Documentação do Oracle Cloud Infrastructure

Controles de Segurança para CIS 1.2 Nível 1

As informações a seguir fornecem os controles de segurança do Center for Internet Security, Inc. (CIS) incluídos no OELZ v2.

Recomendação 1.1: Certifique-se de que os administradores de nível de serviço sejam criados para gerenciar recursos de um serviço específico (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: os Grupos do IAM a seguir são Network-Admins, Security-Admins, Platform-Admins, IAM-Admins e Ops-Admins criados de acordo com as políticas para gerenciar seus recursos de serviço.

Recomendação 1.2: Garantir que as permissões em todos os recursos sejam concedidas apenas ao grupo de administradores da tenancy (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: somente o Grupo de Administradores tem permissão para todos os recursos. Uma única conta break_glass_user_<number> é designada ao Grupo de Administradores.

Recomendação 1.3: O serviço IAM-Admins não pode atualizar o grupo de Administradores da tenancy (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: Administradores do IAM têm permissão para gerenciar grupos, grupos dinâmicos e políticas. Os Administradores do IAM também devem ser capazes de gerenciar usuários e permissões de grupo por meio do IDP. Eles podem usar e gerenciar suas credenciais, incluindo chaves de API e tokens de autenticação**.

Recomendação 1.4: Certifique-se de que a política de senha do IAM exija tamanho mínimo de 14 ou maior (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: Política de Senha Personalizada para Tamanho da Senha (mínimo)

Recomendação 1.5: Verifique se a política de senha do IAM expira as senhas em 365 dias (Manual)

  • Nível: 1
  • Em conformidade: Não
  • Oracle Enterprise Landing Zone: é necessária uma Política de Senha personalizada para Expira após (dias). Nenhum Terraform disponível. Precisa de uma política de senha personalizada.
    1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
    2. Selecione o domínio de identidades no qual você deseja trabalhar e clique em Definições.
    3. Clique em Política de senha.
    4. Selecione a política que você deseja modificar. Na página de detalhes da política, clique em Editar regras de senha.
    5. Clique em Custom.
    6. Edite os critérios Expira após (dias).
    7. Entrada 60 (recomendado).

Recomendação 1.6: Certifique-se de que a política de senha do IAM impeça a reutilização de senha (Manual)

  • Nível: 1
  • Em conformidade: Não
  • Oracle Enterprise Landing Zone: é necessária uma Política de Senha personalizada para Expira após (dias). Nenhum Terraform disponível. Precisa de uma política de senha personalizada.
    1. Abra o menu de navegação e clique em Identidade e Segurança. Em Identidade, clique em Domínios.
    2. Selecione o domínio de identidades no qual você deseja trabalhar e clique em Definições.
    3. Clique em Política de senha.
    4. Selecione a política que você deseja modificar. Na página de detalhes da política, clique em Editar regras de senha.
    5. Clique em Personalizado.
    6. Entrada 24 (recomendado).

Recomendação 1.7: Certifique-se de que a autenticação MFA esteja ativada para todos os usuários com uma senha da console (Automatizada)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 1.8: Certifique-se de que as chaves de API do usuário sejam alternadas em 90 dias ou menos (Automatizado)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 1.9: Garantir que as chaves secretas do cliente do usuário sejam rotacionadas no prazo de 90 dias ou menos (Automatizado)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 1.10: Garantir que os tokens de autenticação do usuário girem dentro de 90 dias ou menos (Automatizado)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 1.11: Certifique-se de que as chaves de API não sejam criadas para os usuários administradores da tenancy (Automatizado)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 1.12: Certifique-se de que todas as contas de usuário do OCI IAM tenham um endereço de e-mail válido e atual (Manual)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 1.13: Certifique-se de que Grupos Dinâmicos sejam usados para instâncias do OCI, OCI Cloud Databases e OCI Function para acessar recursos do OCI. (Manual)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 2.1: Certifique-se de que nenhuma lista de segurança permita entrada de 0.0.0.0/0 para a porta 22 (Automatizada)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a lista de segurança padrão é bloqueada e não permite entrada da porta 22

Recomendação 2.2: Certifique-se de que nenhuma lista de segurança permita entrada de 0.0.0.0/0 para a porta 3389 (Automatizada)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a lista de segurança padrão é bloqueada e não permite entrada da porta 3389

Recomendação 2.3: Certifique-se de que nenhum grupo de segurança de rede permita entrada de 0.0.0.0/0 para a porta 22 (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: nenhum grupo de segurança de rede permite entrada da porta 22

Recomendação 2.4: Certifique-se de que nenhum grupo de segurança de rede permita entrada de 0.0.0.0/0 para a porta 3389 (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: nenhum grupo de segurança de rede permite entrada da porta 3389

Recomendação 2.5: Verifique se a lista de segurança padrão de cada VCN restringe todo o tráfego, exceto ICMP (Automatizado)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: A lista de segurança padrão de cada VCN restringe todo o tráfego, com exceção do ICMP

