隔離資源與控制存取
資源隔離是組織雲端資源時的重要考量。區間可讓您以邏輯方式組織資源,並以對您的業務有意義的方式控制對資源的存取。 例如,您可以將公司每個部門所使用的資源隔離在個別的區間中。您也可以使用虛擬雲端網路 (VCN) 隔離網路層的資源。
請謹慎規劃您的區間和 VCN,請記住組織目前和未來的安全需求。本文的建議將協助您滿足您的需求。
使用區間和標記組織資源
企業規劃總監、安全規劃總監、應用程式規劃總監
區間和標記是組織和隔離資源以進行存取控制的實用工具。
- 建立並指定特定資源類別的區間,以及撰寫 IAM 原則,只允許需要存取資源的使用者群組存取資源。
- 將實際環境執行和非實際環境執行工作負載分成不同的區間。
- 建立並使用子項區間來隔離額外組織層的資源。為每個區間層次撰寫個別的原則。
- 只允許授權的使用者將區間移至不同的父項區間,以及將資源從一個區間移至另一個區間。撰寫適當的原則以強制實行此限制。
- 設定區間層次配額,以限制區間中可建立之每個類型的資源數目。
- 避免在根區間層次寫入 IAM 原則。
- 在 IAM 原則中指定區間,限制執行處理主要項目可以管理的資源。
- 指定資源的標記,以根據您的業務需求來組織和識別標記。
導入以角色為基礎的存取控制
企業規劃總監、安全規劃總監、應用程式規劃總監
依角色指派權限來限制存取。
- 透過撰寫區間層次原則,將每個群組中使用者的存取權限限制為他們需要存取的區間。
- 撰寫就目標資源和必要存取權限而言可能更精細的原則。
- 建立具備執行您所有已建置工作負載通用之作業 (例如網路管理和磁碟區管理) 權限的群組,並將適當的管理使用者指派給這些群組。
不將使用者證明資料儲存在運算執行處理
企業規劃總監、安全規劃總監、應用程式規劃總監
若要授權運算執行處理呼叫 Oracle Cloud Infrastructure API,請勿在執行處理上儲存任何使用者證明資料。請改為將執行處理指定為執行處理主要項目。
執行處理認證本身所需的憑證會自動建立、指派給執行處理,以及循環。您可以使用邏輯集 (稱為動態群組) 和寫入原則來群組此類執行處理,以允許動態群組對特定資源執行特定動作。
強化運算執行處理的登入存取
企業規劃總監、安全規劃總監、應用程式規劃總監
確定只使用安全方法登入運算執行處理。
- 停用以密碼為基礎的登入。
- 停用 root 登入。
- 只使用以 SSH 金鑰為基礎的認證。
- 運用安全群組和安全清單,根據來源 IP 位址限制存取。
- 停用非必要的服務。
隔離網路層的資源
企業規劃總監、安全規劃總監、應用程式規劃總監
虛擬雲端網路提供 Oracle Cloud Infrastructure 中資源之間的第一層網路隔離。如果您有多個工作負載或不同的部門/組織,請為每個組織使用不同的 VCN 來隔離網路層的資源。
視需要使用 VCN 設計。此外,在評估需要公用存取的資源之後,請謹慎使用公用和專用子網路。
- 運用負載平衡器公開服務,並將後端目標置於專用子網路。
- 運用安全性群組,針對應用程式的每個層強制執行應用程式微型區隔。
- 白名單需要 VCN 內部的東部/西部流量,除非這些流量是必要的,否則不允許流量。