Oracle Cloud Welcome

OCI Identidade e Segurança
Oracle Cloud Welcome

Bruno Morgado
Moacir Spirlandelli
Cloud Solution Specialist
Oracle Cloud - IaaS & PaaS
2021
2 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

Declaração de Porto Seguro (Safe Harbor Statement) - Geral
O texto a seguir tem como objetivo traçar a orientação dos nossos produtos em geral. É destinado somente a fins informativos e não pode ser incorporado a um contrato. Ele não
representa um compromisso de entrega de qualquer tipo de material, código ou funcionalidade e não deve ser considerado em decisões de compra. O desenvolvimento, a liberação, a
data de disponibilidade e a precificação de quaisquer funcionalidades ou recursos descritos para produtos da Oracle estão sujeitos a mudanças e são de critério exclusivo da Oracle
Corporation.
Esta é a tradução de uma apresentação em inglês preparada para a sede da Oracle nos Estados Unidos. A tradução é realizada como cortesia e não está isenta de erros. Os recursos e
funcionalidades podem não estar disponíveis em todos os países e idiomas. Caso tenha dúvidas, entre em contato com o representante de vendas da Oracle.
Declaração de Porto Seguro (Safe Harbor Statement) - específica para o Brasil e Portugal
As informações a seguir foram coletadas pela Oracle a partir de um analista terceirizado do setor e têm como objetivo apresentar destaques da orientação dos nossos produtos em
geral. São destinadas somente a fins informativos e não podem ser consideradas para diferenciar produtos da Oracle dos produtos de outras empresas.
A Oracle conduziu a análise de “prova de conceito” com um alto nível de atendimento padrão do setor, mas as informações a seguir não estão isentas de erros. A Oracle não afirma
ou garante que os resultados da análise possam ser reproduzidos e/ou demonstrados de maneira lógica. A Oracle não fornecerá nenhuma informação referente à análise, incluindo,
mas não se limitando a, método, lógica, ideia, estratégia de análise e política de análise.
Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

3
"A Internet deve ser um meio de comunicação entre os
povos que contribui para a paz mundial e que o principal
objetivo da alta tecnologia é melhorar o padrão de vida das
pessoas".
Larry Ellison
CEO & Founder
Oracle

SUMÁRIO
Objetivo ………………………. 7 Destinos …………………………………........ 21 Lista de Endereços IP ………………….. 36
Identidade ………………….... 8 Atividade do Respondedor ………………… 22 Verificando …………………………….. 37
Usuários ………………………. 9 Receitas do Detector ………………………... 23 Verificações do Host …………………… 38
Grupos ..……………………….. 10 Receitas do Respondedor ………………….. 24 Verificações de Porta …………………... 39
Grupos Dinâmicos …………… 11 Listas Gerenciadas ………………………….. 25 Relatórios de Vulnerabilidade ………… 40
Origens de rede ……………… 12 Mascaramento de Dados …………………... 26 Destinos ………………………………… 41
Políticas ……………………….. 13 Zonas de Segurança ………………………. 27 Verificar Receitas ………………………. 42
Compartimentos …………….. 14 Visão Geral …………………………………... 28 Vault …………………………………….. 43
Federação …………………….. 15 Receitas ……………………………………… 29 Bastion ………………………………….. 45
Definições de Autenticação … 16 Security Advisor …………………………... 30 Conformidade ………………………..... 47
Cloud Guard …………………. 17 Firewall de Aplicação Web ……………….. 32 Auditoria ………………………………... 49
Visão Geral ……………….….... 18 Políticas ……………………………………… 33
Problemas………………….….. 19 Certificados …………………………………. 34
Recomendações ………....…... 20 Regras de Proteção Personalizadas ……… 35

OBJETIVO
O material a seguir tem como principal objetivo instruir os nossos clientes ao melhor uso e melhores
práticas da nuvem Oracle, além de, suprir algumas dúvidas como, as definições dos serviços e também aproximar o
cliente dos nossos canais de conhecimento, com videos, documentações e artigos.
O documento não substitui as reuniões feitas com os especialistas Oracle, deixando claro que sempre que
necessário, o cliente pode e deve entrar em contato com esses profissionais. Sendo assim, um material
complementar para o uso da nuvem Oracle.

IDENTIDADE E SEGURANÇA
IDENTIDADE

IDENTIDADE USUÁRIOS
Cada usuário tem a capacidade de alterar ou redefinir automaticamente sua própria senha do console, além de
gerenciar suas próprias chaves de API. Um administrador não precisa criar uma política para fornecer ao usuário essas
habilidades.
Para gerenciar credenciais para usuários que não sejam você, você deve estar no grupo Administradores ou em
outro grupo que tenha permissão para trabalhar com a locação. Ter permissão para trabalhar com um compartimento
dentro da locação não é suficiente.
Ao criar um usuário você deve:
1- Vincular o usuário ao nosso suporte.

