Panoramica di Security Advisor
Oracle Cloud Infrastructure Security Advisor supporta e rafforza le best practice di sicurezza Oracle, inclusi i requisiti di configurazione per le risorse nelle zone di sicurezza. Combina e semplifica i flussi di lavoro esistenti per creare in modo efficiente risorse che soddisfino i requisiti di sicurezza di base fin dall'inizio.
In particolare, è possibile assegnare una nuova chiave di cifratura gestita dal cliente a una risorsa al momento della creazione della risorsa, anche se non è mai stata creata prima un vault o una chiave di cifratura. Le zone di sicurezza richiedono la cifratura mediante chiavi gestite dal cliente, se possibile. Poiché nessuno tranne un utente autorizzato può accedere alle chiavi, i dati sensibili possono essere decifrati e letti solo da quegli utenti esplicitamente autorizzati a farlo.
I flussi di lavoro semplificati riducono la complessità e il processo decisionale. Se altrimenti è necessario scegliere tra le opzioni di configurazione, Security Advisor fornisce solo l'opzione più sicura. Ad esempio, Security Advisor consente di creare solo chiavi di cifratura master con una lunghezza di 256 bit. Le chiavi di cifratura più lunghe garantiscono una maggiore sicurezza rispetto a quelle più brevi.
Autenticazione e autorizzazione
Ogni servizio in Oracle Cloud Infrastructure si integra con IAM per l'autenticazione e l'autorizzazione, per tutte le interfacce (console, SDK o CLI e API REST).
Un amministratore dell'organizzazione deve impostare i gruppi , i compartimenti e i criteri che controllano gli utenti che possono accedere ai servizi, alle risorse e al tipo di accesso. Ad esempio, i criteri controllano chi può creare nuovi utenti, creare e gestire la rete cloud, avviare istanze, creare bucket, scaricare oggetti e così via. Per ulteriori informazioni, vedere Gestione dei domini di Identity. Per dettagli specifici sulla scrittura dei criteri relativi a ognuno dei vari servizi, consulta il riferimento per i criteri.
Se sei un utente normale (non un amministratore) che deve utilizzare le risorse Oracle Cloud Infrastructure di proprietà della tua azienda, contatta il tuo amministratore per impostare un ID utente per te. L'amministratore può confermare quale compartimento o compartimenti utilizzare.
Security Advisor sfrutta le funzionalità dei flussi di lavoro esistenti, pertanto la tenancy potrebbe non aver bisogno di nuovi criteri per concedere autorizzazioni oltre ciò che è già in vigore. Per essere sicuri, è possibile confrontare i criteri esistenti della tenancy con le autorizzazioni di esempio descritte nel workflow scelto. In particolare, confermare di disporre di criteri che concedono l'accesso alle risorse del vault, soprattutto se il servizio non è stato utilizzato in precedenza.
Le istruzioni dei criteri di esempio consentono ai gruppi specificati di eseguire qualsiasi operazione consentita da Security Advisor. Se invece si desidera limitare la creazione di nuovi vault, è possibile scrivere un criterio che conceda l'autorizzazione solo per utilizzare i vault, anziché il livello di accesso necessario per gestire i vault. Con l'autorizzazione a utilizzare i vault, un utente può selezionare un vault esistente, ma non può crearne uno nuovo. Ciò non modifica le opzioni presentate da Security Advisor, ma influisce sul successo di tutte le operazioni al momento della sottomissione.
Aree e domini di disponibilità
Puoi utilizzare Security Advisor in tutte le aree commerciali di Oracle Cloud Infrastructure. Per un elenco delle aree, insieme alle posizioni associate, agli identificativi delle aree, alle chiavi delle aree e ai domini di disponibilità, vedere Informazioni sulle aree e sui domini di disponibilità.
Ogni servizio che si integra con Security Advisor dispone di un unico endpoint regionale per tutte le operazioni API, con una sola eccezione. Il servizio Vault dispone di un endpoint regionale per il servizio di provisioning che gestisce le operazioni di creazione, aggiornamento ed elenco per i vault. Per le operazioni di creazione, aggiornamento ed elenco delle chiavi, gli endpoint dei servizi vengono distribuiti su più cluster indipendenti.
Limiti sulle risorse
Security Advisor non introduce risorse e non impone restrizioni al livello di utilizzo di alcuna risorsa. Security Advisor, tuttavia, rispetta i limiti istituiti da altri servizi.
Per un elenco dei limiti applicabili e delle istruzioni per richiedere un aumento del limite, vedere Limiti del servizio. Per impostare limiti specifici del compartimento per una risorsa o una famiglia di risorse, gli amministratori possono utilizzare le quote dei compartimenti.
Per istruzioni su come visualizzare il livello di utilizzo rispetto ai limiti di risorse della tenancy, vedere Visualizzazione dei limiti, delle quote e dell'uso del servizio. Per i vault, puoi anche ottenere l'uso di ogni singolo vault rispetto ai limiti delle chiavi visualizzando i conteggi delle versioni delle chiavi e delle chiavi nei dettagli del vault.