Protegendo o Serviço Compute
Este tópico fornece informações de segurança e recomendações para o serviço Compute.
O serviço Compute permite provisionar e gerenciar hosts de computação, conhecidos como instâncias . Você pode criar instâncias conforme necessário para atender aos seus requisitos de computação e aplicativo. Depois de criar uma instância, você pode acessá-la de forma segura pelo seu computador, reiniciá-la, anexar e desanexar volumes e encerrá-la quando terminar de usá-la. Quaisquer alterações feitas nas unidades locais da instância são perdidas quando você as encerra. Todas as alterações salvas nos volumes anexados à instância são mantidas.
Responsabilidades de Segurança
Para usar o Compute de forma segura, saiba mais sobre suas responsabilidades de segurança e conformidade.
A Oracle é responsável pelos seguintes requisitos de segurança:
- Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.
Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:
- Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
- Criptografia e Confidencialidade: Use chaves de criptografia e segredos para proteger seus dados e estabelecer conexão com recursos protegidos. Gire essas chaves regularmente.
- Aplicação de Patches: Mantenha o software atualizado com os patches de segurança mais recentes para evitar vulnerabilidades.
Tarefas iniciais de segurança
Use esta lista de verificação para identificar as tarefas que você executa para proteger o Compute em uma nova tenancy do Oracle Cloud Infrastructure.
| Tarefa | Mais Informações |
|---|---|
| Usar políticas de IAM para conceder acesso a usuários e recursos | Políticas do serviço IAM |
| Criptografar os recursos usando uma chave personalizada | Criptografia de Dados |
| Proteger o acesso aos recursos via rede | Segurança de Rede |
| Ativar e configurar o Cloud Guard (opcional) | Cloud Guard |
| Criar uma zona de segurança (opcional) | Security Zones |
Tarefas de Segurança de Rotina
Depois de se familiarizar com o serviço Compute, use esta lista de verificação para identificar as tarefas de segurança que recomendamos que você execute regularmente.
| Tarefa | Mais Informações |
|---|---|
| Rotacionar chaves de criptografia | Criptografia de Dados |
| Responder aos problemas detectados no Cloud Guard | Cloud Guard |
| Aplicar os patches de segurança mais recentes | Patches |
| Execute uma auditoria de segurança | Auditando |
Políticas do Serviço IAM
Use políticas para limitar o acesso ao serviço Compute.
Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.
Designe a um grupo o mínimo de privilégios necessários para executar suas responsabilidades. Cada política tem um verbo que descreve quais ações o grupo tem permissão para executar. Do menor acesso ao máximo, os verbos disponíveis são: inspect, read, use e manage.
Recomendamos que você conceda permissões DELETE a um conjunto mínimo de usuários e grupos do IAM. Esta prática minimiza a perda de dados de exclusões inadvertidas por usuários autorizados ou por agentes maliciosos. Só conceda permissões DELETE aos administradores de tenancies e compartimentos.
Em todos os exemplos a seguir, as políticas têm uma tenancy como escopo. Porém, com a especificação de um nome de compartimento, as políticas podem ter seu escopo reduzido a um compartimento específico em uma tenancy.
O exemplo a seguir permite que o grupo InstanceUsers . inicie instâncias, mas não as exclua.
Allow group InstanceUsers to manage instance-family in tenancy
where request.permission!='INSTANCE_DELETE'
Allow group InstanceUsers to use volume-family in tenancy
Allow group InstanceUsers to use virtual-network-family in tenancyPor motivos de conformidade de segurança, alguns clientes não desejam expor a console da instância aos usuários da tenancy. O exemplo de política a seguir restringe a capacidade de criar ou ler por meio de consoles.
Allow group InstanceUsers to manage instance-console-connection in tenancy
where all {request.permission!= INSTANCE_CONSOLE_CONNECTION_READ,
request.permission!= INSTANCE_CONSOLE_CONNECTION_CREATE}Para obter mais informações sobre políticas do serviço Compute e para exibir mais exemplos, consulte Detalhes dos Serviços Principais.
Controle de Acesso
Além de criar políticas do serviço IAM, bloqueie o acesso a instâncias de computação.