2- Defina uma senha para ele.
3- Adicione ele a um grupo.
8 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Usuários
IDENTIDADE GRUPOS
Ao criar um grupo, você deve fornecer um nome exclusivo e inalterável como também atrelar usuários a este
grupo. O nome deve ser exclusivo em todos os grupos em sua tenancy. Você também deve fornecer ao grupo
uma descrição (embora possa ser uma string vazia), que é uma descrição não exclusiva e que pode ser alterada para o grupo.
O sistema Oracle também designará ao grupo um ID exclusivo chamado OCID (Oracle Cloud ID).
Um grupo não tem permissões até que você grave pelo menos uma política que dê a esse grupo permissão para a
tenancy ou o compartimento. Ao gravar a política, você pode especificar o grupo usando o nome exclusivo ou o OCID do
grupo. De acordo com a observação anterior, mesmo que você especifique o nome do grupo na política, o serviço IAM usa
internamente o OCID para determinar o grupo.
9 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Grupos
IDENTIDADE GRUPOS DINÂMICOS
Grupos dinâmicos permitem agrupar instâncias de computador do Oracle Cloud Infrastructure como atores
"principais" (semelhantes aos grupos de usuários). Você pode criar políticas para permitir que as instâncias façam
chamadas de API nos serviços do Oracle Cloud Infrastructure. Ao criar um grupo dinâmico, em vez de adicionar
membros explicitamente ao grupo, você define um conjunto de regras correspondentes para definir os membros do
grupo.
Por exemplo, uma regra pode especificar que todas as instâncias em um compartimento específico sejam
membros do grupo dinâmico. Os membros podem mudar dinamicamente à medida que as instâncias são iniciadas e
finalizadas nesse compartimento.
10 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Grupos Dinâmicos
IDENTIDADE ORIGENS DE REDE
Uma fonte de rede especifica endereços IP com permissão para acessar recursos em sua locação.
Os endereços IP podem ser endereços IP públicos ou endereços IP de VCNs dentro de sua locação. Depois de
criar a fonte de rede, você usa a política para restringir o acesso apenas a solicitações originadas dos IPs na fonte de rede.
Quando especificado em uma política, o IAM valida que as solicitações para acessar um recurso são originárias de um
endereço IP permitido.
Por exemplo, você pode restringir o acesso aos buckets de armazenamento de objetos em sua locação apenas para
usuários conectados ao Oracle Cloud Infrastructure por meio de sua rede corporativa. Ou, você pode permitir que apenas
recursos pertencentes a sub-redes específicas de uma VCN específica façam solicitações através de um gateway de serviço .
Os recursos de rede só podem ser criados no arrendamento (ou no compartimento raiz) e, como outros
recursos de identidade , residem na região local .
11 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Origens de Rede
IDENTIDADE POLÍTICAS
Uma política é um documento que especifica quem pode acessar quais recursos do Oracle Cloud
Infrastructure que sua empresa possui e como.
Uma política simplesmente permite um grupo trabalhar de determinadas maneiras com tipos
específicos de recursos em um compartimento particular.

Criando Tags Tudo sobre Políticas
IDENTIDADE COMPARTIMENTOS
Os compartimentos permitem que você organize e controle o acesso aos seus recursos de nuvem. Um
compartimento é um conjunto de recursos relacionados (como instâncias, redes virtuais na nuvem, volumes em blocos) que
só podem ser acessados por determinados grupos que receberam permissão de um administrador. Um compartimento deve
ser entendido como um grupo lógico e não um contêiner físico. Quando você começa a trabalhar com recursos na Console, o
compartimento atua como um filtro do que você está exibindo.
Quando você se inscreve no Oracle Cloud Infrastructure, a Oracle cria sua tenancy, que é o compartimento raiz
que armazena todos os seus recursos de nuvem. Em seguida, você cria compartimentos adicionais na tenancy
(compartimento raiz) e políticas correspondentes para controlar o acesso aos recursos em cada compartimento. Ao criar um
recurso de nuvem, como uma instância, volume em blocos ou rede na nuvem, você deve especificar a qual compartimento
deseja que o recurso pertença.
Basicamente, o objetivo é garantir que cada pessoa tenha acesso apenas aos recursos necessários.
13 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Compartimentos
IDENTIDADE FEDERAÇÃO
Em geral, as empresas usam um provedor de identidades (IdP) para gerenciar senhas/login de usuário e
autenticar usuários para acesso a sites, serviços e recursos seguros.
Quando alguém da sua empresa deseja usar recursos do Oracle Cloud Infrastructure na Console, deve se conectar
usando um login e uma senha. Seus administradores podem federar com um IdP suportado para que cada funcionário
possa usar um login e uma senha existentes e não precise criar um novo conjunto para usar recursos do Oracle Cloud
Infrastructure.
Para federar, um administrador passa por um processo curto para configurar uma relação entre o IdP e o Oracle
Cloud Infrastructure (comumente chamado de confiança federada). Depois que um administrador configura essa relação,
qualquer pessoa da sua empresa que vai para o Oracle Cloud Infrastructure Console recebe uma experiência de "sign-on
único" fornecida pelo IdP. O usuário se conecta com o login/senha que ele já configurou com o IdP. O IdP autentica o
usuário e, em seguida, esse usuário pode acessar o Oracle Cloud Infrastructure.

