Isolar Acesso de Recursos e Controle
Você deve planejar seus compartimentos e VCNs com cuidado, tendo em mente os requisitos de segurança atuais e futuros da sua organização. As recomendações deste artigo ajudarão você a atender às suas necessidades.
Organizar Recursos Usando Compartimentos e Tags
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Aplicativos
- Crie e designe compartimentos para categorias específicas de recursos e crie políticas de IAM para permitir o acesso aos recursos apenas para os grupos de usuários que precisam de acesso a eles.
- Separar cargas de trabalho de produção e não produção em compartimentos separados.
- Crie e use compartimentos filhos para isolar recursos para camadas organizacionais adicionais. Crie políticas separadas para cada nível de compartimento.
- Permita que apenas usuários autorizados movam compartimentos para diferentes compartimentos principais e movam recursos de um compartimento para outro. Crie políticas adequadas para impor essa restrição.
- Limite o número de recursos de cada tipo que podem ser criados em um compartimento definindo cotas no nível do compartimento.
- Evite gravar políticas do IAM no nível do compartimento raiz.
- Limite os recursos que um controlador de instâncias pode gerenciar especificando um compartimento na política de IAM.
- Designe tags a recursos para organizá-los e identificá-los com base em suas necessidades de negócios.
Implementar o Controle de Acesso Baseado em Atribuição
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Aplicativos
- Limite os privilégios de acesso para usuários em cada grupo apenas aos compartimentos que eles precisam acessar, gravando políticas no nível do compartimento.
- Crie políticas que sejam o mais granulares possível em termos dos recursos de destino e dos privilégios de acesso necessários.
- Crie grupos com permissões para executar tarefas comuns a todas as cargas de trabalho implantadas (como administração de rede e administração de volume) e designe usuários administradores apropriados a esses grupos.
Não Armazenar Credenciais do Usuário em Instâncias do Serviço Compute
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Aplicativos
Os certificados necessários para que a instância se autentique são criados automaticamente, designados à instância e rotacionados. Você pode agrupar essas instâncias em conjuntos lógicos, chamados de grupos dinâmicos, e gravar políticas para permitir que os grupos dinâmicos executem ações específicas em recursos específicos.
Use o Oracle Cloud Infrastructure Vault para gerenciar e proteger chaves de criptografia com controles de acesso rígidos.
Proteger o Acesso de Log-in às Instâncias do Serviço Compute
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Aplicativos
- Desative o log-in baseado em senha se tiver uma solução de log-in empresarial padrão.
- Desative o log-in raiz.
- Use apenas autenticação baseada em chave SSH.
- Não compartilhe chaves SSH. Aproveite o Oracle Cloud Infrastructure Bastion com chaves SSH temporárias para evitar o compartilhamento de chaves SSH.
- Aproveite os Grupos de Segurança de Rede para restringir o acesso com base no endereço IP de origem.
- Desative os serviços desnecessários.
- Considere usar a integração do PAM (Pluggable Authentication Module) do Linux para máquinas virtuais com domínios de identidades do serviço IAM.
Acesso Seguro a Recursos Cruzados
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Aplicativos
Isolar Recursos na Camada de Rede
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Aplicativos
As redes virtuais na nuvem fornecem o primeiro nível de isolamento de rede entre recursos no Oracle Cloud Infrastructure.- Aproveite os Balanceadores de Carga para expor publicamente serviços e colocar destinos de backend em sub-redes privadas.
- Aproveite os Grupos de Segurança de Rede para impor a micro segmentação de aplicativos para cada camada do aplicativo.
- Inclua na lista branca o tráfego leste/oeste necessário dentro de uma VCN; não permita fluxos de tráfego, a menos que sejam necessários.
- Em uma topologia de rede hub e spoke, roteie todo o tráfego da VCN spoke para uma VCN de zona desmilitarizada (DMZ) e por meio de um firewall de rede do OCI ou outro appliance de rede para garantir o acesso apropriado.
Definir Zonas de Segurança
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Aplicativos
- Ative Políticas de Segurança para recursos de produção em sub-redes privadas em sua própria VCN e Compartimento.
- Separe os componentes voltados para a Internet em uma VCN separada com uma sub-rede pública e vincule-a à VCN da Zona de Segurança com um LPG (Local Peering Gateway). Além disso, adicione um Firewall de Aplicativo Web para proteger os componentes voltados para a Internet, como Balanceadores de Carga.
- Use o Oracle Security Advisor para facilitar a criação de recursos em uma Zona de Segurança.