Gestisci identità e criteri di autorizzazione

Oracle Cloud Infrastructure Identity and Access Management ti consente di controllare chi può accedere alle tue risorse cloud. Le credenziali per l'accesso e l'autorizzazione includono chiavi API, password di accesso, accesso federato e token di autenticazione. Utilizza credenziali appropriate per proteggere l'account e le risorse cloud. Oracle ti consiglia di adottare i seguenti suggerimenti durante l'implementazione della gestione delle identità nel cloud.

Usa autenticazione con più fattori (MFA)

Enterprise Architect, Security Architect, Application Architect

Limitare l'accesso alle risorse solo agli utenti autenticati tramite la soluzione Single Sign-On dell'azienda e una password monouso limitata nel tempo o altro fattore appropriato, ad esempio una funzione di scansione biometrica.

Con i domini di Identity OCI Identity and Access Management (IAM), l'autenticazione MFA viene configurata e applicata in un criterio di accesso predefinito per OCI Console. Questo criterio non deve essere disattivato.

È consigliabile richiederlo a livello utente e applicarlo a livello di risorse tramite IAM. È possibile applicare l'autenticazione MFA per una risorsa nel criterio di accesso che consente l'accesso alla risorsa.

L'autenticazione MFA può anche essere configurata per i casi d'uso con accesso di emergenza quando è necessario concedere a un utente un accesso temporaneo elevato per ignorare il controllo dell'accesso regolare e ottenere l'accesso immediato ai sistemi critici.

Non utilizzare l'account amministratore tenancy per le operazioni giornaliere

Enterprise Architect, Security Architect, Application Architect

È necessario creare amministratori a livello di servizio nella tenancy per limitare ulteriormente l'accesso amministrativo. Gli amministratori a livello di servizio devono gestire solo le risorse di un servizio o dominio specifico.

Ad esempio, il criterio riportato di seguito consente agli utenti del gruppo VolumeAdmins di gestire solo le risorse della famiglia di volumi a blocchi.

Allow group VolumeAdmins to manage volume-family in tenancy

Creare criteri di sicurezza per impedire il blocco dell'account amministratore

Architetto enterprise, architetto della sicurezza

Creare e proteggere un account di amministrazione specifico per l'uso nel caso in cui l'amministratore della tenancy lasci l'organizzazione o per un'altra emergenza quando non sono disponibili amministratori della tenancy.

Ad esempio, creare un utente di emergenza con appartenenza al gruppo OCI Administrators, non federato, e solo con password locale. Questo è a volte indicato come un account "Break glass".

Break glass si riferisce ai processi e ai meccanismi utilizzati per ottenere un accesso altamente privilegiato in caso di emergenza IT. Il termine deriva dalla pratica di posizionare un grilletto di allarme dietro un vetro protettivo, che funge da barriera fisica per prevenire l'attivazione non autorizzata o non di emergenza. Nel settore IT, Break Glass viene utilizzato metaforicamente per descrivere la necessità di privilegi di accesso completi durante un'emergenza critica che non può essere affrontata all'interno della separazione dei compiti (SOD) e dei controlli di accesso meno privilegiati. Le caratteristiche chiave di un processo efficace sono l'alta disponibilità, l'accesso limitato, la valutazione dei rischi, l'approvazione accelerata, i diritti di breve durata, l'audit e i test regolari. Anche un modello di accesso ben progettato potrebbe non tenere conto di tutte le possibili emergenze. In questi casi, Break Glass fornisce un modo per concentrare il più alto livello di privilegi di accesso in uno o più conti break-glass, trascendendo il modello di accesso stabilito. Il gruppo di amministratori OCI può essere utilizzato per concedere l'accesso di emergenza, insieme a un'opzione di abilitazione alternativa.

Limita ai gruppi di amministratori IAM la gestione degli amministratori predefiniti e dei gruppi di amministratori delle credenziali

Architetto enterprise, architetto della sicurezza

Le autorizzazioni dell'amministratore devono seguire la regola del privilegio minimo, pertanto l'appartenenza a un gruppo di amministratori o l'allegato a un criterio di amministrazione devono essere limitati alla base necessaria.