Acesso da Instância a Outros Serviços
Você pode usar o recurso de controladores de instância do Oracle Cloud Infrastructure para autorizar instâncias a acessar outros serviços em nome de um usuário do IAM.
Por exemplo, uma instância pode acessar Volume em Blocos, Rede, Balanceador de Carga ou Armazenamento de Objetos.
Para usar esse recurso, crie grupos dinâmicos e conceda a eles acesso a APIs de serviço. Os grupos dinâmicos permitem que você agrupe instâncias de computação do Oracle Cloud Infrastructure como atores "principais" (similares aos grupos de usuários). Em seguida, você pode criar políticas para permitir que as instâncias façam chamadas de API em serviços do Oracle Cloud Infrastructure.
Ao criar um grupo dinâmico, em vez de adicionar membros explicitamente ao grupo, você define um conjunto de regras de correspondência para definir os membros do grupo. Uma chave privada de curta duração para assinar chamadas da API é entregue por meio do serviço de metadados da instância (http://169.254.169.254/opc/<version>/identity/cert.pem), e a chave é rotacionada várias vezes por dia. Para obter mais informações sobre como acessar serviços por meio de instâncias, consulte Chamando Serviços por Meio de uma Instância.
Acesso aos Metadados da Instância
Recomendamos que você limite o acesso aos metadados da instância a usuários privilegiados na instância.
Os metadados da instância (http://169.254.169.254) fornecem informações predefinidas da instância, como o OCID, o nome para exibição e campos personalizados. Os metadados da instância também podem fornecer credenciais de curta duração, como credenciais de grupo dinâmico. O exemplo a seguir mostra como usar iptables para restringir o acesso de metadados da instância ao usuário root.
iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROPAs instâncias usam endereços locais de links para acessar o serviço de metadados da instância (169.254.169.254:80), DNS (169.254.169.254:53), NTP (169.254.169.254:123), atualizações de kernel (169.254.0.3) e conexões iSCSI para volumes de inicialização (169.254.0.2:3260, 169.254.2.0/24:3260). Você pode usar firewalls baseados em host, como iptables, para garantir que somente o usuário root esteja autorizado a acessar esses IPs. Garanta que essas regras de firewall do sistema operacional não sejam alteradas.
O serviço de metadados da instância está disponível nas versões 1 e 2. O IMDSv2 oferece maior segurança em comparação com o v1. Recomendamos que você desative IMDSv1 e permita solicitações apenas para IMDSv2. Consulte Upgrade para o Serviço de Metadados da Instância v2.
Cloud Guard
Ative o Cloud Guard e use-o para detectar e responder a problemas de segurança nos recursos do serviço Compute.
Ao detectar um problema, o Cloud Guard sugere ações corretivas. Você também pode configurar o Cloud Guard para executar automaticamente determinadas ações. O Cloud Guard inclui as seguintes regras do detector para Computação.
- A instância tem um endereço IP público
- A instância está executando uma imagem da Oracle
- A instância não está executando uma imagem da Oracle
- A instância é acessível ao público
- Instância encerrada
- Exportar imagem
- Importar imagem
- Atualizar imagem
Para obter uma lista de todas as regras do detector disponíveis no Cloud Guard, consulte Referência de Receita do Detector.
Se você ainda não tiver feito isso, ative o Cloud Guard e configure-o para monitorar os compartimentos que contêm seus recursos. Você pode configurar destinos do Cloud Guard para examinar toda a sua tenancy (compartimento raiz e todos os subcompartimentos) ou para verificar apenas compartimentos específicos. Consulte Conceitos Básicos do Cloud Guard.
Depois de ativar o Cloud Guard, você poderá exibir e resolver problemas de segurança detectados. Consulte Processando Problemas Reportados.
Zonas de Segurança
O uso de Zonas de Segurança garante que seus recursos no serviço Compute estejam em conformidade com as melhores práticas de segurança.
