Oracle Cloud Infrastructure-Dokumentation

OCI Core Landing Zone

Die Verwendung von Landing Zones ist eine allgemein anerkannte Best Practice für die Cloud-Einführung. Unabhängig davon, ob Ihr Unternehmen klein oder groß ist, können Sie von einer sicheren und skalierbaren Umgebung auf der Basis der Oracle Cloud Infrastructure-(OCI-)Referenzarchitektur profitieren.

Ziel von Landing Zones ist es, Unternehmen dabei zu unterstützen, geschäftskritische Workloads erfolgreich und effizient zu landen. Alle Kerntechnologiekomponenten werden abgedeckt, einschließlich Identität, Netzwerk, Speicher, Rechenleistung und Sicherheit. Alle bewährten Infrastructure-as-Code-Designs (IaC) werden in den Deployment-Prozess automatisiert und können mit einem einzigen Klick bereitgestellt werden.

Die OCI Core Landing Zone vereint die Initiativen Oracle Enterprise Landing Zone (OELZ) und Center for Internet Security (CIS) Landing Zone. Diese Landing Zone bietet eine Referenzarchitektur, mit der Sie mehr Agilität, Skalierbarkeit und Sicherheit in Cloud-Umgebungen erreichen können. Es basiert auf dem OCI Landing Zone Framework, das auf einer modularen Architektur basiert, mit der Sie Cloud-Infrastruktur schnell und einfach bereitstellen und skalieren können. Sie umfasst auch Best Practices für Sicherheit und Compliance, indem Sie die CIS OCI Foundations Benchmark v2.0 anwenden, damit Sie mit einem starken Sicherheitsstatus beginnen und Ihre Complianceziele unterstützen können.

Architektur

Die Landing-Zone-Architektur beginnt mit dem Design von Compartments für Ihren Mandanten sowie der Erstellung von Gruppen und Policys, um eine ordnungsgemäße Aufgabentrennung zu gewährleisten. Es stellt Compartments in einem dafür vorgesehenen übergeordneten Compartment für alle Ihre zentralen Infrastrukturservices bereit, sodass Ihre Teams OCI-Ressourcen effizienter verwalten können. Jedem Landing Zone Compartment wird eine bestimmte Admin-Gruppe zugewiesen, der die erforderlichen Berechtigungen zum Verwalten von Ressourcen im Compartment und zum Zugriff auf Ressourcen in anderen Compartments erteilt werden.

Dieses Design unterstützt auch das Provisioning mehrerer virtueller Cloud-Netzwerke (VCNs), entweder als Standalone-Netzwerke oder als Sprecher in einer Hub- und Spoke-Architektur. Die VCNs können so konfiguriert werden, dass sie ein Hub-VCN bereitstellen, bis zu einer VCN-Topologie mit drei Ebenen, oder sie können auf bestimmte Anwendungsfälle wie die Unterstützung von Oracle Exadata Database Service- oder Oracle Kubernetes Engine-(OKE-)Deployments zugeschnitten werden. Sofort einsatzbereit sind die VCNs mit dem entsprechenden Routing und sicheren eingehenden und ausgehenden Schnittstellen vorkonfiguriert.

Die OCI Core Landing Zone umfasst mehrere vorkonfigurierte Sicherheitsservices, die CIS-OCI-Benchmarks unterstützen, die als Teil der Gesamtarchitektur bereitgestellt und integriert werden, um eine robuste Sicherheitslage sicherzustellen. Diese nativen OCI-Sicherheitsservices umfassen Cloud Guard, Flowlogs, Connector Hub, Vault, Vulnerability Scanning Service, Bastion und Sicherheitszonen. Administratoren können Benachrichtigungen mithilfe von Themen und Ereignissen einrichten, um über Änderungen an bereitgestellten Ressourcen auf dem Laufenden zu bleiben.

Das folgende Diagramm zeigt die Referenzarchitektur der OCI Core Landing Zone.

Diagramm mit vereinfachter Architektur der OCI Core Landing Zone

Die OCI Core Landing Zone besteht aus einer Reihe von Modulen, die flexibel, benutzerfreundlich und hilfreich bei der Ausrichtung der Kundenbereitstellungen an den Empfehlungen der CIS OCI Foundations Benchmark sind.

