Sicurezza

Mentre le aziende continuano ad adottare le tecnologie cloud, la sicurezza è diventata una considerazione fondamentale per le organizzazioni di tutte le dimensioni. Con l'aumento delle minacce informatiche e delle violazioni dei dati, le organizzazioni devono garantire che l'infrastruttura cloud sia sicura e soddisfi i requisiti di compliance. Oracle Cloud Infrastructure (OCI) offre una gamma di strumenti e servizi di sicurezza che ti aiutano a proteggere i tuoi asset e a mantenere la compliance normativa.

Utilizza le seguenti best practice per garantire che la tua infrastruttura cloud sia sicura, affidabile e conforme.

Identity and Access Management

Nel panorama digitale in continua evoluzione, la sicurezza è di fondamentale importanza. Man mano che le organizzazioni si spostano verso il cloud computing, diventa fondamentale disporre di un solido framework di sicurezza. OCI fornisce una serie completa di strumenti e servizi per garantire la sicurezza dei dati e delle applicazioni. Uno degli aspetti fondamentali dell'offerta di sicurezza di OCI è IAM (Identity and Access Management).

IAM è la spina dorsale dell'architettura di sicurezza di OCI e offre agli amministratori la possibilità di gestire l'accesso degli utenti e le autorizzazioni alle risorse all'interno di OCI. Ti consente di controllare chi ha accesso a cosa, assicurandoti che solo gli utenti autorizzati possano accedere alle risorse critiche. IAM fornisce una piattaforma centralizzata per gestire l'accesso alle risorse OCI come i servizi di computazione, storage e networking.

Per garantire la sicurezza dei sistemi, implementare le procedure ottimali IAM, ad esempio l'accesso con privilegi minimi e l'autenticazione con più fattori. L'accesso con privilegi minimi garantisce che agli utenti venga concesso solo il livello minimo di accesso necessario per eseguire le funzioni mansione, riducendo il rischio di accesso non autorizzato a risorse riservate. L'autenticazione a più fattori aggiunge un ulteriore livello di sicurezza richiedendo agli utenti di fornire più di una forma di autenticazione, come una password e un token.

Oltre a IAM, OCI fornisce altri strumenti e servizi di sicurezza come Cloud Guard, che fornisce monitoraggio continuo e correzione automatizzata per le minacce alla sicurezza. Just in Time Access (JIT) consente l'accesso temporaneo e limitato nel tempo alle risorse solo quando necessario, riducendo la superficie di attacco. Gli strumenti di sicurezza della rete, ad esempio Liste di sicurezza, Gruppi di sicurezza di rete (NSG) e Filtro di rete subnet, consentono di controllare il flusso di traffico all'interno della rete.

Per garantire la conformità alle normative di settore e ai requisiti di sovranità dei dati, OCI offre funzionalità come i controlli di residenza dei dati e la possibilità di scegliere la posizione geografica in cui vengono memorizzati i dati. L'integrazione SIEM di OCI consente di centralizzare i log di sicurezza e analizzarli per individuare eventuali incidenti di sicurezza, mentre Intrusion Detection and Prevention (IDP) fornisce un monitoraggio in tempo reale per attività dannose. L'ispezione SSL consente di ispezionare il traffico cifrato per individuare contenuti dannosi, mentre l'ispezione del traffico tra subnet VCN e l'ispezione del traffico tra VCN forniscono un controllo granulare sul flusso di traffico tra le VCN.

Cloud Guard

Cloud Guard di OCI è uno strumento di sicurezza essenziale che fornisce il rilevamento continuo delle minacce e la correzione automatica per proteggere la tua infrastruttura cloud. È progettato per monitorare le risorse OCI per rilevare le minacce alla sicurezza in tempo reale e notificare agli amministratori i potenziali rischi. Cloud Guard include criteri predefiniti che abilitano azioni di correzione automatizzate, ad esempio la disabilitazione delle chiavi di accesso o l'interruzione delle istanze quando si verifica una violazione dei criteri.