Uma zona de segurança está associada a um ou mais compartimentos e a uma receita de zona de segurança. Quando você criar e atualizar recursos no compartimento de uma zona de segurança, o Oracle Cloud Infrastructure validará essas operações de acordo com a lista de políticas de zona de segurança na receita. Se qualquer política na receita for violada, a operação será negada. As políticas de zona de segurança a seguir estão disponíveis para recursos no serviço Compute.
deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zonedeny instance_in_security_zone_in_subnet_not_in_security_zonedeny instance_without_sanctioned_imagedeny boot_volume_not_in_security_zone_attach_to_instance_in_security_zonedeny boot_volume_without_vault_key
Para obter uma lista de todas as políticas de zona de segurança, consulte Políticas de Zona de Segurança.
Para mover recursos existentes para um compartimento que esteja em uma zona de segurança, os recursos devem estar em conformidade com todas as políticas de zona de segurança na receita da zona. Da mesma forma, os recursos de uma zona de segurança não podem ser movidos para um compartimento fora da zona de segurança porque ele pode ser menos seguro. Consulte Gerenciando Zonas de Segurança.
Criptografia de Dados
Crie e rotacione chaves de criptografia no serviço Vault para proteger seus recursos no serviço Compute.
Um vault é uma entidade lógica que armazena as chaves de criptografia usadas para proteger seus dados. Dependendo do modo de proteção, as chaves são armazenadas no servidor ou são armazenadas em HSMs (hardware security modules) de alta disponibilidade e durabilidade. Nossos HSMs atendem à certificação de segurança FIPS 140-2 Security Level 3. Consulte Gerenciando Vaults e Gerenciando Chaves.
Embora as chaves de criptografia padrão possam ser geradas automaticamente quando você cria determinados recursos do Oracle Cloud Infrastructure, recomendamos que você crie e gerencie suas próprias chaves de criptografia personalizadas no serviço Vault.
Por padrão, os volumes de inicialização da instância são criptografados. Ao criar uma instância, você pode usar uma chave de criptografia personalizada para criptografar os dados em repouso no volume de inicialização. Se você ativar a criptografia em trânsito para a instância, a chave personalizada também será usada para criptografia em trânsito. Consulte Criando uma Instância.
Cada chave mestra de criptografia recebe automaticamente uma versão de chave. Quando você rotaciona uma chave, o serviço Vault gera uma nova versão da chave. A rotação periódica de chaves limita o volume de dados criptografados ou assinados por uma versão de chave. Se uma chave for composta, a rotação de chave reduzirá o risco para seus dados. Consulte Gerenciando Chaves.
Recomendamos que você use políticas do IAM para limitar estritamente a criação, a rotação e a exclusão de chaves de criptografia. Consulte Detalhes do Serviço Vault.
Segurança de Rede
Acesso seguro à rede para seus recursos no serviço Compute, incluindo SSH (Secure Shell).
Proteja o SSH em todas as instâncias. A tabela a seguir mostra algumas recomendações de segurança SSH. As opções de configuração do SSH podem ser definidas no arquivo sshd_config. No Linux, esse arquivo está em /etc/ssh/sshd_config.
| Recomendação de Segurança | Configuração: sshd_config | Comentários |
|---|---|---|
| Usar somente logins de chave pública | PubkeyAuthentication yes |
Revisar periodicamente as chaves públicas SSH no arquivo ~/.ssh/authorized_keys. |
| Desativar log-ins com senhas | PasswordAuthentication no |
Reduz ataques de senha de força bruta. |
| Desativar log-ins raiz | PermitRootLogin no |
Impede privilégios raiz para log-ins remotos. |
| Alterar a porta SSH para uma porta não padrão | Port <port_number> |
Opcional. Verifique se essa alteração não interrompe aplicativos usando a porta 22 para SSH. |
Use chaves privadas SSH seguras para acessar instâncias e evitar divulgações inadvertidas. Para obter mais informações sobre a criação de um par de chaves SSH e a configuração de uma instância com as chaves, consulte Gerenciando Pares de Chaves em Instâncias do Linux.
Use listas de segurança , grupos de segurança de rede ou uma combinação de ambos para controlar o tráfego no nível do pacote dentro e fora dos recursos da sua VCN (rede virtual na nuvem) . Consulte Acesso e Segurança.