Federação Tudo sobre Federação
IDENTIDADE DEFINIÇÕES DE AUTENTICAÇÃO
Em geral, este tópico descreve como definir regras de autenticação para sua locação. As configurações de
autenticação incluem regras de política para usuários IAM locais em sua locação e restrições de fonte de rede para todos os
usuários em sua locação.
Como são definidos somente para usuários IAM, não são aplicáveis para usuários Federados.
15 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Autenticação
CLOUD GUARD

CLOUD GUARD VISÃO GERAL
O Oracle Cloud Guard é um serviço de infraestrutura em nuvem da Oracle que ajuda os clientes a monitorar,
identificar, alcançar e manter uma postura de segurança forte no Oracle Cloud.
Use o serviço para examinar seus recursos de infraestrutura em nuvem da Oracle quanto a falhas de segurança
relacionadas à configuração, e seus operadores e usuários para atividades arriscadas. Após a detecção, o Cloud Guard pode
sugerir, auxiliar ou tomar ações corretivas, com base em sua configuração.

Tudo sobre Cloud Guard
CLOUD GUARD PROBLEMAS
Visualize, classifique e filtre a lista de problemas detectados. Visualize detalhes de problemas individuais e
execute ações sobre os problemas individualmente ou em grupos.
Um problema é uma ação ou configuração em um recurso que pode causar um problema de segurança.
Os problemas são acionados por meio de detectores.
A página Problemas exibe informações sobre cada problema, incluindo: Nome do Problema, Nível de risco, Tipo
de Detector, Recurso afetado, Alvo, Região, Etiquetas e Data da última detecção.
Na página Problemas, você pode filtrar problemas por Compartimento, Status, Data, Nível de risco, Tipo de
recurso, Tipo de detector e Região.
Você pode clicar em um problema individual para: Saiba mais sobre esse problema, Ver histórico de problemas e
Tome medidas para resolver ou descartar o problema.

Tudo sobre Problemas
CLOUD GUARD RECOMENDAÇÕES
Use a página Recomendações para localizar e resolver rapidamente os problemas de maior prioridade que o Cloud
Guard detectou.
A maneira como você acessa a página Recomendações determina quais recomendações estão listadas lá:
Diretamente - clicando em Recomendações no painel de opções do Cloud Guard à esquerda. Todas as recomendações são
listadas.
Indiretamente - clicando em uma opção na página Visão geral ou em outro lugar, que filtra automaticamente a lista de
recomendações para exibir um subconjunto de recomendações. Apenas esse subconjunto de recomendações é exibido.
Quando você estiver na página Recomendações, todas as mesmas opções estarão disponíveis.
A página Recomendações exibe essas informações para cada recomendação listada:

Recomendações - texto que identifica a recomendação.
Total - o número total de instâncias do problema ao qual a recomendação se aplica

Tudo sobre Recomendações
CLOUD GUARD DESTINOS
Você pode adicionar destinos para expandir ou alterar o escopo dos recursos que o Cloud Guard monitora.
Um destino define o escopo do que o Cloud Guard verifica. Uma meta pode consistir em toda a sua locação OCI
ou em qualquer combinação de compartimentos abaixo do nível superior. Especifique pelo menos um destino ao habilitar o
Cloud Guard. Você pode definir mais alvos posteriormente.

Tudo sobre Destinos
CLOUD GUARD ATIVIDADE DO RESPONDEDOR
Visualize o status de respondentes recentes que foram acionados e especifique ações adicionais a serem
executadas em respondentes que não concluíram o processamento.
Compreenda as duas maneiras de acessar a página Atividade do respondente e o conteúdo que cada uma
delas exibe. A maneira como você acessa a página Atividade do respondente determina quais respondentes estão
listados lá: Diretamente - clicando em Atividade do respondente no painel de opções do Cloud Guard à esquerda.
Todos os respondentes são listados. Indiretamente - clicando no bloco Status do respondente na página Visão geral,
que filtra automaticamente a lista de respondentes para exibir um subconjunto de respondentes. Apenas esse
subconjunto de respondentes é exibido.
Depois que você estiver na página Atividade do respondente, todas as mesmas opções estarão disponíveis.
Entenda quais informações são exibidas nas diferentes colunas da página Atividade do respondente. Os
cabeçalhos das colunas identificam as informações exibidas: Nome do Respondente, OCID da Atividade do
Respondente, Recurso, Região, Status da Execução (Aguardando confirmação, Falha, Ignorado, Iniciado, Bem-
sucedido), Tipo de Execução, Nome do Problema, Hora de Criação e Hora de Conclusão.

