隔离资源和控制访问
资源隔离是组织云资源时需要考虑的一个关键因素。使用区间,您可以按逻辑方式组织资源,并以对业务有意义的方式控制对资源的访问。 例如,您可以将公司每个部门使用的资源隔离到单独的区间中。您可能希望通过网络、安全性、数据库或应用开发等操作功能进行分区。您还可以使用虚拟云网络 (Virtual Cloud Network,VCN) 在网络层隔离资源。
应仔细规划区间和 VCN,并牢记组织的当前和未来安全要求。本文中的建议将帮助您满足您的要求。
使用区间和标记组织资源
Enterprise Architect、Security Architect、Application Architect
区间和标记是用于组织和隔离访问控制资源的有用工具。
- 为特定类型的资源创建和指定区间,并编写 IAM 策略以仅允许需要访问这些资源的用户组访问这些资源。
- 将生产和非生产负载分散到不同的区间中。
- 创建和使用 child 区间,以隔离其他组织层的资源。为每个区间级别编写单独的策略。
- 仅允许授权用户将区间移至不同的父区间,并将资源从一个区间移至另一个区间。编写适当的策略来强制实施此限制。
- 通过设置区间级别的限额,限制可在区间中创建的每种类型的资源数。
- 避免在根区间级别写入 IAM 策略。
- 通过在 IAM 策略中指定区间来限制实例主体可以管理的资源。
- 将标记分配给资源,以便根据您的业务需求进行组织和识别。
实施基于角色的访问控制
Enterprise Architect、Security Architect、Application Architect
通过按角色分配权限来限制访问。
- 通过编写区间级别策略,将每个组中用户的访问权限仅限制为用户需要访问的区间。
- 在目标资源和所需访问权限方面尽可能细粒度的写入策略。
- 创建有权执行所有已部署工作负载共有的任务的组(例如,网络管理和卷管理),并为这些组分配适当的管理员用户。
不在计算实例上存储用户身份证明
Enterprise Architect、Security Architect、Application Architect
当您要授权计算实例调用 Oracle Cloud Infrastructure API 时,请勿在实例上存储任何用户身份证明。而应将该实例指定为实例主体。
将自动创建实例验证自身所需的证书,将其分配给实例并轮换。您可以在逻辑集中对这些实例(称为动态组)进行分组,并编写策略以允许动态组对特定资源执行特定操作。
使用 Oracle Cloud Infrastructure Vault 通过严格的访问控制来管理和保护加密密钥。
Harden 对计算实例的登录访问权限
Enterprise Architect、Security Architect、Application Architect
确保仅使用安全方法登录计算实例。
- 如果您有标准的企业登录解决方案,请禁用基于密码的登录。
- 禁用 root 登录。
- 仅使用基于 SSH 密钥的验证。
- 不共享 SSH 密钥。利用 Oracle Cloud Infrastructure Bastion 和临时 SSH 密钥来避免 SSH 密钥共享。
- 利用网络安全组基于源 IP 地址限制访问。
- 禁用不需要的服务。
- 考虑对具有 IAM 身份域的虚拟机使用 Linux 可插入验证模块 (Pluggable Authentication Module,PAM) 集成。
保护跨资源访问
Enterprise Architect、Security Architect、Application Architect
如果将任何实例指定为主体,则查看有权访问此类实例的用户和组。确保只有相应的用户和组才能访问它们。
在网络层隔离资源
Enterprise Architect、Security Architect、Application Architect
虚拟云网络在 Oracle Cloud Infrastructure 中的资源之间提供了第一级网络隔离。如果您有多个工作负载或不同的部门/组织,请为每个工作负载使用不同的 VCN 来隔离网络层中的资源。
根据需要使用 VCN 对等连接。通过非军事化区域 (DMZ) VCN,您可以分析跨 VCN 流量。此外,在评估哪些资源需要公共访问后,请仔细使用公共和专用子网。
- 利用负载平衡器公开服务,并在专用子网中放置后端目标。
- 利用网络安全组对应用程序的每个层强制实施应用程序微分段。
- 白名单要求在 VCN 内进行东西向通信,除非需要,否则不允许通信流。
- 在中心网络拓扑中,将所有分支 VCN 流量路由到非军事化区域 (Demilitarized Zone,DMZ) VCN,并通过 OCI 网络防火墙或其他网络设备来确保适当的访问。
定义安全区域
Enterprise Architect、Security Architect、Application Architect
安全区域对 Oracle Cloud Infrastructure 中的区间强制实施基线安全策略,以防止配置错误。它们包括策略库和嵌入式安全优秀实践,以实现云安全态势管理。
- 为其自己的 VCN 和区间中的专用子网上的生产资源启用安全策略。
- 使用公共子网在单独的 VCN 中分隔面向互联网的组件,并通过本地对等连接网关将其链接到安全区域 VCN。此外,添加 Web 应用程序防火墙以保护面向 Internet 的组件,例如负载平衡器。
- 使用 Oracle Security Advisor 便于在安全区域中创建资源。