安全性始終是 Oracle 云基礎(chǔ)設(shè)施 (OCI) 的首要任務(wù)。它是建立信任的基礎(chǔ)，企業(yè)多年來一直信任 Oracle。從一開始，我們就將安全性設(shè)計到云平臺的結(jié)構(gòu)中。但您的選擇也會影響您的安全狀況。考慮到這一點，我們最近實施了一項更改，強(qiáng)制對所有 OCI 租戶使用多重身份驗證。

Oracle 云在設(shè)計上融入了安全性

OCI 默認(rèn)拒絕所有訪問。不太可能意外地將敏感數(shù)據(jù)放入公共存儲桶中，因為默認(rèn)情況下存儲桶是私有的。必須有人通過OCI 身份和訪問管理 (IAM)服務(wù)來使存儲桶公開，并且該操作會在審計跟蹤中受到監(jiān)控和捕獲。事實上，您可以配置Cloud Guard來檢測活動，并使用我們眾多內(nèi)置檢測器配方之一就存儲桶或訪問策略的更改向安全團(tuán)隊發(fā)出警報。您還可以選擇配置內(nèi)置響應(yīng)程序配方來響應(yīng)并將存儲桶的可見性更改回私有?；蛘?，如果您想強(qiáng)制執(zhí)行“禁止公共存儲桶”的策略，可以配置安全區(qū)域以防止云管理員將存儲桶更改為公共存儲桶，即使他們有權(quán)這樣做。而且它不僅僅是存儲桶。這些安全功能適用于從 OCI 計算實例到網(wǎng)絡(luò)組件的全面 OCI 資源。

除了我們在基礎(chǔ)設(shè)施之上提供的安全功能之外，我們還在設(shè)計基礎(chǔ)設(shè)施本身時將安全性作為首要任務(wù)。OCI 的隔離網(wǎng)絡(luò)虛擬化意味著我們的云管理代碼永遠(yuǎn)不會在您的硬件上運行。即使對手獲得了計算主機(jī)的根權(quán)限，此功能也有助于防止跨網(wǎng)絡(luò)的橫向移動。我們使用基于硬件的信任根有助于防止供應(yīng)鏈攻擊和惡意軟件，因為我們始終在配置時驗證固件。

仍然必須選擇安全地使用 OCI

我們投入了大量資源來確保 OCI 成為您最值得信賴的云平臺。這種安全性是內(nèi)置的，易于使用，并且在 OCI 中深度集成。但安全是一項團(tuán)隊運動。作為云管理員，可以控制創(chuàng)建安全策略、共享數(shù)據(jù)或授予管理權(quán)限。每次向其他人授予訪問權(quán)限時，都可能會增加攻擊面。

網(wǎng)絡(luò)釣魚和中間人攻擊已經(jīng)變得更加先進(jìn)，其中許多策略甚至可以繼續(xù)成功捕獲來自經(jīng)驗豐富的云管理員的憑據(jù)。沒有人希望自己的員工憑證在暗網(wǎng)上出售。

幸運的是，相對簡單的方法可以顯著降低與憑據(jù)泄露相關(guān)的風(fēng)險。您可能已經(jīng)使用多重身份驗證 (MFA) 或涉及密碼以外的內(nèi)容的強(qiáng)身份驗證技術(shù)。例如，快速身份在線 (FIDO) 密鑰提供了一種強(qiáng)大的、防網(wǎng)絡(luò)釣魚的身份驗證方法，該方法易于使用，并且可能已在管理員的現(xiàn)有設(shè)備上可用。MFA 解決方案通常結(jié)合至少兩個身份驗證因素：擁有的東西（設(shè)備）和知道的東西（PIN 或密碼）或東西（生物識別掃描）。MFA 的好處非常有影響力，因此我們決定在所有 OCI 租戶中默認(rèn)實施它。

現(xiàn)在默認(rèn)啟用強(qiáng)身份驗證

2023 年夏季，我們在 OCI 中采取了措施，進(jìn)一步增強(qiáng)登錄安全性，并通過強(qiáng)制執(zhí)行 MFA 作為 OCI 的默認(rèn)安全狀態(tài)，幫助防止憑據(jù)泄露的風(fēng)險。每個新租戶都是在默認(rèn)情況下為云管理員啟用 MFA 的情況下創(chuàng)建的。Oracle 已為所有預(yù)先存在的租賃提供了 Oracle Cloud Console 的默認(rèn)策略，強(qiáng)制使用 MFA。

我們建議繼續(xù)為工作負(fù)載配置正確的安全性。例如，使用 Oracle Cloud Guard 了解和監(jiān)控可能削弱安全態(tài)勢的配置，使用安全區(qū)域以預(yù)防性方式實施策略，以及使用 OCI IAM 幫助實施零信任和最小權(quán)限原則。此外，繼續(xù)要求所有云管理員進(jìn)行強(qiáng)身份驗證。查看我們的云安全產(chǎn)品組合的其余部分，了解這些服務(wù)如何幫助您保護(hù)環(huán)境。