Documentação do Oracle Cloud Infrastructure

Conceitos Básicos de Zonas de Segurança

Após criar políticas de IAM e ativar o Cloud Guard, crie uma zona de segurança para um compartimento e verifique se há violações de política da zona de segurança.

Criar Políticas do Serviço IAM

Para usar Security Zones e Cloud Guard, você deve receber o tipo necessário de acesso em uma política do IAM gravada por um administrador, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta.

Se você não for um administrador da sua tenancy, peça ao administrador para executar essas etapas.

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Zonas de Segurança, clique em Visão Geral.
  2. Na página Visão Geral, na seção Conceitos Básicos, copie a lista de instruções de política obrigatórias do IAM. 
    Allow group <group> to use cloud-guard-config in tenancy
Allow group <group> to read cloud-guard-targets in tenancy
Allow group <group> to inspect cloud-guard-problems in tenancy
Allow group <group> to manage security-zone in tenancy
  3. Abra o Menu de Navegação e clique em Identidade & Segurança. Em Identidade, clique em Políticas.
  4. Selecione o Compartimento raiz da sua tenancy.
  5. Clique em Criar Política.
  6. Informe o Nome e a Descrição da política.

    Por exemplo:

    • Nome: Política de Zonas de Segurança
    • Descrição: Ative a criação de zonas de segurança
  7. Clique em Mostrar editor manual.
  8. Cole as instruções de política na console do Security Zones.

    Substitua <group> pelo nome de um grupo existente.

  9. Clique em Criar.

Para saber mais sobre Zonas de Segurança e políticas do serviço IAM no Cloud Guard, consulte Políticas do Serviço Cloud Guard.

Ativar Cloud Guard

Ative a Cloud Guard na sua tenancy antes de criar Zonas de Segurança. Se a função Cloud Guard já estiver ativada, você poderá ignorar esta tarefa.

O Cloud Guard é um serviço Oracle Cloud Infrastructure que fornece um painel central para monitorar todos os seus recursos de nuvem para detectar pontos fracos na configuração, nas métricas e nos logs. Quando detecta um problema, ele pode sugerir, auxiliar ou executar ações corretivas, com base em sua configuração de Cloud Guard.

As Zonas de Segurança trabalham com a Cloud Guard para identificar violações da política da zona em seus recursos existentes.

A ativação do Cloud Guard envolve as seguintes tarefas:

  • Criando políticas do IAM que permitem que o Cloud Guard monitore recursos na sua tenancy
  • Escolher uma região de inscrição
  • Opcionalmente, criando destinos para os compartimentos que você deseja que o Cloud Guard monitore
  • Opcionalmente, escolher as receitas do detector para os destinos

Para ativar o Cloud Guard, você deve ter privilégios de administrador.

Observação

Não é necessário criar um destino do Cloud Guard para um compartimento antes da criação de uma zona de segurança para o mesmo compartimento. Quando você cria uma zona de segurança, um novo destino do Cloud Guard é criado automaticamente.

Consulte Conceitos Básicos do Cloud Guard para obter instruções detalhadas.

Criar uma Receita de Zona de Segurança (Opcional)

As Zonas de Segurança fornecem uma receita gerenciada pela Oracle chamada Receita de Segurança Máxima, que impõe todas as políticas de zonas de segurança disponíveis. Se quiser desativar determinadas políticas, você poderá clonar esta receita.

Antes de criar uma receita de zona de segurança personalizada, entenda as políticas de zona de segurança disponíveis.

  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Security Zones, clique em Recipes.
  2. Clique no ícone Ações da receita Receita de Segurança Máxima e selecione Clonar.
  3. Atualize Nome e Descrição para a nova receita.

    Evite digitar informações confidenciais.

  4. Selecione o Compartimento no qual deseja criar a receita.

    Você pode criar receitas de zona de segurança e zonas de segurança em compartimentos distintos.

  5. Clique em Próximo.
  6. (Opcional) Na página Políticas, marque uma caixa de verificação para ativar uma política ou desmarque uma caixa de verificação para desativar uma política.

    Você pode filtrar a lista de políticas selecionando um Tipo de política específico. Você também pode Procurar políticas por nome.

  7. Clique em Próximo.
  8. Na página Revisar, verifique o número de políticas que estão ativadas e desativadas nesta receita e clique em Criar.

    A página Detalhes da Receita é exibida.

Criar uma Zona de Segurança

Depois de concluir todas as tarefas de pré-requisito, você poderá criar uma zona de segurança para um compartimento existente.

