Documentação do Oracle Cloud Infrastructure

Protegendo o Serviço Java Management

Este tópico fornece informações de segurança e recomendações para o Java Management Service.

O Java Management Service (JMS) monitora implantações Java em instâncias e instâncias do Oracle Cloud Infrastructure (OCI) executadas em data centers de clientes. Ele permite que você observe e gerencie o uso do Java na sua empresa.

Responsabilidades de Segurança

Para usar o JMS com segurança, saiba mais sobre suas responsabilidades de segurança e conformidade.

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

A Oracle é responsável pelos seguintes requisitos de segurança:

  • Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.
  • Criptografia de Dados: A Oracle usa criptografia padrão do Oracle Cloud Infrastructure para todos os dados armazenados em repouso no JMS. Nenhuma configuração adicional é necessária.

    Os usuários JMS não usam chaves de criptografia diretamente. Internamente, o JMS armazena dados em um banco de dados autônomo, que usa o Oracle Cloud Infrastructure Vault para armazenar chaves de criptografia com segurança. A Oracle gerencia e protege esses recursos.

  • Durabilidade de Dados: A Oracle configura o serviço JMS para backups diários. Nenhuma configuração de backup adicional é necessária.

Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:

  • Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
  • Segurança do Agente:
    • Instale o agente na instância com o privilégio mínimo. Não instale-o como root.
    • Obtenha uma chave de instalação. Verifique a expiração da chave e o número de instâncias de instalação.
    • Exclua a chave depois que o agente for instalado com sucesso.
    • Verifique se as portas ou o proxy estão configurados corretamente para permitir apenas a conexão do agente com o OCI.
    • Configure o agente para verificar apenas os diretórios desejados e com a frequência desejada.

Tarefas de Segurança de Rotina

Depois de se familiarizar com o JMS, use esta lista de verificação para identificar as tarefas de segurança que recomendamos que você execute regularmente.

Tarefa Mais Informações
Mantenha o agente atualizado Patches
Execute uma auditoria de segurança Auditando

Políticas do Serviço IAM

Use políticas para limitar o acesso ao JMS.

Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.

Designe a um grupo o mínimo de privilégios necessários para executar suas responsabilidades. Cada política tem um verbo que descreve quais ações o grupo tem permissão para executar. Do menor acesso ao máximo, os verbos disponíveis são: inspect, read, use e manage.

Permitir que um Grupo Gerencie Frotas em um Compartimento

Crie políticas para permitir que o grupo FLEET_MANAGERS gerencie frotas no compartimento Fleet_Compartment.

ALLOW GROUP FLEET_MANAGERS TO MANAGE fleet IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE management-agent-install-keys IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO READ METRICS IN COMPARTMENT Fleet_Compartment
ALLOW GROUP FLEET_MANAGERS TO MANAGE tag-namespaces IN TENANCY
Permitir que Instâncias em um Grupo Dinâmico Gerenciem Agentes em um Compartimento

Crie políticas para permitir que o grupo dinâmico JMS_DYNAMIC_GROUP implante e use agentes no serviço Management Agent no compartimento Fleet_Compartment.

ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO MANAGE management-agents IN COMPARTMENT Fleet_Compartment
ALLOW DYNAMIC-GROUP JMS_DYNAMIC_GROUP TO USE tag-namespaces IN TENANCY
Allow service javamanagementservice to manage metrics IN COMPARTMENT Fleet_Compartment where target.metrics.namespace='java_management_service'

Para obter mais informações sobre a implantação de agentes de gerenciamento, consulte Executar Pré-requisitos para a Implantação de Agentes de Gerenciamento.

Para obter mais informações sobre políticas JMS, consulte Detalhes do Java Management Service.

Patches

Certifique-se de que seus recursos JMS estejam executando as atualizações de segurança mais recentes.

Se você tiver desativado o recurso de upgrade automático do Management Agent, deverá verificar manualmente se há atualizações no agente e no plug-in JMS. Consulte Atualizar Management Agents.

Auditando

Localize logs de acesso e outros dados de segurança para JMS.

O serviço Audit registra automaticamente todas as chamadas de API para recursos do Oracle Cloud Infrastructure. Você pode atingir suas metas de segurança e conformidade usando o serviço Audit para monitorar todas as atividades do usuário em sua tenancy. Como todas as chamadas da Console, SDK e CLI (linha de comando) passam por nossas APIs, todas as atividades dessas origens são incluídas. Os registros de auditoria estão disponíveis por meio de uma API de consulta filtrável autenticada ou podem ser recuperados como arquivos batch do serviço Object Storage. O conteúdo do log de auditoria inclui a atividade ocorrida, o usuário que a iniciou, a data e a hora da solicitação, bem como o IP de origem, o agente do usuário e cabeçalhos HTTP da solicitação. Consulte Exibindo Eventos de Log de Auditoria.