Protezione di Java Management
In questo argomento vengono fornite informazioni e suggerimenti sulla sicurezza per Java Management Service.
Java Management Service (JMS) monitora le distribuzioni Java sulle istanze e sulle istanze Oracle Cloud Infrastructure (OCI) in esecuzione nei data center dei clienti. Consente di osservare e gestire l'uso di Java nella propria azienda.
Responsabilità di sicurezza
Per utilizzare JMS in modo sicuro, conoscere le responsabilità di sicurezza e conformità.
Oracle è responsabile dei seguenti requisiti di sicurezza:
- Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.
-
Cifratura dei dati: Oracle utilizza la cifratura Oracle Cloud Infrastructure standard per tutti i dati memorizzati in archivio in JMS. Non è necessario eseguire ulteriori operazioni di configurazione.
Gli utenti JMS non utilizzano direttamente le chiavi di cifratura. Internamente, JMS memorizza i dati in un database autonomo, che utilizza Oracle Cloud Infrastructure Vault per memorizzare in modo sicuro le chiavi di cifratura. Oracle gestisce e protegge queste risorse.
- Durabilità dei dati: Oracle configura il servizio JMS per i backup giornalieri. Non è necessaria alcuna configurazione di backup aggiuntiva.
In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.
- Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
-
Sicurezza agente:
- Installare l'agente nell'istanza con il privilegio minimo. Non installarlo come
root. - Ottenere una chiave di installazione. Verificare la scadenza della chiave e il numero di istanze di installazione.
- Eliminare la chiave dopo la corretta installazione dell'agente.
- Verificare che le porte o il proxy siano impostati correttamente per consentire solo la connessione dell'agente a OCI.
- Configurare l'agente in modo che esegua solo la scansione delle directory desiderate e con la frequenza desiderata.
- Installare l'agente nell'istanza con il privilegio minimo. Non installarlo come
Task di sicurezza iniziali
Utilizzare questa lista di controllo per identificare i task eseguiti per proteggere JMS in una nuova tenancy di Oracle Cloud Infrastructure.
Se non si ha familiarità con JMS, vedere Impostazione di Oracle Cloud Infrastructure per Java Management Service.
| Attività | Ulteriori informazioni |
|---|---|
| Utilizzare i criteri IAM per concedere l'accesso a utenti e risorse | Criteri IAM |
Task di sicurezza di routine
Dopo aver iniziato a utilizzare JMS, utilizzare questa lista di controllo per identificare i task di sicurezza che si consiglia di eseguire regolarmente.
| Attività | Ulteriori informazioni |
|---|---|
| Mantenere aggiornato l'agente | Applicazione patch |
| Eseguire un controllo della sicurezza | Audit |
Criteri IAM
Utilizzare i criteri per limitare l'accesso a JMS.
Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.
Assegnare a un gruppo i privilegi minimi necessari per eseguire le proprie responsabilità. Ogni criterio ha un verbo che descrive le azioni che il gruppo può eseguire. Dal minor numero di accessi al massimo, i verbi disponibili sono: inspect, read, use e manage.
Creare criteri per consentire al gruppo FLEET_MANAGERS di gestire le flotte nel compartimento Fleet_Compartment.
ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCYCreare criteri per consentire al gruppo dinamico JMS_DYNAMIC_GROUP di distribuire e utilizzare gli agenti nel servizio Management Agent nel compartimento Fleet_Compartment.
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
Allow service javamanagementservice to manage metrics IN COMPARTMENT Fleet_Compartment where target.metrics.namespace='java_management_service'Per ulteriori informazioni sulla distribuzione dei Management Agent, vedere Eseguire i prerequisiti per la distribuzione dei Management Agent.
Per ulteriori informazioni sui criteri JMS, vedere Dettagli per Java Management Service.
Applicazione patch
Assicurarsi che le risorse JMS stiano eseguendo gli aggiornamenti di sicurezza più recenti.
Se è stata disabilitata la funzione di aggiornamento automatico del Management Agent, è necessario verificare manualmente la presenza di aggiornamenti all'agente e al plugin JMS. Vedere Upgrade Management Agent.
Audit
Individuare i log degli accessi e altri dati di sicurezza per JMS.
Il servizio di audit registra automaticamente tutte le chiamate API alle risorse Oracle Cloud Infrastructure. È possibile raggiungere gli obiettivi di sicurezza e conformità utilizzando il servizio di audit per monitorare tutte le attività utente all'interno della tenancy. Poiché tutte le chiamate alla console, all'SDK e alla riga di comando (CLI) passano attraverso le nostre API, viene inclusa tutta l'attività da tali origini. I record di audit sono disponibili tramite un'interfaccia API di query autenticata e filtrabile oppure possono essere recuperati come file in batch dallo storage degli oggetti. I contenuti del log di audit includono l'attività che si è verificata, l'utente che l'ha avviata, la data e l'ora della richiesta, nonché l'IP di origine, l'user agent e le intestazioni HTTP della richiesta. Vedere Visualizzazione degli eventi del log di audit.