隔離資源與控制存取
組織雲端資源時,資源隔離是關鍵考量。區間可讓您以邏輯方式組織資源,並以對您業務有意義的方式控制對資源的存取。 例如,您可以將公司每個部門使用的資源隔離在不同的區間中。您可以改為依作業功能 (例如網路、安全性、資料庫或應用程式開發) 分隔。您也可以使用虛擬雲端網路 (VCN) 隔離網路層的資源。
您應該仔細規劃區間和 VCN,並記住組織目前和未來的安全性需求。此文章中的建議可協助您符合需求。
使用區間和標記組織資源
應用程式規劃總監,Security Architect
區間和標記是用於組織和隔離存取控制資源的實用工具。
- 建立並指定特定資源類別的區間,以及編寫 IAM 原則,以僅允許存取需要存取資源群組的使用者。
- 將生產和非生產環境工作負載區分為個別區間。
- 建立並使用子項區間將資源隔離到其他組織層。為每個區間層級編寫個別的原則。
- 僅允許獲得授權的使用者將區間搬移至其他父項區間,以及將資源從一個區間搬移至另一個區間。撰寫適當的原則以強制實行此限制。
- 設定區間層級配額,限制可在區間中建立之每種類型的資源數目。
- 請避免在根區間層級寫入 IAM 原則。
- 在 IAM 原則中指定區間,以限制執行處理主體可管理的資源。
- 指定資源的標記,根據您的業務需求加以組織及識別。
實行角色型存取控制
應用程式規劃總監,Security Architect
依據角色指派權限來限制存取。
- 撰寫區間層級原則,將每個群組中使用者的存取權限限制為只有他們需要存取的區間。
- 撰寫就目標資源和必要存取權限而言,儘可能精細的原則。
- 建立具備執行所有已部署工作負載 (例如網路管理和磁碟區管理) 通用的作業權限的群組,並將適當的管理員使用者指定給這些群組。
不將使用者證明資料儲存在運算執行處理上
應用程式規劃總監,Security Architect
當您要授權運算執行處理呼叫 Oracle Cloud Infrastructure API 時,請勿在執行處理上儲存任何使用者證明資料。請改為將實例指定為實例主體。
執行處理認證本身所需的憑證會自動建立、指定給執行處理,然後輪換。您可以將這類執行處理分組為邏輯集 (稱為動態群組) 和寫入原則,讓動態群組對特定資源執行特定動作。
使用 Oracle Cloud Infrastructure Vault 以嚴格的存取控制來管理和保護加密金鑰。
強化運算執行處理的登入存取權
應用程式規劃總監,Security Architect
確定只使用安全方法登入運算執行處理。
- 若您使用標準的企業登入解決方案,請停用密碼式登入。
- 停用 root 登入。
- 只使用 SSH 金鑰式認證。
- 不共用 SSH 金鑰。使用 Oracle Cloud Infrastructure Bastion 搭配暫時 SSH 金鑰,以避免 SSH 金鑰共用。
- 利用網路安全群組,根據來源 IP 位址限制存取。
- 停用非必要的服務。
- 請考慮對使用 IAM 識別網域的虛擬機器使用 Linux 可插接式認證模組 (PAM) 整合。
保護跨資源存取
應用程式規劃總監,Security Architect
如果您將任何執行處理指定為主要項目,請複查可存取這類執行處理的使用者和群組。請確定只有適當的使用者和群組可以存取這些使用者和群組。
隔離網路層的資源
應用程式規劃總監,Security Architect
虛擬雲端網路提供 Oracle Cloud Infrastructure 中資源之間的第一層網路隔離。如果您有多個工作負載或不同的部門 / 組織,請為每個部門 / 組織使用不同的 VCN 來隔離網路層的資源。
視需要使用 VCN 對等互連。分散式區域 (DMZ) VCN 可讓您分析跨 VCN 流量。此外,在評估哪些資源需要公用存取之後,請仔細使用公用和專用子網路。
- 利用負載平衡器公開顯示服務,並將後端目標放置在專用子網路上。
- 運用網路安全群組,為每一層的應用系統細分強制實行。
- 允許清單需要 VCN 中的東部 / 西部流量,除非需要,否則不允許流量流出。
- 在中樞和支點網路拓樸中,將所有支點的 VCN 流量遞送至隔離區域 (DMZ) VCN 以及透過 OCI 網路防火牆或其他網路設備,以確保適當的存取。