安保性一直是 Oracle 云基础设备 (OCI) 的首要义务。它是建设信任的基础,企业多年来不时信任 Oracle。从一开局,咱们就将安保性设计到云平台的结构中。但您的选用也会影响您的安保状况。思考到这一点,咱们最近实施了一项更改,强迫对一切 OCI 租户经常使用多重身份验证。
Oracle 云在设计上融入了安保性
OCI 自动拒绝一切访问。不太或许异常地将敏感数据放入公共存储桶中,由于自动状况下存储桶是私有的。必定有人经过OCI 身份和访问治理 (IAM)服务来使存储桶地下,并且该操作会在审计跟踪中遭到监控和捕捉。理想上,您可以性能Cloud Guard来检测优惠,并经常使用咱们泛滥内置检测器配方之一就存储桶或访问战略的更改向安保团队收回警报。您还可以选用性能内置照应程序配方来照应并将存储桶的可见性更改回私有。或许,假设您想强迫口头“制止公共存储桶”的战略,可以性能安保区域以防止云治理员将存储桶更改为公共存储桶,即使他们有权这样做。而且它不只仅是存储桶。这些安保性能实用于从 OCI 计算实例到网络组件的片面 OCI 资源。
除了咱们在基础设备之上提供的安保性能之外,咱们还在设计基础设备自身时将安保性作为首要义务。OCI 的隔离网络虚拟化象征着咱们的云治理代码永远不会在您的配件上运转。即使对手取得了计算主机的根权限,此性能也有助于防止跨网络的横向移动。咱们经常使用 基于配件的信任根 有助于防止供应链攻打和恶意软件,由于咱们一直在性能时验证固件。
依然必定选用安保地经常使用 OCI
咱们投入了少量资源来确保 OCI 成为您最值得信任的云平台。这种安保性是内置的,易于经常使用,并且在 OCI 中深度集成。但安保是一项团队静止。作为云治理员,可以控制创立安保战略、共享数据或授予治理权限。每次向其他人授予访问权限时,都或许会参与攻打面。
网络钓鱼和两边人攻打曾经变得愈加先进,其中许多战略甚至可以继续成功捕捉来自阅历丰盛的云治理员的凭据。没有人宿愿自己的员工凭证在暗网上发售。
幸运的是,相对繁难的方法可以显着降落与凭据暴露关系的危险。您或许曾经经常使用多重身份验证 (MFA) 或触及明码以外的内容的强身份验证技术。例如, 极速身份在线 (FIDO) 密钥弱小的、防网络钓鱼的 身份验证方法,该方法易于经常使用,并且或许已在治理员的现有设备上可用。MFA 处置方案通常联合至少两个身份验证起因:领有的物品(设备)和知道的物品(PIN 或明码)或物品(动物识别扫描)。MFA 的好处十分有影响力,因此咱们选择在一切 OCI 租户中自动实施它。
如今自动启用强身份验证
2023 年夏季,咱们在 OCI 中采取了措施,进一步增强登录安保性,并经过强迫口头 MFA 作为 OCI 的自动安保形态,协助防止凭据暴露的危险。每个新租户都是在自动状况下为云治理员启用 MFA 的状况下创立的。Oracle 已为一切预先存在的租赁提供了 Oracle Cloud Console 的自动战略,强迫经常使用 MFA。
咱们倡导继续为上班负载性能正确的安保性。例如,经常使用 Oracle Cloud Guard 了解和监控或许削弱安保态势的性能,经常使用安保区域以预防性方式实施战略,以及经常使用 OCI IAM 协助实施零信任和最小权限准则。此外,继续要求一切云治理员启动强身份验证。 检查咱们的云安保产品组合的 其他局部,了解这些服务如何协助您包全环境。