管理身分識別與授權原則

Oracle Cloud Infrastructure Identity and Access Management 可讓您控制可存取雲端資源的人員。存取和授權的證明資料包括 API 金鑰、登入密碼、聯合登入以及認證權杖。請使用適當的證明資料保護您的雲端帳戶和資源。Oracle 建議您在雲端導入身分識別管理時採用下列建議。

使用多重因素認證 (MFA)

應用程式規劃總監,Security Architect

僅限已透過企業單一登入解決方案、限時一次性密碼或其他適當因素 (例如生物特徵掃描功能) 驗證的使用者存取資源。

使用 OCI Identity and Access Management (IAM) 識別網域時,會在 OCI 主控台的預先定義登入原則中設定並強制執行 MFA。不應停用此原則。

您應在使用者層級要求此功能,並透過 IAM 在資源層級強制執行。您可以對允許存取資源之存取原則中的資源強制實行 MFA。

當您需要為使用者暫時提升存取權限,而略過一般存取控制並立即存取重要系統時,也可以將 MFA 設定為緊急關閉使用案例。

不使用租用戶管理員帳戶進行日常作業

應用程式規劃總監,Security Architect

應建立租用戶中的服務層級管理員,以進一步限制管理存取權。服務層級管理員只能管理特定服務或網域的資源。
例如,下列原則可讓 VolumeAdmins 群組中的使用者只管理區塊磁碟區系列中的資源。
Allow group VolumeAdmins to manage volume-family in tenancy

建立安全原則以防止管理員帳戶被鎖定

Security Architect 企業規劃總監

建立並保護管理員帳戶,以供租用戶管理員離開您的組織時使用,或是在沒有租用戶管理員可用時,針對其他緊急情況執行。

例如,建立一個 Emergency User persona,其中包含 Administrators OCI 群組中的成員,而不是同盟,而且只有本機密碼。這有時稱為「玻璃杯」帳戶。

中斷玻璃是指在 IT 緊急事件時,用來取得高度權限存取的程序和機制。這個術語衍生自將警報觸發器置於防護玻璃窗格之後的做法,它可作為實體屏障,以防止未經授權或非緊急啟動。在 IT 中,緊急處理會透過隱喻來說明在緊急事件中,無法解決在已建立的職責區分 (SOD) 和最低權限存取控制中完整存取權限的需求。有效緊急處理的主要功能包括高可用性、限制存取、風險評估、加速核准、短期權益、稽核及定期測試。即使是設計完善的存取模型,也無法考量所有可能的緊急狀況。在這種情況下,緊急處理系統提供一個將最高等級的存取權限集中至一或多個緊急處理帳戶的方法,從而將建立的存取模型遞增。OCI 管理員群組可用來授予緊急存取權限,以及替代權益選項。

限制 IAM 管理員群組不受管理預設管理員和證明資料管理員群組限制

Security Architect 企業規劃總監

管理員權限應遵循最低權限的規則,因此管理員群組的成員資格或管理員原則的附件應限制為必要。

下列原則可讓 UserAdmins 群組中的使用者只檢查租用戶中的群組。 

Allow group UserAdmins to inspect groups in tenancy

不應更改立即可用的租用戶管理原則。

防止意外或惡意刪除 (和變更) 存取原則

應用程式規劃總監,Security Architect

例如,下列原則只允許 PolicyAdmins 群組中的使用者建立原則,但不能編輯或刪除原則。 
Allow group PolicyAdmins to manage policies in tenancy where
      request.permission='POLICY_CREATE'

限制證明資料管理員只能管理使用者功能與使用者證明資料,例如 API 金鑰、認證記號以及秘密金鑰。

使用多個識別網域

Security Architect 企業規劃總監

僅適用於 OCI 管理員的預設 OCI Identity and Access Management 識別網域。
  • 對於應用程式工作負載,請為每個環境使用不同的識別網域,例如開發、測試及生產環境。
  • 每個網域都可以有不同的身分識別和安全需求,以保護您的應用程式和 OCI 服務。
  • 使用多個識別網域可協助您維護每個識別網域的管理控制隔離。例如,當您的安全性標準防止生產環境中的使用者 ID 進行開發時,需要多個識別網域。當您要求不同的管理員可以控制不同的環境時,也會使用多個網域。

同盟 Oracle Cloud Infrastructure Identity and Access Management

應用程式規劃總監,Security Architect

如果可能且相關,請將 Oracle Cloud Infrastructure Identity and Access Management 與貴組織的集中式身分識別提供者 (IdP) 同盟。
  • 建立對應至同盟 IdP 管理員群組的同盟管理員群組,並受同盟 IdP 管理員群組相同的安全原則所管控。
  • 建立本機使用者並將使用者指派給預設的 AdministratorsIAM AdministratorsCredential Administrators IAM 群組。使用這些使用者進行緊急處理類型案例 (例如,無法透過聯合存取資源)。
  • 定義原則以防止同盟管理員 IAM 群組修改預設租用戶 Administrators 群組的成員身分。
  • 透過監控租用戶管理員對作業的稽核日誌以及對 Administrators 群組的變更,偵測未經授權的存取和作業。

監控和管理所有使用者的活動和狀態

應用程式規劃總監,Security Architect

監視與管理所有使用者的活動與狀態。
  • 員工離開組織後,立即刪除使用者以停用租用戶的存取。
  • 強制每隔 90 天 (含) 輪換使用者密碼、API 金鑰及所有認證相關使用者功能。
  • 確保身分識別與存取管理 (IAM) 證明資料不會以硬式編碼在您的任何軟體或作業文件中。
  • 為組織中需要存取租用戶資源的人員建立 IAM 使用者。不要跨多位真人使用者共用 IAM 使用者。
  • 實行同盟單一登入,以簡化對多個應用程式的存取並集中認證。
  • 定期複查 IAM 群組中的使用者,並移除不再需要存取的使用者。

進一步瞭解