1. تعرف على تصميم منظومة آمنة متعددة الطبقات في السحابة
  2. تصميم شبكة متعددة الطبقات آمنة

تصميم شبكة متعددة الطبقات آمنة

عند تصميم شبكة متعددة الطبقات آمنة ، قم بإنشاء البنية في الطبقات.

ضع الموارد الأكثر حساسًا ، مثل قواعد البيانات ، في الطبقة الداخلية في الشبكات الفرعية الخاصة. تحديد قواعد السرية للتحكم في وصول الشبكة إلى الموارد حركة مرور التوجيه من الإنترنت العام من أجهزة مضيفة الجسم وأدوات موازن التحميل.

تحديد استراتيجية الشبكة الفرعية

تعد الشبكة الفرعية نطاقًا متلاصقًا لعناوين IP في VCN. للتحكم في حركة مرور الشبكة إلى ومن الشبكة الفرعية ، يمكنك إرفاق قوائم السرية وجدول التوجيه ومجموعة من خيارات Dhp.

ضع في اعتبارك المعاملات التالية عند تحديد استراتيجية الصافي الفرعي:
  • لا يمكنك تغيير حجم الصافي الفرعي بعد تكوينه. وبذلك تضع خططًا لكل الأحجام الفرعية التي تحتاجها قبل تكوينها.
  • يمكن أن يكون الشبكة الفرعية خاصة أو عامة. يمكنك إجراء هذا الخيار عند تكوين تلك المصفوفات الفرعية ، ولا يمكنك تغييره لاحقًا.
  • الإستراتيجية النموذجية هي تكوين أراضي فرعية خاصة فقط.
    • ويمكن أن تستخدم حركة المرور من الشبكة المحلية اتصال IPSec VPN أو ارتباط Oracle Cloud Infrastructure FastConnect.
    • يمكن توجيه حركة المرور من الإنترنت العامة من خلال موازن تحميل عام.
    • يمكن توجيه حد المرور الخاص بالإنترنت العام من خلال جيت واي لترجمة عنوان شبكة (NAT). تتيح جيت واي NAT للموارد في الشبكة الفرعية الخاصة إمكانية إجراء اتصالات خارجية على الإنترنت واستلام بيانات على نفس الاتصال. غير مسموح بالاتصالات الواردة من الإنترنت.
  • إذا كانت بنية التطبيق لديك تتطلب عناوين IP عامة (على سبيل المثال ، عند ترحيل تطبيق محلي إلى السحابة )، فاستخدم هيكلاً يحتوي على الشبكة الفرعية الخاصة والعامة.
  • قم بتكوين الإجماليات الفرعية في الأقسام التي تخطط بها الموارد التي تحتاج إلى عمليات التصفية الفرعية.
  • يمكن أن يكون الشبكة الفرعية إما خاصًا بنطاق إتاحة (AD) أو إقليمي. لا يؤثر فشل AD على الشبكات الفرعية الإقليمية.

تصميم قوائم السرية

يمكنك تكوين قواعد سرية تحدد المصدر والوجهة ونوع حركة النقل التي يجب السماح بها داخل وخارج الشبكة الفرعية. يتم تحديد هذه القواعد في قوائم السرية وإرفاق قوائم السرية بالمتجر الفرعي.

لتنفيذ مراقبة مجزأة على تجاوز حركة مرور الشبكة ، يمكنك تكوين قوائم سرية للمداخل الفردية. يمكنك الاحتفاظ بالقواعد المشتركة بين كافة النظارات الفرعية في قائمة سرية منفصلة (عامة). فيما يلي بعض أنواع قوائم التأمين التي يمكنك اعتبارها:
  • قائمة السرية العامة: تحتوي قائمة السرية هذه على القواعد التي ترغب في استخدامها لكل الهدايا الفرعية. وفي العادة ، تحتوي هذه القائمة على بعض القواعد.
  • قائمة السرية الخاصة بالمعالجة: يمكنك تحديد قوائم السرية لطبقات معينة في الهيكل متعدد الطبقات (على سبيل المثال ، منطق الأعمال أو طبقة قاعدة البيانات). عند تصميم الشبكة الفرعية الخاصة بك بعناية ، يمكنك تقليل عدد قواعد السرية المطلوبة للاتصال بين الطبقات بدرجة كبيرة. على سبيل المثال ، يمكنك السماح بالطبقة المنطقية للأعمال بالاتصال بطبقة قاعدة البيانات من خلال تكوين قاعدتي تأمين فقط (الأول وخلال واحد).
  • قائمة سرية العائلة: هذه القائمة لقواعد السرية التي تنطبق على المصفوفات الفرعية التي تكون خدمة مفردة أو لعميل واحد داخل نطاق إتاحة. على سبيل المثال ، القواعد التي تنطبق على الويب والتطبيق وإجراء تحميل الكيانات الفرعية لخدمة balancer داخل نطاق إتاحة في طبقة منطق الأعمال.
  • قوائم التأمين الخاصة بالشبكة الفرعية: تشتمل هذه القوائم على قواعد خاصة بالقوائم الفرعية المفردة.
  • قائمة سرية مؤقتة: يمكنك استخدام قائمة سرية مؤقتة للقواعد التي تقوم باختبار أو بها. على سبيل المثال ، أثناء اختبار حالة استخدام عنوان محددة ، يمكنك تكوين القواعد المطلوبة في قائمة سرية مؤقتة.

