Segurança
À medida que as empresas continuam a adotar tecnologias de nuvem, a segurança tornou-se uma consideração crítica para organizações de todos os tamanhos. Com o surgimento de ameaças cibernéticas e violações de dados, as organizações precisam garantir que a infraestrutura de nuvem seja segura e atenda aos requisitos de conformidade. A Oracle Cloud Infrastructure (OCI) fornece uma variedade de ferramentas e serviços de segurança para ajudar você a proteger seus ativos e manter a conformidade regulatória.
Use as melhores práticas a seguir para ajudar a garantir que sua infraestrutura de nuvem seja segura, confiável e compatível.
Serviço Identity and Access Management
No cenário digital em constante evolução, a segurança é de suma importância. À medida que as organizações avançam para a computação em nuvem, torna-se imperativo ter uma estrutura de segurança robusta em vigor. A OCI fornece um conjunto abrangente de ferramentas e serviços para garantir a segurança de seus dados e aplicativos. Um dos aspectos fundamentais da oferta de segurança da OCI é o Identity and Access Management (IAM).
O IAM é a espinha dorsal da arquitetura de segurança da OCI, fornecendo aos administradores a capacidade de gerenciar o acesso do usuário e as permissões aos recursos dentro da OCI. Ele permite controlar quem tem acesso ao quê, garantindo que apenas usuários autorizados possam acessar recursos críticos. O IAM fornece uma plataforma centralizada para gerenciar o acesso aos recursos da OCI, como serviços de computação, armazenamento e rede.
Para garantir a segurança dos seus sistemas, implemente as melhores práticas do IAM, como acesso de privilégio mínimo e autenticação multifator. O acesso com privilégio mínimo garante que os usuários recebam apenas o nível mínimo de acesso necessário para executar funções de job, reduzindo o risco de acesso não autorizado a recursos confidenciais. A autenticação multifator adiciona uma camada adicional de segurança exigindo que os usuários forneçam mais de uma forma de autenticação, como uma senha e um token.
Além do IAM, a OCI fornece outras ferramentas e serviços de segurança, como o Cloud Guard, que fornece monitoramento contínuo e correção automatizada para ameaças de segurança. O Just in Time Access (JIT) permite acesso temporário e limitado por tempo aos recursos somente quando necessário, reduzindo a superfície de ataque. As ferramentas de segurança de rede, como Listas de Segurança, Grupos de Segurança de Rede (NSGs) e Filtragem de Rede de Sub-rede, permitem que você controle o fluxo de tráfego na sua rede.
Para garantir a conformidade com os regulamentos do setor e os requisitos de soberania de dados, a OCI fornece recursos como Controles de Residência de Dados e a capacidade de escolher a localização geográfica em que os dados são armazenados. A integração SIEM da OCI permite centralizar logs de segurança e analisá-los para incidentes de segurança, enquanto a Detecção e Prevenção de Invasões (IDP) fornece monitoramento em tempo real para atividades maliciosas. A inspeção SSL permite que o tráfego criptografado seja inspecionado quanto a conteúdo malicioso, enquanto a Inspeção de Tráfego de Sub-rede Inter-VCN e a Inspeção de Tráfego Inter-VCN fornecem controle granular sobre o fluxo de tráfego entre VCNs.
Cloud Guard
O Cloud Guard da OCI é uma ferramenta de segurança essencial que fornece detecção contínua de ameaças e correção automatizada para proteger sua infraestrutura de nuvem. Ele foi projetado para monitorar seus recursos da OCI quanto a ameaças de segurança em tempo real e notificar os administradores sobre possíveis riscos. O Cloud Guard vem com políticas predefinidas que permitem ações de correção automatizadas, como desativar chaves de acesso ou encerrar instâncias quando ocorre uma violação de política.
Por exemplo, suponha que você tenha configurado uma política para monitorar seus grupos de segurança de rede e detectar quaisquer alterações feitas no grupo. Nesse caso, o Cloud Guard monitora continuamente o grupo de segurança em busca de alterações e notifica você se houver alguma violação de política. Você pode identificar alterações não autorizadas em seu grupo de segurança, como adicionar novas regras, e tomar medidas corretivas para evitar violações de segurança.
O Cloud Guard se integra às plataformas SIEM, permitindo exportar eventos e logs de segurança para plataformas de terceiros para maior visibilidade e recursos de detecção de ameaças. Ao aproveitar a integração do SIEM com o Cloud Guard, você pode centralizar eventos de segurança e gerenciá-los com mais eficiência, fornecendo insights de segurança abrangentes sobre seus recursos da OCI.
