Consejos para asegurar tu entorno OCI con políticas de IAM y Bastion

1. Fundamentos de IAM en OCI

• Compartimentos (Compartments): Estructura jerárquica que te permite aislar recursos.
• Políticas (Policies): Definen quién puede hacer qué en cada compartimento o en el tenancy completo.
• Usuarios, Grupos y Dynamic Groups: Usuarios humanos, grupos de usuarios y entidades basadas en instancias o funciones.
• Roles y Principios del Menor Privilegio: Otorga solo los permisos que son estrictamente necesarios.

2. Diseño de políticas IAM robustas

Al diseñar tus políticas, aplica estos principios:

1. Least Privilege: Cada grupo de usuarios o dynamic group debe tener solo los permisos imprescindibles.
2. Separación de Funciones: Crea grupos para administración, auditoría y operación. Evita solapar responsabilidades.
3. Uso de Condiciones: Limita el acceso por IP, hora o tags. Ejemplo: permitir la gestión de VMs solo desde tu red corporativa.
4. Revisión Periódica: Automatiza auditorías de acceso con herramientas como OCI Audit y verifica registros de actividad.

Ejemplo de política con condicional

Allow group Administradores to manage virtual-network-family in compartment Desarrollo
      where request.client.ip = 192.168.0.0/24
  

3. Políticas recomendadas para escenarios comunes

Caso de Uso	Política Sugerida
Administración de VCN	Allow group NetAdmins to manage virtual-network-family in compartment Red
Despliegue de instancias	Allow group DevOps to launch instance-family in compartment App
Lectura de logs y auditoría	Allow group Auditores to read audit-events in tenancy

4. Aprovechando Dynamic Groups

Los Dynamic Groups permiten definir políticas basadas en atributos de las instancias, sin crear usuarios dedicados. Por ejemplo, puedes dar acceso de lectura a todas las instancias con el tag environment=prod:

Create dynamic-group ProdInstances matching
  instance.compartment.id = ocid1.compartment.oc1..aaaa... and
  resource.tag.environment = prod

Allow dynamic-group ProdInstances to read object-family in compartment Datos
  

5. Seguridad de acceso remoto con Bastion

OCI Bastion actúa como un punto de entrada seguro a instancias privadas. No requiere bastion hosts autogestionados y se integra con IAM.

• Sesiones IAM-secure: Se generan enlaces de conexión cifrados obligando a MFA.
• Rutas Controladas: Define en qué subredes se puede iniciar el túnel.
• Registro y Auditoría: Todas las acciones quedan registradas en OCI Audit.

Pasos para configurar Bastion

1. Crear un Bastion Session en la sección Security gt Bastion de la consola OCI.
2. Seleccionar la subred privada de destino y las instancias a las que dar acceso.
3. Asignar el grupo de IAM que podrá crear sesiones en Bastion, por ejemplo:
   Allow group InfraTeam to use bastion-family in compartment Produccion
4. Iniciar la sesión, descargar el archivo de configuración SSH y conectar de forma transparente.

6. Buenas prácticas adicionales

• Rotación de credenciales: Automática cada 30-90 días con OCI Vault.
• Etiquetado de Recursos (Tags): Facilita la aplicación de políticas y filtrado de auditorías.
• Seguridad de extremo a extremo: Implementa SSL/TLS, WAF y Network Security Groups junto a IAM y Bastion.
• Monitorización continua: Utiliza OCI Logging y Monitoring para alertas proactivas.

Conclusión

Mediante una planificación meticulosa de tus políticas IAM y el uso de OCI Bastion, podrás:

• Reducir la superficie de ataque siguiendo el principio de menor privilegio.
• Controlar y auditar cada acceso a tus recursos privados.
• Simplificar la gestión de acceso remoto sin sacrificar la seguridad.

Para profundizar, consulta la documentación oficial de OCI IAM y de OCI Bastion.