Tudo sobre Atividade do Respondedor
CLOUD GUARD RECEITAS DO DETECTOR
Visualize, clone e modifique as receitas do detector para atender às necessidades de segurança específicas do seu
ambiente. Um detector é um componente do Cloud Guard que identifica possíveis problemas de segurança, com base na
configuração ou atividade do recurso. Cada detector usa uma receita de detector que define o que o detector deve identificar
como um problema. Cada receita de detector consiste em um conjunto de regras de detector, que fornecem uma definição
específica de uma classe de recursos, com ações ou configurações específicas, que fazem com que um detector relate um
problema. Uma receita de detector consiste em várias regras de detector. Se alguma regra for acionada, isso fará com que o
detector relate um problema.
Os detectores do Cloud Guard seguem regras, combinadas em receitas, para identificar problemas. Cada receita
de detector usa várias regras de detector, cada uma das quais uma definição específica de uma classe de recursos, com ações
ou configurações específicas, que fazem com que um detector relate um problema. Se alguma regra for acionada, isso fará
com que o detector relate um problema.
O Cloud Guard oferece dois tipos de receitas de detector: As receitas gerenciadas pela Oracle são fornecidas pela Oracle e
você não pode modificá-las. Receitas gerenciadas pelo usuário devem ser criadas, clonando uma receita gerenciada pelo
Oracle. Você pode modificar receitas gerenciadas pelo usuário conforme necessário.

Tudo sobre Receitas do Detector
CLOUD GUARD RECEITAS DO RESPONDEDOR
Visualize, clone e modifique as receitas do respondente para atender às necessidades de segurança específicas de
seu ambiente. Um respondente é uma ação que o Cloud Guard pode realizar quando um detector identifica um problema. As
ações disponíveis são específicas do recurso. Cada respondente usa uma receita de respondente que define a ação ou
conjunto de ações a serem executadas em resposta a um problema que um detector identificou.
Cada receita de resposta usa várias regras de resposta, cada uma das quais define as ações específicas a serem
executadas. O Cloud Guard fornece um conjunto de respondentes com regras padrão. Você pode:
• Use esses respondentes como estão.
• Clone qualquer um dos respondentes padrão e modifique as regras para atender a necessidades específicas.
• Habilite e desabilite as regras do respondente individualmente.
• Limite o escopo para a aplicação de regras individuais, especificando as condições que devem ser atendidas.

Tudo sobre Receitas do Respondedor
CLOUD GUARD LISTAS GERENCIADAS
Você pode criar, modificar e excluir suas próprias listas gerenciadas conforme necessário para atender às suas
necessidades de segurança específicas.
Uma lista gerenciada é uma lista reutilizável de parâmetros que torna mais fácil definir o escopo das regras do
detector e do respondente.
Uma lista gerenciada é uma ferramenta que pode ser usada para aplicar certas configurações aos detectores.
Uma lista predefinida de "Espaço de endereço IP Oracle confiável" contém todos os endereços IP Oracle que você
deseja considerar confiáveis ao definir regras para detectores e respondentes.
O Cloud Guard também permite que você defina suas próprias listas gerenciadas conforme necessário. Por
exemplo, você pode definir listas de estados ou províncias, CEPs ou códigos postais, OCIDs ou o que mais você precisar.
24 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Listas Gerenciadas
CLOUD GUARD MASCARAMENTO DE DADOS
O mascaramento de dados permite restringir a visualização de diferentes categorias de informações confidenciais

do problema a usuários autorizados. O mascaramento de dados permite definir regras que ocultam ou eliminam categorias
de informações confidenciais de usuários que não têm uma necessidade específica de visualizá-las.
O Cloud Guard aplica as regras de mascaramento às informações confidenciais que, de outra forma, seriam
exibidas na página Problemas, nos detalhes e no histórico do problema. O mascaramento de dados permite que você edite
seletivamente informações confidenciais do problema para usuários não autorizados. O objetivo é restringir diferentes
categorias de informações à exibição apenas por usuários cuja função de trabalho exige que eles vejam esse tipo de
informação. Cada regra de mascaramento de dados especifica categorias de informações confidenciais de problemas que
devem ser editadas para:
Um determinado grupo de usuários IAM, em uma combinação especificada de destinos do Cloud Guard. E você
pode aplicar regras de mascaramento de dados em três níveis:
• Global - as regras se aplicam globalmente a todo o seu contrato de OCI.
• Destino - as regras se aplicam apenas a destinos específicos do Cloud Guard.