Identity and Access Management

Mit OCI Identity and Access Management (IAM) wird der Zugriff auf die Cloud-Ressourcen in Ihrem Mandanten verwaltet und kontrolliert. Die Landing Zone erstellt automatisch IAM-Gruppen und -Policys, um den Zugriff auf die in Ihrer Umgebung bereitgestellten Ressourcen zu steuern und Aufgabentrennung und rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) zu unterstützen. Darüber hinaus haben Sie die Möglichkeit, mit dem Microsoft Active Directory Ihrer Organisation zu föderieren, um eine nahtlose Integration mit Ihrem vorhandenen Drittanbieter-Identitätsprovider (IdP) zu ermöglichen. Es gibt mehrere IAM-Module, darunter Compartments, Policys, Gruppen, dynamische Gruppen und Identitätsdomains. Weitere Informationen finden Sie im GitHub-Repository unter IAM-Module für OCI-Landing-Zonen.

OCI-IAM-Policys definieren, wer auf bestimmte Ressourcen zugreifen kann und welche Zugriffsebene ihnen erteilt wird. Der Zugriff wird auf Gruppen- und Compartment-Ebene verwaltet, sodass Sie Policys erstellen können, die einer Gruppe spezifische Berechtigungen in einem Compartment oder im gesamten Mandanten zuweisen. Compartments sind logische Partitionen innerhalb eines OCI-Mandanten. Sie werden verwendet, um Ressourcen zu organisieren, den Zugriff zu verwalten und Nutzungsquoten durchzusetzen. Um den Zugriff auf Ressourcen in einem Compartment zu kontrollieren, erstellen Sie Policys, die angeben, welche Benutzer oder Gruppen auf die Ressourcen zugreifen können und welche Aktionen sie ausführen dürfen. Dieses Compartment-Design folgt einer gemeinsamen Organisationsstruktur, in der IT-Zuständigkeiten in der Regel zwischen Netzwerk-, Sicherheits-, Anwendungsentwicklungs- und Datenbankadministrationsteams aufgeteilt sind.

Die Ressourcen in dieser Landing-Zone-Vorlage werden für die folgenden Compartments bereitgestellt:

  • Umschließendes Compartment: Ein empfohlenes übergeordnetes Compartment, das alle anderen darunter aufgeführten Compartments enthält.
  • Netzwerk-Compartment: Enthält alle Netzwerkressourcen, einschließlich der erforderlichen Netzwerkgateways, Workload-VCNs sowie eine Hub- und Spoke-Option.
  • Sicherheits-Compartment: Enthält Ressourcen zu Logging, Schlüsselverwaltung, Sicherheitslücken-Scans, Bastion und Benachrichtigungen.
  • App Compartment: Umfasst anwendungsbezogene Services wie Compute, Speicher, Funktionen, Streams, Kubernetes-Knoten, API-Gateway und mehr.
  • Datenbank-Compartment: Für Datenbankressourcen dediziert.
  • Exadata-Compartment (optional): Ein Compartment für das Provisioning der Oracle Exadata Database Service-Infrastruktur.

Networking

Sie können die OCI Core Landing Zone so konfigurieren, dass die folgenden Netzwerkressourcen bereitgestellt werden:

  • VCN: Ein anpassbares, softwaredefiniertes Netzwerk in OCI, das Ihnen die vollständige Kontrolle über Ihre Netzwerkumgebung gibt, ähnlich wie bei herkömmlichen Data-Center-Netzwerken. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen. Diese können nach der Erstellung geändert werden. Sie können ein VCN weiter in Subnetze segmentieren, die sich auf eine Region oder Availability-Domain beschränken. Jedes Subnetz verfügt über einen zusammenhängenden IP-Adressbereich, der sich nicht mit anderen Subnetzen im selben VCN überschneidet. Die Größe eines Subnetzes kann nach der Erstellung angepasst werden, und Subnetze können öffentlich oder privat sein.

    Die OCI Core Landing Zone kann für das Deployment von bis zu 10 VCNs konfiguriert werden:

    • 3 VCNs mit drei Ebenen
    • 3 Exadata Cloud Infrastructure-VCNs
    • 3 OKE-VCNs
    • 1 Hub-VCN

    Diese VCNs können als Standalone- oder Peer-Netzwerke bereitgestellt werden. Standardmäßig werden keine VCNs bereitgestellt, es sei denn, sie sind ausgewählt.

  • Internetgateway: Ermöglicht Traffic zwischen öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.

