安全性始終是 Oracle 云基礎設施 (OCI) 的首要任務。它是建立信任的基礎，企業(yè)多年來一直信任 Oracle。從一開始，我們就將安全性設計到云平臺的結構中。但您的選擇也會影響您的安全狀況。考慮到這一點，我們最近實施了一項更改，強制對所有 OCI 租戶使用多重身份驗證。

Oracle 云在設計上融入了安全性

OCI 默認拒絕所有訪問。不太可能意外地將敏感數據放入公共存儲桶中，因為默認情況下存儲桶是私有的。必須有人通過OCI 身份和訪問管理 (IAM)服務來使存儲桶公開，并且該操作會在審計跟蹤中受到監(jiān)控和捕獲。事實上，您可以配置Cloud Guard來檢測活動，并使用我們眾多內置檢測器配方之一就存儲桶或訪問策略的更改向安全團隊發(fā)出警報。您還可以選擇配置內置響應程序配方來響應并將存儲桶的可見性更改回私有?；蛘?，如果您想強制執(zhí)行“禁止公共存儲桶”的策略，可以配置安全區(qū)域以防止云管理員將存儲桶更改為公共存儲桶，即使他們有權這樣做。而且它不僅僅是存儲桶。這些安全功能適用于從 OCI 計算實例到網絡組件的全面 OCI 資源。

除了我們在基礎設施之上提供的安全功能之外，我們還在設計基礎設施本身時將安全性作為首要任務。OCI 的隔離網絡虛擬化意味著我們的云管理代碼永遠不會在您的硬件上運行。即使對手獲得了計算主機的根權限，此功能也有助于防止跨網絡的橫向移動。我們使用基于硬件的信任根有助于防止供應鏈攻擊和惡意軟件，因為我們始終在配置時驗證固件。

仍然必須選擇安全地使用 OCI

我們投入了大量資源來確保 OCI 成為您最值得信賴的云平臺。這種安全性是內置的，易于使用，并且在 OCI 中深度集成。但安全是一項團隊運動。作為云管理員，可以控制創(chuàng)建安全策略、共享數據或授予管理權限。每次向其他人授予訪問權限時，都可能會增加攻擊面。

網絡釣魚和中間人攻擊已經變得更加先進，其中許多策略甚至可以繼續(xù)成功捕獲來自經驗豐富的云管理員的憑據。沒有人希望自己的員工憑證在暗網上出售。

幸運的是，相對簡單的方法可以顯著降低與憑據泄露相關的風險。您可能已經使用多重身份驗證 (MFA) 或涉及密碼以外的內容的強身份驗證技術。例如，快速身份在線 (FIDO) 密鑰提供了一種強大的、防網絡釣魚的身份驗證方法，該方法易于使用，并且可能已在管理員的現(xiàn)有設備上可用。MFA 解決方案通常結合至少兩個身份驗證因素：擁有的東西（設備）和知道的東西（PIN 或密碼）或東西（生物識別掃描）。MFA 的好處非常有影響力，因此我們決定在所有 OCI 租戶中默認實施它。

現(xiàn)在默認啟用強身份驗證

2023 年夏季，我們在 OCI 中采取了措施，進一步增強登錄安全性，并通過強制執(zhí)行 MFA 作為 OCI 的默認安全狀態(tài)，幫助防止憑據泄露的風險。每個新租戶都是在默認情況下為云管理員啟用 MFA 的情況下創(chuàng)建的。Oracle 已為所有預先存在的租賃提供了 Oracle Cloud Console 的默認策略，強制使用 MFA。

我們建議繼續(xù)為工作負載配置正確的安全性。例如，使用 Oracle Cloud Guard 了解和監(jiān)控可能削弱安全態(tài)勢的配置，使用安全區(qū)域以預防性方式實施策略，以及使用 OCI IAM 幫助實施零信任和最小權限原則。此外，繼續(xù)要求所有云管理員進行強身份驗證。查看我們的云安全產品組合的其余部分，了解這些服務如何幫助您保護環(huán)境。