Acesso Just in Time
O OCI fornece Acesso Just-in-Time (JIT) que permite aos administradores conceder acesso temporário a recursos específicos no ambiente de nuvem. Isso adiciona uma camada adicional de segurança para reduzir o risco de acesso não autorizado a recursos, limitando a duração do acesso. O Acesso ao JIT pode ser usado com o Identity and Access Management (IAM) e o Least Privilege Access para aprimorar ainda mais a segurança da sua infraestrutura de nuvem.
Por exemplo, um administrador pode configurar o acesso JIT para um desenvolvedor que requer acesso temporário a uma instância para fins de solução de problemas. O administrador pode especificar a duração do acesso, a função do usuário e as permissões necessárias para acessar a instância. Quando a duração especificada expira, o acesso do usuário à instância é revogado automaticamente, reduzindo o risco de acesso não autorizado.
O acesso ao JIT pode ser configurado usando a console, a CLI ou a API REST do OCI.
Ponto de Acesso de Teste Virtual
O VTAP (Virtual Test Access Point) é um recurso de segurança oferecido pela OCI que fornece captura de pacotes para tráfego de rede e coleta dados para análise de rede. Com o VTAP, os administradores de rede podem detectar e prevenir ameaças de segurança capturando o tráfego de rede para revisão e análise.
A captura de pacotes é o processo de captura de tráfego de rede para revisão e análise, o que é essencial para detectar ameaças à segurança. Com o VTAP, a OCI fornece um serviço nativo para captura e análise completas da rede, ajudando a melhorar a segurança do seu ambiente de nuvem.
No OCI, o VTAP de origem captura o tráfego com base em um filtro de captura, o encapsula com o protocolo VXLAN e o espelha no destino designado. Isso permite o monitoramento e a análise em tempo real do tráfego espelhado usando ferramentas de análise de tráfego padrão. Além disso, os administradores podem armazenar o tráfego para uma análise forense mais abrangente em uma data posterior.
O VTAP pode espelhar o tráfego de várias origens, incluindo uma única VNIC de instância de computação em uma sub-rede, um balanceador de carga como serviço (LBaaS), um banco de dados do OCI, um cluster de VMs do Exadata e um Autonomous Data Warehouse por meio de um ponto final privado.
Listas de Segurança e Grupos de Segurança de Rede
Listas de Segurança e Grupos de Segurança de Rede (NSGs) são componentes críticos da oferta de segurança de rede da OCI. As Listas de Segurança fornecem uma maneira fácil para os administradores criarem listas de endereços IP e aplicá-las a recursos específicos. Isso permite restringir o tráfego de rede de/para esses recursos. Por exemplo, um administrador pode criar uma Lista de Segurança que só permita que o tráfego de uma faixa de IPs específica acesse um aplicativo Web hospedado no OCI.
Os NSGs permitem que os administradores definam regras que regulam o tráfego de rede entre recursos. Isso permite que eles controlem quais recursos podem se comunicar entre si e os tipos de tráfego permitidos. Por exemplo, um administrador pode criar uma regra NSG que só permita tráfego SSH de uma faixa de IPs específica para uma instância de computação no OCI.
Usando Listas de Segurança e NSGs, os administradores podem reduzir significativamente o risco de acesso não autorizado aos seus recursos. Eles fornecem controle granular sobre o tráfego de rede e permitem que os administradores apliquem o princípio do privilégio mínimo, que é uma prática recomendada de segurança fundamental.
Filtragem de Rede de Sub-rede e Firewalls
A OCI fornece recursos de segurança de rede para proteger seus recursos contra ameaças externas e acesso não autorizado. Os recursos de Filtragem de Rede de Sub-rede e Firewalls funcionam juntos para fornecer um ambiente de rede seguro.
A Filtragem de Rede de Sub-rede é uma ferramenta que permite aos administradores filtrar o tráfego de rede com base em endereços ou portas IP. Ele permite que você crie regras de controle de acesso para suas sub-redes, que podem ser usadas para bloquear ou permitir tráfego com base em critérios específicos. Ao filtrar o tráfego no nível da sub-rede, você pode reduzir o risco de acesso não autorizado e proteger contra ameaças externas.
Os firewalls são outro recurso de segurança oferecido pelo OCI que permite criar regras para bloquear ou permitir tráfego de rede específico. Com o OCI, você pode criar regras de firewall para controlar o acesso aos seus recursos com base no endereço IP de origem, endereço IP de destino, protocolo e número da porta. Ao criar regras de firewall específicas, você pode melhorar ainda mais a segurança da sua rede e reduzir o risco de acesso não autorizado aos seus recursos.