  • Dynamisches Routinggateway (DRG): Virtueller Router, der den privaten Netzwerkverkehr zwischen On-Premise-Netzwerken und VCNs erleichtert. Er kann auch Traffic zwischen VCNs in derselben Region oder über verschiedene Regionen hinweg weiterleiten.
  • NAT-Gateway: Ermöglicht privaten Ressourcen in einem VCN, ausgehende Verbindungen zum Internet zu initiieren, ohne diese Ressourcen für eingehenden Internettraffic freizugeben.
  • Servicegateway: Bietet Zugriff von einem VCN auf OCI-Services, wie Object Storage. Der Traffic vom VCN zu diesen Services fließt über die Netzwerkstruktur von Oracle und vermeidet so das öffentliche Internet.
  • Oracle Services Network (OSN): Dediziertes Netzwerk in OCI für Oracle-Services mit öffentlichen IP-Adressen, auf die über das Internet zugegriffen werden kann. Hosts außerhalb von OCI können über OCI FastConnect oder VPN Connect privat auf das OSN zugreifen. Hosts in Ihrem VCN können das OSN privat über ein Servicegateway erreichen.
  • Netzwerksicherheitsgruppen (NSGs): fungiert als virtuelle Firewall für Ihre Cloud-Ressourcen. Nach dem Zero-Trust-Sicherheitsmodell von OCI wird der gesamte Traffic standardmäßig abgelehnt, und Sie können den Trafficfluss in einem VCN kontrollieren. Eine NSG besteht aus einem Set von Ingress- und Egress-Regeln, die auf ein bestimmtes Set von virtuellen Netzwerkkarten (VNICs) in einem VCN angewendet werden.
  • Zero Trust Packet Routing (ZPR): Verhindert unbefugten Datenzugriff, indem die Netzwerksicherheitsrichtlinie getrennt von der Netzwerkarchitektur verwaltet wird. ZPR verwendet eine benutzerfreundliche, absichtsbasierte Policy-Sprache, um zulässige Zugriffspfade für Daten zu definieren. Alle nicht explizit durch eine Policy definierten Verkehrsmuster können das Netzwerk nicht durchlaufen. Dies vereinfacht den Datenschutz und verhindert die Datenexfiltration. Standardmäßig ist ZPR nicht aktiviert und erfordert eine Konfiguration.

Sicherheit

Standardmäßig ist die OCI Core Landing Zone für die Bereitstellung der folgenden Cloud-nativen Sicherheitsservices konfiguriert, um die CIS OCI Benchmark zu unterstützen und einen robusten Sicherheitsstatus bereitzustellen.

  • Cloud Guard: Der native Cloud-Service unterstützt Sie bei der Überwachung, Identifizierung und Aufrechterhaltung eines hohen Sicherheitsstatus in Oracle Cloud. Der Service untersucht Ihre OCI-Ressourcen kontinuierlich auf Sicherheitsschwächen im Zusammenhang mit der Konfiguration und überwacht Operatoren und Benutzer auf riskante Aktivitäten. Mit anpassbaren Detektorrezepten identifiziert Cloud Guard Fehlkonfigurationen und potenzielle Sicherheitsbedrohungen. Wenn diese erkannt werden, kann es Korrekturmaßnahmen empfehlen oder sie über vordefinierte Responder-Rezepte implementieren. Auf diese Weise können Sie die Sicherheit Ihrer Ressourcen proaktiv verwalten und die Compliance mit Best Practices aufrechterhalten.
  • Sicherheitszone: Mit mindestens einem Compartment und einem Sicherheitszonenrezept verknüpft. Wenn Ressourcen in einer Sicherheitszone erstellt oder geändert werden, validiert OCI den Vorgang anhand der im Zonenrezept definierten Sicherheits-Policys. Bei Verletzung einer Policy wird der Vorgang abgelehnt. Mit Sicherheitszonen können Sie sicherstellen, dass Ihre OCI-Ressourcen die Sicherheitsanforderungen Ihres Unternehmens für Services wie Compute, Networking, Object Storage, Block Volume und Database erfüllen.
  • Vulnerability Scanning-Service: Hilft, die Sicherheit zu verbessern, indem regelmäßig Ports und Hosts auf Sicherheitslücken gescannt werden. Der Service generiert detaillierte Berichte, einschließlich Metriken und Einblicke in identifizierte Sicherheitslücken, die Ihnen helfen, Sicherheitsrisiken proaktiv zu beheben.
  • Vault: Ermöglicht die zentrale Verwaltung von Verschlüsselungsschlüsseln, die Ihre Daten schützen, zusätzlich zu geheimen Zugangsdaten, mit denen der Zugriff auf Ihre Cloud-Ressourcen gesichert wird. Mit dem Vault-Service können Sie Vaults, Verschlüsselungsschlüssel und Secrets erstellen und verwalten.
  • Bastion: Bietet sicheren, kontrollierten Zugriff auf OCI-Ressourcen, die keine öffentlichen Endpunkte haben. Es ermöglicht SSH-Sessions basierend auf der Identität, mit spezifischen IP-Adressbeschränkungen und zeitgebundenem Zugriff. Alle Aktivitäten werden geprüft, um einen sicheren und nachvollziehbaren Remotezugriff auf kritische Ressourcen zu gewährleisten.