Fail2ban é um aplicativo que lista bloqueios de endereços IP envolvidos nas tentativas de acesso de força bruta (ou seja, muitas tentativas com falha de acesso a uma instância). Por padrão, Fail2ban inspeciona acessos SSH e você pode configurá-lo para inspecionar outros protocolos. Para obter mais informações sobre Fail2ban, consulte Fail2ban Página Principal.
Além de grupos de segurança de rede da VCN e listas de segurança, use firewalls baseados em hosts, como iptables e firewalld, para restringir o acesso de rede a instâncias controlando portas, protocolos e tipos de pacotes. Use esses firewalls para evitar potencial reconhecimento de ataque de segurança de rede, como varredura de porta e tentativas de invasão. Regras de firewall personalizadas podem ser configuradas, salvas e inicializadas em cada boot de instância. O exemplo a seguir mostra comandos para iptables.
# save iptables rules after configuration
sudo iptables-save > /etc/iptables/iptables.rules
# restore iptables rules on next reboot
sudo /sbin/iptables-restore < /etc/iptables.rules
# restart iptables after restore
sudo service iptables restartQuando você cria uma sub-rede em uma VCN, por padrão, a sub-rede é considerada pública e a comunicação com a internet é permitida. Use sub-redes privadas para hospedar recursos que não exigem acesso à Internet. Você também pode configurar um gateway de serviço na sua VCN para permitir que os recursos de uma sub-rede privada acessem outros serviços de nuvem. Consulte Opções de Conectividade.
O serviço Bastion fornece acesso restrito e por tempo limitado a recursos de destino que não têm pontos finais públicos. Usando um bastion, você pode permitir que usuários autorizados se conectem a recursos de destino em pontos finais privados por meio de sessões SSH (Secure Shell). Quando conectados, os usuários podem interagir com o recurso de destino usando qualquer software ou protocolo suportado pelo SSH. Consulte Gerenciando Bastions.
Use o WAF (Web Application Firewall) para criar e gerenciar regras de proteção para ameaças à internet, incluindo XSS (Cross-Site Scripting), Injeção de SQL e outras vulnerabilidades definidas pelo OWASP. Os bots indesejados podem ser mitigados enquanto os bots desejáveis podem entrar. O serviço WAF observa o tráfego para seu aplicativo Web ao longo do tempo e recomenda novas regras para você configurar. Consulte Introdução a Políticas de Borda.
Patches
Certifique-se de que seus recursos do serviço Compute estejam executando as atualizações de segurança mais recentes.
Mantenha o software da instância atualizado com patches de segurança. Recomendamos que você aplique periodicamente as atualizações de software mais recentes disponíveis às suas instâncias. As imagens do Oracle Autonomous Linux são atualizadas automaticamente com os patches mais recentes. Para imagens do Oracle Linux, você pode executar o comando sudo yum update (sudo dnf update no Oracle Linux 8). No Oracle Linux, você pode obter informações sobre patches de segurança disponíveis e instalados usando o plug-in yum-security. O exemplo a seguir fornece comandos para yum-security.
# Install yum-security plugin
yum install yum-plugin-security
# Get list of security patches without installing them
yum updateinfo list security all
# Get list of installed security patches
yum updateinfo list security allAs instâncias do Linux no Oracle Cloud Infrastructure podem usar o Oracle Ksplice para aplicar patches críticos do kernel sem reinicializar. O Ksplice pode manter versões específicas do kernel para o Oracle Linux, CentOS e Ubuntu. Para obter mais informações, consulte Oracle Ksplice.
- As portas que são deixadas em abertas acidentalmente podem ser um vetor de ataque potencial para seus recursos de nuvem ou permitir que hackers explorem outras vulnerabilidades.
- Pacotes do SO que requerem atualizações e patches para tratar vulnerabilidades
- Configurações do SO que os hackers podem explorar
Proteção
Configure seus recursos do Compute para implantações de produção.
