Introduzione alle zone di sicurezza

Dopo aver creato i criteri IAM e aver abilitato Cloud Guard, creare una zona di sicurezza per un compartimento e verificare la presenza di eventuali violazioni dei criteri della zona di sicurezza.

Creazione di criteri IAM

Per utilizzare Security Zones e Cloud Guard, è necessario disporre del tipo di accesso richiesto in un criterio IAM scritto da un amministratore, indipendentemente dal fatto che si stia utilizzando la console o l'API REST con un SDK, un'interfaccia CLI o un altro strumento.

Se non si è amministratori della tenancy, chiedere all'amministratore di eseguire questi passi.

Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Zone di sicurezza, fare clic su Panoramica.

Nella sezione Introduzione della pagina Panoramica copiare la lista delle istruzioni dei criteri IAM necessarie.

Allow group <group> to use cloud-guard-config in tenancy
Allow group <group> to read cloud-guard-targets in tenancy
Allow group <group> to inspect cloud-guard-problems in tenancy
Allow group <group> to manage security-zone in tenancy

Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Identità fare clic su Criteri.
Selezionare il Compartimento radice per la tenancy.
Fare clic su Crea criterio.
Immettere un nome e una descrizione per il criterio.
Ad esempio:
- Nome: criterio delle zone di sicurezza
- Descrizione: abilitare la creazione delle zone di sicurezza.
Fare clic su Mostra editor manuale.
Incollare le istruzioni dei criteri dalla console Security Zones.

Sostituire <group> con il nome di un gruppo esistente.
Fare clic su Crea.

Per ulteriori informazioni sulle zone di sicurezza e sui criteri IAM Cloud Guard, vedere Criteri Cloud Guard.

Abilita Cloud Guard

Abilitare Cloud Guard nella tenancy prima di creare zone di sicurezza. Se Cloud Guard è già abilitato, è possibile saltare questo task.

Cloud Guard è un servizio Oracle Cloud Infrastructure che fornisce un dashboard centrale per monitorare tutte le tue risorse cloud per rilevare eventuali punti deboli nella sicurezza a livello di configurazione, metriche e log. Quando rileva un problema, può suggerire, assistere o intraprendere azioni correttive in base alla configurazione di Cloud Guard.

Security Zones funziona con Cloud Guard per identificare le violazioni dei criteri delle zone di sicurezza nelle risorse esistenti.

L'abilitazione di Cloud Guard comporta i task riportati di seguito.

Creazione di criteri IAM che consentono a Cloud Guard di monitorare le risorse all'interno della tenancy
Scelta di un'area di reporting
Facoltativamente, creazione di destinazioni per i compartimenti che si desidera monitorare con Cloud Guard
Facoltativamente, scegliere le recipe del rilevatore per le destinazioni

Per abilitare Cloud Guard, è necessario disporre dei privilegi di amministratore.

Nota

Non è necessario creare una destinazione Cloud Guard per un compartimento prima di creare una zona di sicurezza per lo stesso compartimento. Quando crei una zona di sicurezza, una nuova destinazione Cloud Guard viene creata automaticamente.

Per istruzioni dettagliate, consulta la Guida introduttiva a Cloud Guard.

Creare una recipe della zona di protezione (facoltativa)

Security Zones fornisce una recipe gestita da Oracle denominata Maximum Security Recipe, che applica tutti i criteri delle zone di sicurezza disponibili. Se si desidera disabilitare determinati criteri, è possibile duplicare questa recipe.

Prima di creare una recipe personalizzata della zona di sicurezza, comprendere i criteri della zona di sicurezza disponibili.

Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Zone di sicurezza, fare clic su Ricette.
Fare clic sull'icona Azioni per la ricetta Ricetta di massima sicurezza, quindi selezionare Duplica.
Aggiornare il nome e la descrizione della nuova ricetta.

Evitare di fornire informazioni riservate.
Selezionare il compartimento in cui si desidera creare la recipe.

È possibile creare recipe della zona di sicurezza e zone di sicurezza in compartimenti diversi.
Fare clic su Avanti.
(Facoltativo) Nella pagina Criteri selezionare una casella di controllo per abilitare un criterio oppure deselezionare una casella di controllo per disabilitare un criterio.

È possibile filtrare l'elenco dei criteri selezionando un tipo di criterio specifico. È inoltre possibile cercare i criteri in base al nome.
Fare clic su Avanti.
Nella pagina Revisione esaminare il numero di criteri abilitati e disabilitati in questa recipe, quindi fare clic su Crea.

Viene visualizzata la pagina Dettagli composizione.

Creare una Zona di Sicurezza

Dopo aver completato tutti i task dei prerequisiti, è possibile creare una zona di sicurezza per un compartimento esistente.

Attenzione

Per la massima flessibilità, evitare di assegnare una zona di sicurezza al compartimento radice della tenancy. Le zone di sicurezza applicate al compartimento radice potrebbero vincolare le azioni possibili in un'intera tenancy. Sebbene questa configurazione possa essere preferibile per casi d'uso specifici, è troppo restrittiva per la maggior parte degli utenti.