Por exemplo, você pode usar a Filtragem de Rede de Sub-rede para bloquear todo o tráfego de uma faixa de endereços IP específica e, em seguida, usar Firewalls para permitir o tráfego apenas de endereços IP ou portas específicas. Essa abordagem em camadas para a segurança da rede pode reduzir significativamente o risco de acesso não autorizado e proteger seus recursos contra ameaças externas.
Gateway
Gateway de Internet, Gateway NAT e Gateway de Serviço são recursos de rede fornecidos pela OCI que desempenham um papel crítico na manutenção de uma infraestrutura de rede segura e robusta.
O Gateway de Internet é um serviço que fornece acesso à internet pública de dentro da sua rede virtual na nuvem (VCN). Um Gateway de Internet permite o tráfego entre instâncias na sua VCN e na internet, permitindo que você hospede sites, execute aplicativos que exigem acesso à internet e se conecte a outros serviços de nuvem.
Com a conveniência do Gateway de Internet vem o aumento dos riscos de segurança. Tráfego indesejado e possíveis ataques podem vir através da internet. É essencial proteger a comunicação e os dados compartilhados por esse gateway. O uso de protocolos de criptografia SSL/TLS é a melhor abordagem para isso.
O Gateway NAT permite que instâncias privadas na sua VCN acessem a internet, mantendo uma postura segura. O Gateway NAT fornece conectividade de internet de saída para instâncias privadas que não têm endereços IP públicos designados a elas. Ele atua como um gatekeeper entre a internet e a sua VCN, traduzindo endereços IP privados para um endereço IP público. O Gateway NAT fornece uma maneira segura e controlada de acessar a internet sem expor a rede interna a ameaças externas.
O Service Gateway permite o acesso aos serviços do OCI por meio de infraestrutura local ou outros provedores de nuvem. Ele fornece uma conexão segura entre sua VCN e outros serviços de nuvem ou infraestrutura on-premises sem exigir um gateway de internet. O Gateway de Serviço é uma alternativa às conexões baseadas na Internet e oferece uma maneira segura e privada de se conectar a outros provedores de nuvem ou infraestrutura on-premises.
Gateway de Internet, Gateway NAT e Gateway de Serviço são recursos de rede essenciais da OCI que permitem conectividade com a internet e outros provedores de nuvem, mantendo uma postura segura. É importante garantir que medidas de segurança adequadas estejam em vigor, como criptografia SSL/TLS, para evitar o acesso não autorizado e proteger seus dados.
Acesso Privado
O Acesso Privado permite uma comunicação segura entre recursos dentro de uma rede virtual na nuvem (VCN) ou de redes on-premises sem atravessar a internet. Isso ajuda a manter um alto nível de segurança e controle sobre seu ambiente de nuvem.
O Acesso Privado ajuda a manter a segurança, impedindo o acesso não autorizado a recursos da Internet. Isso reduz o risco de ataques cibernéticos e violações de dados. O Acesso Privado também garante que o tráfego de rede permaneça dentro da rede da organização e não seja exposto à internet pública.
Por exemplo, você pode ter uma instância de banco de dados em uma sub-rede privada que só deve ser acessível por instâncias específicas dentro da mesma VCN ou rede local. Ao usar o Acesso Privado, você pode garantir que o banco de dados não seja exposto à internet pública e que somente usuários e aplicativos autorizados possam acessá-lo.
Além disso, o Acesso Privado pode ajudá-lo a cumprir os regulamentos que exigem que os dados sejam armazenados e transmitidos com segurança, como o Regulamento Geral de Proteção de Dados (GDPR) e a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA).
API Gateway
O serviço API Gateway é fornecido pela OCI e desempenha um papel crucial na manutenção da postura de segurança de uma organização. Ele permite publicar APIs com pontos finais privados que podem ser acessados de dentro da sua rede, reduzindo a necessidade de tráfego na internet. Esse acesso privado às APIs ajuda a proteger contra acesso não autorizado e possíveis violações de segurança.
O serviço API Gateway também oferece uma variedade de recursos de segurança, como validação de API, transformação de solicitação e resposta, Cross-Origin Resource Sharing (CORS), autenticação e autorização e limitação de solicitação. Esses recursos ajudam a proteger os pontos finais da API, garantindo que somente usuários e dispositivos autorizados possam acessá-los. O API Gateway fornece autenticação fácil com a funcionalidade nativa do OCI Identity and Access Management (IAM), que permite aos administradores gerenciar o acesso do usuário e as permissões aos recursos no OCI.