Si supponga, ad esempio, di aver impostato un criterio per monitorare i gruppi di sicurezza di rete e rilevare eventuali modifiche apportate al gruppo. In tal caso, Cloud Guard monitora continuamente il gruppo di sicurezza alla ricerca di modifiche e ti notifica se ci sono violazioni dei criteri. È possibile identificare modifiche non autorizzate al gruppo di sicurezza, ad esempio aggiungere nuove regole, ed eseguire azioni correttive per impedire violazioni della sicurezza.

Cloud Guard si integra con le piattaforme SIEM, consentendo di esportare eventi e log di sicurezza su piattaforme di terze parti per una maggiore visibilità e funzionalità di rilevamento delle minacce. Sfruttando l'integrazione SIEM con Cloud Guard, puoi centralizzare gli eventi di sicurezza e gestirli in modo più efficiente, fornendo insight completi sulla sicurezza nelle tue risorse OCI.

Accesso Just-in-time

OCI fornisce l'accesso JIT (Just-in-Time) che consente agli amministratori di concedere l'accesso temporaneo a risorse specifiche nell'ambiente cloud. Ciò aggiunge un ulteriore livello di sicurezza per ridurre il rischio di accesso non autorizzato alle risorse limitando la durata dell'accesso. L'accesso JIT può essere utilizzato con IAM (Identity and Access Management) e accesso con privilegi minimi per migliorare ulteriormente la sicurezza dell'infrastruttura cloud.

Ad esempio, un amministratore può configurare l'accesso JIT per uno sviluppatore che richiede l'accesso temporaneo a un'istanza per la risoluzione dei problemi. L'amministratore può specificare la durata dell'accesso, il ruolo dell'utente e le autorizzazioni necessarie per accedere all'istanza. Una volta scaduta la durata specificata, l'accesso dell'utente all'istanza viene revocato automaticamente, riducendo il rischio di accesso non autorizzato.

L'accesso JIT può essere configurato utilizzando la console OCI, l'interfaccia CLI o l'API REST.

Punto di accesso test virtuale

Virtual Test Access Point (VTAP) è una funzione di sicurezza offerta da OCI che fornisce l'acquisizione dei pacchetti per il traffico di rete e raccoglie i dati per l'analisi della rete. Con VTAP, gli amministratori di rete possono rilevare e prevenire le minacce alla sicurezza acquisendo il traffico di rete per la revisione e l'analisi.

L'acquisizione di pacchetti è il processo di acquisizione del traffico di rete per la revisione e l'analisi, che è essenziale per rilevare le minacce alla sicurezza. Con VTAP, OCI fornisce un servizio nativo per l'acquisizione e l'analisi complete della rete, contribuendo a migliorare la sicurezza del tuo ambiente cloud.

In OCI, il VTAP di origine acquisisce il traffico in base a un filtro di acquisizione, lo incapsula con il protocollo VXLAN e lo esegue il mirroring sulla destinazione designata. Ciò consente il monitoraggio e l'analisi in tempo reale del traffico specchiato utilizzando strumenti standard di analisi del traffico. Inoltre, gli amministratori possono memorizzare il traffico per un'analisi forense più completa in un secondo momento.

VTAP può eseguire il mirroring del traffico da varie origini, tra cui una singola VNIC dell'istanza di computazione in una subnet, un load balancer as a Service (LBaaS), un database OCI, un cluster VM Exadata e un Autonomous Data Warehouse tramite un endpoint privato.

Liste di sicurezza e gruppi di sicurezza di rete

Le liste di sicurezza e i gruppi di sicurezza di rete (NSG) sono componenti critici dell'offerta di sicurezza di rete di OCI. Gli elenchi di sicurezza forniscono agli amministratori un modo semplice per creare elenchi di indirizzi IP e applicarli a risorse specifiche. In questo modo è possibile limitare il traffico di rete verso e da tali risorse. Ad esempio, un amministratore può creare una lista di sicurezza che consente solo al traffico proveniente da un intervallo IP specifico di accedere a un'applicazione Web ospitata in OCI.

