Segurança do Serviço Compute
Este tópico fornece informações e recomendações de segurança para o serviço Compute.
O serviço Compute permite provisionar e gerenciar hosts de computação, conhecidos como instâncias. Você pode criar instâncias conforme necessário para atender aos seus requisitos de computação e aplicativo. Depois de criar uma instância, você pode acessá-la de forma segura pelo seu computador, reiniciá-la, anexar e desconectar volumes e encerrá-la quando terminar com ela. Quaisquer alterações feitas nas unidades locais da instância são perdidas quando você as encerra. Todas as alterações salvas nos volumes anexados à instância são mantidas.
Responsabilidades de Segurança
Para usar o serviço Compute com segurança, conheça suas responsabilidades de segurança e conformidade.
A Oracle é responsável pelos seguintes requisitos de segurança:
- Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste no hardware, software, rede e instalação usados para executar serviços do Oracle Cloud Infrastructure.
Suas responsabilidades de segurança estão descritas nesta página, que inclui as seguintes áreas:
- Controle de Acesso: limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
- Criptografia e Confidencialidade: Use chaves de criptografia e segredos para proteger seus dados e estabelecer conexão com recursos protegidos. Gire essas chaves regularmente.
- Aplicação de Patches: Mantenha o software atualizado com os patches de segurança mais recentes para evitar vulnerabilidades.
Tarefas de Segurança Inicial
Use esta lista de verificação para identificar as tarefas executadas para proteger o serviço Compute em uma nova tenancy do Oracle Cloud Infrastructure.
| Tarefa | Mais Informações |
|---|---|
| Usar políticas do serviço IAM para conceder acesso a usuários e recursos | Políticas do IAM |
| Criptografe recursos usando uma chave personalizada | Criptografia de Dados |
| Acesso seguro da rede a recursos | Segurança da Rede |
| Ativar e configurar o Cloud Guard (opcional) | Cloud Guard |
| Criar uma zona de segurança (opcional) | Zonas de Segurança |
Tarefas de Segurança da Rotina
Depois de começar a usar o Compute, use esta lista de verificação para identificar as tarefas de segurança que recomendamos que você execute regularmente.
| Tarefa | Mais Informações |
|---|---|
| Rotacionar chaves de criptografia | Criptografia de Dados |
| Responder aos problemas detectados no Cloud Guard | Cloud Guard |
| Aplicar os patches de segurança mais recentes | Aplicando patch |
| Executar uma auditoria de segurança | Auditoria |
Políticas do serviço IAM
Use políticas para limitar o acesso ao serviço Compute.
Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.
Atribua a um grupo o mínimo de privilégios necessários para executar suas responsabilidades. Cada política tem um verbo que descreve quais ações o grupo pode executar. Na menor quantidade de acesso à maioria, os verbos disponíveis são: inspect, read, use e manage.
Recomendamos que você conceda permissões DELETE a um conjunto mínimo de usuários e grupos do serviço IAM. Esta prática minimiza a perda de dados de exclusões inadvertidas por usuários autorizados ou de atores mal-intencionados. Só conceda permissões DELETE aos administradores de tenancies e compartimentos.
Em todos os exemplos a seguir, as políticas têm uma tenancy como escopo. Porém, com a especificação de um nome de compartimento, as políticas podem ter seu escopo reduzido a um compartimento específico em uma tenancy.
O exemplo a seguir permite que o grupo InstanceUsers . inicie instâncias, mas não as exclua.
Allow group InstanceUsers to manage instance-family in tenancy
where request.permission!='INSTANCE_DELETE'
Allow group InstanceUsers to use volume-family in tenancy
Allow group InstanceUsers to use virtual-network-family in tenancyPor motivos de conformidade de segurança, alguns clientes não desejam expor a console da instância aos usuários da tenancy. O exemplo de política a seguir restringe a capacidade de criar ou ler por meio de consoles.
Allow group InstanceUsers to manage instance-console-connection in tenancy
where all {request.permission!= INSTANCE_CONSOLE_CONNECTION_READ,
request.permission!= INSTANCE_CONSOLE_CONNECTION_CREATE}Para obter mais informações sobre políticas do serviço Compute e para ver mais exemplos, consulte Detalhes dos Serviços Principais.
