Isolation des ressources et contrôle de l'accès

L'isolement des ressources est un élément clé de l'organisation des ressources cloud. Les compartiments vous permettent d'organiser de manière logique vos ressources et de contrôler l'accès à celles-ci de manière significative pour votre entreprise. Par exemple, vous pouvez isoler les ressources utilisées par chaque service de votre entreprise dans un compartiment distinct. Au lieu de cela, vous pouvez compartimenter par fonction opérationnelle, telle que réseau, sécurité, base de données ou développement d'applications. Vous pouvez également utiliser des réseaux cloud virtuels pour isoler les ressources au niveau de la couche réseau.

Vous devez planifier soigneusement les compartiments et les réseaux cloud virtuels en tenant compte des exigences de sécurité actuelles et futures de l'organisation. Les recommandations de cet article vous aideront à répondre à vos besoins.

Organisation des ressources à l'aide de compartiments et de balises

Enterprise Architect, Security Architect, Application Architect

Les compartiments et les balises sont des outils utiles pour organiser et isoler les ressources à des fins de contrôle d'accès.

• Créez et désignez des compartiments pour des catégories spécifiques de ressources, et écrivez des stratégies IAM autorisant l'accès aux ressources uniquement aux groupes d'utilisateurs qui en ont besoin.
• Séparer les charges globales de production et non de production dans des compartiments distincts.
• Créez et utilisez des compartiments enfant pour isoler les ressources et obtenir des couches organisationnelles supplémentaires. Ecrivez des stratégies distinctes pour chaque niveau de compartiment.
• Permettez uniquement aux utilisateurs autorisés de déplacer des compartiments vers d'autres compartiments parent et de déplacer des ressources d'un compartiment vers un autre. Ecrivez des stratégies appropriées pour appliquer cette restriction.
• Limitez le nombre de ressources de chaque type pouvant être créées dans un compartiment en définissant des quotas au niveau du compartiment.
• Evitez d'écrire des stratégies IAM au niveau du compartiment racine.
• Limitez les ressources qu'un principal d'instance peut gérer en indiquant un compartiment dans la stratégie IAM.
• Affectez des balises aux ressources pour les organiser et les identifier en fonction des besoins de votre entreprise.

Implémenter le contrôle d'accès basé sur les rôles

Enterprise Architect, Security Architect, Application Architect

Limitez l'accès en affectant des privilèges par rôle.

• Limitez les privilèges d'accès des utilisateurs de chaque groupe aux compartiments auxquels ils doivent accéder en écrivant des stratégies au niveau du compartiment.
• Ecrivez des stratégies aussi granulaires que possible en termes de ressources cible et de privilèges d'accès requis.
• Créez des groupes avec des droits d'accès permettant d'effectuer des tâches communes à toutes vos charges globales déployées (telles que l'administration réseau et l'administration des volumes), et affectez les administrateurs appropriés à ces groupes.

Ne pas stocker les informations d'identification utilisateur sur les instances de calcul

Enterprise Architect, Security Architect, Application Architect

Lorsque vous voulez autoriser une instance de calcul à effectuer des appels vers les API Oracle Cloud Infrastructure, ne stockez aucune information d'identification utilisateur sur l'instance. Désignez plutôt l'instance en tant que principal d'instance.

Les certificats requis pour que l'instance s'authentifie sont créés automatiquement, affectés à l'instance et soumis à une rotation. Vous pouvez regrouper ces instances dans des ensembles logiques, appelés groupes dynamiques, et écrire des stratégies pour permettre aux groupes dynamiques d'effectuer des actions spécifiques sur des ressources spécifiques.

Utilisez Oracle Cloud Infrastructure Vault pour gérer et sécuriser les clés de cryptage avec des contrôles d'accès stricts.

Renforcer l'accès par connexion aux instances de calcul

Enterprise Architect, Security Architect, Application Architect

Assurez-vous que seules des méthodes sécurisées sont utilisées pour vous connecter aux instances de calcul.

• Désactivez la connexion basée sur un mot de passe si vous disposez d'une solution de connexion Enterprise standard.
• Désactivez la connexion root.
• Utilisez uniquement l'authentification basée sur une clé SSH.
• Ne partagez pas les clés SSH. Tirez parti d'Oracle Cloud Infrastructure Bastion avec des clés SSH temporaires pour éviter le partage de clés SSH.
• Utilisez les groupes de sécurité réseau pour restreindre l'accès en fonction de l'adresse IP source.
• Désactivez les services non nécessaires.
• Envisagez d'utiliser l'intégration PAM (Pluggable Authentication Module) Linux pour les machines virtuelles avec les domaines d'identité IAM.

Sécuriser l'accès entre les ressources

Architecte d'entreprise, architecte de sécurité, architecte d'application

Si vous désignez des instances en tant que principaux, vérifiez les utilisateurs et les groupes qui ont accès à ces instances. Assurez-vous que seuls les utilisateurs et groupes appropriés peuvent y accéder.

Isoler les ressources au niveau de la couche réseau

Architecte d'entreprise, architecte de sécurité, architecte d'application

Les réseaux cloud virtuels fournissent le premier niveau d'isolement réseau entre les ressources dans Oracle Cloud Infrastructure.

Si vous disposez de plusieurs charges globales ou de différents services/organisations, utilisez des réseaux cloud virtuels différents pour chacun afin d'isoler les ressources au niveau de la couche réseau.

Utilisez l'appairage VCN si nécessaire. Un VCN de zone démilitarisée (DMZ) vous permet d'analyser le trafic entre VCN. En outre, utilisez soigneusement les sous-réseaux publics et privés, après avoir évalué les ressources nécessitant un accès public.

• Utilisez les équilibreurs de charge pour exposer publiquement les services et placer les cibles back-end sur des sous-réseaux privés.
• Tirez parti des groupes de sécurité réseau pour appliquer la microsegmentation des applications pour chaque niveau de l'application.
• La liste blanche exige le trafic est/ouest à l'intérieur d'un VCN, n'autorise pas les flux de trafic à moins qu'ils ne soient requis.
• Dans une topologie de réseau hub-and-spoke, acheminez tout le trafic VCN spoke vers un VCN de zone démilitarisée (DMZ) et via un pare-feu réseau OCI ou un autre appareil réseau pour garantir un accès approprié.

Définir des zones de sécurité

Architecte d'entreprise, architecte de sécurité, architecte d'application

Security Zones applique des stratégies de sécurité de référence pour les compartiments dans Oracle Cloud Infrastructure, afin d'éviter les erreurs de configuration. Elles incluent une bibliothèque de stratégies et les meilleures pratiques de sécurité intégrées pour permettre la gestion de la posture de sécurité cloud.

• Activez les stratégies de sécurité pour les ressources de production sur les sous-réseaux privés dans leur propre VCN et compartiment.
• Séparez les composants Internet dans un VCN distinct avec un sous-réseau public et liez-le au VCN de zone de sécurité avec une passerelle d'appairage local. En outre, ajoutez un pare-feu d'applications Web pour protéger les composants Internet, tels que les équilibreurs de charge.
• Utilisez Oracle Security Advisor pour faciliter la création de ressources dans une zone de sécurité.

En savoir plus

• Meilleures pratiques concernant la sécurité
• Empêcher un état de sécurité cloud faible avec Maximum Security Zones
• Oracle Maximum Security Zones et Security Advisors pour vous
• Gestion des compartiments
• Fonctionnement des stratégies
• Appel de services à partir d'une instance