Tudo sobre Mascaramento de Dados
ZONAS DE SEGURANÇA

ZONAS DE SEGURANÇA VISÃO GERAL
As zonas de segurança permitem que você tenha certeza de que seus recursos na infraestrutura da nuvem da
Oracle, incluindo computação, rede, armazenamento de objetos e recursos de banco de dados, estão em conformidade com
os princípios de segurança da Oracle. Uma zona de segurança está associada a um compartimento e a uma receita de zona de
segurança. Quando você cria e atualiza recursos em uma zona de segurança, o Oracle Cloud Infrastructure valida essas
operações em relação à lista de políticas definidas na receita da zona de segurança. Se qualquer política de zona de
segurança for violada, a operação será negada.
Por exemplo, uma política de zona de segurança proíbe a criação de depósitos públicos no armazenamento de
objetos. Se você tentar criar um depósito público em uma zona de segurança que tenha essa política ou se tentar modificar
um depósito de armazenamento existente e torná-lo público, receberá uma mensagem de erro. Da mesma forma, você não
pode mover um recurso existente de um compartimento padrão para uma zona de segurança, a menos que todas as políticas
sejam atendidas.
Uma associação entre um compartimento e uma receita de zona de segurança. As operações de recursos em uma
zona de segurança são validadas em relação a todas as políticas da receita.

Tudo sobre Zonas de Segurança
ZONAS DE SEGURANÇA RECEITAS
Ao criar uma zona de segurança, você atribui uma receita a ela. Uma receita é uma coleção de políticas de zona
de segurança.
Quando você executa certas operações de recursos em uma zona de segurança, como a criação de uma instância
de computação ou uma sub-rede, o Oracle Cloud Infrastructure valida automaticamente as políticas dentro da receita
atribuída à zona de segurança.
Sua locação tem uma receita predefinida chamada Receita de segurança máxima, que inclui todas as políticas de
zona de segurança disponíveis. A Oracle gerencia essa receita e você não pode modificá-la.

Tudo sobre Receitas
SECURITY ADVISOR

SECURITY ADVISOR
O Oracle Cloud Infrastructure Security Advisor oferece suporte e reforça o que é exigido das configurações de
locação por zonas de segurança. Ele faz isso combinando e otimizando os fluxos de trabalho existentes para criar com
eficiência recursos que atendam aos requisitos básicos de segurança desde o início. Especificamente, você pode atribuir uma
nova chave de criptografia gerenciada pelo cliente a um recurso no momento em que cria o recurso, mesmo que nunca tenha
criado um cofre ou chave de criptografia antes. As zonas de segurança requerem criptografia usando chaves gerenciadas
pelo cliente sempre que possível porque ninguém, exceto um usuário autorizado pode acessar as chaves, resultando em
dados confidenciais que só podem ser descriptografados e lidos por aqueles explicitamente permitidos.
Fluxos de trabalho simplificados reduzem a complexidade e a tomada de decisões. Onde, de outra forma, você
precisaria escolher entre as definições de configuração, o Consultor de Segurança fornece apenas a opção mais segura. Por
exemplo, o Security Advisor permite apenas que você crie chaves mestras de criptografia com 256 bits de comprimento.
Chaves de criptografia mais longas fornecem maior segurança do que as mais curtas.

Tudo sobre Security
FIREWALL DE APLICAÇÃO WEB

FIREWALL DE APLICAÇÃO WEB POLÍTICAS
As políticas WAF abrangem a configuração geral de seu serviço WAF, incluindo gerenciamento de origem,
configurações de regras de proteção e recursos de detecção de bot.
O serviço WAF do Oracle Cloud Infrastructure permite que você crie uma política e origem WAF.
Ordem de processamento. A ordem em que as regras e manipuladores são processados é:
• IP Whitelists / Blacklists / Good Bot Whitelists
• Inteligência de Ameaças
• Regras de acesso
• Limitação de taxa (disponível na API)
• Desafio JavaScript
• Desafio de impressão digital do dispositivo
• Desafio de interação humana
• Desafio Captcha
• Regras de Proteção
• Regras de cache
Tudo sobre Políticas
FIREWALL DE APLICAÇÃO WEB CERTIFICADOS
Para usar SSL com sua política WAF, você deve adicionar um pacote de certificados. O pacote de certificados que
você carrega inclui o certificado público e a chave privada correspondente. Os certificados autoassinados podem ser usados
para a comunicação interna dentro do Oracle Cloud Infrastructure.

Tudo sobre Certificados
FIREWALL DE APLICAÇÃO WEB REGRAS DE PROTEÇÃO
PERSONALIZADAS
O serviço WAF permite definir e aplicar regras de proteção personalizadas de módulos de firewall de código
aberto para suas configurações WAF, como módulos ModSecurity. Este tópico descreve como formatar, criar e implementar
regras de proteção personalizadas em suas políticas WAF usando o Console e a API WAAS. Para obter uma lista de regras
de proteção já disponíveis no serviço, consulte Regras de proteção com suporte.

