了解如何为 OCI 启用身份证明到期通知

安全运营 (SecOps) 团队很难跟踪并确保及时轮换 IAM 机密。此自动化解决方案支持提前通知 Oracle Cloud Infrastructure (OCI) 凭证,从而帮助提高安全性。

OCI Identity and Access Management 密钥是存储、访问和分发的 API 密钥、数据库和云身份证明、证书、SSH 密钥或验证令牌等身份证明。

社区最佳实践建议定期轮换机密。使用一个密钥加密的数据越多,泄露的数据就越多。您使用密钥的时间越长,通过某种方式泄露密钥的可能性就越大。通过轮换密钥,可以对数据进行分区,从而限制密钥泄露的影响。因此,获取提前通知是用户和 SecOps 团队的关键。

轮换 OCI Identity and Access Management 凭证可减少与受损或已终止的账户关联的访问密钥使用的机会窗口。Oracle Cloud Guard 是一项云原生服务,用于监视 OCI Identity and Access Management 密钥过期时的安全状况和触发事件。我们建议每 90 天轮换一次 IAM 凭证。

体系结构

使用高级通知,用户可以轮换其密钥并更新应用程序工作量。此 OCI 架构使用无服务器计算服务 OCI FunctionsOCI Identity and Access Management 服务读取 JSON 数据。

下图说明了向 SecOps 团队发送报表以及向用户发送早期电子邮件通知的工作流。

下面是 credential-expiry-notif-workflow.png 的说明
插图 credential-expiry-notif-workflow.png 的说明

credential-expiry-notif-workflow-oracle.zip

该工作流包含两个部分:SecOps 团队和自动化。SecOps 团队完成配置后, OCI Functions 和 OCI 资源调度器服务将处理自动化。

  1. SecOps 团队通过为 OCI Functions 配置阈值、免税用户和其他参数来启动工作流。SecOps 团队为 OCI 函数配置参数后,工作流将完全在自动化中执行。
  2. OCI 调度程序将数据发送到 OCI 函数
  3. OCI 函数通过轮询 API 密钥、验证代码和客户密钥并确定是否超过阈值来验证到期。
  4. “超出阈值”决策确定到期是警告、严重还是已过期,并将其发送到下一个决策以确定所需报告。
  5. “选择加入”每周/每月报告决策确定报告。
    • 是:如果配置选择加入每周或每月报告,则电子邮件报告将自动发送到 SecOps 团队,该团队将结束工作流。
    • 否:如果配置不包括每周或每月报表,则自动化将确定是否免除用户。
  6. “用户免税”决策确定自动化:
    • 是:如果用户免除,则自动化会向用户发送电子邮件报告。工作流已结束。
    • 否:如果用户未免除,则自动化将删除过期的密钥并向用户发送电子邮件报告。工作流已结束。

此体系结构支持以下组件:

  • 身份和访问管理 (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的访问控制层。通过 IAM API 和用户界面,您可以管理身份域和身份域中的资源。每个 OCI IAM 身份域代表一个独立的身份和访问管理解决方案或不同的用户群体。

  • OCI 资源调度程序

    Oracle Cloud Infrastructure 资源调度器服务与 OCI Identity and Access Management 服务集成,可通过原生 OCI 身份功能轻松进行身份验证。OCI 资源调度程序按计划在根区间级别对租户或托管租户组中的资源执行操作。

    通过该服务,您可以创建和管理对租户中的数据库和计算 OCI 资源集合执行操作的调度,从而管理其生命周期和运行时间。

  • Cloud Guard

    您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全性。Cloud Guard 使用检测器配方,您可以定义该配方来检查资源是否存在安全漏洞,以及监视操作员和用户是否存在某些风险活动。检测到任何配置错误或不安全活动时,Cloud Guard 会根据您可以定义的响应器配方推荐更正操作并协助执行这些操作。

  • 监视

    Oracle Cloud Infrastructure Monitoring 服务使用指标主动和被动监视云资源,监视资源和警报,以便在这些指标满足警报指定的触发器时通知您。

  • 函数

    Oracle Cloud Infrastructure Functions 是一个完全托管的多租户、高度可扩展的按需函数即服务 (FaaS) 平台。它由 Fn Project 开源引擎提供支持。通过 OCI 函数,您可以部署代码,并直接调用代码或触发代码以响应事件。OCI Functions 使用 Oracle Cloud Infrastructure Registry 中托管的 Docker 容器。

  • 电子邮件发送

    Oracle Cloud Infrastructure Email Delivery 是一个高度可扩展、经济高效且可靠的电子邮件传送服务,用于为关键任务营销、通知和事务性通信(例如接收、欺诈检测警报、多因素身份验证和密码重置)发送大量应用生成的电子邮件。

关于必需的服务和角色

此解决方案需要以下 Oracle Cloud Infrastructure (OCI) 服务和角色:

  • OCI Vault
  • OCI 函数

  • OCI 资源调度程序

  • OCI 身份和访问管理
  • OCI 监视
  • Oracle Cloud Guard

这些是每个服务所需的角色。

服务名:职责 需要 ...
OCI Vault :密钥 管理权限。
OCI Functions :具有 OCI 用户账户的函数开发人员,该账户属于相应策略向其授予对函数相关资源的访问权限的组 创建和部署 OCI Functions
OCI 资源调度程序:调度 创建和管理调度。
OCI 身份和访问管理:策略 创建所需的策略。

要获取所需的资源,请参阅 Oracle 产品、解决方案和服务

安全性注意事项

设计此解决方案时,请考虑以下安全要求:

推荐
  1. 在超过每个严重性(警告、严重或过期)的阈值后,向用户发送租户中所有身份域的单个电子邮件。
  2. 根据配置的参数将合并报表发送到 SecOps。例如,每周或每月。
必需
  1. 自动化必须删除密钥过期后,除非用户将其添加到免税列表中。
  2. 将每个已配置参数的合并报表发送到 SecOps。例如,每周或每月。
  3. 将 SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)密码存储在 Oracle Cloud Infrastructure Vault 中。
  4. 接受各种配置参数,以避免重新部署自动化解决方案。