Controle de Acesso
Além de criar políticas do serviço IAM, bloqueie o acesso às instâncias de computação .
Acesso da Instância a Outros Serviços
Você pode usar o recurso principais da instância do Oracle Cloud Infrastructure para autorizar instâncias a acessar outros serviços em nome de um usuário do IAM.
Por exemplo, uma instância pode acessar Block Volume, Networking, Load Balancer ou Object Storage.
Para usar essa funcionalidade, crie grupos dinâmicos e conceda a eles acesso a APIs de serviço. Os grupos dinâmicos permitem que você agrupe instâncias de computação do Oracle Cloud Infrastructure como atores "principais" (semelhantes aos grupos de usuários). Em seguida, você pode criar políticas para permitir que as instâncias façam chamadas de API em serviços do Oracle Cloud Infrastructure.
Ao criar um grupo dinâmico, em vez de adicionar membros explicitamente ao grupo, você define um conjunto de regras de correspondência para definir os membros do grupo. Uma chave privada de curta duração para assinar chamadas da API é entregue por meio do serviço de metadados da instância (http://169.254.169.254/opc/<version>/identity/cert.pem), e a chave é rotacionada várias vezes por dia. Para obter mais informações sobre como acessar serviços por meio de instâncias, consulte Chamando Serviços por Meio de uma Instância.
Acesso aos Metadados da Instância
Recomendamos que você limite o acesso aos metadados da instância a usuários privilegiados na instância.
Os metadados da instância (http://169.254.169.254) fornecem informações predefinidas da instância, como o OCID e o nome para exibição, além de campos personalizados. Os metadados da instância também podem fornecer credenciais de vida curta, como credenciais de grupo dinâmico. O exemplo a seguir mostra como usar iptables para restringir o acesso aos metadados da instância ao usuário root.
iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROPAs instâncias usam endereços locais de links para acessar o serviço de metadados da instância (169.254.169.254:80), DNS (169.254.169.254:53), NTP (169.254.169.254:123), atualizações de kernel (169.254.0.3) e conexões iSCSI para volumes de inicialização (169.254.0.2:3260, 169.254.2.0/24:3260). Você pode usar firewalls baseados em host, como iptables, para garantir que somente o usuário root esteja autorizado a acessar esses IPs. Certifique-se de que essas regras de firewall do sistema operacional não sejam alteradas.
O serviço de metadados da instância está disponível nas versões 1 e 2. O IMDSv2 oferece maior segurança em comparação com o v1. Recomendamos que você desative IMDSv1 e permita solicitações apenas para IMDSv2. Consulte Fazendo Upgrade para o Serviço de Metadados da Instância v2.
Cloud Guard
Ative o Cloud Guard e use-o para detectar e responder a problemas de segurança nos recursos do serviço Compute.
Depois de detectar um problema, o Cloud Guard sugere ações corretivas. Você também pode configurar o Cloud Guard para executar automaticamente determinadas ações. O Cloud Guard inclui as seguintes regras do detector para o serviço Compute.
- A instância tem um endereço IP público
- A instância está executando uma imagem Oracle
- A instância não está executando uma imagem Oracle
- A instância é acessível ao público
- Instância encerrada
- Exportar imagem
- Importar imagem
- Atualizar imagem
Para obter uma lista de todas as regras do detector disponíveis no Cloud Guard, consulte Referência de Receita do Detector.
Se você ainda não tiver feito isso, ative o Cloud Guard e configure-o para monitorar os compartimentos que contêm seus recursos. Você pode configurar destinos do Cloud Guard para examinar toda a tenancy (compartimento raiz e todos os subcompartimentos) ou para verificar apenas compartimentos específicos. Consulte Introdução ao Cloud Guard.
Após ativar o Cloud Guard, você poderá exibir e resolver problemas de segurança detectados. Consulte Processando Problemas Reportados.
Zonas de Segurança
O uso de Zonas de Segurança garante que seus recursos no serviço Compute estejam em conformidade com as melhores práticas de segurança.