Estabeleça uma linha de base para proteção de segurança de imagens do Linux e do Windows em execução em instâncias. Para obter mais informações sobre como reforçar a segurança das imagens do Oracle Linux, consulte Dicas para Reforçar um Oracle Linux Server. O Centro de Benchmarks de Segurança da Internet fornece um conjunto abrangente de benchmarks para reforçar a segurança do sistema operacional em relação a várias distribuições do Linux e do Windows Server.
Entropia da Instância
Em instâncias Linux, /dev/random não bloqueia e deve ser usado para aplicativos de segurança que requerem números aleatórios.
As instâncias bare metal e VM fornecem uma origem de entropia de alta qualidade e de alto throughput. As instâncias têm geradores de números aleatórios cuja saída é alimentada nos pools de entropia usados pelo sistema operacional para gerar números aleatórios.
Você pode usar os comandos a seguir para verificar o throughput e a qualidade de números aleatórios gerados por /dev/random antes de usar a saída em aplicativos.
# check sources of entropy
sudo rngd -v
# enable rngd, if not already
sudo systemctl start rngd
# verify rngd status
sudo systemctl status rngd
# verify /dev/random throughput and quality using rngtest
cat /dev/random | rngtest -c 1000Auditando
Localize logs de acesso e outros dados de segurança para instâncias de computação.
Vários eventos relacionados a segurança são capturados nos arquivos de log. Recomendamos que você revise periodicamente esses arquivos de log para detectar qualquer problema de segurança. No Oracle Linux, os arquivos de log estão na pasta /var/log. Alguns arquivos de log relevantes para a segurança são listados na tabela a seguir.
| Diretório ou Arquivo de Log | Descrição |
|---|---|
/var/log/secure
|
O log Auth mostra acessos com falha e bem-sucedidos. |
/var/log/audit
|
Logs Auditd capturando chamadas do sistema emitidas, tentativas sudo, acessos do usuário etc. ausearch e aureport são duas ferramentas usadas para consultar logs auditd. |
/var/log/yum.log
|
Lista pacotes instalados ou atualizados em instâncias com yum. |
/var/log/cloud-init.log
|
Durante a inicialização da instância, cloud-init pode executar scripts fornecidos pelo usuário como usuário privilegiado. Por exemplo, cloud-init pode introduzir chaves SSH. Recomendamos que você revise os logs do cloud-init para verificar comandos não reconhecidos. |
O serviço Audit registra automaticamente todas as chamadas de API para recursos do Oracle Cloud Infrastructure. Você pode atingir suas metas de segurança e conformidade usando o serviço Audit para monitorar todas as atividades do usuário em sua tenancy. Como todas as chamadas da Console, SDK e CLI (linha de comando) passam por nossas APIs, todas as atividades dessas origens são incluídas. Os registros de auditoria estão disponíveis por meio de uma API de consulta filtrável autenticada ou podem ser recuperados como arquivos batch do serviço Object Storage. O conteúdo do log de auditoria inclui a atividade ocorrida, o usuário que a iniciou, a data e a hora da solicitação, bem como o IP de origem, o agente do usuário e cabeçalhos HTTP da solicitação. Consulte Exibindo Eventos de Log de Auditoria.