I gruppi NSG consentono agli amministratori di definire regole che regolano il traffico di rete tra le risorse. Ciò consente loro di controllare quali risorse possono comunicare tra loro e i tipi di traffico consentiti. Ad esempio, un amministratore può creare una regola NSG che consenta solo il traffico SSH da un intervallo IP specifico a un'istanza di computazione in OCI.

Utilizzando elenchi di sicurezza e gruppi NSG, gli amministratori possono ridurre in modo significativo il rischio di accesso non autorizzato alle risorse. Offrono un controllo granulare sul traffico di rete e consentono agli amministratori di applicare il principio del privilegio minimo, che è una procedura ottimale di sicurezza fondamentale.

Filtro e firewall di rete subnet

OCI offre funzioni di sicurezza di rete per proteggere le risorse da minacce esterne e accessi non autorizzati. Le funzioni di filtro di rete della sottorete e firewall funzionano insieme per fornire un ambiente di rete sicuro.

Subnet Network Filtering è uno strumento che consente agli amministratori di filtrare il traffico di rete in base a indirizzi IP o porte. Consente di creare regole di controllo dell'accesso per le subnet, che possono essere utilizzate per bloccare o consentire il traffico in base a criteri specifici. Filtra il traffico a livello di subnet per ridurre il rischio di accesso non autorizzato e proteggerti dalle minacce esterne.

I firewall sono un'altra funzione di sicurezza offerta da OCI che consente di creare regole per bloccare o consentire un traffico di rete specifico. Con OCI, puoi creare regole firewall per controllare l'accesso alle tue risorse in base all'indirizzo IP di origine, all'indirizzo IP di destinazione, al protocollo e al numero di porta. La creazione di regole firewall specifiche consente di migliorare ulteriormente la sicurezza della rete e ridurre il rischio di accesso non autorizzato alle risorse.

Ad esempio, puoi utilizzare il filtro di rete della subnet per bloccare tutto il traffico da un intervallo di indirizzi IP specifico e quindi utilizzare i firewall per consentire il traffico solo da indirizzi IP o porte specifici. Questo approccio stratificato alla sicurezza della rete può ridurre in modo significativo il rischio di accesso non autorizzato e proteggere le risorse da minacce esterne.

Gateway

Gateway Internet, gateway NAT e gateway di servizi sono funzioni di rete fornite da OCI che svolgono un ruolo fondamentale nella manutenzione di un'infrastruttura di rete sicura e affidabile.

Gateway Internet è un servizio che fornisce l'accesso alla rete Internet pubblica dall'interno della tua rete cloud virtuale (VCN). Un gateway Internet consente il traffico tra le istanze nella tua VCN e Internet, consentendoti di ospitare siti Web, eseguire applicazioni che richiedono l'accesso a Internet e connettersi ad altri servizi cloud.

Con la comodità di Internet Gateway aumenta i rischi per la sicurezza. Traffico indesiderato e potenziali attacchi possono arrivare attraverso Internet. È essenziale proteggere la comunicazione e i dati condivisi tramite questo gateway. L'utilizzo di protocolli di crittografia SSL / TLS è l'approccio migliore per questo.

Il gateway NAT consente alle istanze private nella tua VCN di accedere a Internet mantenendo una postura sicura. Il gateway NAT fornisce la connettività Internet in uscita per le istanze private a cui non sono assegnati indirizzi IP pubblici. Funge da gatekeeper tra Internet e la tua VCN convertendo gli indirizzi IP privati in un indirizzo IP pubblico. Il gateway NAT fornisce un modo sicuro e controllato per accedere a Internet senza esporre la rete interna a minacce esterne.

Service Gateway consente l'accesso ai servizi OCI dall'infrastruttura on-premise o da altri provider cloud. Fornisce una connessione sicura tra la tua VCN e altri servizi cloud o infrastruttura on-premise senza richiedere un gateway Internet. Service Gateway è un'alternativa alle connessioni basate su Internet e offre un modo sicuro e privato per connettersi ad altri provider cloud o all'infrastruttura on-premise.

