1. إطار أفضل الممارسات لـ Oracle Cloud Infrastructure
  2. ضمان الوصول الآمن للشبكة

ضمان الوصول الآمن للشبكة

اعتماد أفضل الممارسات التالية لتأمين شبكات السحابة الظاهرية والشبكات الفرعية وأرصدة التحميل وموارد الشبكات الأخرى.

تنفيذ عناصر التحكم في الوصول إلى الشبكة

مهندس معماري مؤسسي، مهندس أمان، مهندس شبكات

استخدم عناصر التحكم في الوصول لتأمين شبكتك.
  • حدد أنظمة IAM المناسبة لقصر الوصول إلى موارد الشبكة على المستخدمين والمجموعات المسموح لها فقط بإدارة موارد الشبكة.
  • صياغة إستراتيجية شبكة فرعية متدرجة لـ VCN:
    • الشبكة الفرعية DMZ لأرصدة التحميل.
    • الشبكات الفرعية العامة للمضيفين الذين يمكن الوصول إليهم خارجيًا، مثل خوادم تطبيقات الويب والطبعات التي تقوم بتشغيل أنظمة اكتشاف التسلل (IDS).
    • الشبكات الفرعية الخاصة للمضيفين الداخليين مثل قواعد البيانات.
  • يمكن أن تحتوي مثيلات الحساب المرفقة بشبكة فرعية خاصة على عناوين IP خاصة فقط.
  • إرفاق مضيفين حساسين للأمان (أنظمة قاعدة البيانات، على سبيل المثال) بالشبكات الفرعية الخاصة. للاتصال من هؤلاء المضيفين بالإنترنت، استخدم جيت واي NAT. لتمكين المضيفين من الوصول إلى خدمات Oracle Cloud Infrastructure الأخرى، استخدم جيت واي الخدمة.
  • توفر مجموعات تأمين الشبكة التحكم الدقيق في تدفق حركة المرور بين vNICs الذي تتحكم فيه مجموعة تأمين الشبكة.
  • قوائم التأمين تتحكم في حركة المرور التي يمكن أن تتدفق إلى الشبكات الفرعية وداخلها وخروجها.
  • استخدم مجموعات تأمين الشبكة للتحكم في الوصول إلى مواردك في كل من الشبكات الفرعية الخاصة والعامة:
    • السماح بتدفقات الشبكة المطلوبة لحجم العمل فقط من خلال تكوين مجموعات تأمين لكل طبقة من مستويات التطبيق.
    • لا تسمح بحركة مرور أفقية غير ضرورية داخل طبقات التطبيق أو فيما بينها.
    • لا تسمح لطبقات التطبيق بالاتصال بطبقات أخرى ما لم يكن ذلك مطلوبًا.
  • استخدم قواعد التأمين الجزئية لتنظيم الاتصال داخل VCN، مع الإنترنت، ومع VCNs الأخرى المتصلة من خلال تثبيت جيت واي، ومع المضيفين المحليين.
  • لإعداد نظام اكتشاف تدخل ومسح كل حركة المرور الصادرة، استخدم ميزة جدول مسار VCN.
  • تدفق سجلات تدفق الشبكة الفرعية VCN تدفق حركة مرور داخل VCN. قم بتشغيل سجلات تدفق VCN Subnet وراقب محتوياتها بانتظام.
  • تمكين جدار حماية تطبيق الويب لخدمات HTTPS ذات الواجهة العامة.

تأمين أرصدة التحميل

مهندس معماري مؤسسي، مهندس أمان، مهندس شبكات

يمكنك تمكين اتصالات TLS الشاملة بين تطبيقات العميل وVCN للعميل باستخدام موازنات التحميل.
  • لإنهاء TLS في مُوازن الأحمال، استخدم مُوازن أحمال HTTP. لإنهاء TLS في خادم الخلفية، استخدم موزان تحميل TCP.
  • يمكنك تكوين وصول الشبكة إلى موازنات التحميل باستخدام مجموعات تأمين الشبكة أو قوائم التأمين.
  • تعريف أنظمة IAM لقصر الأذون على إدارة موازنات التحميل على مجموعة دنيا من المستخدمين والمجموعات.

