隔离资源和控制访问
在组织云资源时,资源隔离是一个关键因素。区间允许您以逻辑方式组织资源并以对您的业务有意义的方式控制对资源的访问权限。 例如,您可以隔离公司每个部门在单独的区间中使用的资源。您还可以使用虚拟云网络 (virtual cloud network, VCN) 隔离网络层中的资源。
您应该仔细规划您的区间和 VCN,同时铭记组织目前和将来的安全要求。本文中的建议将有助于满足您的要求。
使用区间和标记组织资源
企业架构师、安全架构师、应用架构师
区间和标记是组织和隔离资源以进行访问控制的有用工具。
- 为特定类别的资源创建和指定区间,并编写 IAM 策略以仅允许需要访问资源的用户组访问资源。
- 将生产和非生产工作负载分成不同的区间。
- 创建和使用子区间来隔离用于其他组织层的资源。为每个区间级别编写单独的策略。
- 只允许授权用户将区间移动到不同的父区间,并将资源从一个区间移动到另一个区间。编写合适的策略以强制执行此限制。
- 通过设置区间级别配额,限制可以在区间中创建的每种类型的资源数。
- 避免在根区间级别写入 IAM 策略。
- 通过在 IAM 策略中指定区间来限制实例主体可以管理的资源。
- 将标记分配给资源,以便根据业务需求组织和标识它们。
实施基于角色的访问控制
企业架构师、安全架构师、应用架构师
通过按角色分配权限来限制访问。
- 通过编写区间级别策略,将每个组中用户的访问权限限制为仅限他们需要访问的区间。
- 编写尽可能详细的目标资源和所需的访问权限的策略。
- 创建具有执行所有已部署工作负载(例如网络管理和卷管理)共有的任务的权限的组,并将适当的管理员用户分配给这些组。
不将用户身份证明存储在计算实例上
企业架构师、安全架构师、应用架构师
当您希望授权计算实例调用 Oracle Cloud Infrastructure API 时,请勿在该实例上存储任何用户身份证明。而是将实例指定为实例主体。
实例验证自身所需的证书将自动创建、分配给实例并滚动。可以将此类实例分组到逻辑集、称为动态组和写入策略中,以允许动态组对特定资源执行特定操作。
对计算实例的硬登录访问权限
企业架构师、安全架构师、应用架构师
确保仅使用安全方法登录到计算实例。
- 禁用基于口令的登录。
- 禁止 root 用户登录。
- 仅使用基于 SSH 密钥的验证。
- 利用安全组和安全列表根据源 IP 地址限制访问。
- 禁用不需要的服务。
在网络层隔离资源
企业架构师、安全架构师、应用架构师
虚拟云网络提供了 Oracle Cloud Infrastructure 中资源之间的第一级网络隔离。如果您有多个工作量或不同的部门/组织,请为每个部门使用不同的 VCN 来隔离网络层的资源。
根据需要使用 VCN -peering。此外,在评估哪些资源需要公共访问后,请仔细使用公共和专用子网。
- 利用负载平衡器公开公开服务,并将后端目标放置在专用子网上。
- 利用安全组对应用程序的每个层强制应用程序微分段。
- 空白列表需要 VCN 内部的东/西流量,除非需要流量,否则不允许流量。