Usando o serviço API Gateway, você pode criar um ou mais gateways de API em uma sub-rede regional para processar o tráfego de clientes de API e roteá-lo para serviços de back-end. Esse serviço pode vincular vários serviços de back-end, como balanceadores de carga, instâncias de computação e OCI Functions, em um único ponto final de API consolidado, facilitando o gerenciamento e a segurança.
Por exemplo, você pode usar o serviço API Gateway para expor com segurança uma API RESTful que permite que seus clientes acessem determinados dados e serviços, como informações de conta, de dispositivos móveis. O Gateway de API pode ser configurado para garantir que apenas usuários autorizados possam acessar os dados e serviços, além de validar e transformar os dados para garantir que eles atendam aos padrões necessários.
Confiança Zero
A OCI suporta uma abordagem de segurança Zero Trust que pressupõe que todo o tráfego de rede não é confiável, independentemente da origem. O acesso a recursos só é concedido a usuários autorizados com base na necessidade de conhecimento e com as permissões apropriadas. Essa abordagem envolve verificar continuamente a identidade e a postura de segurança de dispositivos e usuários antes de conceder acesso a recursos.
Por exemplo, o serviço IAM (Identity and Access Management) do OCI permite impor políticas de controle de acesso de privilégio mínimo, implementar autenticação multifator (MFA) e monitorar o acesso a recursos em tempo real. Além disso, o uso de VPN e opções de acesso privado, como FastConnect e VPN Connect, ajudam a proteger o tráfego de rede e fornecem uma camada adicional de proteção contra acesso não autorizado.
As integrações da OCI com parceiros de segurança, como CrowdStrike e Check Point, também aumentam a segurança fornecendo recursos de detecção e resposta a ameaças.
Detecção e prevenção de intrusões e inspeção SSL
A OCI fornece vários recursos de segurança para proteção contra ameaças de rede, incluindo IDP (Intrusion Detection and Prevention) e Inspeção SSL. Com o IDP, os administradores podem monitorar o tráfego de rede em tempo real e receber alertas quando atividades suspeitas são detectadas. Além disso, o IDP pode agir automaticamente para evitar que ameaças identificadas causem danos. A Inspeção SSL permite que os administradores inspecionem o tráfego criptografado para garantir que ele não esteja sendo usado para distribuir malware ou outros conteúdos maliciosos. Esses recursos ajudam a manter a postura de segurança dos ambientes de nuvem, fornecendo camadas adicionais de proteção contra possíveis ameaças.
Por exemplo, você pode configurar o IDP para detectar e impedir ataques de força bruta em seus recursos de nuvem, enquanto também usa a Inspeção SSL para monitorar o tráfego criptografado que flui de e para bancos de dados confidenciais.
Inspeção de Tráfego de Sub-rede Inter-VCN e Inspeção de Tráfego Inter-VCN
O OCI fornece dois recursos de segurança avançados, Inspeção de Tráfego de Sub-rede Inter-VCN e Inspeção de Tráfego Inter-VCN, que permitem aos administradores monitorar e inspecionar o tráfego entre Redes Virtuais na Nuvem (VCNs). A Inspeção de Tráfego de Sub-rede Inter VCN permite o monitoramento e a inspeção do tráfego entre sub-redes dentro da mesma VCN, enquanto a Inspeção de Tráfego Inter VCN fornece o mesmo recurso para o tráfego que atravessa entre VCNs. Esses recursos fornecem visibilidade profunda dos fluxos de tráfego de rede, permitindo que você identifique ameaças potenciais e tome medidas para evitá-las. Ao detectar e bloquear tentativas de acesso não autorizado, a Inspeção de Tráfego entre VCN e a Inspeção de Tráfego entre Sub-redes entre VCN podem ajudar a manter a postura de segurança do seu ambiente de nuvem.
Por exemplo, você pode ter várias VCNs no ambiente do OCI, cada uma contendo diferentes recursos e aplicativos. Usando a Inspeção de Tráfego Entre VCN, você pode garantir que o tráfego entre essas VCNs seja inspecionado e que qualquer atividade maliciosa seja detectada e impedida.
Esse recurso pode ser particularmente valioso nos casos em que uma VCN contém dados confidenciais ou aplicativos que exigem medidas de segurança adicionais para protegê-los contra acesso não autorizado.
