Saiba Mais Sobre a Ativação da Notificação de Expiração de Credencial para o OCI

É desafiador para uma equipe de Operações de Segurança (SecOps) rastrear e garantir a rotação oportuna de segredos do IAM. Essa solução de automação ajuda a melhorar a segurança, ativando a notificação de expiração antecipada das credenciais da Oracle Cloud Infrastructure (OCI).

Os segredos do OCI Identity and Access Management são credenciais como chaves de API, credenciais de banco de dados e nuvem, certificados, chaves SSH ou tokens de autenticação armazenados, acessados e distribuídos.

As melhores práticas da comunidade recomendam rotacionar segredos regularmente. Quanto mais dados você criptografar com uma chave, mais dados serão expostos se essa chave for comprometida. Quanto mais tempo você usar a chave, mais provável será que ela vaze por alguns meios. Ao rotacionar chaves, você compartimentaliza os dados, limitando o impacto de uma chave que está sendo vazada. Portanto, obter notificação antecipada é uma chave para o usuário e a equipe SecOps.

A rotação de credenciais do OCI Identity and Access Management reduz a janela de oportunidade para que uma chave de acesso associada a uma conta comprometida ou encerrada seja usada. O Oracle Cloud Guard é um serviço nativo da nuvem para monitorar a postura de segurança e acionar eventos após a expiração dos segredos do OCI Identity and Access Management. Recomendamos rotacionar credenciais do IAM a cada 90 dias.

Arquitetura

Com notificação avançada, os usuários podem rotacionar seus segredos e atualizar a carga de trabalho do aplicativo. Essa arquitetura do OCI usa o OCI Functions, um serviço de computação sem servidor, para ler dados JSON do serviço OCI Identity and Access Management.

O diagrama a seguir ilustra o workflow para enviar relatórios à equipe do SecOps e notificação por e-mail antecipada aos usuários.

Veja a seguir a descrição da credencial-expiry-notif-workflow.png
Descrição da ilustração credential-expiry-notif-workflow.png

credencial-expiry-notif-workflow-oracle.zip

O workflow tem duas seções: Equipe SecOps e Automação. Depois que a equipe SecOps conclui a configuração, os serviços OCI Functions e OCI Resource Scheduler lidam com a Automação.

  1. A equipe SecOps inicia o workflow configurando os limites, os usuários isentos e outros parâmetros para o OCI Functions. Depois que a equipe SecOps configura os parâmetros do OCI Functions, o workflow ocorre inteiramente na Automação.
  2. O OCI Scheduler envia dados para o OCI Functions.
  3. O serviço OCI Functions valida a expiração sondando a Chave de API, o Código de Autenticação e a chave secreta do Cliente e determinando se ela excede o limite.
  4. A decisão Exceder Limite determina se a expiração é um aviso, crítico ou expirado e envia isso para a próxima decisão para determinar o relatório necessário.
  5. A decisão do relatório Aceitar semanal/mensal determina o relatório.
    • Sim: Se a configuração optar por um relatório semanal ou mensal, um relatório por e-mail será enviado automaticamente para a equipe SecOps, que encerra o workflow.
    • Não: Se a configuração não incluir um relatório semanal ou mensal, a automação determinará se o usuário está isento.
  6. A decisão Isento do Usuário determina a automação:
    • Sim: Se o usuário estiver isento, a automação enviará um relatório de e-mail ao usuário. O workflow foi finalizado.
    • Não: Se o usuário não estiver isento, a automação excluirá os segredos expirados e enviará um relatório de e-mail ao usuário. O workflow foi finalizado.

Essa arquitetura suporta os seguintes componentes:

  • Serviço IAM (Identity and Access Management)

    O Oracle Cloud Infrastructure Identity and Access Management (IAM) é o plano de controle de acesso do Oracle Cloud Infrastructure (OCI) e do Oracle Cloud Applications. A API do serviço IAM e a interface do usuário permitem gerenciar domínios de identidades e os recursos dentro do domínio de identidades. Cada domínio de identidades do OCI IAM representa uma solução de gerenciamento de identidade e acesso independente ou uma população de usuários diferente.