Recomendação 2.6: Certifique-se de que o acesso ao Oracle Integration Cloud (OIC) esteja restrito às origens permitidas. (Manual)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 2.7: Certifique-se de que o acesso ao Oracle Analytics Cloud (OAC) seja restrito às origens permitidas ou implantado em uma Rede Virtual na Nuvem. (Manual)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 2.8: Certifique-se de que o acesso ao Oracle Autonomous Shared Databases (ADB) seja restrito às origens permitidas ou implantado em uma Rede Virtual na Nuvem (Manual)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 3.1: Certifique-se de que o período de retenção do log de auditoria esteja definido como 365 dias (Automatizado)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a variável de retenção do log de auditoria é definida como 365 dias

Recomendação 3.2: Certifique-se de que as tags padrão sejam usadas nos recursos (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: o Oracle Enterprise Landing Zone inclui um conjunto de tags de formato livre aplicadas a recursos criados dentro do modelo. Cada recurso recebe um valor atribuído padrão para a tag Descrição. Os valores que você define ao criar a pilha do Oracle Enterprise Landing Zone são propagados para as tags CostCenter e GeoLocation.

Recomendação 3.3: Criar pelo menos um tópico de notificação e uma assinatura para receber alertas de monitoramento (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: Notificações e assinaturas de IAM e rede para receber alertas de monitoramento por seus grupos administradores correspondentes

Recomendação 3.4: Certifique-se de que uma notificação esteja configurada para alterações do Provedor de Identidades (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação do IAM está ativada para todas as alterações do IAM, incluindo alterações do IDP

Recomendação 3.5: Certifique-se de que uma notificação esteja configurada para alterações de mapeamento de grupo IdP (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação do IAM está ativada para todas as alterações do IAM, incluindo alterações de mapeamento de grupo

Recomendação 3.6: Certifique-se de que uma notificação esteja configurada para alterações de grupo do IAM (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação do IAM está ativada para todas as alterações do IAM, incluindo alterações no grupo do IAM

Recomendação 3.7: Certifique-se de que uma notificação esteja configurada para alterações na política do IAM (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação do IAM está ativada para todas as alterações do IAM, incluindo alterações de política do IAM

Recomendação 3.8: Certifique-se de que uma notificação esteja configurada para alterações do usuário (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação do IAM está ativada para todas as alterações do IAM, incluindo quaisquer alterações do usuário

Recomendação 3.9: Verifique se uma notificação está configurada para alterações da VCN (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: A notificação de rede está ativada para todas as alterações de rede, incluindo alterações de VCN, todas as sub-redes de VCN são monitoradas

Recomendação 3.10: Verifique se uma notificação está configurada para alterações nas tabelas de roteamento (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação de rede é ativada para todas as alterações de rede, incluindo alterações em tabelas de roteamento

Recomendação 3.11: Verifique se uma notificação está configurada para alterações da lista de segurança (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação de rede é ativada para todas as alterações de rede, incluindo alterações em listas de segurança

Recomendação 3.12: Certifique-se de que uma notificação esteja configurada para alterações de grupo de segurança de rede (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação de rede é ativada para todas as alterações de rede, incluindo alterações no grupo de segurança de rede

Recomendação 3.13: Certifique-se de que uma notificação esteja configurada para alterações em gateways de rede (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: a notificação de rede é ativada para todas as alterações de rede, incluindo alterações em gateways de rede

Recomendação 3.14: Certifique-se de que o log de fluxo da VCN esteja ativado para todas as sub-redes (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: o log de fluxo da VCN está ativado para todas as sub-redes

Recomendação 3.15: Certifique-se de que o Cloud Guard esteja ativado no compartimento raiz da tenancy (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: o Cloud Guard está ativado no compartimento raiz da região home da tenancy. Observe que, para clientes de brownfield, o Cloud Guard já pode estar implantado na região home da tenancy e o Oracle Enterprise Landing Zone não precisaria reimplantar o Cloud Guard.

Recomendação 3.16: Garantir que a CMK (Customer Managed Key) criada pelo cliente seja rotacionada pelo menos anualmente (Manual)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: Responsabilidade do cliente

Recomendação 4.1.1: Certifique-se de que nenhum bucket do Object Storage esteja visível publicamente (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: A visibilidade pública está desativada para os buckets do Oracle Enterprise Landing Zone Object Storage

Recomendação 5.1: Crie pelo menos um compartimento em sua tenancy para armazenar recursos de nuvem (Manual)

  • Nível: 1
  • Em conformidade: Cliente
  • Oracle Enterprise Landing Zone: os compartimentos são criados, por exemplo, Compartimento de Rede e o grupo Administradores de Rede recebe acesso apropriado.

Recomendação 5.2: Certifique-se de que nenhum recurso seja criado no compartimento raiz (Manual)

  • Nível: 1
  • Em conformidade: Sim
  • Oracle Enterprise Landing Zone: nenhum recurso de nuvem, como instância de computação, armazenamento de volume em blocos ou serviços de rede, é criado no compartimento raiz pelas Zonas de Destino do Oracle Enterprise