Tudo sobre Regras de Proteção Personalizadas
FIREWALL DE APLICAÇÃO WEB LISTA DE ENDEREÇOS IP
As Listas de endereços IP WAF permitem definir uma lista de endereços IP a serem usados nas configurações de
política WAF. Uma lista de endereços IP pode ser usada em várias políticas WAF. Os endereços IP na lista podem ser um
endereço IPv4 válido, um subconjunto ou notações CIDR. Você pode usar a lista de endereços IP para definir as condições
para uma regra de acesso. As regras de acesso permitem que você especifique ações explícitas para solicitações que atendam
a várias condições.
Você pode usar a guia Lista de permissões de endereços IP em Controle de acesso para gerenciar listas de
permissões contendo endereços IP confiáveis que ignoram todas as regras e desafios.

Tudo sobre Lista de Endereços IP
VERIFICANDO

VERIFICANDO VERIFICAÇÕES DO HOST
O Oracle Vulnerability Scanning Service verifica seus alvos com base na programação e nas propriedades de
verificação na receita atribuída a cada alvo. Use varreduras de host para identificar vulnerabilidades de segurança em suas
instâncias de computação, como portas abertas, patches críticos de sistema operacional e testes de benchmark com falha.
Deve existir pelo menos um destino de host antes que qualquer varredura de host seja criada. O serviço de varredura cria
um relatório separado para cada instância de computação que você adicionou às configurações de destino. O relatório tem o
mesmo nome da instância de computação. O serviço de varredura salva os resultados de uma instância de computação no
mesmo compartimento que o destino de varredura da instância.
Considere o seguinte exemplo.

• A instância de computação MyInstance está em CompartmentA.
• MyInstance é especificado em Target1.
• Target1 está no CompartmentB.
• Todos os relatórios relacionados ao MyInstance estão no CompartmentB.
• O serviço de varredura categoriza os problemas por esses níveis de risco.

Tudo sobre Verificações do Host
VERIFICANDO VERIFICAÇÕES DE PORTA
verificação na receita atribuída a cada alvo. Este serviço ajuda a identificar portas em suas instâncias de computação que
foram deixadas abertas involuntariamente e podem ser um vetor de ataque potencial para seus recursos de nuvem ou
permitir que hackers explorem outras vulnerabilidades. O serviço de varredura realiza varreduras de porta apenas se todas as
condições a seguir forem verdadeiras:
Existe pelo menos um host de destino. Pelo menos um destino de host está associado a uma receita de varredura que permite
a varredura de porta. O serviço de varredura oferece dois tipos de varredura de portas:
Um mapeador de rede pesquisa seus endereços IP públicos em busca de portas abertas. Se a varredura baseada em
agente estiver ativada na receita de varredura, o agente também verificará se há portas abertas que não estão acessíveis a
partir de endereços IP públicos. O serviço de varredura cria um relatório separado para cada instância de computação que
você adicionou às configurações de destino. O relatório tem o mesmo nome da instância de computação. O serviço de
varredura salva os resultados de uma instância de computação no mesmo compartimento que o destino de varredura da
instância.

Tudo sobre Verificações de Porta
VERIFICANDO RELATÓRIOS DE VULNERABILIDADE
verificação na receita atribuída a cada alvo. Use relatórios de vulnerabilidades para identificar problemas de segurança em
suas instâncias de computação, como patches críticos de sistema operacional. Deve existir pelo menos um destino de host
antes que quaisquer relatórios de vulnerabilidades sejam criados. Os números de Vulnerabilidades e Exposições Comuns
(CVE) são usados pela Oracle para identificar vulnerabilidades de segurança para sistemas operacionais e outros softwares,
incluindo atualizações críticas de patches e alertas de segurança. Os números CVE são identificadores comuns e únicos para
informações publicamente conhecidas sobre vulnerabilidades de segurança. O serviço de varredura salva os resultados de
uma instância de computação no mesmo compartimento que o destino de varredura da instância.
O serviço de varredura categoriza os problemas por esses níveis de risco.
• Crítico - os problemas mais sérios detectados, que devem ser sua prioridade mais alta para resolver.
• Alto - os próximos problemas mais sérios.
• Médio - problemas um pouco menos graves.
• Baixo - problemas que são ainda menos graves.
• Menor - os problemas menos graves detectados; eles ainda precisam ser resolvidos eventualmente, mas podem ser
sua prioridade mais baixa.
39 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Relatórios de Vulnerabilidade
VERIFICANDO DESTINOS
Use o Oracle Vulnerability Scanning Service para criar e gerenciar destinos de host e atribuí-los para verificar
receitas. Um destino de host é uma coleção de instâncias de computação que você deseja verificar rotineiramente em busca
de vulnerabilidades de segurança.
Você tem duas opções ao selecionar as instâncias de computação para um destino de host.
• Faça a varredura de uma ou mais instâncias de computação específicas dentro de um compartimento.
• Faça a varredura de todas as instâncias de computação dentro de um compartimento e seus subcompartimentos.
• Se você criar um destino para o compartimento raiz, todas as instâncias de computação em toda a locação serão
verificadas.
O serviço de varredura salva os resultados de uma instância de computação no mesmo compartimento que o
destino de varredura da instância. Os destinos do Cloud Guard são recursos separados dos destinos de varredura. Para usar o
Cloud Guard para detectar problemas em relatórios de varredura, o compartimento de destino de varredura deve ser o
mesmo que o compartimento de destino do Cloud Guard ou ser um subcompartimento do compartimento de destino do
Cloud Guard.