  • Scheduler de Recursos do OCI

    O serviço Oracle Cloud Infrastructure Resource Scheduler está integrado ao serviço OCI Identity and Access Management, fornecendo autenticação fácil com a funcionalidade de identidade nativa do OCI. O OCI Resource Scheduler atua em recursos em uma tenancy ou grupo de tenancies gerenciadas de forma programada no nível do compartimento raiz.

    O serviço permite criar e gerenciar programações que executam ações em um conjunto de recursos de banco de dados e computação do OCI em sua tenancy para que seu ciclo de vida e tempos operacionais sejam gerenciados.

  • Cloud Guard

    Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas do detector que você pode definir para examinar seus recursos quanto a pontos fracos de segurança e para monitorar operadores e usuários em relação a determinadas atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e auxilia na execução dessas ações, com base nas receitas do respondedor que você pode definir.

  • Monitoring

    O serviço Oracle Cloud Infrastructure Monitoring monitora ativa e passivamente seus recursos de nuvem usando métricas para monitorar recursos e alarmes para notificá-lo quando essas métricas atenderem aos acionadores especificados pelo alarme.

  • Funções

    O Oracle Cloud Infrastructure Functions é uma plataforma Functions-as-a-Service (FaaS) totalmente gerenciada, multitenant, altamente escalável e sob demanda. Ele é alimentado pelo mecanismo de código aberto do Fn Project. O OCI Functions permite que você implante seu código e o chame diretamente ou acione-o em resposta a eventos. O OCI Functions usa contêineres do Docker hospedados no Oracle Cloud Infrastructure Registry.

  • Email Delivery

    O Oracle Cloud Infrastructure Email Delivery é um serviço de entrega de e-mail altamente escalável, econômico e confiável para enviar e-mails gerados por aplicativos de alto volume para marketing de missão crítica, notificação e comunicações transacionais, como recibos, alertas de detecção de fraude, verificação de identidade multifatorial e redefinições de senha.

Sobre Serviços e Atribuições Obrigatórios

Esta solução requer os seguintes serviços e atribuições do Oracle Cloud Infrastructure (OCI):

  • OCI Vault
  • Funções do OCI

  • Scheduler de Recursos do OCI

  • OCI Identity and Access Management
  • Monitoramento do OCI
  • Oracle Cloud Guard

Essas são as atribuições necessárias para cada serviço.

Nome do Serviço: Atribuição Obrigatório para ...
OCI Vault: Segredo gerenciar permissão.
OCI Functions: Desenvolvedor de funções com uma conta de usuário do OCI que pertence a grupos aos quais as políticas apropriadas concedem acesso a recursos relacionados a funções criar e implantar o OCI Functions.
Programador de Recursos do OCI: Programação criar e gerenciar programações.
Gerenciamento de Identidade e Acesso do OCI: Políticas criar políticas necessárias.

Consulte Produtos, Soluções e Serviços Oracle para obter o que você precisa.

Considerações sobre Segurança

Ao projetar esta solução, considere os seguintes requisitos de segurança:

Recomendado
  1. Envie ao usuário um único e-mail para todos os domínios de identidades na tenancy depois de exceder o limite de cada severidade (advertência, crítica ou expiração).
  2. Envie um relatório consolidado para SecOps, de acordo com o parâmetro configurado. Por exemplo, semanal ou mensal.
Obrigatório
  1. A automação deve excluir o segredo após a expiração, a menos que o usuário o tenha adicionado à lista isenta.
  2. Envie um relatório consolidado para SecOps para cada parâmetro configurado. Por exemplo, semanal ou mensal.
  3. Armazene a senha SMTP (Simple Mail Transfer Protocol) no Oracle Cloud Infrastructure Vault.
  4. Aceite vários parâmetros de configuração para evitar a reimplantação da solução de automação.