管理身份和授权策略

Oracle Cloud Infrastructure Identity and Access Management 支持您控制谁可以访问您的云资源。访问和授权的身份证明包括 API 密钥、登录密码、联合登录和验证令牌。使用适当的身份证明来保护您的云账户和资源。Oracle 鼓励您在云中实施身份管理时采用以下建议。

使用多因素验证 (MFA)

Enterprise Architect、Security Architect、Application Architect

将对资源的访问限制为仅通过企业的单点登录解决方案进行验证的用户,以及时间限制的一次性密码或其他合适因素(如生物特征扫描功能)。

通过 OCI Identity and Access Management (IAM) 身份域,可以在 OCI 控制台的预定义登录策略中配置和实施 MFA。不应停用此策略。

您应在用户级别要求这样做,并通过 IAM 在资源级别强制执行。您可以在允许访问资源的访问策略中对资源强制实施 MFA。

当您需要为用户提供临时提升的访问权限以绕过常规访问控制以立即访问关键系统时,还可以为紧急情况使用场景配置 MFA。

不将租户管理员账户用于日常操作

Enterprise Architect、Security Architect、Application Architect

应在租户中创建服务级别管理员,以进一步限制管理访问。服务级管理员应仅管理特定服务或域的资源。
例如,以下策略允许 VolumeAdmins 组中的用户仅管理块存储卷系列中的资源。
Allow group VolumeAdmins to manage volume-family in tenancy

创建安全策略以防止管理员帐户锁定

企业架构师、安全架构师

创建和保护专门用于防止租户管理员离开您的组织的管理员账户,或者用于其他紧急情况(没有租户管理员可用)。

例如,创建一个“紧急用户”角色,该角色具有 Administrators OCI 组中的成员身份,而不是联合身份,并且仅具有本地密码。这有时被称为“破玻璃”帐户。

破碎玻璃是指在 IT 紧急情况下用于获得高特权访问的流程和机制。这个术语源于将警报触发器放置在保护玻璃窗格后面的做法,该窗格用作防止未经授权或非紧急激活的物理屏障。在 IT 中,破碎玻璃被隐喻地用来描述在关键紧急情况下需要完全访问权限,而这在既定的职责分离 (SOD) 和最低权限的访问控制中是无法解决的。高可用性、受限访问、风险评估、加速审批、短期权利、审计和定期测试是有效的故障排除流程的主要功能。即使是精心设计的访问模型也无法解释所有可能的紧急情况。在这种情况下,断开玻璃提供了一种方法,可以将最高级别的访问权限集中到一个或多个断开玻璃帐户中,从而超越已建立的访问模型。OCI Administrators 组可用于授予故障访问权限以及替代权利选项。

限制 IAM 管理员组管理默认管理员和身份证明管理员组

企业架构师、安全架构师

管理员权限应遵循最小权限规则,因此管理员组或管理员策略附加成员资格应限制为根据需要。

以下策略允许 UserAdmins 组中的用户仅检查租户中的组。 

Allow group UserAdmins to inspect groups in tenancy

也不应更改现成的租户管理策略。

防止意外或恶意删除(和更改)访问策略

Enterprise Architect、Security Architect、Application Architect

例如,以下策略仅允许 PolicyAdmins 组中的用户创建策略,但不允许编辑或删除策略。 
Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

限制身份证明管理员仅管理用户功能和用户身份证明,例如 API 密钥、验证令牌和密钥。

使用多个身份域

企业架构师、安全架构师

仅对 OCI 管理员使用默认 OCI 身份和访问管理身份域。
  • 对于应用工作负载,为每个环境使用单独的身份域,例如开发、测试和生产环境。
  • 每个域可以有不同的身份和安全要求来保护您的应用和 OCI 服务。
  • 使用多个身份域可以帮助您保持对每个身份域的管理控制的隔离。需要多个身份域,例如,当您的安全标准阻止生产环境中存在用于开发的用户 ID 时。当您要求不同的管理员对各种环境进行控制时,也会使用多个域。

联合 Oracle Cloud Infrastructure Identity and Access Management

Enterprise Architect、Security Architect、Application Architect

在可能且相关的情况下,将 Oracle Cloud Infrastructure Identity and Access Management 与组织的集中式身份提供者 (IdP) 联合起来。
  • 创建一个联盟管理员组,该组映射到联盟 IdP 的管理员组,并由与联盟 IdP 的管理员组相同的安全策略管理。
  • 创建本地用户并将用户分配给默认的 AdministratorsIAM AdministratorsCredential Administrators IAM 组。将这些用户用于故障类型方案(例如,无法通过联盟访问资源)。
  • 定义策略以防止联合管理员 IAM 组修改默认租户 Administrators 组的成员资格。
  • 通过监视租户管理员操作的审计日志和对 Administrators 组的更改来检测未经授权的访问和操作。

监视和管理所有用户的活动和状态

Enterprise Architect、Security Architect、Application Architect

监视和管理所有用户的活动和状态。
  • 员工离开组织时,通过立即删除用户来禁用对租户的访问。
  • 每 90 天或更短的时间内强制轮换用户密码、API 密钥和所有与验证相关的用户功能。
  • 确保身份和访问管理 (Identity and Access Management,IAM) 身份证明不会硬编码在任何软件或操作文档中。
  • 为组织中需要访问租户中资源的每个人创建 IAM 用户。不要在多个人工用户之间共享一个 IAM 用户。
  • 实施联合单点登录以简化对多个应用程序的访问并集中验证。
  • 定期查看 IAM 组中的用户,并删除不再需要访问的用户。

了解更多信息