Protezione del firewall di rete

In questo argomento vengono fornite informazioni e suggerimenti sulla sicurezza per Service_Name.

Responsabilità di sicurezza

Per utilizzare Network Firewall in modo sicuro, conoscere le responsabilità in materia di sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei seguenti requisiti di sicurezza:

Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.

In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.

Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
Cifratura e riservatezza: utilizzare le chiavi di cifratura e i segreti per proteggere i dati e connettersi a risorse protette. Ruotare questi tasti regolarmente.

Task di sicurezza iniziali

Utilizzare questa lista di controllo per identificare i task eseguiti per proteggere Service_Name in una nuova tenancy di Oracle Cloud Infrastructure.

Attività	Ulteriori informazioni
Utilizzare i criteri IAM per concedere l'accesso a utenti e risorse	Riferimento ai criteri firewall di rete
Accesso di rete sicuro alle risorse	Accesso e sicurezza alla rete

Task di sicurezza di routine

Dopo aver iniziato a utilizzare Service_Name, utilizzare questa lista di controllo per identificare i task di sicurezza che si consiglia di eseguire regolarmente.

Attività	Ulteriori informazioni
Ruota credenziali segrete	Privacy
Eseguire un controllo della sicurezza	Audit

Criteri IAM

Utilizzare i criteri per limitare l'accesso al firewall di rete.

Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.

Assegnare a un gruppo i privilegi minimi necessari per eseguire le proprie responsabilità. Ogni criterio ha un verbo che descrive le azioni che il gruppo può eseguire. Dal minor numero di accessi al massimo, i verbi disponibili sono: inspect, read, use e manage.

Si consiglia di concedere le autorizzazioni DELETE a un set minimo di utenti e gruppi IAM. Questa pratica riduce al minimo la perdita di dati da eliminazioni involontarie da parte di utenti autorizzati o da attori malintenzionati. Assegnare solo le autorizzazioni DELETE agli amministratori della tenancy e del compartimento.

Limitare l'accesso di gruppo a criteri firewall specifici

È possibile limitare l'accesso di un gruppo a uno specifico criterio firewall utilizzando il nome del criterio firewall (target.display-name), l'espressione regolare corrispondente (/*name/, /name*/, /*name*/) o le tag definite (target.tag.definition.name).

Il seguente esempio di limitazione dell'accesso agli utenti nel gruppo FirewallPolicyUsers a un bucket specifico.

Allow group FirewallPolicyUsers to use firewallpolicies in tenancy
 where target.display-name='MyFirewallPolicy'

È possibile modificare questo criterio per limitare l'accesso agli utenti del gruppo FirewallPolicyUsers a tutti i criteri firewall con il prefisso ProjectA_.

Allow group FirewallPolicyUsers to use firewallpolicies in tenancy
 where target.display-name=/ProjectA_*/

È inoltre possibile trovare una corrispondenza per post-correzione (/*_ProjectA/) o sottostringa (/*ProjectA*/).

Per ulteriori informazioni sui criteri del firewall di rete e per visualizzare altri esempi, vedere Regole dei criteri di rete e componenti delle regole.

Privacy

Utilizzare il servizio Vault per gestire e ruotare le credenziali segrete utilizzate con il firewall di rete.

Un vault include le chiavi di cifratura e i segreti utilizzati per proteggere i dati e connettersi a risorse protette. I segreti vengono cifrati utilizzando le chiavi di cifratura master e memorizzano credenziali quali password, certificati, chiavi SSH o token di autenticazione. Prima di creare e utilizzare i segreti, è necessario creare un vault e una chiave di cifratura principale, se non esistono.

A ogni segreto viene assegnata automaticamente una versione segreta. Quando si ruota un segreto, si genera una nuova versione del segreto fornendo nuovi contenuti segreti al servizio Vault. La rotazione periodica dei contenuti segreti riduce l'impatto in caso di esposizione di un segreto.

Audit

Individuare i log di accesso e altri dati di sicurezza per Network Firewall.

Il servizio di audit registra automaticamente tutte le chiamate API alle risorse Oracle Cloud Infrastructure. È possibile raggiungere gli obiettivi di sicurezza e conformità utilizzando il servizio di audit per monitorare tutte le attività utente all'interno della tenancy. Poiché tutte le chiamate alla console, all'SDK e alla riga di comando (CLI) passano attraverso le nostre API, viene inclusa tutta l'attività da tali origini. I record di audit sono disponibili tramite un'interfaccia API di query autenticata e filtrabile oppure possono essere recuperati come file in batch dallo storage degli oggetti. I contenuti del log di audit includono l'attività che si è verificata, l'utente che l'ha avviata, la data e l'ora della richiesta, nonché l'IP di origine, l'user agent e le intestazioni HTTP della richiesta. Vedere Visualizzazione degli eventi del log di audit.

Abilitare il log su firewall di rete specifici per monitorare il traffico verso il firewall. Per ulteriori informazioni, vedere Log di firewall di rete.