Panoramica delle zone di sicurezza

Comprendere i concetti e i componenti chiave relativi alle zone di sicurezza.

Il diagramma riportato di seguito fornisce una panoramica generale delle zone di sicurezza.

Zona di sicurezza

Associazione tra un compartimento (e zero o più compartimenti secondari) e una recipe della zona di sicurezza. Le operazioni delle risorse in una zona di sicurezza vengono convalidate in base a tutti i criteri nella recipe.

Una zona di sicurezza include un compartimento e tutti i relativi compartimenti secondari, a meno che non si rimuova in modo esplicito un compartimento secondario dalla zona di sicurezza o non si crei una zona separata per il compartimento secondario.

Un compartimento non può essere associato a più di una zona di sicurezza.

Recipe zona di sicurezza

Raccolta di criteri delle zone di sicurezza applicati da Oracle Cloud Infrastructure nelle zone di sicurezza che utilizzano la recipe.

Criteri zona di sicurezza

Requisito di sicurezza per le risorse in una zona di sicurezza. Se una zona di sicurezza abilita un criterio, tutte le azioni che tentano di violare tale criterio vengono negate.

Destinazione della zona di sicurezza (Cloud Guard)

Compartimento in cui Cloud Guard controlla periodicamente le risorse per verificare la presenza di violazioni dei criteri delle zone di sicurezza.

Una destinazione include tutti i compartimenti secondari a meno che non si crei una destinazione separata per il compartimento secondario.

Una destinazione è associata a una o più recipe del rilevatore. Ogni recipe del rilevatore definisce un elenco di potenziali problemi di sicurezza.

Un criterio della zona di sicurezza è diverso da un criterio IAM nei modi riportati di seguito.

• Gli amministratori creano criteri IAM per concedere agli utenti la possibilità di gestire determinate risorse in un compartimento.
• Un criterio per le zone di sicurezza garantisce la conformità di queste operazioni di gestione all'architettura di sicurezza massima e alle procedure ottimali Oracle.
• Un criterio della zona di sicurezza viene convalidato indipendentemente dall'utente che sta eseguendo l'operazione.
• Un criterio della zona di sicurezza nega determinate azioni e non concede funzionalità.

In generale, i criteri delle zone di sicurezza sono in linea con i principi di sicurezza di base elencati di seguito.

• Le risorse in una zona di sicurezza non possono essere spostate in un compartimento esterno alla zona di sicurezza perché potrebbe essere meno sicura.
• Tutti i componenti richiesti per una risorsa in una zona di sicurezza devono trovarsi anche nella stessa zona di sicurezza. Le risorse che non si trovano in una zona di sicurezza potrebbero essere vulnerabili, mentre le risorse che si trovano in una zona di sicurezza diversa potrebbero avere un livello di sicurezza inferiore.

  Ad esempio, un'istanza (Computazione) in una zona di sicurezza non può utilizzare un volume di boot che non si trova nella stessa zona di sicurezza.

• Le risorse presenti in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica.
• Le risorse in una zona di sicurezza devono essere cifrate utilizzando chiavi gestite dal cliente.
• È necessario eseguire regolarmente e automaticamente il backup delle risorse in una zona di sicurezza.
• I dati in una zona di sicurezza vengono considerati privilegiati e non possono essere copiati al di fuori della zona di sicurezza perché potrebbero essere meno sicuri.
• Le risorse in un'area di sicurezza devono utilizzare solo configurazioni e modelli approvati da Oracle.

Comprendere le relazioni tra compartimenti, zone di sicurezza, recipe e destinazioni.

Una volta creata una zona di sicurezza per un compartimento, questa impedisce automaticamente le operazioni, ad esempio la creazione o la modifica di risorse, che violano i criteri della zona di sicurezza. Tuttavia, anche le risorse esistenti create prima della zona di sicurezza potrebbero violare i criteri. Zone di sicurezza si integra con Cloud Guard per identificare le violazioni dei criteri nelle risorse esistenti.

Cloud Guard è un servizio Oracle Cloud Infrastructure che fornisce un dashboard centrale per monitorare tutte le tue risorse cloud per rilevare eventuali punti deboli nella sicurezza a livello di configurazione, metriche e log. Quando rileva un problema, può suggerire, assistere o intraprendere azioni correttive in base alla configurazione di Cloud Guard.

Ecco alcuni concetti chiave di Cloud Guard:

Recipe del rilevatore

Definisce i tipi di risorse cloud e i problemi di sicurezza che si desidera monitorare con Cloud Guard.

