Oracle Cloud Guard je cloudová nativní služba, která monitoruje stav zabezpečení pronájmu Oracle Cloud Infrastructure (OCI) a spouští události za účelem nápravy problémů. Poskytuje sadu respondentů s výchozími pravidly jako konkrétní akce, které je třeba provést. Žádným respondentům není nativně nabízeno, aby střídali pověření správy identit a přístupu (IAM), jako jsou klíče API, tajné klíče zákazníků a ověřovací tokeny.
V tomto příspěvku vás provedeme tím, jak povolit automatickou rotaci přihlašovacích údajů OCI IAM z událostí Cloud Guard.
Případy užití
Doporučujeme střídat své přihlašovací údaje IAM každých 90 dní. Rotace přihlašovacích údajů IAM snižuje příležitost pro použití přístupového klíče spojeného s kompromitovaným nebo ukončeným účtem.
Na toto řešení se vztahují následující problémy Cloud Guard:
- Klíč API je příliš starý.
- Auth token IAM je příliš starý.
- Tajný klíč zákazníka IAM je příliš starý.
- Heslo je příliš staré.
Přehled řešení
Toto řešení využívá OCI Functions, bezserverovou výpočetní službu ke čtení dat JSON z událostí OCI za účelem rotace pověření IAM a ukládání nových pověření do tajného klíče OCI Vault.
Obrázek 1. Vývojový diagram pro automatickou rotaci přihlašovacích údajů IAM
Obrázek 1 ilustruje nativní tok procesu na vysoké úrovni v cloudu.
Týmy bezpečnostních operací (SecOps) zkontrolují a vyřeší problém pomocí komentářů, které spouštějí automatizaci.
Když označíte problém jako vyřešený, sdělujete Cloud Guardu, že to byl ve skutečnosti problém, ale provedli jste akci, která jej vyřešila. Pokud se objeví další příklad stejného problému, je znovu detekován.
Obrázek 2. Architektura řešení
Obrázek 2 znázorňuje nasazení řešení v regionu OCI.
- Tým SecOps zkontroluje problém v Cloud Guard a následuje proces řízení změn, aby zahájil nápravu.
- Událost se spustí, jakmile tým SecOps vyřeší problém s komentáři.
- Funkce je vyvolána a ověří informace o problému.
- Funkce OCI zpracuje informace za účelem otočení pověření.
- Nové přihlašovací údaje jsou uloženy v tajném klíči OCI Vault.
- Tým SecOps je informován.
Podrobné kroky k automatické rotaci přihlašovacích údajů IAM z událostí OCI Cloud Guard naleznete v kurzu na stránce Výuka.
O službách OCI v tomto řešení
OCI Functions je plně spravovaná, multitenantská, vysoce škálovatelná platforma na vyžádání fungující jako služba. Další informace o funkcích Oracle naleznete v dokumentaci k funkcím OCI. Služba Události OCI vytváří strukturované zprávy, které označují změny ve zdrojích. Dodržuje standardní průmyslový formát Cloud Events hostovaný nadací Cloud Native Computing Foundation (CNCF). Další informace o událostech OCI naleznete v dokumentaci událostí OCI.
Cloud Guard prozkoumá vaše zdroje OCI, zda neobsahují slabá místa v zabezpečení související s konfigurací, a vaše operátory a uživatele z hlediska rizikových aktivit, viz dokumentace Cloud Guard. OCI Notifications vysílá zprávy distribuovaným komponentám prostřednictvím vzoru publikovat-předplatit a doručovat bezpečné, vysoce spolehlivé, s nízkou latencí a trvalé zprávy pro aplikace hostované na OCI a externě.
Závěr
V tomto příspěvku jsme demonstrovali účinné způsoby, jak automaticky střídat přihlašovací údaje OCI IAM z problému Cloud Guard, abychom minimalizovali riziko ohrožení přihlašovacích údajů.
Viz také funkce Automatic Secret Rotation v OCI Secret Management, které pomáhají spravovat rotaci tajných klíčů. Pomocí funkce Automatic Secret Rotation povolte automatickou rotaci tajných klíčů pro připojenou autonomní databázi a funkce Oracle Cloud Infrastructure.
Zdroj: Oracle