安全性始终是 Oracle 云基础设施 (OCI) 的首要任务。它是建立信任的基础,企业多年来一直信任 Oracle。从一开始,我们就将安全性设计到云平台的结构中。但您的选择也会影响您的安全状况。考虑到这一点,我们最近实施了一项更改,强制对所有 OCI 租户使用多重身份验证。
Oracle 云在设计上融入了安全性
OCI 默认拒绝所有访问。不太可能意外地将敏感数据放入公共存储桶中,因为默认情况下存储桶是私有的。必须有人通过OCI 身份和访问管理 (IAM)服务来使存储桶公开,并且该操作会在审计跟踪中受到监控和捕获。事实上,您可以配置Cloud Guard来检测活动,并使用我们众多内置检测器配方之一就存储桶或访问策略的更改向安全团队发出警报。您还可以选择配置内置响应程序配方来响应并将存储桶的可见性更改回私有。或者,如果您想强制执行“禁止公共存储桶”的策略,可以配置安全区域以防止云管理员将存储桶更改为公共存储桶,即使他们有权这样做。而且它不仅仅是存储桶。这些安全功能适用于从 OCI 计算实例到网络组件的全面 OCI 资源。
除了我们在基础设施之上提供的安全功能之外,我们还在设计基础设施本身时将安全性作为首要任务。OCI 的隔离网络虚拟化意味着我们的云管理代码永远不会在您的硬件上运行。即使对手获得了计算主机的根权限,此功能也有助于防止跨网络的横向移动。我们使用基于硬件的信任根有助于防止供应链攻击和恶意软件,因为我们始终在配置时验证固件。
仍然必须选择安全地使用 OCI
我们投入了大量资源来确保 OCI 成为您最值得信赖的云平台。这种安全性是内置的,易于使用,并且在 OCI 中深度集成。但安全是一项团队运动。作为云管理员,可以控制创建安全策略、共享数据或授予管理权限。每次向其他人授予访问权限时,都可能会增加攻击面。
网络钓鱼和中间人攻击已经变得更加先进,其中许多策略甚至可以继续成功捕获来自经验丰富的云管理员的凭据。没有人希望自己的员工凭证在暗网上出售。
幸运的是,相对简单的方法可以显着降低与凭据泄露相关的风险。您可能已经使用多重身份验证 (MFA) 或涉及密码以外的内容的强身份验证技术。例如,快速身份在线 (FIDO) 密钥提供了一种强大的、防网络钓鱼的身份验证方法,该方法易于使用,并且可能已在管理员的现有设备上可用。MFA 解决方案通常结合至少两个身份验证因素:拥有的东西(设备)和知道的东西(PIN 或密码)或东西(生物识别扫描)。MFA 的好处非常有影响力,因此我们决定在所有 OCI 租户中默认实施它。
现在默认启用强身份验证
2023 年夏季,我们在 OCI 中采取了措施,进一步增强登录安全性,并通过强制执行 MFA 作为 OCI 的默认安全状态,帮助防止凭据泄露的风险。每个新租户都是在默认情况下为云管理员启用 MFA 的情况下创建的。Oracle 已为所有预先存在的租赁提供了 Oracle Cloud Console 的默认策略,强制使用 MFA。
我们建议继续为工作负载配置正确的安全性。例如,使用 Oracle Cloud Guard 了解和监控可能削弱安全态势的配置,使用安全区域以预防性方式实施策略,以及使用 OCI IAM 帮助实施零信任和最小权限原则。此外,继续要求所有云管理员进行强身份验证。查看我们的云安全产品组合的其余部分,了解这些服务如何帮助您保护环境。