Isolare le risorse e controllare l'accesso

L'isolamento delle risorse è una considerazione fondamentale quando si organizzano le risorse cloud. I compartimenti ti consentono di organizzare logicamente le tue risorse e di controllarne l'accesso in modo significativo per la tua attività. Ad esempio, è possibile isolare le risorse utilizzate da ciascun reparto dell'azienda in un compartimento separato. In alternativa, potresti voler suddividere in compartimenti per funzione operativa, ad esempio networking, sicurezza, database o sviluppo di applicazioni. Puoi anche utilizzare le reti cloud virtuali (VCN) per isolare le risorse a livello di rete.

Dovresti pianificare attentamente i tuoi compartimenti e VCN, tenendo presente i requisiti di sicurezza attuali e futuri della tua organizzazione. Le raccomandazioni contenute in questo articolo ti aiuteranno a soddisfare i tuoi requisiti.

Organizza risorse mediante compartimenti e tag

Enterprise Architect, Security Architect, Application Architect

I compartimenti e le tag sono strumenti utili per organizzare e isolare le risorse per il controllo dell'accesso.

• Crea e designa compartimenti per categorie specifiche di risorse e scrive i criteri IAM per consentire l'accesso alle risorse solo ai gruppi di utenti che hanno bisogno di accedervi.
• Separa i carichi di lavoro di produzione e non di produzione in compartimenti separati.
• Creare e utilizzare i compartimenti figlio per isolare le risorse per livelli organizzativi aggiuntivi. Scrivere criteri separati per ogni livello di compartimento.
• Consenti solo agli utenti autorizzati di spostare i compartimenti in compartimenti padre diversi e di spostare le risorse da un compartimento a un altro. Scrivere le politiche appropriate per applicare questa restrizione.
• Limitare il numero di risorse di ogni tipo che è possibile creare in un compartimento impostando le quote a livello di compartimento.
• Evita di scrivere i criteri IAM a livello del compartimento radice.
• Limitare le risorse che un principal dell'istanza può gestire specificando un compartimento nel criterio IAM.
• Assegna tag alle risorse per organizzarle e identificarle in base alle tue esigenze aziendali.

Implementare il controllo dell'accesso basato su ruoli

Enterprise Architect, Security Architect, Application Architect

Limitare l'accesso assegnando privilegi in base al ruolo.

• Limitare i privilegi di accesso per gli utenti di ciascun gruppo ai soli compartimenti ai quali devono accedere, scrivendo criteri a livello di compartimento.
• Scrivere criteri il più granulari possibile in termini di risorse di destinazione e privilegi di accesso richiesti.
• Creare gruppi con autorizzazioni per eseguire task comuni a tutti i carichi di lavoro distribuiti (ad esempio, amministrazione della rete e amministrazione dei volumi) e assegnare gli utenti amministratori appropriati a questi gruppi.

Non memorizzare le credenziali utente nelle istanze di computazione

Enterprise Architect, Security Architect, Application Architect

Quando si desidera autorizzare un'istanza di computazione a effettuare chiamate alle API Oracle Cloud Infrastructure, non memorizzare credenziali utente nell'istanza. Designare invece l'istanza come principal dell'istanza.

I certificati richiesti per l'autenticazione dell'istanza vengono creati automaticamente, assegnati all'istanza e ruotati. È possibile raggruppare tali istanze in set logici, denominati gruppi dinamici, e scrivere criteri per consentire ai gruppi dinamici di eseguire azioni specifiche su risorse specifiche.

Utilizza Oracle Cloud Infrastructure Vault per gestire e proteggere le chiavi di cifratura con severi controlli dell'accesso.

Potenziare l'accesso di login alle istanze di computazione

Enterprise Architect, Security Architect, Application Architect

Assicurarsi che vengano utilizzati solo metodi sicuri per eseguire il login alle istanze di computazione.

• Disabilitare il login basato su password se si dispone di una soluzione di login aziendale standard.
• Disabilitare il login root.
• Utilizzare solo l'autenticazione basata su chiave SSH.
• Non condividere le chiavi SSH. Sfrutta Oracle Cloud Infrastructure Bastion con chiavi SSH temporanee per evitare la condivisione delle chiavi SSH.
• Utilizza i gruppi di sicurezza di rete per limitare l'accesso in base all'indirizzo IP di origine.
• Disabilitare i servizi non necessari.
• Valutare la possibilità di utilizzare l'integrazione PAM (Pluggable Authentication Module) Linux per le virtual machine con i domini di identità IAM.

Accesso sicuro a più risorse

Enterprise Architect, Security Architect, Application Architect

Se si designano istanze come principal, rivedere gli utenti e i gruppi che hanno accesso a tali istanze. Accertarsi che solo gli utenti e i gruppi appropriati possano accedervi.

Isola risorse al livello di rete

Enterprise Architect, Security Architect, Application Architect

Le reti cloud virtuali forniscono il primo livello di isolamento della rete tra le risorse in Oracle Cloud Infrastructure.

Se hai più carichi di lavoro o reparti/organizzazioni diversi, utilizza VCN diversi per ciascuno di essi per isolare le risorse a livello di rete.

Usa il peering VCN dove necessario. Una VCN DMZ (demilitarized zone) consente di analizzare il traffico tra le VCN. Inoltre, utilizza con attenzione le subnet pubbliche e private, dopo aver valutato quali risorse richiedono l'accesso pubblico.

• Utilizza i load balancer per esporre pubblicamente i servizi e posizionare le destinazioni backend nelle subnet private.
• Sfrutta i gruppi di sicurezza di rete per applicare la microsegmentazione dell'applicazione per ogni livello dell'applicazione.
• La lista di inclusione richiede il traffico est/ovest all'interno di una VCN. Non consentire i flussi di traffico a meno che non siano necessari.
• In una topologia di rete hub e spoke, instrada tutto il traffico VCN spoke su una VCN DMZ (demilitarized zone) e attraverso un firewall di rete OCI o altra appliance di rete per garantire l'accesso appropriato.

Definizione zone di sicurezza

Enterprise Architect, Security Architect, Application Architect

Le zone di sicurezza applicano criteri di sicurezza di base per i compartimenti in Oracle Cloud Infrastructure, per evitare configurazioni errate. Includono una libreria di criteri e best practice di sicurezza integrate per abilitare la gestione delle impostazioni di sicurezza del cloud.

• Abilita i criteri di sicurezza per le risorse di produzione nelle subnet private nella propria VCN e nel proprio compartimento.
• Separa i componenti che si interfacciano con Internet in una VCN separata con una subnet pubblica e collegala alla VCN della zona di sicurezza con un Local Peering Gateway. Inoltre, aggiungi un Web Application Firewall per proteggere i componenti che si interfacciano con Internet, come i load balancer.
• Utilizzare Oracle Security Advisor per facilitare la creazione di risorse in una zona di sicurezza.

Ulteriori informazioni

• Procedure ottimali di sicurezza
• Previeni un livello di sicurezza del cloud debole con le zone di massima sicurezza
• Oracle Maximum Security Zones e Security Advisor per te
• Gestione dei compartimenti
• Funzionamento dei criteri
• Chiamata di servizi da un'istanza