تحديد قواعد السرية

استخدم قواعد التأمين للتحكم في حركة مرور الشبكة من وإلى الموارد الخاصة بك. تُعرف كل قاعدة الاتجاه والمصدر والوجهة والمنفذ والبروتوكول يُسمح بحركة المرور الخاصة به.

يمثل الجدول التالي مثالاً للقواعد التي يجب تحديدها لكل عائلة فرعية. حدد القواعد التي تتطلبها تطبيقاتك.

عائلة الشبكة الفرعية قواعد المكونات قواعد البيض
DMZ
  • TCP/22 من أي مكان
  • TCP/80 من أي مكان
  • TCP/443 من أي مكان
 TCP/22 إلى VCN
موازن التحميل
  • TCP/80 من أي مكان
  • TCP/443 من أي مكان
  • TCP/80 للطبقة الوسطى
  • TCP/443 للطبقة الوسطى
الطبقة الوسطى
  • TCP/80 من موازن التحميل
  • TCP/443 من موازن التحميل
TCP/1521 إلى طبقة قاعدة البيانات
قاعدة البيانات TCP/1521 من الطبقة الوسطى بلا

ملاحظة:

تحديد قوائم السرية والقواعد هي الخطوة الأولى في تأمين الشبكة قبل عرض الشبكة إلى الإنترنت ، ضع في الاعتبار كيفية معالجة رفض الخدمة الموزع (DDoS)، وملء SQL ، بالإضافة إلى سمات الشبكة الأخرى.

تحديد الأقسام

استخدم الأقسام لتنظيم موارد السحابة في الحاويات المنطقية والتحكم في الوصول إلى الموارد. الأنظمة التي تعرفها في قدرة المستخدمين على تكوين وإدارة الموارد في أقسام معينة.

تصميم الأقسام والأنظمة تبعًا لكيفية إدارة موارد السحابة. الهدف هو التأكد من أن المستخدمين لديهم حق الوصول إلى الموارد التي يحتاجون إليها فقط على أساس أدوار تكنولوجيا المعلومات والأعمال الخاصة بهم. على سبيل المثال ، في حالة إدارة مجموعة من المستخدمين للطبقة الوسطى وتقوم مجموعة أخرى بإدارة طبقة قاعدة البيانات ، ثم تكوين مقارنة لكل طبقة. حتى في حالة قيام مستخدم بشري واحد بإدارة كلا الطبقتين ، ضع في الاعتبار استخدام مقارنة منفصلة لكل طبقة. يتيح لك هذا الأسلوب فصل الأذون بسهولة عند الحاجة.

كما تتيح لك الأقسام إمكانية تتبع استخدام الميزانية السحابية وإدارته. على سبيل المثال ، يمكنك تكوين موجّه مقارنة لكل قسم في المؤسسة ، ومراقبة الموارد السحابية في كل قسم.

تعيين الأسماء المنطقية إلى الأقسام. استخدم اصطلاح تسمية يتيح لك تحديد طبيعة الموارد وحالتها في الحاوية بسهولة.

يوفر الجدول التالي مثالاً على هيكل المقامات وصافي الفرعي لهيكل متعدد الطبقات النموذجية. في هذا المثال ، قد يكون xxx في اسم عامل المقارنة (على سبيل المثال) Dev أو Test أو Stage أو Prod ؛ وyyy اسمًا للتطبيق أو حمل العمل. على سبيل المثال ، يشير الاسم Prod_Ordering_SharedServices إلى أن المقام يحتوي على موارد إنتاج مستخدمة بواسطة الخدمات المشتركة لتطبيق الترتيب.

القسم نقاط التوصيل الموارد
xxx _ yyy _Networks بلا Vbn والجيت واي
xxx _ yyy _Admin DMZ subnet أجهزة مضيفة الجسم
xxx _ yyy _BusinessLogic
  • العناصر الفرعية لخادم الويب
  • العناصر الفرعية للتطبيقات
  • شبكات فرعية من المحمّل
  • طبعات خادم الويب
  • طبعات خادم التطبيق
  • نقاط توصيل وحدة تحميل المحمولة
xxx _ yyy _Database الإجمالي الفرعي لقاعدة البيانات طبعات قاعدة البيانات
xxx _ yyy _SharedServices خدمات مشتركة فرعية المكونات المشتركة

قم بتكوين شبكة السحابة الظاهرية والجيت واي الخاصة بها في مقياس المقارنة xxx _ yyy _Networks ، وقم بتكوين الملخصات الفرعية المطلوبة في الأقسام الأخرى.