Residência e Soberania de Dados
Residência e soberania de dados é essencial para a segurança das empresas que operam em vários países. Os regulamentos sobre privacidade e proteção de dados podem variar de uma região para outra, e é crucial cumpri-los para manter a segurança dos dados confidenciais. A OCI fornece opções de residência de dados que permitem armazenar seus dados em regiões ou países específicos para atender aos requisitos regulatórios. Isso garante que você possa cumprir as leis locais de proteção de dados e reduzir o risco de violações de dados ou acesso não autorizado devido à não conformidade. Além disso, as opções de residência de dados da OCI são respaldadas por controles de segurança robustos, como criptografia em repouso e em trânsito, controles de acesso e recursos de segurança de rede, para fornecer um ambiente seguro para armazenar e processar dados.
Controle de Log e Detecção
O Logging and Detection Control é uma importante ferramenta de segurança que permite aos administradores monitorar e gerenciar logs com eficiência na OCI para fins de conformidade. Com esse recurso, você pode rastrear e analisar a atividade do usuário, incluindo alterações nas configurações, tentativas de autenticação e autorização e tráfego de rede, fornecendo uma visão abrangente da postura de segurança geral do sistema.
O recurso Logging e Detection Control da OCI inclui políticas de registro em log pré-configuradas que permitem identificar e responder rapidamente a possíveis ameaças à segurança. Você pode personalizar essas políticas para atender aos seus requisitos e ativar alertas automáticos para eventos de alto risco. Os logs gerados pelo Logging and Detection Control podem ser integrados a sistemas SIEM (Security Information and Event Management) de terceiros para fornecer uma análise de segurança ainda mais abrangente.
Por exemplo, o Controle de Log e Detecção da OCI pode ser usado para monitorar e detectar ameaças em vários recursos, como instâncias de computação, balanceadores de carga e bancos de dados. No caso de um incidente de segurança potencial, você pode responder rapidamente à ameaça e tomar as medidas apropriadas, como revogar o acesso ou alterar as configurações, para manter a segurança do sistema.
Responsabilidade Compartilhada
A segurança na nuvem é um modelo de responsabilidade compartilhada em que o provedor de serviços em nuvem e o cliente têm uma função em garantir a segurança dos recursos. O provedor de serviços em nuvem é responsável pela segurança da infraestrutura de nuvem subjacente, enquanto o cliente é responsável por proteger seus aplicativos e dados que eles implementam na nuvem.
Por exemplo, na OCI, a Oracle é responsável pela segurança física dos data centers, pela segurança da rede e pela disponibilidade da infraestrutura. Você é responsável por proteger seus aplicativos em nuvem, máquinas virtuais e dados. Certifique-se de ter configurado adequadamente grupos de segurança e regras de segurança de rede para evitar acesso não autorizado.
Criptografia em Trânsito e Rest
A OCI fornece ferramentas e serviços essenciais, como criptografia SSL/TLS e Oracle Key Management, para garantir a criptografia em trânsito e em repouso, que são elementos vitais de uma estratégia de segurança abrangente. A criptografia ajuda a proteger dados confidenciais contra acesso não autorizado e mantém a confidencialidade e a integridade dos dados durante a transmissão e durante o repouso.
Por exemplo, você pode usar a criptografia SSL/TLS para proteger o tráfego de rede entre seus clientes e serviços, garantindo que os dados trocados entre eles sejam criptografados e seguros.
Da mesma forma, o Oracle Key Management fornece uma solução de gerenciamento de chaves segura e centralizada que permite gerenciar e proteger as chaves de criptografia usadas para proteger seus dados na OCI.
Autenticação Multifator
A autenticação multifator (MFA) é uma prática de segurança que exige que os usuários forneçam duas ou mais formas de autenticação para que possam acessar um sistema ou aplicativo. Isso ajuda a impedir o acesso não autorizado a dados e recursos confidenciais, mesmo que a senha de um usuário seja comprometida. A MFA é uma parte importante de qualquer estratégia de segurança, especialmente na nuvem, onde dados e aplicativos geralmente são acessados de locais remotos.
A OCI fornece a MFA como um recurso para você aprimorar sua postura de segurança. Com a MFA, os usuários precisam fornecer uma segunda forma de autenticação, como uma senha única ou informações biométricas, além de nome de usuário e senha. Isso significa que mesmo que a senha de um usuário seja roubada ou adivinhada, um invasor ainda precisará ter acesso ao telefone do usuário ou a outro dispositivo físico para obter acesso à sua conta.
Além de melhorar a segurança, a MFA também pode ajudá-lo a cumprir os regulamentos e padrões do setor. Por exemplo, o PCI DSS (Payment Card Industry Data Security Standard) requer MFA para todo o acesso remoto aos dados do titular do cartão. Ao implementar a MFA em seu ambiente de nuvem, você pode ajudar a atender a esses requisitos e evitar possíveis multas ou outras penalidades.