieur d'un VCN, n'autorise pas les flux de trafic à moins qu'ils ne soient requis.
- Dans une topologie de réseau hub-and-spoke, acheminez tout le trafic VCN spoke vers un VCN de zone démilitarisée (DMZ) et via un pare-feu réseau OCI ou un autre appareil réseau pour garantir un accès approprié.
Définir des zones de sécurité
Architecte d'entreprise, architecte de sécurité, architecte d'application
- Activez les stratégies de sécurité pour les ressources de production sur les sous-réseaux privés dans leur propre VCN et compartiment.
- Séparez les composants Internet dans un VCN distinct avec un sous-réseau public et liez-le au VCN de zone de sécurité avec une passerelle d'appairage local. En outre, ajoutez un pare-feu d'applications Web pour protéger les composants Internet, tels que les équilibreurs de charge.
- Utilisez Oracle Security Advisor pour faciliter la création de ressources dans une zone de sécurité.