Saiba Mais Sobre a Ativação da Notificação de Expiração de Credencial para o OCI
Os segredos do OCI Identity and Access Management são credenciais como chaves de API, credenciais de banco de dados e nuvem, certificados, chaves SSH ou tokens de autenticação armazenados, acessados e distribuídos.
As melhores práticas da comunidade recomendam rotacionar segredos regularmente. Quanto mais dados você criptografar com uma chave, mais dados serão expostos se essa chave for comprometida. Quanto mais tempo você usar a chave, mais provável será que ela vaze por alguns meios. Ao rotacionar chaves, você compartimentaliza os dados, limitando o impacto de uma chave que está sendo vazada. Portanto, obter notificação antecipada é uma chave para o usuário e a equipe SecOps.
A rotação de credenciais do OCI Identity and Access Management reduz a janela de oportunidade para que uma chave de acesso associada a uma conta comprometida ou encerrada seja usada. O Oracle Cloud Guard é um serviço nativo da nuvem para monitorar a postura de segurança e acionar eventos após a expiração dos segredos do OCI Identity and Access Management. Recomendamos rotacionar credenciais do IAM a cada 90 dias.
Arquitetura
Com notificação avançada, os usuários podem rotacionar seus segredos e atualizar a carga de trabalho do aplicativo. Essa arquitetura do OCI usa o OCI Functions, um serviço de computação sem servidor, para ler dados JSON do serviço OCI Identity and Access Management.
O diagrama a seguir ilustra o workflow para enviar relatórios à equipe do SecOps e notificação por e-mail antecipada aos usuários.

Descrição da ilustração credential-expiry-notif-workflow.png
credencial-expiry-notif-workflow-oracle.zip
O workflow tem duas seções: Equipe SecOps e Automação. Depois que a equipe SecOps conclui a configuração, os serviços OCI Functions e OCI Resource Scheduler lidam com a Automação.
- A equipe SecOps inicia o workflow configurando os limites, os usuários isentos e outros parâmetros para o OCI Functions. Depois que a equipe SecOps configura os parâmetros do OCI Functions, o workflow ocorre inteiramente na Automação.
- O OCI Scheduler envia dados para o OCI Functions.
- O serviço OCI Functions valida a expiração sondando a Chave de API, o Código de Autenticação e a chave secreta do Cliente e determinando se ela excede o limite.
- A decisão Exceder Limite determina se a expiração é um aviso, crítico ou expirado e envia isso para a próxima decisão para determinar o relatório necessário.
- A decisão do relatório Aceitar semanal/mensal determina o relatório.
- Sim: Se a configuração optar por um relatório semanal ou mensal, um relatório por e-mail será enviado automaticamente para a equipe SecOps, que encerra o workflow.
- Não: Se a configuração não incluir um relatório semanal ou mensal, a automação determinará se o usuário está isento.
- A decisão Isento do Usuário determina a automação:
- Sim: Se o usuário estiver isento, a automação enviará um relatório de e-mail ao usuário. O workflow foi finalizado.
- Não: Se o usuário não estiver isento, a automação excluirá os segredos expirados e enviará um relatório de e-mail ao usuário. O workflow foi finalizado.
Essa arquitetura suporta os seguintes componentes:
- Serviço IAM (Identity and Access Management)
O Oracle Cloud Infrastructure Identity and Access Management (IAM) é o plano de controle de acesso do Oracle Cloud Infrastructure (OCI) e do Oracle Cloud Applications. A API do serviço IAM e a interface do usuário permitem gerenciar domínios de identidades e os recursos dentro do domínio de identidades. Cada domínio de identidades do OCI IAM representa uma solução de gerenciamento de identidade e acesso independente ou uma população de usuários diferente.
- Scheduler de Recursos do OCI
O serviço Oracle Cloud Infrastructure Resource Scheduler está integrado ao serviço OCI Identity and Access Management, fornecendo autenticação fácil com a funcionalidade de identidade nativa do OCI. O OCI Resource Scheduler atua em recursos em uma tenancy ou grupo de tenancies gerenciadas de forma programada no nível do compartimento raiz.
O serviço permite criar e gerenciar programações que executam ações em um conjunto de recursos de banco de dados e computação do OCI em sua tenancy para que seu ciclo de vida e tempos operacionais sejam gerenciados.
- Cloud Guard
Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos quanto a pontos fracos de segurança e para monitorar operadores e usuários em relação a determinadas atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e auxilia na execução dessas ações, com base nas receitas do respondedor que você pode definir.
- Monitoring
O serviço Oracle Cloud Infrastructure Monitoring monitora ativa e passivamente seus recursos de nuvem usando métricas para monitorar recursos e alarmes para notificá-lo quando essas métricas atenderem aos acionadores especificados pelo alarme.
- Funções
O Oracle Cloud Infrastructure Functions é uma plataforma Functions-as-a-Service (FaaS) totalmente gerenciada, multitenant, altamente escalável e sob demanda. Ele é alimentado pelo mecanismo de código aberto do Fn Project. O OCI Functions permite que você implante seu código e o chame diretamente ou acione-o em resposta a eventos. O OCI Functions usa contêineres do Docker hospedados no Oracle Cloud Infrastructure Registry.
- Email Delivery
O Oracle Cloud Infrastructure Email Delivery é um serviço de entrega de e-mail altamente escalável, econômico e confiável para enviar e-mails gerados por aplicativos de alto volume para marketing de missão crítica, notificação e comunicações transacionais, como recibos, alertas de detecção de fraude, verificação de identidade multifatorial e redefinições de senha.
Sobre Serviços e Atribuições Obrigatórios
Esta solução requer os seguintes serviços e atribuições do Oracle Cloud Infrastructure (OCI):
- OCI Vault
-
Funções do OCI
-
Scheduler de Recursos do OCI
- OCI Identity and Access Management
- Monitoramento do OCI
- Oracle Cloud Guard
Essas são as atribuições necessárias para cada serviço.
Nome do Serviço: Atribuição | Obrigatório para ... |
---|---|
OCI Vault: Segredo | gerenciar permissão. |
OCI Functions: Desenvolvedor de funções com uma conta de usuário do OCI que pertence a grupos aos quais as políticas apropriadas concedem acesso a recursos relacionados a funções | criar e implantar o OCI Functions. |
Programador de Recursos do OCI: Programação | criar e gerenciar programações. |
Gerenciamento de Identidade e Acesso do OCI: Políticas | criar políticas necessárias. |
Consulte Produtos, Soluções e Serviços Oracle para obter o que você precisa.
Considerações sobre Segurança
Ao projetar esta solução, considere os seguintes requisitos de segurança:
- Envie ao usuário um único e-mail para todos os domínios de identidades na tenancy depois de exceder o limite de cada severidade (advertência, crítica ou expiração).
- Envie um relatório consolidado para SecOps, de acordo com o parâmetro configurado. Por exemplo, semanal ou mensal.
- A automação deve excluir o segredo após a expiração, a menos que o usuário o tenha adicionado à lista isenta.
- Envie um relatório consolidado para SecOps para cada parâmetro configurado. Por exemplo, semanal ou mensal.
- Armazene a senha SMTP (Simple Mail Transfer Protocol) no Oracle Cloud Infrastructure Vault.
- Aceite vários parâmetros de configuração para evitar a reimplantação da solução de automação.