Článek přečtěte do 3 min.

Multicloud je nový trend

Kromě OCI budete pravděpodobně provozovat úlohy i v jiných cloudových prostředích, jako jsou AWS, Azure nebo GCP, a pro své CI/CD kanály využívat platformy, jako jsou GitHub Actions. Tyto úlohy pravděpodobně vyžadují častý přístup k OCI API, ale tradiční přístupy, jako je zřizování uživatelů do OCI IAM nebo vkládání dlouhodobých klíčů API, představují provozní režii a rizika.

Federace identity pracovní zátěže (WIF) OCI IAM umožňuje externím úlohám bezpečně vyměňovat tokeny OpenID Connect třetích stran (ve formě webových tokenů JSON) za tokeny UPST (User Principal Session Tokens) vydané OCI. UPST OCI jsou krátkodobé tokeny, které využívají asymetrickou kryptografii k optimalizaci zabezpečení a zároveň usnadňují přístup. Tento přístup zachovává stávající kontext identity úlohy a zároveň umožňuje bezpečný přístup k rozhraním API OCI, čímž eliminuje potřebu statických přihlašovacích údajů nebo duplikace identit.

Tato funkce výměny tokenů WIF odemyká:

  • Zabezpečený přístup napříč hranicemi cloudu bez duplikování identit do OCI.
  • Krátkodobé tokeny s omezeným rozsahem zabraňují trvalému přístupu a zlepšují použitelnost a zabezpečení hybridních aplikací.
  • Zarovnání DevOps kanálu mezi OCI a orchestrací/automatizací hostovanou v Azure, AWS, GCP nebo GitHubu.

WIF hraje základní roli v multicloudových iniciativách společnosti Oracle, které zahrnují řešení pro provozování Oracle Cloud Database Services v Azure, Google Cloud a AWS. Tyto služby umožňují zákazníkům spouštět aplikace v jiných cloudech a zároveň využívat prvotřídní databázové a infrastrukturní možnosti společnosti Oracle.

Klíčové výhody multicloudu

  • Eliminujte statické klíče API: Nahraďte dlouhodobé přihlašovací údaje krátkodobými tokeny vázanými na identitu.
  • Bezpečné už od návrhu: Kryptografický důkaz vlastnictví (PoP) omezuje použití na legitimní držitele tokenů.
  • Volitelná zosobnění: Zachovávejte kontext uživatele nebo volitelně zosobňujte uživatele služby OCI.
  • Plně auditovatelné: Vydávání a používání tokenů je zaznamenáváno komplexně a propojeno identifikátorem požadavku.
  • Připraveno pro více cloudů: Snadno integrujte OCI do stávajících cloudových pracovních postupů bez duplicity uživatelů.
  • Nativní přizpůsobení pro multicloudové pracovní postupy: Optimalizováno pro multicloudové služby Oracle.

Jak to funguje

Proces výměny tokenů WIF začíná, když externě hostovaná úloha získá token OpenID Connect (JSON Web Token nebo JWT) od svého nativního poskytovatele identity a vymění ho za krátkodobý token OCI UPST pomocí rozhraní API pro výměnu tokenů OCI. Token UPST, vložený do veřejného klíče volajícího, se poté použije k bezpečnému volání rozhraní API OCI s vynucením důkazu o vlastnictví.

Proces výměny tokenů federace identit pracovní zátěže (WIF) OCI IAM
Proces výměny tokenů federace identit pracovní zátěže (WIF) OCI IAM

Výše uvedený diagram pomáhá vizualizovat kroky procesu výměny tokenů WIF:

  1. Externí úloha se ověřuje u svého lokálního poskytovatele identity a obdrží token OIDC ve formátu JWT.
  2. Pracovní zátěž volá rozhraní API pro výměnu tokenů OCI a odesílá JWT spolu s jeho veřejným klíčem.
  3. OCI IAM provádí ověření důvěryhodnosti ověřováním podpisu JWT, deklarace cílové skupiny, autorizace volajícího a pravidel zosobnění (pokud jsou nakonfigurována).
  4. OCI vydává krátkodobý token UPST, který obsahuje veřejný klíč úlohy pro důkaz o vlastnictví.
  5. Pracovní zátěž používá token UPST (podepsaný svým privátním klíčem) k bezpečnému volání rozhraní OCI API. OCI ověřuje podpis pomocí veřejného klíče odesílatele.
  6. Vydávání tokenů a používání API jsou plně auditovatelné, což umožňuje sledovatelnost od začátku do konce prostřednictvím jedinečného identifikátoru požadavku (opc-request-id).

Bezpečnostní aspekty

  • Proof-of-Posession (PoP): Každý požadavek musí být podepsán úlohou pomocí jejího soukromého klíče. OCI ověřuje podpis s použitím webového klíče JSON vloženého do UPST.
  • Správa klíčů: Páry soukromých/veřejných klíčů spravuje a rotuje volající. OCI neukládá soukromé klíče použité pro tyto transakce.
  • Nejnižší oprávnění prostřednictvím zásad IAM: Zákazníci by měli používat zásady IAM k přesnému vymezení oprávnění pro uživatele služby (principal UPST). To pomáhá zajistit, aby byl vynucován přístup k prostředkům OCI s nejnižšími oprávněními.

Audit a sledovatelnost

OCI zaznamenává podrobné auditní protokoly pro každou výměnu tokenů, které zaznamenávají identitu žadatele, důvěryhodného poskytovatele identity a typ předloženého tokenu. Každá operace výměny generuje jedinečný identifikátor požadavku (opc-request-id), který propojuje událost vydání tokenu s aktivitou následného OCI API.

Auditní záznam zahrnuje čas vydání, stav požadavku a metadata tokenu, což poskytuje komplexní přehled od příchozího tokenu až po vydání UPST a následný přístup k prostředkům – umožňuje sledovatelnost v celém procesu ověřování a autorizace.

Chcete se dozvědět více?

Chcete-li se dozvědět více o infrastruktuře Oracle Cloud, začněte s bezplatnou zkušební verzí Oracle Cloud nebo vyberte možnost kontaktujte nás a kontaktujte prodejní tým Oracle Security, kde vám sdělí ukázku.

Zdroj: Oracle