Il gateway Internet, il gateway NAT e il gateway di servizi sono funzioni di rete essenziali di OCI che consentono la connettività a Internet e ad altri provider cloud pur mantenendo un livello di sicurezza. È importante assicurarsi che siano in vigore misure di sicurezza adeguate, come la crittografia SSL/TLS, per impedire l'accesso non autorizzato e proteggere i dati.

Accesso privato

L'accesso privato consente la comunicazione sicura tra le risorse all'interno di una rete cloud virtuale (VCN) o da reti on premise senza attraversare Internet. Ciò consente di mantenere un elevato livello di sicurezza e controllo sull'ambiente cloud.

L'accesso privato aiuta a mantenere la sicurezza impedendo l'accesso non autorizzato alle risorse da Internet. Ciò riduce il rischio di attacchi informatici e violazioni dei dati. Private Access garantisce inoltre che il traffico di rete rimanga all'interno della rete dell'organizzazione e non sia esposto alla rete Internet pubblica.

Ad esempio, potresti avere un'istanza di database in una subnet privata a cui devono accedere solo istanze specifiche all'interno della stessa rete VCN o in locale. Utilizzando l'accesso privato, è possibile assicurarsi che il database non sia esposto alla rete Internet pubblica e che solo gli utenti e le applicazioni autorizzati possano accedervi.

Inoltre, Private Access può aiutarti a rispettare le normative che richiedono la memorizzazione e la trasmissione sicura dei dati, come il Regolamento generale sulla protezione dei dati (GDPR) e l'HIPAA (Health Insurance Portability and Accountability Act).

Gateway API

API Gateway è un servizio fornito da OCI che svolge un ruolo fondamentale nel mantenere il livello di sicurezza di un'organizzazione. Consente di pubblicare API con endpoint privati a cui è possibile accedere dall'interno della rete, riducendo la necessità di traffico Internet. Questo accesso privato alle API aiuta a proteggersi da accessi non autorizzati e potenziali violazioni della sicurezza.

Il servizio Gateway API offre inoltre una serie di funzioni di sicurezza quali la convalida delle API, la trasformazione delle richieste e delle risposte, la condivisione delle risorse cross-origin (CORS), l'autenticazione e l'autorizzazione e la limitazione delle richieste. Queste funzioni consentono di proteggere gli endpoint API garantendo che solo gli utenti e i dispositivi autorizzati possano accedervi. Il gateway API fornisce una facile autenticazione con la funzionalità nativa IAM (Identity and Access Management) di OCI, che consente agli amministratori di gestire l'accesso degli utenti e le autorizzazioni per le risorse all'interno di OCI.

Il servizio Gateway API ti consente di creare uno o più gateway API in una subnet regionale per elaborare il traffico dai client API e instradarlo ai servizi backend. Questo servizio può collegare più servizi backend, come load balancer, istanze di computazione e OCI Functions, in un unico endpoint API consolidato, semplificando la gestione e la sicurezza.

Ad esempio, è possibile utilizzare il servizio Gateway API per esporre in modo sicuro un'interfaccia API RESTful che consente ai clienti di accedere a determinati dati e servizi, ad esempio le informazioni sull'account, dai dispositivi mobile. Il gateway API può essere configurato in modo da garantire che solo gli utenti autorizzati possano accedere ai dati e ai servizi e che possano convalidare e trasformare i dati per garantire che soddisfino gli standard richiesti.

Zero trust

OCI supporta un approccio di sicurezza Zero Trust che presuppone che tutto il traffico di rete non sia attendibile, indipendentemente dall'origine. L'accesso alle risorse è concesso solo agli utenti autorizzati su base di necessità e con le autorizzazioni appropriate. Questo approccio prevede la verifica continua dell'identità e della postura di sicurezza dei dispositivi e degli utenti prima di concedere l'accesso alle risorse.

Ad esempio, il servizio IAM (Identity and Access Management) di OCI consente di applicare i criteri di controllo dell'accesso con privilegi minimi, implementare l'autenticazione con più fattori (MFA) e monitorare l'accesso alle risorse in tempo reale. Inoltre, l'uso di VPN e opzioni di accesso privato, come FastConnect e VPN Connect, aiutano a proteggere il traffico di rete e forniscono un ulteriore livello di protezione contro gli accessi non autorizzati.

