Garantisci un accesso sicuro alla rete

Adotta le seguenti best practice per proteggere le tue reti cloud virtuali, subnet, load balancer e altre risorse di rete.

Implementare i controlli dell'accesso alla rete

Architetto enterprise, architetto di sicurezza, architetto di rete

Utilizzare i controlli dell'accesso per proteggere la rete.

• Definire i criteri IAM appropriati per limitare l'accesso alle risorse di rete solo agli utenti e ai gruppi autorizzati a gestire le risorse di rete.
• Formulare una strategia di subnet a più livelli per la VCN:
  • Subnet DMZ per i load balancer.
  • Subnet pubbliche per host accessibili esternamente, ad esempio Application Server Web e istanze che eseguono i sistemi di rilevamento delle intrusioni (IDS, Intrusion Detection System).
  • Subnet private per host interni, ad esempio i database.
• Le istanze di computazione collegate a una subnet privata possono avere solo indirizzi IP privati.
• Collegare gli host sensibili alla sicurezza (sistemi DB, ad esempio) alle subnet private. Per la connettività da tali host a Internet, utilizzare un gateway NAT. Per consentire agli host di accedere ad altri servizi di Oracle Cloud Infrastructure, utilizzare un gateway di servizi.
• I gruppi di sicurezza di rete forniscono un controllo dettagliato del flusso di traffico tra vNICs controllato dal gruppo di sicurezza di rete.
• Le liste di sicurezza controllano il traffico che può fluire all'interno, all'interno e all'esterno delle subnet. Assicurarsi di modificare o scollegare la lista di sicurezza predefinita per impedire il traffico SSH dall'indirizzo IP 0.0.0.0/0.
• Configurare le liste di sicurezza con le porte minime necessarie.
• Utilizzare i gruppi di sicurezza di rete per controllare l'accesso alle risorse sia nelle subnet private che in quelle pubbliche:
  • Consente solo i flussi di rete necessari per un carico di lavoro creando gruppi di sicurezza per ogni livello dell'applicazione.
  • Non consentire il traffico laterale non necessario all'interno o tra i livelli dell'applicazione.
  • Non consentire ai livelli applicazione di comunicare con altri livelli a meno che non sia necessario.
• Utilizza regole di sicurezza granulari per regolare la comunicazione all'interno della VCN, con Internet, con altre VCN connesse tramite gateway di peering e con host on premise.
• Per impostare un sistema di rilevamento delle intrusioni ed eseguire la scansione di tutto il traffico in uscita, utilizzare la funzione della tabella di instradamento VCN.
• I log di flusso della subnet VCN registrano il flusso di traffico all'interno di una VCN. Attivare i log di flusso della subnet VCN e monitorarne regolarmente i contenuti.
• Quando si utilizza più di una VCN, utilizzare un gateway di instradamento dinamico (DRG) per creare una VCN dell'hub DMZ per analizzare il traffico est/ovest e nord/sud. Puoi farlo utilizzando un firewall di rete OCI o un'appliance di rete di terze parti.
• Abilitare Web Application Firewall per servizi HTTPS che interagiscono con il pubblico.
• Impedisci l'accesso non autorizzato ai dati gestendo i criteri di sicurezza della rete separatamente dall'architettura di rete di base con Oracle Cloud Infrastructure Zero Trust Packet Routing.
• Implementare un gateway di servizi per l'accesso sicuro ai servizi OCI.

Proteggere i load balancer

Architetto enterprise, architetto di sicurezza, architetto di rete

Puoi abilitare connessioni TLS end-to-end tra le applicazioni di un client e la VCN di un cliente utilizzando i load balancer.

• Per arrestare TLS nel load balancer, utilizzare un load balancer HTTP. Per arrestare TLS in un server backend, utilizzare un load balancer TCP.
• Puoi configurare l'accesso di rete ai load balancer utilizzando i gruppi di sicurezza di rete o le liste di sicurezza.
• Definisce i criteri IAM per limitare le autorizzazioni per gestire i load balancer a un set minimo di utenti e gruppi.