Uma zona de segurança está associada a um ou mais compartimentos e a uma receita de zona de segurança. Quando você criar e atualizar recursos no compartimento de uma zona de segurança, o Oracle Cloud Infrastructure validará essas operações com a lista de políticas de zona de segurança na receita. Se qualquer política na receita for violada, a operação será negada. As políticas de zona de segurança a seguir estão disponíveis para recursos no serviço Compute.
deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zonedeny instance_in_security_zone_in_subnet_not_in_security_zonedeny instance_without_sanctioned_imagedeny boot_volume_not_in_security_zone_attach_to_instance_in_security_zonedeny boot_volume_without_vault_key
Para obter uma lista de todas as políticas de zona de segurança, consulte Políticas de Zona de Segurança.
Para mover recursos existentes para um compartimento que esteja em uma zona de segurança, os recursos devem estar em conformidade com todas as políticas de zona de segurança na receita da zona. Da mesma forma, os recursos de uma zona de segurança não podem ser movidos para um compartimento fora da zona de segurança porque ele pode ser menos seguro. Consulte Gerenciando Zonas de Segurança.
Criptografia de Dados
Crie e rotacione chaves de criptografia no serviço Vault para proteger seus recursos no serviço Compute.
Um vault é uma entidade lógica que armazena as chaves de criptografia usadas para proteger seus dados. Dependendo do modo de proteção, as chaves são armazenadas no servidor ou são armazenadas em módulos de segurança de hardware (HSMs) altamente disponíveis e duráveis. Nossos HSMs atendem aos requisitos da certificação de segurança FIPS 140-2 Nível de Segurança 3. Consulte Gerenciando Vaults e Gerenciando Chaves.
Embora as chaves de criptografia padrão possam ser geradas automaticamente quando você cria determinados recursos do Oracle Cloud Infrastructure, recomendamos que você crie e gerencie suas próprias chaves de criptografia personalizadas no serviço Vault.
Os volumes de inicialização da instância são criptografados por padrão. Ao criar uma instância, você pode usar uma chave de criptografia personalizada para criptografar os dados em repouso no volume de inicialização. Se você ativar a criptografia em trânsito para a instância, a chave personalizada também será usada para criptografia em trânsito. Consulte Criando uma Instância.
Cada chave mestra de criptografia recebe automaticamente uma versão de chave. Quando você rotaciona uma chave, o serviço Vault gera uma nova versão da chave. A rotação periódica de chaves limita o volume de dados criptografados ou assinados por uma versão de chave. Se uma chave já estiver composta, a rotação de chave reduzirá o risco para seus dados. Consulte Gerenciando Chaves.
Recomendamos que você use políticas do serviço IAM para limitar estritamente a criação, rotação e exclusão de chaves de criptografia. Consulte Detalhes do Serviço Vault.
Segurança da Rede
Acesso seguro de rede aos seus recursos no serviço Compute, incluindo SSH (Secure Shell).
Proteja o SSH em todas as instâncias. A tabela a seguir mostra algumas recomendações de segurança do SSH. As opções de configuração do SSH podem ser definidas no arquivo sshd_config. No Linux, esse arquivo está em /etc/ssh/sshd_config.
| Recomendação de Segurança | Configuração: sshd_config | Comentários |
|---|---|---|
| Usar somente logins de chave pública | PubkeyAuthentication yes |
Revisar periodicamente as chaves públicas SSH no arquivo ~/.ssh/authorized_keys. |
| Desativar log-ins com senhas | PasswordAuthentication no |
Mitiga ataques de senha de força bruta. |
| Desativar log-ins raiz | PermitRootLogin no |
Impede privilégios raiz para log-ins remotos. |
| Alterar a porta SSH para uma porta não padrão | Port <port_number> |
Opcional. Verifique se essa alteração não quebra aplicativos usando a porta 22 para SSH. |
Use chaves privadas SSH seguras para acessar instâncias e evitar divulgações não intencionais. Para obter mais informações sobre a criação de um par de chaves SSH e a configuração de uma instância com as chaves, consulte Gerenciando Pares de Chaves em Instâncias do Linux.