Cuidado

Para obter o máximo de flexibilidade, evite designar uma zona de segurança ao compartimento raiz da tenancy. As zonas de segurança aplicadas ao compartimento raiz podem restringir as ações possíveis em toda uma tenancy. Embora essa configuração possa ser preferível para casos de uso específicos, ela é muito restritiva para a maioria dos usuários.
  1. Abra o menu de navegação e clique em Identidade e Segurança. Em Zonas de Segurança, clique em Visão Geral.
  2. Em Escopo da lista, selecione o compartimento que você deseja proteger com a zona de segurança.

    Selecione um compartimento que não esteja ainda associado a uma zona de segurança.

    O recurso de zona de segurança é criado no compartimento selecionado.

    Por padrão, todos os subcompartimentos recebem a mesma zona de segurança do compartimento pai.

  3. Selecione Create Security Zone.

    Se o compartimento selecionado já estiver associado à zona de segurança, esse botão ficará desativado.

  4. Selecione uma Receita da Zona de Segurança.
    • Gerenciado pela Oracle: Selecione essa opção se você não criou uma receita gerenciada pelo cliente. Esta zona usa a Receita de Segurança Máxima.
    • Gerenciada pelo Cliente: Selecione sua receita personalizada.

    Se sua receita estiver em outro compartimento, clique em Alterar Compartimento.

  5. Digite um nome e uma descrição para a zona de segurança.

    Evite revelar informações confidenciais ao nomear ou descrever zonas de segurança.

    Você não pode alterar o nome de uma zona de segurança depois de criá-la.

  6. Selecione Create Security Zone.

    Se o compartimento selecionado já estiver associado à zona de segurança, esse botão ficará desativado.

Quando você cria uma zona de segurança para um compartimento, o Cloud Guard conclui as seguintes tarefas:
  • Exclui qualquer destino do Cloud Guard existente para o compartimento e para qualquer compartimento filho
  • Cria um destino de zona de segurança para o compartimento
  • Adiciona as receitas padrão do detector gerenciadas pela Oracle ao alvo da zona de segurança

Se você criar uma zona da segurança para um subcompartimento cujo compartimento pai já esteja em uma zona da segurança, o Cloud Guard criará um destino da zona da segurança separado para o subcompartimento. Nenhuma alteração é feita no destino existente para o compartimento principal.

Exibir Violações de Política da Zona de Segurança

Se o compartimento da sua zona de segurança tiver recursos existentes, você poderá identificar quaisquer recursos que violem as políticas da zona de segurança e tomar medidas corretivas.

O Cloud Guard verifica rotineiramente se há violações de política nos recursos em suas Zonas de Segurança. Cada violação de política é registrada como um problema no Cloud Guard. Para uma nova região de segurança, pode levar até três horas até que as violações sejam detectadas.

  1. Na página Visão Geral, clique na sua nova zona de segurança.
    A página Detalhes da Zona de Segurança é exibida.
  2. Na página de detalhes em Compartimentos associados, expanda o compartimento atual para mostrar qualquer subcompartimento que também esteja na zona da segurança.
  3. Se o compartimento ou qualquer subcompartimento tiver qualquer Violação de política, selecione Exibir detalhes no Cloud Guard.

    A página Problemas no Cloud Guard é aberta e exibe problemas detectados somente nessa zona de segurança.

  4. Selecione um problema para exibir os seguintes detalhes:
    • Uma descrição da política da zona de segurança
    • O nome e a localização do recurso que está violando a política
    • O nível de risco relativo da violação da política (Crítico, Maior, Menor e assim por diante)
    • As ações recomendadas a serem executadas para corrigir o problema

Consulte Políticas de Zona de Segurança para obter descrições de todas as políticas disponíveis.

Próximas Etapas

Após habilitar o Cloud Guard e criar sua primeira zona, você poderá testar a zona, personalizar a zona ou criar outras zonas.

Tarefa Mais Informações
Testar uma zona tentando violar uma das políticas da zona

Escolha uma política de zona de segurança que esteja ativada na receita da zona.

Por exemplo, verifique se você não pode criar uma sub-rede pública ou um bucket público do serviço Object Storage. Consulte Políticas de Zona de Segurança.
Criar uma zona separada em um subcompartimento Criando uma Zona de Segurança
Remover um subcompartimento da zona Removendo um Subcompartimento de uma Zona de Segurança
Excluir uma zona Excluindo uma Zona de Segurança
Personalizar as receitas de detector do Cloud Guard em um destino de zona de segurança Personalizando a Configuração do Cloud Guard
Verifique se há outros problemas de segurança detectados pelo Cloud Guard Processando os Problemas Relatados
Crie políticas do IAM para que outros grupos possam gerenciar zonas de segurança Políticas do Cloud Guard

Se você não conseguir criar ou testar uma zona de segurança com sucesso, consulte Diagnosticando e Solucionando Problemas de Zonas de Segurança.