Protezione delle zone di sicurezza
In questo argomento vengono fornite informazioni e suggerimenti sulla sicurezza per le zone di sicurezza.
Security Zones ti consente di essere sicuro che le tue risorse in Oracle Cloud Infrastructure, tra cui risorse di computazione, networking, storage degli oggetti e database, siano conformi ai tuoi criteri di sicurezza.
Responsabilità di sicurezza
In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.
Oracle è responsabile dei seguenti requisiti di sicurezza:
- Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.
- Criteri di sicurezza: Oracle è responsabile della definizione dei criteri delle zone di sicurezza. Questi criteri implementano controlli di sicurezza e best practice per le risorse dei clienti che richiedono la massima sicurezza, come le applicazioni di produzione.
In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.
- Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
- Criteri di sicurezza: abilitare i criteri delle zone di sicurezza in linea con i requisiti di sicurezza e prestare attenzione quando si disabilitano i criteri nelle zone. Risolvi eventuali violazioni dei criteri nelle risorse esistenti per garantire la conformità.
Task di sicurezza iniziali
Utilizzare questa lista di controllo per identificare le attività eseguite per proteggere le zone di sicurezza in una nuova tenancy di Oracle Cloud Infrastructure.
| Attività | Ulteriori informazioni |
|---|---|
| Utilizzare i criteri IAM per concedere l'accesso a utenti e risorse | Criteri IAM |
| Crea compartimenti e zone di sicurezza | Criteri di sicurezza |
Task di sicurezza di routine
Dopo aver iniziato a utilizzare Security Zones, utilizzare questa lista di controllo per identificare i task di sicurezza che si consiglia di eseguire regolarmente.
| Attività | Ulteriori informazioni |
|---|---|
| Valuta e abilita nuovi criteri delle zone di sicurezza | Criteri di sicurezza |
| Eseguire un controllo della sicurezza | Audit |
Criteri IAM
Utilizzare i criteri IAM per limitare l'accesso amministrativo alle zone di sicurezza.
Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.
Assegnare a un gruppo i privilegi minimi necessari per eseguire le proprie responsabilità. Ogni criterio ha un verbo che descrive le azioni che il gruppo può eseguire. Dal minor numero di accessi al massimo, i verbi disponibili sono: inspect, read, use e manage.
Un criterio della zona di sicurezza è diverso da un criterio IAM nei modi riportati di seguito.
- Un criterio della zona di sicurezza viene convalidato indipendentemente dall'utente che esegue l'operazione.
- Un criterio della zona di sicurezza nega determinate azioni, ma non concede funzionalità.
Si consiglia di concedere le autorizzazioni DELETE a un set minimo di utenti e gruppi IAM. Questa pratica riduce al minimo la perdita di dati da eliminazioni involontarie da parte di utenti autorizzati o da attori malintenzionati. Assegnare solo le autorizzazioni DELETE agli amministratori della tenancy e del compartimento.
La procedura di limitazione delle autorizzazioni DELETE è particolarmente importante per le zone di sicurezza. L'eliminazione di una zona disabilita tutti i criteri della zona di sicurezza sulle risorse nei compartimenti della zona e pertanto modifica in modo significativo il livello di sicurezza.
Criteri IAM di esempio:
Consentire agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutte le zone e le ricette di sicurezza nell'intera tenancy:
Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancyConsentire agli utenti del gruppo SecurityAdmins di creare, aggiornare ed eliminare tutte le ricette nel compartimento SecurityApps:
Allow group SecurityAdmins to manage security-recipe in compartment SecurityAppsConsentire agli utenti del gruppo SecurityAuditors di visualizzare le zone e le ricette di sicurezza nel compartimento SecurityArtifacts:
Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifactsI singoli tipi di risorsa per le zone di sicurezza sono inclusi nel tipo di aggregazione cloud-guard-family. Un criterio che concede le autorizzazioni a cloud-guard-family concede anche le stesse autorizzazioni alle zone di sicurezza. Per ulteriori informazioni, vedere Criteri Cloud Guard.
Criteri di sicurezza
Valuta e abilita i criteri delle zone di sicurezza per mantenere un solido livello di sicurezza in Oracle Cloud Infrastructure.
Una ricetta è una raccolta di criteri della zona di sicurezza che è possibile assegnare a una zona di sicurezza. Se si abilita un criterio in una ricetta, qualsiasi azione utente nelle zone che utilizzano la ricetta e che violano il criterio viene negata.
La ricetta di massima sicurezza abilita tutti i criteri delle zone di sicurezza disponibili e non può essere modificata. Assegnare questa ricetta alle nuove zone di sicurezza in modo che abbiano il livello di sicurezza massimo. Se necessario, è possibile modificare la zona in qualsiasi momento e scegliere una ricetta personalizzata che non abilita tutti i criteri.
Per identificare i nuovi criteri delle zone di sicurezza, rivedere periodicamente le ricette di massima sicurezza e le note di rilascio. Per migliorare il livello di sicurezza nel tempo, valutare ogni nuovo criterio e, se appropriato, abilitarlo nelle ricette personalizzate.
Audit
Monitorare le zone di sicurezza per individuare violazioni dei criteri. Individuare i log degli accessi e altri dati di sicurezza per Security Zones.
Una volta creata una zona di sicurezza per un compartimento, questa impedisce automaticamente le operazioni, ad esempio la creazione o la modifica di risorse, che violano i criteri della zona di sicurezza. Tuttavia, anche le risorse esistenti create prima della zona di sicurezza potrebbero violare i criteri. Zone di sicurezza si integra con Cloud Guard per identificare le violazioni dei criteri nelle risorse esistenti. Monitorare di routine le zone di sicurezza per identificare e risolvere eventuali violazioni dei criteri in una zona. Vedere Gestione delle zone di sicurezza.
Il servizio di audit registra automaticamente tutte le chiamate API alle risorse Oracle Cloud Infrastructure. È possibile raggiungere gli obiettivi di sicurezza e conformità utilizzando il servizio di audit per monitorare tutte le attività utente all'interno della tenancy. Poiché tutte le chiamate alla console, all'SDK e alla riga di comando (CLI) passano attraverso le nostre API, viene inclusa tutta l'attività da tali origini. I record di audit sono disponibili tramite un'interfaccia API di query autenticata e filtrabile oppure possono essere recuperati come file in batch dallo storage degli oggetti. I contenuti del log di audit includono l'attività che si è verificata, l'utente che l'ha avviata, la data e l'ora della richiesta, nonché l'IP di origine, l'user agent e le intestazioni HTTP della richiesta. Vedere Visualizzazione degli eventi del log di audit.