Use listas de segurança , grupos de segurança de rede ou uma combinação dos dois para controlar o tráfego de entrada e saída no nível do pacote dos recursos na VCN (rede virtual na nuvem) . Consulte Acesso e Segurança.
Fail2ban é um aplicativo que lista os endereços IP envolvidos nas tentativas de acesso de força bruta (ou seja, muitas tentativas com falha de acesso a uma instância). Por padrão, Fail2ban inspeciona os acessos SSH, e você pode configurá-los para inspecionar outros protocolos. Para obter mais informações sobre Fail2ban, consulte Página Principal do Fail2ban.
Além de grupos de segurança de rede da VCN e listas de segurança, use firewalls baseados em host, como iptables e firewalld, para restringir o acesso à rede a instâncias controlando portas, protocolos e tipos de pacotes. Use esses firewalls para impedir possíveis reconhecimentos de ataque de segurança de rede, como varreduras de portas e tentativas de intrusão. Regras de firewall personalizadas podem ser configuradas, salvas e inicializadas em cada boot de instância. O exemplo a seguir mostra comandos para iptables.
# save iptables rules after configuration
sudo iptables-save > /etc/iptables/iptables.rules
# restore iptables rules on next reboot
sudo /sbin/iptables-restore < /etc/iptables.rules
# restart iptables after restore
sudo service iptables restartQuando você cria uma sub-rede em uma VCN, por padrão, a sub-rede é considerada pública e a comunicação pela internet é permitida. Use sub-redes privadas para hospedar recursos que não exigem acesso à Internet. Você também pode configurar um gateway de serviço em sua VCN para permitir que recursos em uma sub-rede privada acessem outros serviços de nuvem. Consulte Opções de conectividade.
O serviço Bastion fornece acesso restrito e limitado por tempo aos recursos de destino que não têm pontos finais públicos. Usando um bastion, você pode permitir que os usuários autorizados se conectem aos recursos de destino em pontos finais privados por meio de sessões SSH (Secure Shell). Quando conectados, os usuários podem interagir com o recurso de destino usando qualquer software ou protocolo suportado pelo SSH. Consulte Gerenciando Bastions.
Use o Firewall de Aplicativo Web (WAF) para criar e gerenciar regras de proteção para ameaças da internet, incluindo XSS (Cross-Site Scripting), Injeção de SQL e outras vulnerabilidades definidas pelo OWASP. É possível reduzir bots indesejados enquanto os bots desejáveis têm permissão para entrar. O WAF observa o tráfego para seu aplicativo Web ao longo do tempo e recomenda novas regras para que você configure. Consulte Getting Started with Edge Policies.
Aplicando patch
Certifique-se de que seus recursos do serviço Compute estejam executando as atualizações de segurança mais recentes.
Mantenha o software da instância atualizado com os patches de segurança. Recomendamos que você aplique periodicamente as atualizações de software disponíveis mais recentes às suas instâncias. As imagens do Oracle Autonomous Linux são atualizadas automaticamente com os patches mais recentes. Para imagens do Oracle Linux, você pode executar o comando sudo yum update (sudo dnf update no Oracle Linux 8). No Oracle Linux, você pode obter informações sobre patches de segurança disponíveis e instalados usando o plug-in yum-security. O exemplo a seguir fornece comandos para yum-security.
# Install yum-security plugin
yum install yum-plugin-security
# Get list of security patches without installing them
yum updateinfo list security all
# Get list of installed security patches
yum updateinfo list security allAs instâncias do Linux no Oracle Cloud Infrastructure podem usar o Oracle Ksplice para aplicar patches críticos do kernel sem reinicializar. O Ksplice pode manter versões específicas do kernel para o Oracle Linux, CentOS e Ubuntu. Para obter mais informações, consulte Oracle Ksplice.
- As portas que são deixadas em aberto acidentalmente podem ser um vetor de ataque potencial para seus recursos de nuvem ou permitir que hackers explorem outras vulnerabilidades.
- Pacotes do SO que requerem atualizações e patches para tratar vulnerabilidades
- Configurações do SO que os hackers podem explorar
Proteção
Configure seus recursos do serviço Compute para implantações de produção.