Il criterio riportato di seguito consente agli utenti del gruppo UserAdmins di ispezionare solo i gruppi nella tenancy.

Allow group UserAdmins to inspect groups in tenancy

Anche il criterio di amministrazione della tenancy pronto all'uso non deve essere modificato.

Impedire l'eliminazione accidentale o dannosa dei criteri di accesso (e delle relative modifiche)

Enterprise Architect, Security Architect, Application Architect

Ad esempio, il criterio riportato di seguito consente solo agli utenti del gruppo PolicyAdmins di creare criteri, ma non di modificarli o eliminarli.

Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

Consentire agli amministratori delle credenziali di gestire solo le funzionalità utente e le credenziali utente, ad esempio chiavi API, token di autenticazione e chiavi segrete.

Usa più domini di Identity

Architetto enterprise, architetto della sicurezza

Utilizzare il dominio di Identity OCI Identity and Access Management predefinito solo per gli amministratori OCI.

• Per i carichi di lavoro dell'applicazione, utilizzare domini di Identity separati per ogni ambiente, ad esempio sviluppo, test e produzione.
• Ogni dominio può avere requisiti di identità e sicurezza diversi per proteggere le applicazioni e i servizi OCI.
• L'uso di più domini di Identity può agevolare la gestione dell'isolamento del controllo amministrativo su ciascun dominio di Identity. Sono necessari più domini di Identity, ad esempio, quando gli standard di sicurezza impediscono agli ID utente per lo sviluppo di esistere nell'ambiente di produzione. Vengono utilizzati più domini anche quando è necessario che amministratori diversi abbiano il controllo su vari ambienti.

Federare Oracle Cloud Infrastructure Identity and Access Management

Enterprise Architect, Security Architect, Application Architect

Ove possibile e pertinente, federare Oracle Cloud Infrastructure Identity and Access Management con il provider di identità centralizzato dell'organizzazione (IdP).

• Crea un gruppo di amministratori federati che esegue il mapping al gruppo di amministratori dell'IdP federato ed è regolato dagli stessi criteri di sicurezza del gruppo di amministratori dell'IdP federato.
• Creare utenti locali e assegnare gli utenti ai gruppi IAM Administrators, IAM Administrators e Credential Administrators predefiniti. Utilizzare questi utenti per scenari di tipo break-glass (ad esempio, l'impossibilità di accedere alle risorse tramite la federazione).
• Definire un criterio per impedire al gruppo IAM degli amministratori federati di modificare l'appartenenza dei gruppi Administrators della tenancy predefinita.
• Rileva l'accesso e le operazioni non autorizzate monitorando i log di audit per rilevare le operazioni da parte degli amministratori della tenancy e le modifiche ai gruppi Administrators.

Monitorare e gestire le attività e lo stato di tutti gli utenti

Enterprise Architect, Security Architect, Application Architect

Monitorare e gestire le attività e lo stato di tutti gli utenti.

• Quando un dipendente lascia l'organizzazione, disabilitare l'accesso alla tenancy eliminando immediatamente l'utente.
• Applica la rotazione della password utente, delle chiavi API e di tutte le funzionalità utente correlate all'autenticazione ogni 90 giorni o meno.
• Assicurarsi che le credenziali IAM (Identity and Access Management) non siano codificate in modo non modificabile nella documentazione del software o delle operazioni in uso.
• Creare un utente IAM per tutti gli utenti dell'organizzazione che devono accedere alle risorse nella tenancy. Non condividere un utente IAM tra più utenti umani.
• Implementare il Single Sign-On federato per semplificare l'accesso a più applicazioni e centralizzare l'autenticazione.
• Rivedere periodicamente gli utenti nei gruppi IAM e rimuovere gli utenti che non necessitano più dell'accesso.

Ulteriori informazioni

• Procedure ottimali di sicurezza
• Gestione dell'autenticazione con più fattori
• Protezione di IAM
• Federazione IAM
• IAM con esercitazioni sui domini di identità