注意:

使用 OCI IAM 网络边界和网络源监管对 OCI 资源的公共访问

简介

我们的运营环境需要对数据和基础设施保持高度警惕。例如,即使是最谨慎的云管理员也可能成为账户接管技术的受害者,例如网络钓鱼攻击和特权升级。此外,没有人想错误配置他们的数据安全,导致意外将其暴露给公共互联网。Oracle Cloud Infrastructure (OCI) 等公有云提供商包括 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 服务,支持您应用更多安全层,从而减少攻击面并改善基础设施、数据和应用的安全状况。

OCI IAM 提供网络边界,用于限制可以访问 OCI 控制台的 IP 地址集。此外,网络源支持您编写策略,根据请求者的 IP 地址限制对特定 OCI 资源的访问。在本教程中,我们将探讨这两个功能,并解释如何在 OCI 租户中启用它们。

目标

先决条件

使用 OCI IAM 网络边界

当用户尝试登录到受 OCI IAM 身份域(包括 OCI 控制台本身)保护的应用程序时,该应用程序的相关登录策略将评估登录操作。此策略包含一系列规则,其中包含条件和生成的操作。规则将按顺序进行评估,直到当前登录上下文满足该规则的条件,然后颁布与该规则关联的操作。此操作会导致允许访问,拒绝访问,或者在允许访问之前提示用户输入其他验证因素。

网络边界可以与登录策略结合使用,以阻止或允许访问 OCI 控制台。有关更多信息,请参见网络边界管理登录策略

注:更改登录策略可能会导致帐户锁定。登录规则的优先级极其重要,应仔细考虑。我们建议打开单独的浏览器会话,使用管理凭证进行验证,同时测试后面介绍的方法。

网络边界如何工作?

为了实现基于网络边界的允许列表,至少需要两个规则。

要在 OCI 控制台中配置网络边界,请导航到身份域的安全部分,选择网络边界并添加所需的 IP 地址。有关详细信息,请参阅创建网络边界

create_network_perimeters

您的租户可能具有系统初始登录规则,以强制实施多因素身份验证 (MFA) 以访问 OCI 控制台。有关详细信息,请参阅 IAM MFA在 OCI IAM 身份域中实施多因素验证

我们将使用此策略来执行我们的网络边界规则。您可以选择创建新的登录策略。有关详细信息,请参阅创建登录策略

注:为了安全起见,为了确保紧急访问账户从未被锁定到我们的租户之外,可以按最高优先级创建附加规则,专门为该账户生成例外。

对于我们的方案,以下三个规则将确保涵盖上面讨论的所有要点。

除了 allowlist 方法之外,您还可以选择创建块列表以阻止对一组已定义的 IP 地址进行访问。要启用 blocklist 方法,登录策略规则将是:

使用 OCI IAM 网络源

网络边界有助于管理用户可以从中访问 OCI 控制台的网络,而网络源有助于限制对某些 OCI 服务和资源的访问。

通过网络源,您可以定义一组可由 OCI 访问策略引用的 IP 地址,以根据源 IP 地址限制访问。例如,您可以限制对 OCI 对象存储存储桶的访问,仅限制对从公司网络登录的用户的访问。

网络源支持租户内虚拟云网络中的公共 IP 地址和专用 IP 地址。

网络源如何工作?

要在 OCI 控制台中配置网络源,请导航到身份和安全,选择网络源,然后创建一个指定允许的 IP 地址的新网络源。有关详细信息,请参阅创建网络源

网络来源

根据您的用例,创建或修改 OCI 策略并添加 request.networkSource.name 条件。有关更多信息,请参见策略的工作方式

注:允许组 CorporateUsers 管理租户 request.networkSource.name='corpnet' 中的 object-family

后续步骤

在本教程中,我们介绍了网络边界和网络源如何帮助限制对 OCI 资源的访问,并帮助改善您的云安全状况。有关 OCI IAM 最佳模式的详细信息,请参阅Oracle Cloud Infrastructure 中的身份和访问管理 (IAM) 优秀实践

确认

更多学习资源

浏览 docs.oracle.com/learn 上的其他实验室,或者通过 Oracle Learning YouTube 频道访问更多免费学习内容。此外,请访问 education.oracle.com/learning-explorer 以成为 Oracle Learning Explorer。

有关产品文档,请访问 Oracle 帮助中心