Estabeleça uma linha de base para reforçar a segurança de imagens do Linux e do Windows que estão sendo executadas nas instâncias. Para obter mais informações sobre como reforçar a segurança das imagens do Oracle Linux, consulte Dicas para Reforçar um Oracle Linux Server. O CCenter for Internet Security Benchmarks fornece um conjunto abrangente de definições de segurança do sistema operacional para diversas distribuições do Linux e do Windows Server.
Entropia da Instância
Em instâncias Linux, /dev/random não bloqueia e deve ser usado para aplicativos de segurança que requerem números aleatórios.
As instâncias bare metal e VM oferecem uma origem de entropia de alta qualidade e de alto throughput. As instâncias têm geradores de número aleatório cuja saída é inserida nos pools de entropia usados pelo sistema operacional para gerar números aleatórios.
Você pode usar os comandos a seguir para verificar o throughput e a qualidade de números aleatórios gerados por /dev/random antes de usar a saída em aplicativos
# check sources of entropy
sudo rngd -v
# enable rngd, if not already
sudo systemctl start rngd
# verify rngd status
sudo systemctl status rngd
# verify /dev/random throughput and quality using rngtest
cat /dev/random | rngtest -c 1000Auditoria
Localize logs de acesso e outros dados de segurança para instâncias de computação.
Vários eventos relacionados a segurança são capturados nos arquivos de log. Recomendamos que você revise periodicamente esses arquivos de log para detectar qualquer problema de segurança. No Oracle Linux, os arquivos de log estão na pasta /var/log. Alguns arquivos de log relevantes para a segurança são listados na tabela a seguir.
| Diretório ou Arquivo de Log | Descrição |
|---|---|
/var/log/secure
|
Auth log mostrando conexões malsucedidas e bem-sucedidas. |
/var/log/audit
|
Logs Auditd capturando chamadas do sistema emitidas, sudo tentativas, sign-ins de usuário etc. ausearch e aureport são duas ferramentas usadas para consultar logs auditd. |
/var/log/yum.log
|
Lista os pacotes instalados ou atualizados nas instâncias com yum. |
/var/log/cloud-init.log
|
Durante a inicialização da instância, cloud-init pode executar scripts fornecidos pelo usuário como um usuário privilegiado. Por exemplo, cloud-init pode introduzir chaves SSH. Recomendamos que você revise os logs de cloud-init para ver se há comandos não reconhecidos. |
O serviço Audit registra automaticamente todas as chamadas de API para recursos do Oracle Cloud Infrastructure. Você pode atingir suas metas de segurança e conformidade usando o serviço Audit para monitorar todas as atividades do usuário em sua tenancy. Como todas as chamadas da Console, SDK e CLI (linha de comando) passam por nossas APIs, todas as atividades dessas origens são incluídas. Os registros de auditoria estão disponíveis por meio de uma API de consulta filtrável autenticada ou podem ser recuperados como arquivos em batch do serviço Object Storage. O conteúdo do log de auditoria inclui a atividade ocorrida, o usuário que a iniciou, a data e a hora da solicitação, bem como o IP de origem, o agente do usuário e cabeçalhos HTTP da solicitação. Consulte Exibindo Eventos de Log de Auditoria.
