Garantir o Acesso Seguro à Rede
Adote as melhores práticas a seguir para proteger suas redes virtuais na nuvem, sub-redes, balanceadores de carga e outros recursos de rede.
Implementar Controles de Acesso à Rede
Arquiteto Empresarial, Arquiteto de Segurança, Arquiteto de Rede
- Defina políticas de IAM apropriadas para limitar o acesso a recursos de rede apenas aos usuários e grupos que têm permissão para gerenciar recursos de rede.
- Formule uma estratégia de sub-rede em camadas para a VCN:
- Sub-rede DMZ para balanceadores de carga.
- Sub-redes públicas para hosts acessíveis externamente, como servidores de aplicativos web e instâncias que executam sistemas de detecção de intrusão (IDS).
- Sub-redes privadas para hosts internos, como bancos de dados.
- As instâncias de computação anexadas a uma sub-rede privada só podem ter endereços IP privados.
- Anexe hosts sensíveis à segurança (sistemas de BD, por exemplo) a sub-redes privadas. Para conectividade desses hosts com a internet, use um gateway NAT. Para permitir que os hosts acessem outros serviços do Oracle Cloud Infrastructure, use um gateway de serviço.
- Os grupos de segurança de rede fornecem controle detalhado do tráfego que flui entre vNICs controlado pelo grupo de segurança de rede.
- As listas de segurança controlam o tráfego que pode fluir para dentro, dentro e fora das sub-redes. Certifique-se de modificar ou desanexar a lista de segurança padrão para impedir o tráfego SSH do endereço IP 0.0.0.0/0.
- Configure listas de segurança com o mínimo de portas necessárias.
- Use grupos de segurança de rede para controlar o acesso aos seus recursos em sub-redes privadas e públicas:
- Permita apenas fluxos de rede necessários para uma carga de trabalho criando grupos de segurança para cada camada do aplicativo.
- Não permita tráfego lateral desnecessário dentro ou entre camadas de aplicativos.
- Não permita que as camadas de aplicativos se comuniquem com outras camadas, a menos que seja necessário.
- Use regras de segurança granulares para regular a comunicação dentro da VCN, com a Internet, com outras VCNs conectadas por meio de gateways de pareamento e com hosts locais.
- Para configurar um sistema de detecção de intrusão e verificar todo o tráfego de saída, use o recurso de tabela de roteamento da VCN.
- Os Logs de Fluxo da Sub-rede da VCN registram o tráfego que flui dentro de uma VCN. Ative os Logs de Fluxo da Sub-rede da VCN e monitore regularmente seu conteúdo.
- Ao usar mais de uma VCN, use um Gateway de Roteamento Dinâmico (DRG) para criar uma VCN do Hub DMZ para analisar o tráfego leste/oeste e norte/sul. Você pode fazer isso usando o firewall de rede do OCI ou um appliance de rede de terceiros.
- Ative o Firewall de Aplicativo Web para serviços HTTPS voltados para o público.
- Impeça o acesso não autorizado aos dados gerenciando a política de segurança de rede separadamente da arquitetura de rede subjacente com o Oracle Cloud Infrastructure Zero Trust Packet Routing.
- Implemente um Gateway de Serviço para acesso seguro aos serviços do OCI.
Proteger os Balanceadores de Carga
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Rede
- Para encerrar o TLS no balanceador de carga, use um balanceador de carga HTTP. Para encerrar o TLS em um servidor de backend, use um balanceador de carga TCP.
- É possível configurar o acesso à rede para os balanceadores de carga usando grupos de segurança de rede ou listas de segurança.
- Defina políticas do serviço IAM para limitar as permissões para gerenciar os balanceadores de carga a um conjunto mínimo de usuários e grupos.
Restringir Acesso Usando Origens de Rede
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Rede
Uma origem de rede é um conjunto de endereços IP definidos. Os endereços IP podem ser endereços IP públicos ou endereços IP de VCNs em sua tenancy.Os recursos de rede só podem ser criados na tenancy (ou no compartimento raiz) e, como outros recursos de Identidade, residem na região home.
Você pode usar origens de rede para ajudar a proteger sua tenancy das seguintes formas:
- Especifique a origem da rede em uma política do serviço IAM para restringir o acesso aos recursos. Quando especificado em uma política, o serviço IAM valida que as solicitações para acessar um recurso são originárias de um endereço IP permitido. Por exemplo, você pode restringir o acesso aos buckets do Object Storage em sua tenancy apenas aos usuários conectados ao Oracle Cloud Infrastructure por meio de sua rede corporativa. Ou você pode permitir que apenas os recursos pertencentes a sub-redes específicas de uma VCN específica façam solicitações por meio de um Gateway de Serviço.
- Especifique a origem da rede nas definições de autenticação da tenancy para restringir o acesso à Console. Você pode configurar a política de autenticação da sua tenancy para permitir acesso à Console somente pelos endereços IP especificados na origem da rede. Os usuários que tentarem o acesso por um endereço IP que não esteja na lista permitida em sua origem de rede terão o acesso negado.
Registros e Zonas DNS Seguras
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Rede
Defina políticas de IAM para limitar os usuários que podem modificar registros e zonas DNS.
Uso de Zonas de Segurança no Oracle Cloud Infrastructure
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Rede
Quando você inicia um novo projeto e cria uma nova solução, há muitas orientações de melhores práticas por aí, de muitas fontes diferentes, como:
- Recomendações do fornecedor
- Normas e políticas organizacionais
- Estruturas externas
- Conformidade normativa
- Arquiteturas de referência
Essas melhores práticas geralmente abrangem uma variedade de tópicos de segurança diferentes, incluindo autenticação, criptografia, armazenamento, controle de acesso etc. No entanto, em muitos casos, o conselho de melhores práticas é ignorado. Todos nós já vimos isso muitas vezes: cronogramas de projetos, restrições orçamentárias, lacunas de conhecimento e ambientes que começam como não produção podem significar que as melhores práticas relevantes não são seguidas, levando a um ambiente inseguro e uma postura de segurança fraca.
O Oracle Security Zones visa ajudá-lo a minimizar esse risco. Uma zona de segurança é um controle preventivo que, por natureza, contém dados e recursos confidenciais, é restritivo por design. Por exemplo, o Oracle Security Zones será liberado com uma política de segurança máxima ativada. Isso assume a posição de que o acesso público não deve ser permitido e que os dados confidenciais devem ser separados da Internet o máximo possível. A política de segurança impõe essa posição impedindo que você, em tempo real, crie recursos que quebrariam essa política.