瞭解啟用 OCI 的證明資料到期通知

安全性作業 (SecOps) 團隊要追蹤並確保 IAM 加密密碼及時輪換是一項挑戰。此自動化解決方案可透過啟用 Oracle Cloud Infrastructure (OCI) 證明資料的提前到期通知,協助改善安全性。

OCI Identity and Access Management 加密密碼為儲存、存取及分送的 API 金鑰、資料庫和雲端證明資料、憑證、SSH 金鑰或認證權杖等證明資料。

社群最佳實務建議定期輪換加密密碼。使用一個金鑰加密的資料越多,如果該金鑰遭到洩漏,資料就越多。您使用金鑰的時間越長,就越有可能被洩漏出去。透過輪換金鑰,您可以區間化資料,限制金鑰外洩的影響。因此,提前收到通知是使用者和 SecOps 團隊的關鍵。

輪換 OCI 身分識別與存取管理證明資料可降低與受危害或已終止帳戶關聯之存取金鑰的機會範圍。Oracle Cloud Guard 是一項雲端原生服務,可監控安全態勢,並在 OCI Identity and Access Management 加密密碼到期時觸發事件。建議每 90 天輪換一次 IAM 證明資料。

架構

透過進階通知,使用者可以輪換加密密碼並更新應用程式工作負載。此 OCI 架構使用無伺服器運算服務 OCI FunctionsOCI Identity and Access Management 服務讀取 JSON 資料。

下圖說明將報表傳送給 SecOps 團隊的工作流程,以及提前傳送電子郵件通知給使用者。

credential-expiry-notif-workflow.png 的描述如下
credential-expiry-notif-workflow.png 圖解描述

credential-expiry-notif-workflow-oracle.zip

工作流程有兩個區段:SecOps 團隊與自動化。SecOps 團隊完成組態之後, OCI Functions 和 OCI Resource Scheduler 服務會處理自動化。

  1. SecOps 團隊透過設定 OCI 函數的臨界值、免稅使用者和其他參數來開始工作流程。在 SecOps 團隊設定 OCI 函數的參數之後,工作流程會完全在「自動化」中發生。
  2. OCI Scheduler 會將資料傳送至 OCI Functions
  3. OCI 函數會輪詢 API 金鑰、認證碼和客戶秘密金鑰,並判斷其是否超過臨界值,以驗證過期。
  4. 「超出臨界值」決定會決定到期是否為警告、嚴重或已到期,並將其傳送給下一個決定以決定所需的報表。
  5. 「選擇加入」每週 / 每月報表會決定報表。
    • 是:如果組態選擇加入每週或每月報表,則會自動傳送電子郵件報表至 SecOps 團隊,該團隊會結束工作流程。
    • 否:如果組態不包含每週或每月報表,則自動化會判斷使用者是否獲豁免。
  6. 「使用者免稅」決策決定自動化:
    • 是:如果使用者已免稅,則自動化會將電子郵件報表傳送給使用者。工作流程已結束。
    • 否:如果使用者未獲豁免,則自動化會刪除過期的加密密碼,並將電子郵件報表傳送給使用者。工作流程已結束。

此架構支援下列元件:

  • 身分識別與存取管理 (IAM)

    Oracle Cloud Infrastructure Identity and Access Management (IAM) 是 Oracle Cloud Infrastructure (OCI) 和 Oracle Cloud Applications 的存取控制層。IAM API 和使用者介面可讓您管理識別網域和識別網域內的資源。每個 OCI IAM 識別網域都代表獨立的識別與存取管理解決方案,或代表不同的使用者群體。

  • OCI 資源排程器

    Oracle Cloud Infrastructure Resource Scheduler 服務與 OCI Identity and Access Management 服務整合,以使用原生 OCI 識別功能輕鬆認證。OCI 資源排程器會依排定的基準,在根區間層級對租用戶或受管理租用戶群組中的資源執行作用。

    此服務可讓您建立及管理對租用戶中的資料庫集合和運算 OCI 資源執行動作的排程,以便管理其生命週期和作業時間。

  • 雲端保全

    您可以使用 Oracle Cloud Guard 來監控和維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方,您可以定義檢查資源是否有安全漏洞,並監控操作員和使用者的特定風險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方建議更正動作並協助採取這些動作。

  • 監督

    Oracle Cloud Infrastructure Monitoring 服務使用指標主動和被動監控您的雲端資源,以監控資源和警報,並在這些指標符合警報指定的觸發條件時通知您。

  • 功能

    Oracle Cloud Infrastructure Functions 是一個完全託管的多租戶、高度可擴充、隨選、Functions-as-a-Service (FaaS) 平台。由 Fn Project 開放原始碼引擎提供技術支援。OCI 函數可讓您部署程式碼,並直接呼叫程式碼或觸發程式碼以回應事件。OCI Functions 使用 Oracle Cloud Infrastructure Registry 中代管的 Docker 容器。

  • Email Delivery

    Oracle Cloud Infrastructure Email Delivery 是高度可擴展、符合成本效益且可靠的電子郵件傳遞服務,用於傳送大量應用系統產生的電子郵件,以進行關鍵任務行銷、通知和交易通訊,例如收據、詐騙偵測警示、多重要素身分驗證和密碼重設。

關於必要服務與角色

此解決方案需要以下 Oracle Cloud Infrastructure (OCI) 服務和角色:

  • OCI 保存庫
  • OCI 函數

  • OCI 資源排程器

  • OCI Identity and Access Management
  • OCI 監控
  • Oracle Cloud Guard

這些是每項服務所需的角色。

服務名稱:角色 需要 ...
OCI Vault :加密密碼 管理權限。
OCI 函數:具有 OCI 使用者帳戶 (屬於適當原則授予函數相關資源存取權之群組) 的函數開發人員 建立和部署 OCI 函數
OCI 資源排程器:排程 建立和管理排程。
OCI Identity and Access Management:原則 建立必要的原則。

請參閱 Oracle 產品、解決方案和服務,瞭解您需要的內容。

安全性考量

設計此解決方案時,請考量下列安全需求:

建議
  1. 超過每個嚴重度 (警告、嚴重性或到期) 的臨界值之後,傳送使用者單一電子郵件給租用戶中的所有識別網域。
  2. 根據設定的參數,將合併報表傳送至 SecOps。例如,每週或每月。
必要
  1. 除非使用者將其新增至免稅清單中,否則自動化作業必須刪除加密密碼貼文到期。
  2. 針對每個設定的參數,將合併報表傳送至 SecOps。例如,每週或每月。
  3. 將 SMTP (簡易郵件傳輸協定) 密碼儲存在 Oracle Cloud Infrastructure Vault 中。
  4. 接受各種組態參數,以避免重新部署自動化解決方案。