Aprire il menu di navigazione e fare clic su Identità e sicurezza. In Zone di sicurezza, fare clic su Panoramica.
In Ambito lista selezionare il compartimento che si desidera proteggere con la zona di sicurezza.

Selezionare un compartimento non già associato a una zona di sicurezza.

La risorsa della zona di sicurezza viene creata nel compartimento selezionato.

Per impostazione predefinita, a tutti i compartimenti secondari viene assegnata la stessa zona di sicurezza del compartimento padre.
Selezionare Crea zona di sicurezza.

Se il compartimento selezionato è già associato a una zona di sicurezza, questo pulsante è disabilitato.
Selezionare una ricetta della zona di sicurezza.
- Gestito da Oracle: selezionare questa opzione se non è stata creata una recipe gestita dal cliente. La zona di sicurezza utilizza la recipe per la massima sicurezza.
- Gestito dal cliente: selezionare la recipe personalizzata.
Se la recipe si trova in un compartimento diverso, fare clic su Modifica compartimento.
Immettere un nome e una descrizione per la zona di sicurezza.

Evitare di rivelare informazioni riservate durante la denominazione o la descrizione delle zone di sicurezza.

Impossibile modificare il nome di una zona di sicurezza dopo averlo creato.
Selezionare Crea zona di sicurezza.

Se il compartimento selezionato è già associato a una zona di sicurezza, questo pulsante è disabilitato.

Quando si crea una zona di sicurezza per un compartimento, Cloud Guard completa i task riportati di seguito.

Elimina qualsiasi destinazione Cloud Guard esistente per il compartimento e per qualsiasi compartimento figlio
Crea una destinazione della zona di sicurezza per il compartimento
Aggiunge le recipe del rilevatore predefinite gestite da Oracle alla destinazione della zona di sicurezza

Se si crea una zona di sicurezza per un compartimento secondario il cui compartimento padre si trova già in una zona di sicurezza, Cloud Guard crea una destinazione di zona di sicurezza separata per il compartimento secondario. Non vengono apportate modifiche alla destinazione esistente per il compartimento padre.

Visualizza violazioni criteri zona di sicurezza

Se il compartimento per la zona di sicurezza dispone di risorse esistenti, è possibile identificare tutte le risorse che violano i criteri della zona di sicurezza ed eseguire azioni correttive.

Cloud Guard analizza regolarmente le risorse nelle tue zone di sicurezza alla ricerca di violazioni dei criteri. Ogni violazione dei criteri viene registrata come problema in Cloud Guard. Per una nuova zona di sicurezza, possono essere necessarie fino a tre ore prima che vengano rilevate violazioni.

Nella pagina Panoramica, fare clic sulla nuova zona di sicurezza.
Viene visualizzata la pagina Dettagli zona di sicurezza.
Nella pagina dei dettagli in Compartimenti associati espandere il compartimento corrente per visualizzare tutti i compartimenti secondari che si trovano anche nella zona di sicurezza.
Se nel compartimento o in qualsiasi compartimento secondario sono presenti violazioni dei criteri, selezionare Visualizza dettagli in Cloud Guard.

Viene visualizzata la pagina Problemi in Cloud Guard e vengono visualizzati i problemi rilevati solo in questa zona di sicurezza.
Selezionare un problema per visualizzare i seguenti dettagli:
- Descrizione del criterio della zona di sicurezza
- Il nome e la posizione della risorsa in violazione del criterio
- Livello di rischio relativo della violazione dei criteri (critico, maggiore, minore e così via)
- Le azioni consigliate da intraprendere per risolvere il problema

Per una descrizione di tutti i criteri disponibili, vedere Security Zone Policies.

Passi successivi

Dopo aver abilitato Cloud Guard e aver creato la prima zona di sicurezza, è possibile eseguire il test della zona, personalizzarla o crearne altre.

Attività	Ulteriori informazioni
Eseguire il test di una zona tentando di violare uno dei criteri della zona	Scegliere un criterio di zona di sicurezza abilitato nella recipe della zona. Ad esempio, verifica che non sia possibile creare una subnet pubblica o un bucket di storage degli oggetti pubblico. Vedere Criteri della zona di sicurezza.
Creare una zona separata in un compartimento secondario	Creazione di un'area di sicurezza
Rimuovere un sottocompartimento dalla zona	Rimozione di un compartimento secondario da una zona di sicurezza
Elimina una zona	Eliminazione di una Zona di Sicurezza
Personalizzare le recipe del rilevatore Cloud Guard in una destinazione della zona di sicurezza	Personalizzazione della configurazione Cloud Guard
Controlla altri problemi di sicurezza rilevati da Cloud Guard	Elaborazione dei problemi segnalati
Creare criteri IAM in modo che altri gruppi possano gestire le zone di sicurezza	Criteri di Cloud Guard

Se non è possibile creare o testare correttamente una zona di sicurezza, vedere Risoluzione dei problemi relativi alle zone di sicurezza.