Um log de auditoria para um evento LaunchInstance
{
"datetime": 1642192740551,
"logContent": {
"data": {
"additionalDetails": {
"X-Real-Port": 50258,
"imageId": "ocid1.image.oc1.<unique_id>",
"shape": "VM.Standard.E3.Flex",
"type": "CustomerVmi",
"volumeId": "null"
},
"availabilityDomain": "AD1",
"compartmentId": "ocid1.tenancy.oc1..<unique_id>",
"compartmentName": "mytenancy",
"definedTags": {},
"eventGroupingId": "<unique_id>",
"eventName": "LaunchInstance",
"freeformTags": {},
"identity": {
"authType": null,
"callerId": null,
"callerName": null,
"consoleSessionId": null,
"credentials": "<key>",
"ipAddress": "<ip_address>",
"principalId": "<user_id>",
"principalName": "<user_name>",
"tenantId": "ocid1.tenancy.oc1..<unique_id>",
"userAgent": "Oracle-JavaSDK/1.33.2 (Linux/4.14.35-2047.509.2.2.el7uek.x86_64; Java/1.8.0_301; Java HotSpot(TM) 64-Bit Server VM GraalVM EE 20.3.3/25.301-b09-jvmci-20.3-b18)"
},
"message": "myinstance LaunchInstance succeeded",
"request": {
"action": "POST",
"headers": {
"Accept": [
"application/json"
],
"Connection": [
"keep-alive"
],
"Date": [
"Fri, 14 Jan 2022 20:38:59 GMT"
]
},
"id": "<unique_id>",
"parameters": {},
"path": "/20160918/instances"
},
"resourceId": "ocid1.instance.oc1.phx.<unique_id>",
"response": {
"headers": {
"Connection": [
"keep-alive"
],
"Content-Type": [
"application/json"
],
"Date": [
"Fri, 14 Jan 2022 20:39:00 GMT"
],
"ETag": [
"<unique_id>"
],
"Transfer-Encoding": [
"chunked"
],
"X-Content-Type-Options": [
"nosniff"
],
"opc-request-id": [
"<unique_id>"
],
"opc-work-request-id": [
"ocid1.coreservicesworkrequest.oc1.phx.<unique_id>"
]
},
"message": null,
"payload": {},
"responseTime": "2022-01-14T20:39:00.551Z",
"status": "200"
},
"stateChange": {
"current": {
"agentConfig": {
"areAllPluginsDisabled": false,
"isManagementDisabled": false,
"isMonitoringDisabled": false
},
"availabilityConfig": {
"recoveryAction": "RESTORE_INSTANCE"
},
"availabilityDomain": "EMIr:PHX-AD-1",
"compartmentId": "ocid1.tenancy.oc1..<unique_id>",
"definedTags": {},
"displayName": "<unique_id>",
"extendedMetadata": {},
"faultDomain": "FAULT-DOMAIN-1",
"freeformTags": {},
"id": "ocid1.instance.oc1.phx.<unique_id>",
"imageId": "ocid1.image.oc1.phx.<unique_id>",
"instanceOptions": {
"areLegacyImdsEndpointsDisabled": false
},
"launchMode": "PARAVIRTUALIZED",
"launchOptions": {
"bootVolumeType": "PARAVIRTUALIZED",
"firmware": "UEFI_64",
"isConsistentVolumeNamingEnabled": true,
"isPvEncryptionInTransitEnabled": false,
"networkType": "PARAVIRTUALIZED",
"remoteDataVolumeType": "PARAVIRTUALIZED"
},
"lifecycleState": "PROVISIONING",
"region": "phx",
"shape": "VM.Standard.E3.Flex",
"shapeConfig": {
"gpus": 0,
"localDisks": 0,
"maxVnicAttachments": 2,
"memoryInGBs": 16,
"networkingBandwidthInGbps": 1,
"ocpus": 1,
"processorDescription": "2.25 GHz AMD EPYC™ 7742 (Rome)"
},
"sourceDetails": {
"imageId": "ocid1.image.oc1.phx.<unique_id>",
"sourceType": "image"
},
"systemTags": {},
"timeCreated": "2022-01-14T20:39:00.260Z"
},
"previous": {}
}
},
"dataschema": "2.0",
"id": "<unique_id> ",
"oracle": {
"compartmentid": "ocid1.tenancy.oc1..<unique_id>",
"ingestedtime": "2022-01-14T20:39:05.212Z",
"loggroupid": "_Audit",
"tenantid": "ocid1.tenancy.oc1..<unique_id>"
},
"source": "<unique_id>",
"specversion": "1.0",
"time": "2022-01-14T20:39:00.551Z",
"type": "com.oraclecloud.computeApi.LaunchInstance.begin"
}
}Se você tiver ativado o Cloud Guard em sua tenancy, ele reportará quaisquer atividades do usuário que sejam possíveis preocupações de segurança. Ao detectar um problema, o Cloud Guard sugere ações corretivas. Você também pode configurar o Cloud Guard para executar automaticamente determinadas ações. Consulte Conceitos Básicos do Cloud Guard e Processando Problemas Relatados.