Cloud Guard fornisce alcune recipe predefinite del rilevatore gestite da Oracle ed è anche possibile creare recipe personalizzate.

Destinazione

Compartimento che si desidera monitorare con Cloud Guard ed è associato a una recipe di Cloud Guard.

Una destinazione può essere associata a più recipe del rilevatore, ma solo una di ogni tipo (configurazione, attività e così via).

Destinazione zona di sicurezza

Tipo di destinazione Cloud Guard associato anche a una zona di sicurezza. La destinazione monitora le risorse nel compartimento per verificare la presenza di violazioni dei criteri della zona di sicurezza.

Il diagramma riportato di seguito illustra la configurazione di Cloud Guard per una nuova zona di sicurezza.

Quando si crea una zona di sicurezza per un compartimento secondario il cui compartimento padre si trova già in una zona di sicurezza, Cloud Guard esegue i task riportati di seguito.

• Crea una destinazione di zona di sicurezza separata per il compartimento secondario
• Aggiunge le recipe del rilevatore gestite da Oracle predefinite alla nuova destinazione della zona di sicurezza

Non vengono apportate modifiche alla destinazione Cloud Guard esistente per il compartimento padre.

Il diagramma riportato di seguito illustra la configurazione di Cloud Guard per una nuova zona di sicurezza in un compartimento secondario.

Un singolo compartimento non può trovarsi in più zone di sicurezza e non può trovarsi in più destinazioni Cloud Guard.

Per ulteriori informazioni su Cloud Guard, vedere Concetti di Cloud Guard.

È possibile accedere alle zone di sicurezza utilizzando la console (un'interfaccia basata su browser), le API REST, l'interfaccia CLI (Command Line Interface) o gli SDK.

Le istruzioni per la console, l'API e l'interfaccia CLI sono incluse negli argomenti di questa guida. Per esaminare un elenco di SDK disponibili, consulta SDK (Software Development Kits) e interfaccia della riga di comando.

Per accedere alla console, è necessario utilizzare un browser supportato. Per passare alla pagina di accesso alla console, aprire il menu di navigazione nella parte superiore di questa pagina e fare clic su Console infrastruttura. Verrà richiesto di immettere il tenant cloud, il nome utente e la password.

Ogni servizio in Oracle Cloud Infrastructure è integrato con IAM per l'autenticazione e l'autorizzazione di tutte le interfacce (console, SDK o CLI e API REST).

Un amministratore dell'organizzazione deve impostare gruppi, compartimenti e criteri che controllano quali utenti possono accedere a quali servizi, quali risorse e il tipo di accesso. Ad esempio, i criteri controllano chi può creare utenti, creare e gestire una VCN (rete cloud virtuale) , avviare istanze e creare bucket .

• Per i nuovi amministratori, vedere Guida introduttiva ai criteri.
• Per dettagli specifici sulla scrittura dei criteri per questo servizio, vedere Criteri Cloud Guard. I singoli tipi di risorsa per le zone di sicurezza sono inclusi nel tipo di aggregazione cloud-guard-family.
• Per dettagli specifici sulla scrittura dei criteri per altri servizi, vedere Riferimento ai criteri.

Oltre a creare criteri IAM, attenersi alle procedure di sicurezza riportate di seguito per le zone di sicurezza.

Vedere Protezione delle zone di sicurezza.

Quando ti iscrivi a Oracle Cloud Infrastructure, viene configurato un set di limiti del servizio per la tua tenancy. Questi limiti limitano il numero totale di risorse delle zone di sicurezza che è possibile creare.

• Limiti di Cloud Guard

Vedere Limiti del servizio per istruzioni sulla richiesta di un aumento del limite.

Le risorse delle zone di sicurezza, come la maggior parte dei tipi di risorse in Oracle Cloud Infrastructure, hanno un identificativo univoco assegnato da Oracle chiamato ID Oracle Cloud (OCID).

Per informazioni sul formato OCID e su altri modi per identificare le risorse, vedere Identificativi delle risorse.

Security Zones si integra con altri servizi di monitoraggio in Oracle Cloud Infrastructure.

• Il servizio di audit registra automaticamente le chiamate a tutti gli endpoint API Cloud Guard pubblici come voci di log. Questi endpoint includono tutte le operazioni delle zone di sicurezza. Vedere Panoramica dell'audit.
• Il servizio Eventi consente ai team di sviluppo di rispondere automaticamente quando una risorsa Security Zones cambia stato. Vedere Security Zones Events.