Isola risorse e controlla l'accesso
Dovresti pianificare attentamente i tuoi compartimenti e VCN, tenendo presenti i requisiti di sicurezza attuali e futuri della tua organizzazione. Le raccomandazioni contenute in questo articolo ti aiuteranno a soddisfare le tue esigenze.
Organizza risorse utilizzando compartimenti e tag
Architetto enterprise, Architetto sicurezza, Architetto applicazione
- Creare e designare i compartimenti per categorie specifiche di risorse e scrivere i criteri IAM per consentire l'accesso alle risorse solo ai gruppi di utenti che necessitano dell'accesso.
- Separare i carichi di lavoro di produzione e non di produzione in compartimenti separati.
- Creare e utilizzare compartimenti figlio per isolare le risorse per layer organizzativi aggiuntivi. Scrivere criteri separati per ogni livello di compartimento.
- Consenti solo agli utenti autorizzati di spostare i compartimenti in compartimenti padre diversi e di spostare le risorse da un compartimento all'altro. Scrivere criteri appropriati per applicare questa restrizione.
- Limitare il numero di risorse di ogni tipo che può essere creato in un compartimento impostando quote a livello di compartimento.
- Evitare di scrivere criteri IAM a livello del compartimento radice.
- Limitare le risorse che un principal istanza può gestire specificando un compartimento nel criterio IAM.
- Assegnare tag alle risorse per organizzarle e identificarle in base alle esigenze aziendali.
Implementa controllo dell'accesso basato su ruoli
Architetto enterprise, Architetto sicurezza, Architetto applicazione
- Limitare i privilegi di accesso per gli utenti di ogni gruppo solo ai compartimenti ai quali devono accedere scrivendo criteri a livello di compartimento.
- Scrivere criteri il più granulare possibile in termini di risorse di destinazione e dei privilegi di accesso richiesti.
- Creare gruppi con autorizzazioni per eseguire task comuni a tutti i carichi di lavoro distribuiti (ad esempio amministrazione di rete e amministrazione del volume) e assegnare gli utenti amministratori appropriati a questi gruppi.
Non memorizzare le credenziali utente nelle istanze di calcolo
Architetto enterprise, Architetto sicurezza, Architetto applicazione
I certificati necessari per l'autenticazione dell'istanza vengono creati automaticamente, assegnati all'istanza e ruotati. È possibile raggruppare tali istanze in set logici, denominati gruppi dinamici, e scrivere criteri per consentire ai gruppi dinamici di eseguire azioni specifiche su risorse specifiche.
Recupera accesso alle istanze di calcolo
Architetto enterprise, Architetto sicurezza, Architetto applicazione
- Disabilita il login basato su password.
- Disabilita accesso root.
- Utilizzare solo l'autenticazione basata su chiave SSH.
- Sfrutta i gruppi di sicurezza e gli elenchi di sicurezza per limitare l'accesso in base all'indirizzo IP di origine.
- Disabilitare i servizi non necessari.
Accesso sicuro a risorse incrociate
Architetto enterprise, Architetto sicurezza, Architetto applicazione
Isolare le risorse a livello di rete
Architetto enterprise, Architetto sicurezza, Architetto applicazione
Le reti cloud virtuali forniscono il primo livello di isolamento di rete tra le risorse in Oracle Cloud Infrastructure.- Sfrutta load balancer per esporre pubblicamente i servizi e posizionare destinazioni backend su subnet private.
- Sfrutta i gruppi di sicurezza per applicare la microsegmentazione dell'applicazione per ogni livello dell'applicazione.
- La lista di inclusione richiede traffico est/ovest all'interno di un VCN, non consente flussi di traffico a meno che non siano obbligatori.
Definisci zone di massima sicurezza
Architetto enterprise, Architetto sicurezza, Architetto applicazione
- Abilitare il criterio di sicurezza massimo per le risorse di produzione nelle subnet private nel proprio VCN e compartimento.
- Separare i componenti rivolti a Internet in un VCN separato con una subnet pubblica e collegarli a Maximum Security Zone VCN con un gateway peering locale. Aggiungere inoltre un firewall dell'applicazione Web per proteggere i componenti rivolti a Internet, ad esempio load balancer.
- Utilizzare Oracle Security Advisor per facilitare la creazione di risorse in una zona di sicurezza massima.