Informazioni sull'abilitazione della notifica di scadenza delle credenziali per OCI

Per un team addetto alle operazioni di sicurezza (SecOps) è difficile tenere traccia e garantire la rotazione tempestiva dei segreti IAM. Questa soluzione di automazione aiuta a migliorare la sicurezza abilitando la notifica di scadenza anticipata delle credenziali di Oracle Cloud Infrastructure (OCI).

I segreti di OCI Identity and Access Management sono credenziali quali chiavi API, credenziali di database e cloud, certificati, chiavi SSH o token di autenticazione memorizzati, a cui si accede e distribuiti.

Le migliori pratiche comunitarie raccomandano di ruotare regolarmente i segreti. Più dati vengono cifrati con una chiave, più dati vengono esposti se la chiave viene compromessa. Più a lungo si utilizza la chiave, più è probabile che venga trapelata attraverso alcuni mezzi. La rotazione delle chiavi consente di suddividere i dati in compartimenti, limitando l'impatto di una chiave trapelata. Pertanto, ottenere una notifica anticipata è una chiave per l'utente e il team di SecOps.

La rotazione delle credenziali di OCI Identity and Access Management riduce la finestra di opportunità per l'utilizzo di una chiave di accesso associata a un account compromesso o terminato. Oracle Cloud Guard è un servizio cloud nativo per monitorare la postura della sicurezza e attivare gli eventi alla scadenza dei segreti di OCI Identity and Access Management. Si consiglia di ruotare le credenziali IAM ogni 90 giorni.

Architettura

Grazie alla notifica avanzata, gli utenti possono ruotare i propri segreti e aggiornare il carico di lavoro dell'applicazione. Questa architettura OCI utilizza OCI Functions, un servizio di computazione serverless, per leggere i dati JSON dal servizio OCI Identity and Access Management.

Il diagramma riportato di seguito illustra il flusso di lavoro per l'invio di report al team SecOps e la notifica e-mail anticipata agli utenti.

Descrizione di credential-expiry-notif-workflow.png
Descrizione dell'immagine credential-expiry-notif-workflow.png

credential-expiry-notif-workflow-oracle.zip

Il flusso di lavoro comprende due sezioni: il team SecOps e l'automazione. Una volta che il team SecOps ha completato la configurazione, i servizi OCI Functions e OCI Resource Scheduler gestiscono l'automazione.

  1. Il team SecOps avvia il workflow configurando le soglie, gli utenti esenti e altri parametri per le funzioni OCI. Dopo che il team SecOps ha configurato i parametri per le funzioni OCI, il flusso di lavoro viene eseguito interamente in Automazione.
  2. Lo scheduler OCI invia i dati alle funzioni OCI.
  3. Funzioni OCI convalida la scadenza eseguendo il polling della chiave API, del codice di autenticazione e della chiave segreta del cliente e determinando se supera la soglia.
  4. La decisione Supera soglia determina se la scadenza è un'avvertenza, critica o scaduta e la invia alla decisione successiva per determinare il report necessario.
  5. La decisione relativa al report di inclusione settimanale/mensile determina il report.
    • Sì: se la configurazione accetta un report settimanale o mensile, un report e-mail viene inviato automaticamente al team SecOps, che termina il workflow.
    • No: se la configurazione non include un report settimanale o mensile, l'automazione determina se l'utente è esentato.
  6. La decisione di esenzione dell'utente determina l'automazione:
    • Sì: se l'utente è esentato, l'automazione invia un report e-mail all'utente. Il flusso di lavoro è terminato.
    • No: se l'utente non è esentato, l'automazione elimina i segreti scaduti e invia un report e-mail all'utente. Il flusso di lavoro è terminato.

Questa architettura supporta i componenti elencati di seguito.

  • Identity and Access Management (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) è il piano di controllo dell'accesso per Oracle Cloud Infrastructure (OCI) e Oracle Cloud Applications. L'API IAM e l'interfaccia utente consentono di gestire i domini di Identity e le risorse all'interno del dominio di Identity. Ogni dominio di Identity IAM OCI rappresenta una soluzione standalone per la gestione delle identità e degli accessi o una popolazione di utenti diversa.