Tudo sobre Destinos
VERIFICANDO VERIFICAR RECEITAS
Use o Oracle Vulnerability Scanning Service para criar e gerenciar receitas que examinam instâncias de
computação de destino, ou hosts, em busca de vulnerabilidades de segurança em potencial.
Uma receita determina quais tipos de problemas de segurança você deseja verificar:
• Varredura de portas: verifique se há portas abertas usando um mapeador de rede que pesquisa seus endereços IP
públicos
• Verificação baseada em agente:
• Verifique se há portas abertas que não são acessíveis a partir de endereços IP públicos
• Verifique se há vulnerabilidades do sistema operacional, como patches ausentes
• Verifique a conformidade com os benchmarks padrão da indústria publicados pelo Center for Internet Security
(CIS)
O serviço de Varredura verifica os hosts quanto à conformidade com os benchmarks da seção 5 (Acesso, Autenticação e
Autorização) definidos para Distribution Independent Linux. Uma receita também define um cronograma ou com que
frequência a varredura é realizada.

Tudo sobre Verificar Receitas
VAULT

VAULT
O serviço do Vault permite criar cofres em sua locação como contêineres para chaves e segredos de
criptografia. Se necessário, um cofre privado virtual fornece uma partição dedicada em um módulo de segurança de
hardware (HSM), oferecendo um nível de isolamento de armazenamento para chaves de criptografia que é efetivamente
equivalente a um HSM virtual independente.
O Vault permite gerenciar centralmente as chaves de criptografia que protegem seus dados e as credenciais
secretas usadas para acessar recursos com segurança. Você pode usar o serviço Vault para criar e gerenciar os seguintes
recursos:
- Vaults
- Chaves
- Segredos
Os cofres armazenam com segurança chaves mestras de criptografia e segredos que você pode armazenar em
arquivos de configuração ou em código.
43 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Vault
BASTION

BASTION
O Oracle Cloud Infrastructure Bastion oferece acesso restrito e limitado no tempo aos recursos de destino que não
possuem terminais públicos.
Os bastiões permitem que usuários autorizados se conectem a partir de endereços IP específicos para recursos de
destino usando sessões Secure Shell (SSH). Quando conectados, os usuários podem interagir com o recurso de destino
usando qualquer software ou protocolo compatível com SSH. Por exemplo, você pode usar o Remote Desktop Protocol
(RDP) para se conectar a um host Windows ou usar o Oracle Net Services para se conectar a um banco de dados. Os
destinos podem incluir recursos como instâncias de computação, sistemas de banco de dados e bancos de dados de
processamento autônomo de transações.
Bastiões são essenciais em locações com controles de recursos mais rígidos. Por exemplo, você pode usar um
bastião para acessar instâncias do Compute em compartimentos associados a uma zona de segurança. As instâncias em uma
zona de segurança não podem ter pontos de extremidade públicos.
A integração com o Oracle Cloud Infrastructure Identity and Access Management (IAM) permite controlar quem
pode acessar um bastião ou uma sessão e o que eles podem fazer com esses recursos.
Tudo sobre Bastion
CONFORMIDADE

CONFORMIDADE
O serviço Oracle Cloud Infrastructure Compliance Documents permite que você visualize e baixe documentos de
conformidade que você poderia acessar anteriormente apenas enviando uma solicitação ao Portal de Suporte Elevado.
Ao visualizar documentos de conformidade, você pode filtrar os seguintes tipos: Atestado - Um documento de
atestado de conformidade do padrão de segurança de dados (DSS) da indústria de cartões de pagamento (PCI), Auditoria -
Um relatório geral de auditoria, Carta de ponte (BridgeLetter) - Uma carta-ponte. As cartas-ponte fornecem informações de
conformidade para o período de tempo entre a data de término de um relatório SOC e a data de lançamento de um novo
relatório SOC, Certificado - Um documento que indica a certificação por uma autoridade específica, no que diz respeito aos
requisitos de certificação e resultados de exames em conformidade com esses requisitos, SOC3 - Um relatório de auditoria
de Controles de Organização de Serviços 3 que fornece informações relacionadas aos controles internos de uma organização
de serviços para segurança, disponibilidade, confidencialidade e privacidade e Outro - Um documento de conformidade que
não se encaixa em nenhuma das categorias anteriores mais específicas.
Se precisar restringir ainda mais quais documentos são exibidos, você pode combinar o filtro de tipo com o filtro
de ambiente.
47 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados. Tudo sobre Conformidade
AUDITORIA