تقييد الوصول باستخدام مصادر الشبكة

مهندس معماري مؤسسي، مهندس أمان، مهندس شبكات

مصدر الشبكة هو مجموعة من عناوين IP المعرفة. يمكن أن تكون عناوين IP عناوين IP عامة أو عناوين IP من VCNs ضمن مدة الإيجار.
بعد تكوين مصدر شبكة، يمكنك الإشارة إليه في النظام أو في إعدادات تصديق العميل للتحكم في الوصول استنادًا إلى عنوان IP الأصلي.

لا يمكن تكوين موارد الشبكة إلا في الاستئجار (أو المقطع الجذري) وتقيم، شأنها شأن موارد الهوية الأخرى، في المنطقة الرئيسية.

يمكنك استخدام مصادر الشبكة للمساعدة على تأمين مستأجرك بالطرق التالية:

  • حدد مصدر الشبكة في نظام IAM لتقييد الوصول إلى الموارد. عند تحديده في نظام، يقوم IAM بالتحقق من أن طلبات الوصول إلى مورد تنشأ من عنوان IP مسموح به. على سبيل المثال، يمكنك قصر الوصول إلى رزم تخزين الكائنات الموجودة في مستأجرك على المستخدمين الذين قاموا بتسجيل الدخول إلى Oracle Cloud Infrastructure فقط من خلال شبكة شركتك. أو يمكنك فقط السماح للموارد التي تنتمي إلى شبكات فرعية محددة من VCN محددة بتقديم طلبات عبر جيت واي الخدمة.
  • حدد مصدر الشبكة في إعدادات تصديق العميل لقصر تسجيل الدخول على وحدة التحكم الطرفية. يمكنك إعداد نظام تصديق العميل للسماح بتسجيل الدخول إلى وحدة التحكم الطرفية من عناوين IP المحددة في مصدر الشبكة فقط. سيتم رفض وصول المستخدمين الذين يحاولون تسجيل الدخول من عنوان IP غير المدرج بالقائمة المسموح بها في مصدر الشبكة.

تأمين نطاقات وسجلات DNS

مهندس معماري مؤسسي، مهندس أمان، مهندس شبكات

يمكن أن تؤدي التحديثات غير الصحيحة أو عمليات الحذف غير المصرح بها لمناطق DNS والسجلات إلى انقطاع الخدمة.

حدد سياسات IAM لتقييد المستخدمين الذين يمكنهم تعديل نطاقات وسجلات DNS.

الاستفادة من الحد الأقصى لمناطق التأمين في Oracle Cloud Infrastructure

مهندس معماري مؤسسي، مهندس أمان، مهندس شبكات

تساعدك خدمة الحد الأقصى لمناطق الأمان على تقليل مخاطر سياسات الأمان المنخفضة بشكل غير مناسب.

عند بدء مشروع جديد وبناء حل جديد، هناك الكثير من إرشادات أفضل الممارسات، من مصادر مختلفة عديدة، مثل:

  • توصيات البائعين
  • المعايير والسياسات التنظيمية
  • الأطر الخارجية
  • الالتزام باللوائح
  • الهياكل المرجعية

وعادة ما تغطي أفضل الممارسات هذه مجموعة من موضوعات التأمين المختلفة، بما في ذلك التصديق والتشفير والتخزين والتحكم في الوصول، وما إلى ذلك. غير أن المشورة المتعلقة بأفضل الممارسات تتجاهل في كثير من الحالات. وقد رأيناها جميعا مرات عديدة: الجداول الزمنية للمشاريع، وقيود الميزانية، والثغرات المعرفية، والبيئات التي تبدأ بوصفها غير منتجة، يمكن أن تعني جميعها أن أفضل الممارسات ذات الصلة لا تتبع، مما يؤدي إلى بيئة غير آمنة وضعف الوضع الأمني.

تهدف خدمة الحد الأقصى لمناطق الأمان في Oracle Cloud Infrastructure إلى مساعدتك على تقليل هذا الخطر إلى الحد الأدنى. منطقة الأمان هي تحكم وقائي، وهو، بحكم طبيعته، يحتوي على بيانات وموارد حساسة، مقيد بالتصميم. على سبيل المثال، سيتم تحرير الحد الأقصى لمناطق التأمين مع تمكين الحد الأقصى لسياسة التأمين. ويتخذ هذا موقفا مفاده أنه لا ينبغي السماح بوصول الجمهور، وأنه ينبغي فصل البيانات الحساسة عن الإنترنت قدر الإمكان. وتفرض سياسة التأمين هذا المنصب من خلال منعك، في الوقت الفعلي، من تكوين موارد من شأنها كسر هذا النظام.

تعلم المزيد