تكوين مستخدمين

يجب تعريف كل شخص أو نظام يحتاج إلى تكوين الموارد أو إدارتها كمستخدم في Oracle Cloud Infrastructure Identity and Access Management (IAM) أو في موفر هوية موحد. قم بتكوين المستخدمين المطلوبين.

عند تسجيل الدخول إلى حساب Oracle Cloud، يقوم Oracle بإعداد مستخدم مسئول وتعيين المستخدم إلى مجموعة تسمى المسئولون . لا يمكن حذف هذه المجموعة. يمكنك إضافة المزيد من المستخدمين إليها. يتيح النظام المعرف مسبقًا للمسئولين إمكانية إدارة كافة الموارد في Oracle Cloud Infrastructure.

قم بتكوين المستخدمين المطلوبين. إذا كان الحساب يستخدم موفر هوية موحد (على سبيل المثال Oracle Identity Cloud Service )، فقم بتكوين المستخدمين في موفر الهوية هذا.

إذا احتاج المستخدمين الموحد إلى القدرة على إدارة مفاتيح API ومقاطع التصديق ، فتأكد من تكوين موفر الهوية الموحد لتزويد المستخدمين في IAM. (هذا التكوين مطلوب فقط للحسابات التي تم تكوينها قبل 21 ديسمبر 2018.) أو بدلاً من ذلك ، قم بتكوين مستخدم محلي في IAM.

تخطيط المجموعات والأنظمة

يمكنك التحكم في أذون مستخدم من خلال إضافة المستخدم إلى مجموعة أو من خلال إزالة المستخدم من مجموعة. تخطيط المجموعات والنظم المطلوبة للسماح للمجموعات بإدارة الموارد في أقسام معينة.

يمكنك تعيين مستخدم لمجموعة واحدة أو أكثر. تتحكم الأنظمة في الوصول إلى موارد Oracle Cloud Infrastructure. يحدد النظام الأذون الخاصة بمجموعة أو مستخدمين أو نماذج مقارنة أو أكثر.

يسرد الجدول التالي المجموعات والأذونات المطلوبة ، عادة ما تكون للبنية متعددة الطبقات:

المجموعة الأذون
DBAdmins
  • قراءة كل الموارد الموجودة في الأرض المستأجرة.
  • إدارة موارد قاعدة البيانات.
IAMAdminManagers
  • إدارة المستخدمين.
  • إدارة مجموعات Administrators و NetSecAdmins.

ملاحظة : يقوم Oracle بتكوين المجموعة Administrators عند الاشتراك في Oracle Cloud. يمتلك المستخدمون في هذه المجموعة حق وصول كامل إلى كل الموارد الموجودة في الأرض المستأجرة ، بما في ذلك إدارة المستخدمين والمجموعات. قصر العضوية على هذه المجموعة.

IAMManagers
  • إدارة المستخدمين.
  • إدارة كل المجموعات باستثناء Administrators و NetSecAdmins.
NetworkAdmins
  • قراءة كل الموارد الموجودة في الأرض المستأجرة.
  • إدارة كل موارد الشبكات باستثناء قوائم السرية ووحدات جيت واي على الإنترنت واتصالات IPSec VPN والمعدات الخاصة بالعملاء.
NetSecAdmins
  • قراءة كل الموارد الموجودة في الأرض المستأجرة.
  • إدارة قوائم السرية والجيت واي على الإنترنت والمعدات المحلية للعميل واتصالات IPSec VPN وموازن التحميل.
  • استخدام كل موارد الشبكة الظاهرية.
ReadOnly عرض الأرض المستأجرة وفحصها. هذه المجموعة مخصصة للمستخدمين غير المتوقع تكوين أية موارد أو إدارتها (على سبيل المثال ، المراجعون والمدربين).
StorageAdmins
  • قراءة كل الموارد الموجودة في الأرض المستأجرة.
  • إدارة تخزين الوحدة وموارد حجم القطعة.
SysAdmins
  • قراءة كل الموارد الموجودة في الأرض المستأجرة.
  • إدارة احتساب موارد التخزين.
  • إدارة الأقسام.
  • استخدام موازين التحميل والمحطات الفرعية وVNICs.

في موفر الهوية الموحد (على سبيل المثال ، Oracle Identity Cloud Service) يجب تكوين المجموعات المطلوبة وتخطيط كل مجموعة إلى المجموعة المطابقة في Oracle Cloud Infrastructure Identity and Access Management.