Le integrazioni di OCI con i partner di sicurezza, come CrowdStrike e Check Point, migliorano anche la sicurezza fornendo funzionalità di rilevamento e risposta alle minacce.

Rilevamento e prevenzione delle intrusioni e ispezione SSL

OCI fornisce diverse funzioni di sicurezza per la protezione dalle minacce di rete, tra cui Intrusion Detection and Prevention (IDP) e SSL Inspection. Con l'IDP, gli amministratori possono monitorare il traffico di rete in tempo reale e ricevere avvisi quando viene rilevata un'attività sospetta. Inoltre, IDP può agire automaticamente per evitare che le minacce identificate causino danni. SSL Inspection consente agli amministratori di ispezionare il traffico crittografato per assicurarsi che non venga utilizzato per distribuire malware o altri contenuti dannosi. Queste funzioni consentono di mantenere il livello di sicurezza degli ambienti cloud, fornendo livelli aggiuntivi di protezione da potenziali minacce.

Ad esempio, potresti configurare l'IDP per rilevare e prevenire attacchi brute-force alle tue risorse cloud, utilizzando al contempo l'ispezione SSL per monitorare il traffico cifrato che fluisce verso e da database sensibili.

Ispezione del traffico tra subnet VCN e ispezione del traffico tra VCN

OCI offre due potenti funzioni di sicurezza, l'ispezione del traffico della subnet tra le VCN e l'ispezione del traffico tra le VCN, che consentono agli amministratori di monitorare e ispezionare il traffico tra le reti cloud virtuali (VCN). L'ispezione del traffico della subnet tra le VCN consente il monitoraggio e l'ispezione del traffico tra le subnet all'interno della stessa VCN, mentre l'ispezione del traffico tra le VCN fornisce la stessa funzionalità per il traffico che attraversa le VCN. Queste funzioni offrono una visibilità approfondita dei flussi di traffico di rete, consentendo di identificare potenziali minacce e di intervenire per prevenirle. Rilevando e bloccando i tentativi di accesso non autorizzato, l'ispezione del traffico tra VCN e l'ispezione del traffico tra subnet VCN possono contribuire a mantenere il livello di sicurezza dell'ambiente cloud.

Ad esempio, potresti avere più VCN all'interno dell'ambiente OCI, ognuna contenente risorse e applicazioni diverse. Utilizzando l'ispezione del traffico tra VCN, puoi assicurarti che il traffico tra queste VCN venga ispezionato e che vengano rilevate e prevenute eventuali attività dannose.

Questa funzione può risultare particolarmente utile nei casi in cui una VCN contiene dati riservati o applicazioni che richiedono misure di sicurezza aggiuntive per proteggerli dall'accesso non autorizzato.

Residenza e sovranità dei dati

Data Residency and Sovereignty è essenziale per la sicurezza delle aziende che operano in più paesi. Le normative sulla privacy e la protezione dei dati possono variare da un'area all'altra ed è fondamentale rispettarle per mantenere la sicurezza dei dati sensibili. OCI offre opzioni di residenza dei dati che ti consentono di memorizzare i tuoi dati in aree o paesi specifici per soddisfare i requisiti normativi. Ciò garantisce la conformità alle leggi locali sulla protezione dei dati e riduce il rischio di violazioni dei dati o accessi non autorizzati a causa di non conformità. Inoltre, le opzioni di residenza dei dati di OCI sono supportate da robusti controlli di sicurezza, come la crittografia in archivio e in transito, i controlli di accesso e le funzioni di sicurezza della rete, per fornire un ambiente sicuro per l'archiviazione e l'elaborazione dei dati.

Registrazione e controllo del rilevamento

Logging and Detection Control è un importante strumento di sicurezza che consente agli amministratori di monitorare e gestire in modo efficace i log all'interno di OCI per scopi di conformità. Con questa funzione, è possibile tenere traccia e analizzare l'attività degli utenti, incluse le modifiche alle configurazioni, i tentativi di autenticazione e autorizzazione e il traffico di rete, fornendo una visione completa del livello di sicurezza generale del sistema.

