Protegendo o Serviço Security Zones

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

A Oracle é responsável pelos seguintes requisitos de segurança:

• Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.
• Políticas de Segurança: a Oracle é responsável por definir políticas de zona de segurança. Essas políticas implementam controles de segurança e melhores práticas para recursos do cliente que exigem segurança máxima, como aplicativos de produção.

Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:

• Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
• Políticas de Segurança: Ative políticas de zona de segurança que se alinhem aos seus requisitos de segurança e tenha cuidado ao desativar políticas em zonas. Resolva quaisquer violações de política em seus recursos existentes para manter a conformidade.

Use esta lista de verificação para identificar as tarefas que você executa para proteger Zonas de Segurança em uma nova tenancy do Oracle Cloud Infrastructure.

Depois de se familiarizar com as Zonas de Segurança, use esta lista de verificação para identificar as tarefas de segurança que recomendamos que você execute regularmente.

Use políticas do serviço IAM para limitar o acesso administrativo às Zonas de Segurança.

Uma política de zona de segurança diferente de uma política do serviço IAM das seguintes maneiras:

• Uma política de zona de segurança é validada independentemente de qual usuário esteja executando a operação.
• Uma política de zona de segurança nega determinadas ações; ela não concede recursos.

Recomendamos que você conceda permissões DELETE a um conjunto mínimo de usuários e grupos do IAM. Esta prática minimiza a perda de dados de exclusões inadvertidas por usuários autorizados ou por agentes maliciosos. Só conceda permissões DELETE aos administradores de tenancies e compartimentos.

A prática de limitar a permissão DELETE é especialmente crítica para Zonas de Segurança. A exclusão de uma zona desativa todas as políticas de zona de segurança em recursos nos compartimentos da zona e, portanto, altera drasticamente sua postura de segurança.

Exemplo de políticas do IAM:

Allow group SecurityAdmins to manage security-zone in tenancy
Allow group SecurityAdmins to manage security-recipe in tenancy

Allow group SecurityAdmins to manage security-recipe in compartment SecurityApps

Allow group SecurityAuditors to read security-zone in compartment SecurityArtifacts
Allow group SecurityAuditors to read security-recipe in compartment SecurityArtifacts

Os tipos de recursos individuais para Zonas de Segurança são incluídos no tipo agregado cloud-guard-family. Uma política que concede permissões para cloud-guard-family também concede as mesmas permissões para Zonas de Segurança. Para obter mais informações, consulte Políticas do Cloud Guard.

Avalie e permita que as políticas de zona de segurança mantenham uma forte postura de segurança no Oracle Cloud Infrastructure.

Uma receita é um conjunto de políticas de zona de segurança que você pode designar a uma zona de segurança. Se você ativar uma política em uma receita, qualquer ação do usuário nas zonas que usam a receita e que violem a política será negada.

A Receita de Segurança Máxima ativa todas as políticas de zona de segurança disponíveis e não pode ser modificada. Designe esta receita a novas zonas de segurança para que elas tenham a postura de segurança máxima. Se necessário, você pode modificar a zona a qualquer momento e escolher uma receita personalizada que não ative todas as políticas.

Para identificar novas políticas de zona de segurança, revise periodicamente a Receita de Segurança Máxima e as Notas da Release. Para melhorar sua postura de segurança ao longo do tempo, avalie cada nova política e, se apropriado, ative a política em receitas personalizadas.

Monitore as Zonas de Segurança para ver se há violações de política. Localize logs de acesso e outros dados de segurança para Zonas de Segurança.

Depois que você cria uma zona de segurança para um compartimento, ela impede automaticamente operações, como criar ou modificar recursos, que violem as políticas da zona de segurança. No entanto, os recursos existentes que foram criados antes da zona de segurança também podem violar políticas. O serviço Security Zones se integra ao Cloud Guard para identificar violações de política nos recursos existentes. Monitore rotineiramente suas zonas de segurança para identificar e resolver quaisquer violações de política em uma zona. Consulte Gerenciando Zonas de Segurança.

O serviço Audit registra automaticamente todas as chamadas de API para recursos do Oracle Cloud Infrastructure. Você pode atingir suas metas de segurança e conformidade usando o serviço Audit para monitorar todas as atividades do usuário em sua tenancy. Como todas as chamadas da Console, SDK e CLI (linha de comando) passam por nossas APIs, todas as atividades dessas origens são incluídas. Os registros de auditoria estão disponíveis por meio de uma API de consulta filtrável autenticada ou podem ser recuperados como arquivos batch do serviço Object Storage. O conteúdo do log de auditoria inclui a atividade ocorrida, o usuário que a iniciou, a data e a hora da solicitação, bem como o IP de origem, o agente do usuário e cabeçalhos HTTP da solicitação. Consulte Exibindo Eventos de Log de Auditoria.