AUDITORIA
O serviço Oracle Cloud Infrastructure Audit registra automaticamente chamadas para todos os pontos de
extremidade da interface de programação de aplicativos públicos (API) do Oracle Cloud Infrastructure como eventos de log.
Atualmente, todos os serviços suportam registro por Auditoria. O serviço de armazenamento de objeto oferece suporte para
registro de eventos relacionados ao intervalo, mas não para eventos relacionados ao objeto. Os eventos de log registrados
pelo serviço de Auditoria incluem chamadas de API feitas pelo Oracle Cloud Infrastructure Console, Command Line
Interface (CLI), Software Development Kits (SDK), seus próprios clientes personalizados ou outros serviços Oracle Cloud
Infrastructure. As informações nos registros incluem o seguinte: Horário em que a atividade da API ocorreu, Fonte da
atividade, Alvo da atividade, Tipo de ação e Tipo de resposta
Cada evento de log inclui um ID de cabeçalho, recursos de destino, carimbo de data / hora do evento registrado,
parâmetros de solicitação e parâmetros de resposta. Você pode visualizar eventos registrados pelo serviço de Auditoria
usando o Console, API ou o SDK para Java. Os dados dos eventos podem ser usados para realizar diagnósticos, rastrear o
uso de recursos, monitorar a conformidade e coletar eventos relacionados à segurança.

Tudo sobre Auditoria
FONTE DE ESTUDO DA NUVEM ORACLE
CSMLive: Temos um canal de vídeos exclusivos para que você cliente tenha total autonomia e segurança no OCI. Se
inscreva no canal para acompanhar novos conteúdos postados.
Customer Connect: Fóruns, melhorias de produto, eventos e updates dos serviços podem ser encontrados aqui.
Aproveite a comunidade para também compartilhar suas dúvidas e ter acesso a conteúdos em primeira mão.
Oracle University: Canal de treinamentos oficial da Oracle, excelente para quem quer tirar certificações ou apenas
dúvidas pontuais sobre os produtos. Aproveite enquanto a maioria dos cursos está gratuito!
OCI Blog: Acompanhe todas as atualizações que a Oracle oferece a respeito da nuvem. Se inscreva para receber
alertas quando algo novo for postado.
Documentação da nuvem: Ficou com dúvida sobre como implementar algo? Consulte a documentação, você vai
encontrar o passo a passo bem explicativo.

Click icon to add picture
Thank you!
Tecnologia, IaaS & PaaS

Oracle Cloud Welcome - OCI Identidade e Segurança

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Oracle Cloud Welcome - OCI Identidade e Segurança

Enviado por

Direitos autorais:

Formatos disponíveis

OCI Identidade e Segurança

2 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

4 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

Identidade ………………….... 8 Atividade do Respondedor ………………… 22 Verificando …………………………….. 37

Usuários ………………………. 9 Receitas do Detector ………………………... 23 Verificações do Host …………………… 38

Grupos ..……………………….. 10 Receitas do Respondedor ………………….. 24 Verificações de Porta …………………... 39

Grupos Dinâmicos …………… 11 Listas Gerenciadas ………………………….. 25 Relatórios de Vulnerabilidade ………… 40

Origens de rede ……………… 12 Mascaramento de Dados …………………... 26 Destinos ………………………………… 41

Políticas ……………………….. 13 Zonas de Segurança ………………………. 27 Verificar Receitas ………………………. 42

Compartimentos …………….. 14 Visão Geral …………………………………... 28 Vault …………………………………….. 43

Federação …………………….. 15 Receitas ……………………………………… 29 Bastion ………………………………….. 45

Definições de Autenticação … 16 Security Advisor …………………………... 30 Conformidade ………………………..... 47

Cloud Guard …………………. 17 Firewall de Aplicação Web ……………….. 32 Auditoria ………………………………... 49

Visão Geral ……………….….... 18 Políticas ……………………………………… 33

Problemas………………….….. 19 Certificados …………………………………. 34

Recomendações ………....…... 20 Regras de Proteção Personalizadas ……… 35

6 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

7 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

Ao criar um usuário você deve:

1- Vincular o usuário ao nosso suporte.

12 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

14 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

16 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

17 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

Os problemas são acionados por meio de detectores.

18 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

A página Recomendações exibe essas informações para cada recomendação listada:

19 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

20 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

21 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

22 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

23 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

O mascaramento de dados permite restringir a visualização de diferentes categorias de informações confidenciais

25 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

26 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

27 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

28 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

29 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

30 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

31 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

33 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

34 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

35 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

36 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

Considere o seguinte exemplo.

37 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

38 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

40 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

41 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

42 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

44 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

46 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

48 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

49 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

50 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

Tecnologia, IaaS & PaaS

51 Copyright © 2021 Oracle e/ou suas afiliadas. Todos os direitos reservados.

Você também pode gostar