Limita accesso utilizzando origini di rete

Architetto enterprise, architetto di sicurezza, architetto di rete

Un'origine di rete è un set di indirizzi IP definiti. Gli indirizzi IP possono essere indirizzi IP pubblici o indirizzi IP da VCN all'interno della tenancy.

Dopo aver creato un'origine di rete, è possibile farvi riferimento nei criteri o nelle impostazioni di autenticazione della tenancy per controllare l'accesso in base all'indirizzo IP di origine.

Le risorse di rete possono essere create solo nella tenancy (o nel compartimento radice) e, come altre risorse di Identity, risiedono nell'area di origine.

È possibile utilizzare le origini di rete per proteggere la tenancy nei modi riportati di seguito.

• Specificare l'origine di rete in un criterio IAM per limitare l'accesso alle risorse. Quando viene specificato in un criterio, IAM verifica che le richieste di accesso a una risorsa provengano da un indirizzo IP consentito. Ad esempio, puoi limitare l'accesso ai bucket di storage degli oggetti nella tua tenancy solo agli utenti che hanno effettuato l'accesso a Oracle Cloud Infrastructure tramite la tua rete aziendale. In alternativa, puoi consentire solo alle risorse appartenenti a subnet specifiche di una VCN specifica di effettuare richieste tramite un gateway di servizi.
• Specificare l'origine di rete nelle impostazioni di autenticazione della tenancy per limitare l'accesso alla console. È possibile impostare il criterio di autenticazione della tenancy per consentire il collegamento alla console solo dagli indirizzi IP specificati nell'origine di rete. Agli utenti che tentano di accedere da un indirizzo IP non presente nell'elenco consentito nell'origine di rete verrà negato l'accesso.

Zone e record DNS sicuri

Architetto enterprise, architetto di sicurezza, architetto di rete

Aggiornamenti errati o eliminazioni non autorizzate di zone e record DNS potrebbero causare interruzioni del servizio.

Definire i criteri IAM per limitare gli utenti che possono modificare le zone e i record DNS.

Uso delle zone di sicurezza in Oracle Cloud Infrastructure

Architetto enterprise, architetto di sicurezza, architetto di rete

Oracle Security Zones consente di ridurre al minimo il rischio di criteri di sicurezza non appropriati.

Quando avvii un nuovo progetto e crei una nuova soluzione, ci sono molte linee guida sulle best practice disponibili, da molte fonti diverse, come:

• Consigli per i fornitori
• Norme e politiche organizzative
• Framework esterni
• Compliance normativa
• Architetture di riferimento

Queste best practice coprono in genere una vasta gamma di argomenti di sicurezza diversi, tra cui autenticazione, crittografia, archiviazione, controllo degli accessi e così via. Tuttavia, in molti casi, i consigli sulle best practice vengono ignorati. Tutti lo abbiamo visto molte volte: le tempistiche dei progetti, i vincoli di budget, le lacune nelle conoscenze e gli ambienti che iniziano come non di produzione, possono significare che le best practice pertinenti non vengono seguite, portando a un ambiente insicuro e a una posizione di sicurezza debole.

Oracle Security Zones ha lo scopo di aiutarti a ridurre al minimo questi rischi. Una zona di sicurezza è un controllo preventivo che, per natura, contiene dati e risorse sensibili, è restrittivo per progettazione. Ad esempio, Oracle Security Zones verrà rilasciato con un criterio di sicurezza massimo abilitato. Questo prende la posizione che l'accesso pubblico non dovrebbe essere consentito e che i dati sensibili dovrebbero essere separati da Internet il più possibile. Il criterio di sicurezza applica questa posizione impedendo all'utente, in tempo reale, di creare risorse che potrebbero violare questo criterio.

Ulteriori informazioni

• Procedure ottimali di sicurezza
• Protezione della rete: VCN, load balancer e DNS
• Uso di un IP privato come destinazione dell'instradamento
• Gestione dei listener del load balancer
• Architetture comuni di OCI DMZ (blog)
• Firewall di rete OCI - Ispezione del traffico hub e spoke (blog)