OCI에 대한 인증서 만료 통지 사용으로 설정에 대해 알아보기

보안 작업(SecOps) 팀은 IAM 암호를 적시에 교체하고 추적하기가 어렵습니다. 이 자동화 솔루션은 OCI(Oracle Cloud Infrastructure) 인증서에 대한 조기 만료 통지를 사용으로 설정하여 보안을 개선하는 데 도움이 됩니다.

OCI Identity and Access Management 암호는 저장, 액세스 및 배포되는 API 키, 데이터베이스 및 클라우드 인증서, 인증서, SSH 키 또는 인증 토큰과 같은 인증서입니다.

커뮤니티 모범 사례는 정기적으로 비밀 회전을 권장합니다. 하나의 키로 암호화하는 데이터가 많을수록 해당 키가 노출되면 데이터가 더 많이 노출됩니다. 키를 더 오래 사용할수록 몇 가지 방법으로 누출될 가능성이 높습니다. 키를 교체하면 키가 유출되는 영향을 제한하면서 데이터를 구획화합니다. 따라서 조기 알림을 받는 것은 사용자와 SecOps 팀의 핵심입니다.

OCI Identity and Access Management 자격 증명을 교체하면 손상되거나 종료된 계정과 연계된 액세스 키에 대한 기회가 줄어듭니다. Oracle Cloud Guard는 보안 상태를 모니터링하고 OCI Identity and Access Management 암호 만료 시 이벤트를 트리거하는 클라우드 네이티브 서비스입니다. 90일마다 IAM 인증서를 교체하는 것이 좋습니다.

구조

고급 알림을 통해 사용자는 암호를 교체하고 애플리케이션 워크로드를 업데이트할 수 있습니다. 이 OCI 아키텍처는 서버리스 컴퓨트 서비스인 OCI Functions를 사용하여 OCI Identity and Access Management 서비스에서 JSON 데이터를 읽습니다.

다음 다이어그램은 SecOps 팀에 보고서를 전송하기 위한 워크플로우와 사용자에게 조기 전자메일 통지를 보여 줍니다.

다음은 credential-expiry-notif-workflow.png에 대한 설명입니다.
그림 credential-expiry-notif-workflow.png에 대한 설명

인증서-만료-notif-워크플로우-oracle.zip

워크플로우에는 SecOps 팀과 자동화의 두 섹션이 있습니다. SecOps 팀이 구성을 완료한 후 OCI Functions 및 OCI Resource Scheduler 서비스가 자동화를 처리합니다.

  1. SecOps 팀은 OCI Functions에 대한 임계값, 면제된 사용자 및 기타 매개변수를 구성하여 워크플로우를 시작합니다. SecOps 팀이 OCI 함수에 대한 매개변수를 구성하면 워크플로우가 자동화에서 완전히 발생합니다.
  2. OCI 스케줄러는 데이터를 OCI Functions로 전송합니다.
  3. OCI 함수는 API 키, 인증 코드 및 고객 암호 키를 폴링하고 임계값을 초과하는지 확인하여 만료를 검증합니다.
  4. 임계값 초과 결정은 만료가 경고인지, 위기인지 또는 만료됨인지를 결정하고 필요한 보고서를 결정하기 위해 다음 결정으로 보냅니다.
  5. 옵트인 주별/월별 보고서 결정에 따라 보고가 결정됩니다.
    • 예: 구성에서 주별 또는 월별 보고서를 옵트인하는 경우 전자메일 보고서가 자동으로 SecOps 팀으로 전송되어 워크플로우가 종료됩니다.
    • 아니요: 구성에 주별 또는 월별 보고서가 포함되지 않은 경우 자동화에 따라 사용자가 면제되는지 여부가 결정됩니다.
  6. User Exempted는 자동화를 결정합니다.
    • 예: 사용자가 면제된 경우 자동화에서 사용자에게 전자메일 보고서를 전송합니다. 워크플로우가 종료되었습니다.
    • 아니요: 사용자가 면제되지 않은 경우 자동화는 만료된 암호를 삭제하고 사용자에게 전자메일 보고서를 전송합니다. 워크플로우가 종료되었습니다.

이 아키텍처는 다음 구성 요소를 지원합니다.

  • IAM(ID 및 액세스 관리)

    Oracle Cloud Infrastructure Identity and Access Management(IAM)는 Oracle Cloud Infrastructure(OCI) 및 Oracle Cloud Applications의 액세스 제어 플레인입니다. IAM API 및 사용자 인터페이스를 통해 ID 도메인 및 ID 도메인 내의 리소스를 관리할 수 있습니다. 각 OCI IAM ID 도메인은 독립형 ID 및 액세스 관리 솔루션 또는 다른 사용자 모집단을 나타냅니다.

