Gestisci identità e criteri di autorizzazione

Oracle Cloud Infrastructure Identity and Access Management consente di controllare chi ha accesso alle risorse cloud. Le credenziali per l'accesso e l'autorizzazione includono le chiavi API, la password di accesso, l'accesso federato e i token di autenticazione. Utilizzare le credenziali appropriate per proteggere l'account cloud e le risorse. Oracle incoraggia l'utente ad adottare i suggerimenti riportati di seguito durante l'implementazione della gestione delle identità nel cloud.

Applica l'uso dell'autenticazione multi-fattore (MFA)

Architetto enterprise, Architetto sicurezza, Architetto applicazione

Limitare l'accesso alle risorse solo agli utenti autenticati mediante una password occasionale limitata a tempo.

È necessario richiederlo a livello di utente e applicarlo a livello di risorse tramite IAM. È possibile applicare MFA per una risorsa nel criterio di accesso che consente l'accesso alla risorsa. Ad esempio, il criterio seguente applica MFA quando gli utenti di GroupA gestiscono le risorse appartenenti alla famiglia di istanze in qualsiasi compartimento.

allow group GroupA to manage instance-family in tenancy where request.user.mfaTotpVerified='true'

Non utilizzare l'account amministratore tenancy per le operazioni giornaliere

Architetto enterprise, Architetto sicurezza, Architetto applicazione

Gli amministratori a livello di servizio nella tenancy devono essere creati per limitare ulteriormente l'accesso amministrativo. Gli amministratori a livello di servizio devono gestire solo le risorse di un servizio o dominio specifico.

Ad esempio, il criterio riportato di seguito consente agli utenti del gruppo VolumeAdmins di gestire solo le risorse nella famiglia di volumi a blocchi.

Allow group VolumeAdmins to manage volume-family in tenancy

Crea criteri di sicurezza per impedire il blocco dell'account amministratore

Architetto enterprise, architetto di sicurezza

In questo caso l'amministratore della tenancy lascia l'organizzazione.

Limitare le capacità amministrative di un gruppo di amministratori tenancy

Architetto enterprise, architetto di sicurezza

Le autorizzazioni di amministratore devono seguire la regola del privilegio minimo, pertanto l'appartenenza a un gruppo di amministratori o all'allegato a un criterio di amministrazione deve essere limitata a una base non necessaria.

Il criterio riportato di seguito consente agli utenti del gruppo UserAdmins di ispezionare solo i gruppi nella tenancy.

Allow group UserAdmins to inspect groups in tenancy

Impedisci eliminazione accidentale o dannosa dei criteri di accesso (e modifiche a)

Architetto enterprise, Architetto sicurezza, Architetto applicazione

Ad esempio, il criterio seguente consente agli utenti del gruppo PolicyAdmins di creare criteri, ma non di modificarli o eliminarli.

Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

Federa Oracle Cloud Infrastructure Identity and Access Management

Architetto enterprise, Architetto sicurezza, Architetto applicazione

Ove possibile e pertinente, federare Oracle Cloud Infrastructure Identity and Access Management con il provider di identità centralizzato dell'organizzazione (IdP).

Creare un gruppo di amministratori federazione mappato al gruppo di amministratori dell'IdP federato ed è governato dagli stessi criteri di sicurezza del gruppo di amministratori dell'IdP federato.
Creare un utente locale e assegnare l'utente al gruppo IAM Administrators predefinito. Utilizzare questo utente per gli scenari di tipo break-glass (ad esempio, incapacità di accedere alle risorse mediante federazione).
Definire un criterio che impedisca al gruppo IAM degli amministratori federati di modificare l'appartenenza al gruppo Administrators tenancy predefinito.
Rileva l'accesso e le operazioni non autorizzati monitorando i log di audit per le operazioni da parte degli amministratori tenancy e le modifiche apportate al gruppo Administrators.

Monitorare e gestire le attività e lo stato di tutti gli utenti

Architetto enterprise, Architetto sicurezza, Architetto applicazione

Monitorare e gestire le attività e lo stato di tutti gli utenti.

Quando un dipendente lascia l'organizzazione, disabilitare l'accesso alla tenancy eliminando immediatamente l'utente.
Applica la rotazione della password utente e delle chiavi API ogni 90 giorni o meno.
Assicurarsi che le credenziali di Identity and Access Management (IAM) non siano codificate in alcun software o documentazione operativa.
Creare un utente IAM per tutti gli utenti dell'organizzazione che devono accedere alle risorse nella tenancy. Non condividere un utente IAM tra più utenti umani.
Rivedere periodicamente gli utenti dei gruppi IAM e rimuovere gli utenti che non necessitano più dell'accesso.
Modificare le chiavi API IAM almeno ogni 90 giorni per ridurre il rischio di compromessi.

Applica l'uso dell'autenticazione multi-fattore (MFA)

Non utilizzare l'account amministratore tenancy per le operazioni giornaliere

Crea criteri di sicurezza per impedire il blocco dell'account amministratore

Limitare le capacità amministrative di un gruppo di amministratori tenancy

Impedisci eliminazione accidentale o dannosa dei criteri di accesso (e modifiche a)

Federa Oracle Cloud Infrastructure Identity and Access Management

Monitorare e gestire le attività e lo stato di tutti gli utenti

Ulteriori informazioni