Um log de auditoria para um evento LaunchInstance
{
"datetime": 1642192740551,
"logContent": {
"data": {
"additionalDetails": {
"X-Real-Port": 50258,
"imageId": "ocid1.image.oc1.<unique_id>",
"shape": "VM.Standard.E3.Flex",
"type": "CustomerVmi",
"volumeId": "null"
},
"availabilityDomain": "AD1",
"compartmentId": "ocid1.tenancy.oc1..<unique_id>",
"compartmentName": "mytenancy",
"definedTags": {},
"eventGroupingId": "<unique_id>",
"eventName": "LaunchInstance",
"freeformTags": {},
"identity": {
"authType": null,
"callerId": null,
"callerName": null,
"consoleSessionId": null,
"credentials": "<key>",
"ipAddress": "<ip_address>",
"principalId": "<user_id>",
"principalName": "<user_name>",
"tenantId": "ocid1.tenancy.oc1..<unique_id>",
"userAgent": "Oracle-JavaSDK/1.33.2 (Linux/4.14.35-2047.509.2.2.el7uek.x86_64; Java/1.8.0_301; Java HotSpot(TM) 64-Bit Server VM GraalVM EE 20.3.3/25.301-b09-jvmci-20.3-b18)"
},
"message": "myinstance LaunchInstance succeeded",
"request": {
"action": "POST",
"headers": {
"Accept": [
"application/json"
],
"Connection": [
"keep-alive"
],
"Date": [
"Fri, 14 Jan 2022 20:38:59 GMT"
]
},
"id": "<unique_id>",
"parameters": {},
"path": "/20160918/instances"
},
"resourceId": "ocid1.instance.oc1.phx.<unique_id>",
"response": {
"headers": {
"Connection": [
"keep-alive"
],
"Content-Type": [
"application/json"
],
"Date": [
"Fri, 14 Jan 2022 20:39:00 GMT"
],
"ETag": [
"<unique_id>"
],
"Transfer-Encoding": [
"chunked"
],
"X-Content-Type-Options": [
"nosniff"
],
"opc-request-id": [
"<unique_id>"
],
"opc-work-request-id": [
"ocid1.coreservicesworkrequest.oc1.phx.<unique_id>"
]
},
"message": null,
"payload": {},
"responseTime": "2022-01-14T20:39:00.551Z",
"status": "200"
},
"stateChange": {
"current": {
"agentConfig": {
"areAllPluginsDisabled": false,
"isManagementDisabled": false,
"isMonitoringDisabled": false
},
"availabilityConfig": {
"recoveryAction": "RESTORE_INSTANCE"
},
"availabilityDomain": "EMIr:PHX-AD-1",
"compartmentId": "ocid1.tenancy.oc1..<unique_id>",
"definedTags": {},
"displayName": "<unique_id>",
"extendedMetadata": {},
"faultDomain": "FAULT-DOMAIN-1",
"freeformTags": {},
"id": "ocid1.instance.oc1.phx.<unique_id>",
"imageId": "ocid1.image.oc1.phx.<unique_id>",
"instanceOptions": {
"areLegacyImdsEndpointsDisabled": false
},
"launchMode": "PARAVIRTUALIZED",
"launchOptions": {
"bootVolumeType": "PARAVIRTUALIZED",
"firmware": "UEFI_64",
"isConsistentVolumeNamingEnabled": true,
"isPvEncryptionInTransitEnabled": false,
"networkType": "PARAVIRTUALIZED",
"remoteDataVolumeType": "PARAVIRTUALIZED"
},
"lifecycleState": "PROVISIONING",
"region": "phx",
"shape": "VM.Standard.E3.Flex",
"shapeConfig": {
"gpus": 0,
"localDisks": 0,
"maxVnicAttachments": 2,
"memoryInGBs": 16,
"networkingBandwidthInGbps": 1,
"ocpus": 1,
"processorDescription": "2.25 GHz AMD EPYC™ 7742 (Rome)"
},
"sourceDetails": {
"imageId": "ocid1.image.oc1.phx.<unique_id>",
"sourceType": "image"
},
"systemTags": {},
"timeCreated": "2022-01-14T20:39:00.260Z"
},
"previous": {}
}
},
"dataschema": "2.0",
"id": "<unique_id> ",
"oracle": {
"compartmentid": "ocid1.tenancy.oc1..<unique_id>",
"ingestedtime": "2022-01-14T20:39:05.212Z",
"loggroupid": "_Audit",
"tenantid": "ocid1.tenancy.oc1..<unique_id>"
},
"source": "<unique_id>",
"specversion": "1.0",
"time": "2022-01-14T20:39:00.551Z",
"type": "com.oraclecloud.computeApi.LaunchInstance.begin"
}
}Se você tiver ativado o Cloud Guard em sua tenancy, ele reportará todas as atividades do usuário que sejam possíveis questões de segurança. Ao detectar um problema, o Cloud Guard sugere ações corretivas. Você também pode configurar o Cloud Guard para executar automaticamente determinadas ações. Consulte Conceitos Básicos do Cloud Guard e Processando Problemas Reportados.