  • OCI 리소스 스케줄러

    Oracle Cloud Infrastructure 리소스 스케줄러 서비스는 OCI Identity and Access Management 서비스와 통합되어 기본 OCI ID 기능을 통해 손쉽게 인증할 수 있습니다. OCI 리소스 스케줄러는 루트 컴파트먼트 레벨에서 일정에 따라 테넌시 또는 관리 테넌시 그룹의 리소스에서 작동합니다.

    이 서비스를 통해 테넌시의 데이터베이스 및 컴퓨트 OCI 리소스 모음에 대한 작업을 수행하는 일정을 생성하고 관리하여 수명 주기 및 운영 시간을 관리할 수 있습니다.

  • Cloud Guard

    Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 모니터링하고 유지 관리할 수 있습니다. Cloud Guard는 정의 가능한 감지자 레시피를 사용하여 리소스에서 보안 취약점을 검사하고 운영자 및 사용자에게 특정 위험한 작업을 모니터합니다. 잘못 구성되거나 안전하지 않은 작업이 감지되면 Cloud Guard는 정의할 수 있는 응답기 레시피를 기반으로 수정 조치를 권장하고 해당 작업을 수행하는 데 도움을 줍니다.

  • 모니터링

    Oracle Cloud Infrastructure Monitoring 서비스는 측정지표를 사용하여 클라우드 리소스를 능동적이고 수동적으로 모니터링하여 리소스 및 알람을 모니터링하고 이러한 측정지표가 알람이 지정된 트리거를 충족할 때 알림을 보냅니다.

  • 함수

    Oracle Cloud Infrastructure Functions는 확장성이 뛰어난 완전 관리형 멀티테넌트 온디맨드 Functions-as-a-Service(FaaS) 플랫폼입니다. 그것은 Fn 프로젝트 오픈 소스 엔진에 의해 구동 됩니다. OCI Functions를 사용하면 코드를 배포하고 직접 호출하거나 이벤트에 대한 응답으로 트리거할 수 있습니다. OCI FunctionsOracle Cloud Infrastructure Registry에서 호스팅되는 Docker 컨테이너를 사용합니다.

  • 전자메일 전송

    Oracle Cloud Infrastructure Email Delivery는 수신, 사기 감지 경고, 다단계 ID 확인 및 암호 재설정과 같은 미션 크리티컬 마케팅, 알림 및 트랜잭션 통신을 위해 애플리케이션 생성 대용량 이메일을 전송하기 위한 확장성이 뛰어나고 비용 효율적이며 안정적인 이메일 딜리버리 서비스입니다.

필수 서비스 및 역할 정보

이 솔루션을 사용하려면 다음과 같은 Oracle Cloud Infrastructure(OCI) 서비스 및 역할이 필요합니다.

  • OCI Vault
  • OCI 함수

  • OCI 리소스 스케줄러

  • OCI Identity and Access Management
  • OCI 모니터링
  • Oracle Cloud Guard

각 서비스에 필요한 역할입니다.

서비스 이름: 롤 필수 항목...
OCI 저장소: 암호 권한 관리.
OCI Functions: 적절한 정책이 기능 관련 리소스에 대한 액세스 권한을 부여하는 그룹에 속하는 OCI 사용자 계정을 갖춘 Functions 개발자 OCI Functions 생성 및 배포
OCI 리소스 스케줄러: 일정 스케줄 생성 및 관리
OCI ID 및 액세스 관리: 정책 필요한 정책 생성

필요한 것을 얻으려면 Oracle 제품, 솔루션 및 서비스를 참조하십시오.

보안에 대한 고려 사항

이 솔루션을 설계할 때는 다음 보안 요구 사항을 고려하십시오.

권장사항
  1. 각 심각도(경고, 위기 또는 만료)에 대한 임계값을 초과한 후 테넌시의 모든 ID 도메인에 대해 사용자에게 단일 전자메일을 전송합니다.
  2. 구성된 매개변수에 따라 통합된 보고서를 SecOps로 보냅니다. 주별 또는 월별을 예로 들 수 있습니다.
필수
  1. 사용자가 면제 목록에 추가하지 않은 경우 자동화에서 암호 게시 만료를 삭제해야 합니다.
  2. 구성된 각 매개변수에 대해 통합된 보고서를 SecOps으로 보냅니다. 주별 또는 월별을 예로 들 수 있습니다.
  3. Oracle Cloud Infrastructure Vault에 SMTP(Simple Mail Transfer Protocol) 비밀번호를 저장합니다.
  4. 자동화 솔루션이 재배치되지 않도록 다양한 구성 매개변수를 허용합니다.