리소스 분리 및 액세스 제어
리소스 분리는 클라우드 리소스를 구성할 때 중요한 고려 사항입니다. 구획을 통해 리소스를 논리적으로 구성하고 비즈니스에 의미 있는 방식으로 리소스에 대한 액세스를 제어할 수 있습니다. 예를 들어, 회사의 각 부서에서 사용하는 리소스를 별도의 구획에 격리할 수 있습니다. 가상 클라우드 네트워크(VCN)를 사용하여 네트워크 계층에서 리소스를 분리할 수도 있습니다.
구획과 VCN을 주의하여 기업의 현재 및 향후 보안 요구사항을 염두에 두고 계획해야 합니다. 이 문서의 권장 사항은 요구 사항을 충족하는 데 도움이 됩니다.
구획 및 태그를 사용하여 리소스 구성
애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자
구획과 태그는 액세스 제어를 위해 리소스를 구성 및 분리하는 데 유용한 도구입니다.
- 특정 리소스 범주에 대한 구획을 생성 및 지정하고, 리소스에 액세스해야 하는 사용자 그룹에만 액세스할 수 있도록 IAM 정책을 작성합니다.
- 운영 및 비운영 워크로드를 개별 구획으로 구분합니다.
- 하위 구획을 생성 및 사용하여 추가 조직 계층에 대한 리소스를 분리합니다. 각 구획 레벨에 대해 별도의 정책을 작성합니다.
- 권한이 있는 사용자만 구획을 다른 상위 구획으로 이동하고 한 구획에서 다른 구획으로 리소스를 이동할 수 있습니다. 이 제한을 적용하기 위한 적합한 정책을 작성합니다.
- 구획 레벨 할당량을 설정하여 구획에서 생성할 수 있는 각 유형의 리소스 수를 제한합니다.
- 루트 구획 레벨에서 IAM 정책을 작성하지 마십시오.
- IAM 정책에 구획을 지정하여 인스턴스 주체가 관리할 수 있는 리소스를 제한합니다.
- 리소스에 태그를 지정하여 비즈니스 요구에 따라 리소스를 구성하고 식별합니다.
역할 기반 액세스 제어 구현
애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자
역할별로 권한을 지정하여 액세스를 제한합니다.
- 구획 레벨 정책을 작성하여 각 그룹의 사용자에게 필요한 구획만 접근 권한을 제한합니다.
- 대상 리소스 및 필요한 액세스 권한과 관련하여 가능한 세분화된 정책을 작성합니다.
- 배치된 모든 작업 부하(예: 네트워크 관리 및 볼륨 관리)에 공통적인 작업을 수행할 권한이 있는 그룹을 생성하고 해당 그룹에 적절한 관리 사용자를 지정합니다.
컴퓨트 인스턴스에 사용자 자격 증명을 저장하지 않음
애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자
Oracle Cloud Infrastructure API를 호출하도록 컴퓨트 인스턴스에 권한을 부여하려면 사용자 인증서를 인스턴스에 저장하지 마십시오. 대신 인스턴스를 인스턴스 주체로 지정합니다.
인스턴스 자체 인증에 필요한 인증서가 자동으로 생성되어 인스턴스에 지정되고 순환됩니다. 이러한 인스턴스를 동적 그룹이라고 하는 논리적 집합으로 그룹화하고, 동적 그룹이 특정 리소스에 대한 특정 작업을 수행할 수 있도록 정책을 작성할 수 있습니다.
컴퓨트 인스턴스에 대한 로그인 액세스 강화
애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자
컴퓨트 인스턴스에 로그인하는 데 안전한 방법만 사용해야 합니다.
- 암호 기반 로그인을 사용 안함으로 설정합니다.
- 루트 로그인을 사용 안함으로 설정합니다.
- SSH 키 기반 인증만 사용합니다.
- 소스 IP 주소를 기반으로 액세스를 제한하려면 보안 그룹 및 보안 목록을 활용하십시오.
- 불필요한 서비스를 비활성화합니다.
리소스 간 보안 액세스
애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자
인스턴스를 주체로 지정하는 경우 해당 인스턴스에 대한 액세스 권한이 있는 사용자 및 그룹을 검토합니다. 적절한 사용자와 그룹만 액세스할 수 있는지 확인합니다.
네트워크 계층에서 리소스 분리
애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자
가상 클라우드 네트워크는 Oracle Cloud Infrastructure의 리소스 간에 첫번째 레벨의 네트워크 격리를 제공합니다.작업 부하가 여러 개 있거나 부서/조직이 다른 경우 각각 다른 VCN을 사용하여 네트워크 계층에서 리소스를 격리하십시오.
필요한 경우 VCN 피어링을 사용합니다. 또한 공용 액세스가 필요한 리소스를 평가한 후 공용 및 전용 서브넷을 주의해서 사용하십시오.
- 로드 밸런서를 활용하여 공용으로 서비스를 노출하고 전용 서브넷에 백엔드 대상을 배치합니다.
- 보안 그룹을 활용하여 애플리케이션의 각 계층에 대해 애플리케이션 마이크로 세분화를 적용합니다.
- 허용 목록에 VCN 내 동/서쪽 트래픽이 필요한 경우 트래픽 플로우가 필요하지 않습니다.
최대 보안 영역 정의
애플리케이션 설계자, 보안 설계자, 엔터프라이즈 설계자
최대 보안 영역은 Oracle Cloud Infrastructure의 구획에 보안 정책을 적용합니다. 여기에는 정책 라이브러리와 내장된 보안 모범 사례로 클라우드 보안 상태 관리를 지원합니다.
- 자체 VCN 및 구획의 전용 서브넷에서 운용 리소스에 대한 최대 보안 정책을 사용으로 설정합니다.
- 공용 서브넷을 사용하여 별도의 VCN에 인터넷 관련 구성요소를 분리하고 로컬 피어링 게이트웨이를 사용하여 최대 보안 영역 VCN에 연결합니다. 또한 웹 애플리케이션 방화벽을 추가하여 로드 밸런서와 같은 인터넷 연결 구성요소를 보호합니다.
- Oracle Security Advisor를 사용하여 최대 보안 영역에서 리소스를 쉽게 생성할 수 있습니다.