  • Scheduler di risorse OCI

    Il servizio Resource Scheduler di Oracle Cloud Infrastructure è integrato con il servizio OCI Identity and Access Management, fornendo una facile autenticazione con la funzionalità di identità OCI nativa. OCI Resource Scheduler agisce sulle risorse di una tenancy o di un gruppo di tenancy gestite su base pianificata a livello di compartimento radice.

    Il servizio consente di creare e gestire pianificazioni che eseguono azioni su una raccolta di risorse OCI di database e calcolo nella tenancy in modo da gestirne il ciclo di vita e i tempi operativi.

  • Cloud Guard

    Puoi utilizzare Oracle Cloud Guard per monitorare e gestire la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette del rilevatore che è possibile definire per esaminare le risorse per individuare eventuali punti deboli della sicurezza e per monitorare operatori e utenti per determinate attività rischiose. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e aiuta a eseguire tali azioni, in base alle ricette dei rispondenti che è possibile definire.

  • Monitoraggio

    Il servizio Oracle Cloud Infrastructure Monitoring monitora attivamente e passivamente le tue risorse cloud utilizzando le metriche per monitorare le risorse e gli allarmi per avvisarti quando queste metriche soddisfano i trigger specificati dall'allarme.

  • Funzioni

    Oracle Cloud Infrastructure Functions è una piattaforma completamente gestita, multi-tenant, altamente scalabile, on-demand e Functions-as-a-Service (FaaS). È alimentato dal motore open source Fn Project. Funzioni OCI consente di distribuire il codice e chiamarlo direttamente o attivarlo in risposta agli eventi. OCI Functions utilizza i container Docker ospitati in Oracle Cloud Infrastructure Registry.

  • Email Delivery

    Oracle Cloud Infrastructure Email Delivery è un servizio di consegna delle e-mail altamente scalabile, conveniente e affidabile per l'invio di e-mail ad alto volume e generate dall'applicazione per comunicazioni di marketing, notifiche e transazionali mission-critical come ricevute, avvisi di rilevamento delle frodi, verifica dell'identità multifattore e reimpostazioni delle password.

Informazioni sui servizi e sui ruoli richiesti

Questa soluzione richiede i seguenti servizi e ruoli di Oracle Cloud Infrastructure (OCI):

  • OCI Vault
  • Funzioni OCI

  • Scheduler di risorse OCI

  • OCI Identity and Access Management
  • Monitoraggio OCI
  • Oracle Cloud Guard

Questi sono i ruoli necessari per ogni servizio.

Nome servizio: ruolo Richiesto per...
OCI Vault: segreto gestire l'autorizzazione.
OCI Functions: sviluppatore di funzioni con un account utente OCI appartenente a gruppi ai quali i criteri appropriati concedono l'accesso alle risorse correlate alle funzioni creare e distribuire Funzioni OCI.
Scheduler risorse OCI: Pianifica creare e gestire le pianificazioni.
OCI Identity and Access Management: criteri creare i criteri necessari.

Consulta i prodotti, le soluzioni e i servizi Oracle per ottenere ciò di cui hai bisogno.

considerazioni sulla sicurezza

Quando si progetta questa soluzione, tenere presenti i requisiti di sicurezza indicati di seguito.

Consigliato
  1. Invia all'utente un singolo messaggio di posta elettronica per tutti i domini di Identity nella tenancy dopo aver superato la soglia per ogni severità (avvertenza, critica o scadenza).
  2. Inviare un report consolidato a SecOps, in base al parametro configurato. Ad esempio, settimanale o mensile.
Obbligatorio
  1. L'automazione deve eliminare la scadenza successiva al segreto a meno che l'utente non l'abbia aggiunta nell'elenco degli esenti.
  2. Inviare un report consolidato a SecOps per ogni parametro configurato. Ad esempio, settimanale o mensile.
  3. Memorizzare la password SMTP (Simple Mail Transfer Protocol) in Oracle Cloud Infrastructure Vault.
  4. Accettare vari parametri di configurazione per evitare la ridistribuzione della soluzione di automazione.