La funzione Log e Detection Control di OCI include criteri di log preconfigurati che consentono di identificare e rispondere rapidamente a potenziali minacce alla sicurezza. È possibile personalizzare questi criteri per soddisfare i requisiti e abilitare gli avvisi automatici per gli eventi ad alto rischio. I log generati da Logging and Detection Control possono essere integrati con sistemi SIEM (Security Information and Event Management) di terze parti per fornire un'analisi di sicurezza ancora più completa.

Ad esempio, il servizio di registrazione e controllo del rilevamento di OCI può essere utilizzato per monitorare e rilevare minacce su più risorse, come istanze di computazione, load balancer e database. In caso di un potenziale incidente di sicurezza, è possibile rispondere rapidamente alla minaccia e intraprendere le azioni appropriate, come la revoca dell'accesso o la modifica delle configurazioni, per mantenere la sicurezza del sistema.

Responsabilità condivisa

La sicurezza del cloud è un modello di responsabilità condivisa in cui sia il provider di servizi cloud che il cliente hanno un ruolo nel garantire la sicurezza delle risorse. Il provider di servizi cloud è responsabile della sicurezza dell'infrastruttura cloud di base, mentre il cliente è responsabile della protezione delle applicazioni e dei dati che distribuisce sul cloud.

Ad esempio, in OCI, Oracle è responsabile della sicurezza fisica dei data center, della sicurezza della rete e della disponibilità dell'infrastruttura. Sei responsabile della protezione di applicazioni cloud, virtual machine e dati. Assicurarsi di aver configurato correttamente i gruppi di sicurezza e le regole di sicurezza di rete per impedire l'accesso non autorizzato.

Crittografia in transito e resto

OCI fornisce strumenti e servizi essenziali, come la cifratura SSL/TLS e Oracle Key Management, per garantire la cifratura in transito e in archivio, che sono elementi vitali di una strategia di sicurezza completa. La crittografia aiuta a salvaguardare i dati sensibili da accessi non autorizzati e mantiene la riservatezza e l'integrità dei dati sia durante la trasmissione che durante il riposo.

Ad esempio, è possibile utilizzare la cifratura SSL/TLS per proteggere il traffico di rete tra i client e i servizi, garantendo che i dati scambiati tra di essi siano cifrati e sicuri.

Analogamente, Oracle Key Management offre una soluzione di gestione delle chiavi sicura e centralizzata che consente di gestire e proteggere le chiavi di cifratura utilizzate per proteggere i dati in OCI.

Autenticazione con più fattori

L'autenticazione a più fattori (MFA) è una procedura di sicurezza che richiede agli utenti di fornire due o più forme di autenticazione prima di poter accedere a un sistema o a un'applicazione. In questo modo è possibile impedire l'accesso non autorizzato a dati e risorse sensibili, anche se la password di un utente è compromessa. L'autenticazione MFA è una parte importante di qualsiasi strategia di sicurezza, soprattutto nel cloud, in cui i dati e le applicazioni sono spesso accessibili da posizioni remote.

OCI fornisce la funzione MFA come funzione per migliorare il livello di sicurezza. Con MFA, gli utenti sono tenuti a fornire una seconda forma di autenticazione, come una password monouso o informazioni biometriche, oltre a nome utente e password. Ciò significa che anche se la password di un utente viene rubata o indovinata, un malintenzionato dovrebbe comunque avere accesso al telefono dell'utente o ad altro dispositivo fisico per accedere al tuo account.

Oltre a migliorare la sicurezza, MFA può anche aiutarti a rispettare le normative e gli standard del settore. Ad esempio, PCI DSS (Payment Card Industry Data Security Standard) richiede l'autenticazione MFA per tutti gli accessi remoti ai dati dei titolari delle carte. Implementando l'autenticazione MFA nel tuo ambiente cloud, puoi contribuire a soddisfare questi requisiti ed evitare potenziali multe o altre sanzioni.