Observação:

Governar o Acesso Público aos Recursos do OCI usando Perímetros de Rede e Origens de Rede do OCI IAM

Introdução

Operamos em um mundo onde precisamos ser hipervigilantes sobre nossos dados e infraestrutura. Por exemplo, mesmo os administradores de nuvem mais cuidadosos podem ser vítimas de técnicas de aquisição de contas, como ataques de phishing e escalação de privilégios. Além disso, ninguém quer configurar incorretamente a segurança de seus dados, o que resulta na exposição acidental à internet pública. Os provedores de nuvem pública, como o OCI (Oracle Cloud Infrastructure), incluem os serviços do Oracle Cloud Infrastructure Identity and Access Management (OCI IAM), que permitem aplicar camadas de segurança adicionais que podem ajudar a reduzir sua superfície de ataque e melhorar a postura de segurança de sua infraestrutura, dados e aplicativos.

O OCI IAM fornece Perímetros de Rede, que restringe o conjunto de endereços IP que podem acessar a Console do OCI. Além disso, as Origens de Rede permitem que você grave políticas que restrinjam o acesso a recursos específicos do OCI com base no endereço IP do solicitante. Neste tutorial, exploraremos os dois recursos e explicaremos como você pode ativá-los em sua tenancy do OCI.

Objetivos

Pré-requisitos

Usar Perímetros de Rede do OCI IAM

Quando um usuário tenta acessar um aplicativo protegido por um domínio de identidades do OCI IAM (que inclui a própria Console do OCI), a ação de sign-on é avaliada pela Política de Sign-On relevante para o aplicativo. Esta política consiste em uma série de regras, com condições e ações resultantes. As regras são avaliadas em ordem, até que as condições dessa regra sejam atendidas pelo contexto de conexão atual, a ação associada a essa regra é promulgada. A ação faz com que o acesso seja permitido, o acesso seja negado ou que o usuário seja solicitado a informar um fator de autenticação adicional antes que o acesso seja permitido.

Os perímetros de rede podem ser usados em conjunto com políticas de sign-on para bloquear ou permitir o acesso à Console do OCI. Para obter mais informações, consulte Perímetros de rede e Gerenciando Políticas de Sign-On.

Observação: A alteração das políticas de sign-on pode resultar em bloqueio de conta. A prioridade da regra de sign-on é extremamente importante e deve ser cuidadosamente considerada. Recomendamos ter uma sessão separada do navegador aberta, autenticada com credenciais administrativas, enquanto testamos as abordagens descritas posteriormente.

Como funcionam os perímetros de rede?

Para implementar uma lista de permissões baseada em perímetro de rede, pelo menos duas regras são necessárias.

Para configurar perímetros de rede na Console do OCI, navegue até a seção Segurança dos domínios de identidade, selecione Perímetros de Rede e adicione os endereços IP necessários. Para obter mais informações, consulte Criando um Perímetro de Rede.

create_network_perimeters

Sua tenancy pode ter uma regra de sign-on pré-implantada para impor a autenticação multifator (MFA) para acesso à Console do OCI. Para obter mais informações, consulte MFA do IAM e Implementando a autenticação multifator em domínios de identidade do OCI IAM.

Usaremos essa política para aplicar nossas regras de perímetro de rede. Opcionalmente, você pode optar por criar uma nova política de sign-on. Para obter mais informações, consulte Criando uma Política de Sign-on

Observação: por motivos de segurança, para garantir que uma conta de acesso de emergência nunca seja bloqueada em nossa tenancy, uma regra adicional pode ser criada na prioridade mais alta, que cria uma exceção especificamente para essa conta.

Para o nosso cenário, as três regras a seguir garantirão que todos os pontos discutidos acima sejam abordados.

Como alternativa à abordagem allowlist, você pode criar uma lista de bloqueios para impedir o acesso de um conjunto definido de endereços IP. Para ativar uma abordagem de lista de bloqueio, as regras de política de sign-on serão:

Usar Origens de Rede do OCI IAM

Os perímetros de rede ajudam a gerenciar as redes nas quais os usuários podem acessar a Console do OCI, enquanto as origens de rede ajudam a restringir o acesso a determinados serviços e recursos do OCI.

As origens de rede permitem que você defina um conjunto de endereços IP que podem ser referenciados pelas políticas de acesso do OCI para restringir o acesso com base no endereço IP de origem. Por exemplo, você pode restringir o acesso a um bucket do OCI Object Storage limitando o acesso apenas aos usuários conectados da sua rede corporativa.

As origens de rede suportam endereços IP públicos e endereços IP privados de redes virtuais na nuvem em sua tenancy.

Como as Origens de Rede Funcionam?

Para configurar origens de rede na Console do OCI, navegue até Identidade e Segurança, selecione Origens de Rede e crie uma nova origem de rede que especifique os endereços IP permitidos. Para obter mais informações, consulte Criando uma Origem de Rede.

Origens da Rede

Com base no seu caso de uso, crie ou modifique sua política do OCI e adicione a condição request.networkSource.name. Para obter mais informações, consulte Como as Políticas Funcionam.

Observação: Permita que o grupo CorporateUsers gerencie object-family na tenancy em que request.networkSource.name='corpnet'.

Próximas Etapas

Neste tutorial, explicamos como os perímetros de rede e as origens de rede podem ajudar a restringir o acesso aos seus recursos do OCI e ajudar a melhorar sua postura de segurança na nuvem. Para obter mais informações sobre as melhores práticas do OCI IAM, consulte Best Practices for Identity and Access Management (IAM) in Oracle Cloud Infrastructure.

Confirmações

Mais Recursos de Aprendizagem

Explore outros laboratórios em docs.oracle.com/learn ou acesse mais conteúdo de aprendizado gratuito no canal Oracle Learning YouTube. Além disso, visite education.oracle.com/learning-explorer para se tornar um Oracle Learning Explorer.

Para obter a documentação do produto, visite o Oracle Help Center.