Garantire un accesso sicuro alla rete
Adottare le procedure ottimali riportate di seguito per proteggere le reti cloud virtuali, le subnet, i load balancer e altre risorse di rete.
Implementa controlli di accesso alla rete
Architetto enterprise, Architetto di sicurezza, Architetto di rete
- Definire i criteri IAM appropriati per limitare l'accesso alle risorse di rete solo agli utenti e ai gruppi autorizzati a gestire le risorse di rete.
- Formulare una strategia subnet a scaglioni per VCN:
- Subnet DMZ per load balancer.
- Subnet pubbliche per host accessibili esternamente, ad esempio server applicazioni Web e istanze che eseguono sistemi di rilevamento delle intrusioni (IDS).
- Subnet private per host interni, ad esempio database.
- Le istanze di calcolo collegate a una subnet privata possono avere solo indirizzi IP privati.
- Allegare host sensibili alla sicurezza (ad esempio sistemi DB) alle subnet private. Per la connettività da tali host a Internet, utilizzare un gateway NAT. Per abilitare gli host ad accedere ad altri servizi Oracle Cloud Infrastructure, utilizzare un gateway di servizio.
- I gruppi di sicurezza di rete forniscono un controllo granulare del flusso di traffico tra vNICs controllato dal gruppo di sicurezza di rete.
- La sicurezza elenca il traffico di controllo che può fluire in, all'interno e all'esterno delle subnet.
- Utilizzare i gruppi di sicurezza di rete per controllare l'accesso alle risorse in subnet private e pubbliche:
- Consenti solo i flussi di rete necessari per un carico di lavoro creando gruppi di sicurezza per ogni livello dell'applicazione.
- Non consentire il traffico laterale inutile all'interno o tra livelli di applicazione.
- Non consentire ai livelli applicazione di comunicare con altri livelli a meno che non sia necessario.
- Utilizzare regole di sicurezza granulari per regolare la comunicazione all'interno di VCN, con Internet, con altri VCN connessi tramite gateway peering e con host in locale.
- Per impostare un sistema di rilevamento delle intrusioni e scansionare tutto il traffico in uscita, utilizzare la funzione della tabella di instradamento di VCN.
- Il traffico dei log di flusso della subnet VCN scorre all'interno di un VCN. Attivare VCN Subnet Flow Log e monitorarne regolarmente il contenuto.
- Abilitare Web Application Firewall per i servizi HTTPS rivolti al pubblico.
Proteggi load balancer
Architetto enterprise, Architetto di sicurezza, Architetto di rete
- Per terminare TLS nel load balancer, utilizzare un load balancer HTTP. Per terminare TLS in un server backend, utilizzare un load balancer TCP.
- È possibile configurare l'accesso di rete ai load balancer utilizzando gruppi di sicurezza di rete o elenchi di sicurezza.
- Definire i criteri IAM per limitare le autorizzazioni per gestire i load balancer a un set minimo di utenti e gruppi.
Limitare l'accesso utilizzando le origini della rete
Architetto enterprise, Architetto di sicurezza, Architetto di rete
Un'origine di rete è un set di indirizzi IP definiti. Gli indirizzi IP possono essere indirizzi IP pubblici o indirizzi IP da VCN all'interno della tenancy.Le risorse di rete possono essere create solo nel compartimento tenancy (o root) e, come altre risorse Identity, risiedono nell'area home.
È possibile utilizzare origini di rete per proteggere la tenancy nei modi riportati di seguito.
- Specificare l'origine di rete in un criterio IAM per limitare l'accesso alle risorse. Se specificato in un criterio, IAM convalida che le richieste di accesso a una risorsa provengono da un indirizzo IP consentito. Ad esempio, è possibile limitare l'accesso ai bucket di storage degli oggetti nella tenancy solo agli utenti che hanno eseguito l'accesso a Oracle Cloud Infrastructure tramite la rete aziendale. In alternativa, è possibile consentire solo alle risorse appartenenti a subnet specifiche di un VCN specifico di effettuare richieste su un gateway dei servizi.
- Specificare l'origine di rete nelle impostazioni di autenticazione della tenancy per limitare l'accesso alla console. È possibile impostare il criterio di autenticazione della tenancy per consentire l'accesso alla console solo da quegli indirizzi IP specificati nell'origine della rete. Agli utenti che tentano di accedere da un indirizzo IP non incluso nella lista consentita nell'origine di rete verrà negato l'accesso.
Proteggi zone e record DNS
Architetto enterprise, Architetto di sicurezza, Architetto di rete
Definire i criteri IAM per limitare gli utenti che possono modificare zone e record DNS.
Utilizzo delle zone di sicurezza massime in Oracle Cloud Infrastructure
Architetto enterprise, Architetto di sicurezza, Architetto di rete
Quando si avvia un nuovo progetto e si crea una nuova soluzione, ci sono molte linee guida sulle best practice, provenienti da molte fonti diverse, come:
- Suggerimenti fornitore
- Norme e politiche organizzative
- Quadri esterni
- Conformità alle normative
- Architetture di riferimento
Queste procedure ottimali coprono in genere una serie di argomenti di sicurezza diversi, tra cui autenticazione, crittografia, memorizzazione, controllo degli accessi, ecc. Tuttavia, in molti casi, i consigli sulle migliori pratiche vengono ignorati. Lo abbiamo visto molte volte: le tempistiche dei progetti, i vincoli di budget, le lacune di conoscenza e gli ambienti che iniziano come non produzione, possono tutti significare che le migliori pratiche pertinenti non sono seguite, portando a un ambiente insicuro e a una postura di sicurezza debole.
Il servizio Massimo zone di sicurezza all'interno di Oracle Cloud Infrastructure mira a ridurre al minimo questo rischio. Una zona di sicurezza è un controllo preventivo, che, per sua natura, contiene dati e risorse sensibili, è restrittivo per progettazione. Ad esempio, le zone di sicurezza massime verranno rilasciate con un criterio di sicurezza massimo abilitato. Ciò presuppone che non sia consentito l'accesso del pubblico e che i dati sensibili siano separati quanto più possibile da Internet. Il criterio di sicurezza applica questa posizione impedendo, in tempo reale, di creare risorse che rompano questo criterio.