Beobachtbarkeit

Die OCI Core Landing Zone ist so konfiguriert, dass die folgenden OCI-Services zur Beobachtbarkeit verwendet werden:

  • Logging: Hoch skalierbarer, vollständig verwalteter Service, der Zugriff auf Logs aus Ihren Cloud-Ressourcen bietet. Sie können Logs in Ihrem Mandanten anzeigen, verwalten und analysieren, einschließlich kritischer Diagnoseinformationen zur Ressourcenperformance und zum Zugriff. Der Service unterstützt die folgenden Logtypen:
    • Auditlogs: Datensätze zu Ereignissen, die vom OCI Audit-Service ausgegeben werden.
    • Servicelogs: Logs, die von OCI-nativen Services wie API Gateway, Ereignisse, Funktionen, Load Balancer, Object Storage und VCN-Flowlogs generiert werden.
    • Benutzerdefinierte Logs: Logs von benutzerdefinierten Anwendungen, Cloud-Providern von Drittanbietern oder On-Premise-Umgebungen mit zusätzlichen Diagnosedetails.
  • Ereignisse: Strukturierte Nachrichten, die von OCI-Services ausgegeben werden und Änderungen an Ressourcen beschreiben. Diese Ereignisse können dem Erstellen, Lesen, Aktualisieren oder Löschen von (CRUD-)Vorgängen, Änderungen des Ressourcenlebenszyklusstatus oder Systemereignissen entsprechen, die sich auf Cloud-Ressourcen auswirken.
  • Benachrichtigungen: Überträgt sichere, äußerst zuverlässige, latenzarme und dauerhafte Nachrichten mithilfe eines Publish-Subscribe-Musters an verteilte Komponenten. Es stellt Nachrichten für Anwendungen bereit, die auf OCI und extern gehostet werden, und kann verwendet werden, um Sie zu benachrichtigen, wenn Alarme, Service-Connectors oder Ereignisregeln ausgelöst werden.
  • Connector-Hub: Eine cloudbasierte Nachrichtenbusplattform, die das Verschieben von Daten zwischen Services in der Cloud orchestriert. Es bietet eine zentrale Oberfläche zum Definieren, Ausführen und Überwachen von Datenübertragungen, mit der Sie Daten von einem Quellservice in einen Zielservice verschieben können. Darüber hinaus können Sie mit Connector Hub Aufgaben angeben, wie das Aufrufen einer Funktion, um die Daten vor der Zustellung an den Zielservice zu verarbeiten. Auf diese Weise ist es einfach, ein Loggingaggregations-Framework für SIEM-Systeme (Security Information and Event Monitoring) zu erstellen.
  • Object Storage: Ermöglicht die Verwaltung von Daten als Objekte in Containern, sodass Sie schnell auf große Mengen an strukturierten und unstrukturierten Daten eines beliebigen Inhaltstyps zugreifen können, einschließlich Datenbankbackups, Analysedaten und Rich Media, wie Bilder und Videos. Sie können Daten sowohl aus dem Internet als auch innerhalb der Cloud-Plattform sicher speichern und abrufen, mit der Möglichkeit, den Speicher zu skalieren, ohne die Performance oder Zuverlässigkeit zu beeinträchtigen. Verwenden Sie Standardspeicher für häufig aufgerufene "heiße" Daten, die einen schnellen und sofortigen Abruf erfordern, und Archive Storage für "kalte" Daten, auf die selten zugegriffen wird, die jedoch zur langfristigen Speicherung aufbewahrt werden.

Empfehlungen

So stellen Sie die OCI Core Landing Zone bereit

Verwenden Sie die folgenden Richtlinien als Grundlage für den Entwurf und die Konfiguration der Sicherheit für Ihre Cloud-Umgebung. Beachten Sie, dass sich Ihre spezifischen Anforderungen von der hier beschriebenen Architektur unterscheiden können.

  • Netzwerkkonfiguration: Stellen Sie bei der Auswahl eines CIDR-Blocks für Ihr VCN sicher, dass er sich nicht mit anderen Netzwerken überschneidet (unabhängig davon, ob es sich um OCI, Ihr On-Premise-Data Center oder einen anderen Cloud-Provider handelt), zu denen Sie private Verbindungen herstellen möchten.
  • Sicherheit überwachen: Mit Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in OCI überwachen und verwalten. Cloud Guard verwendet anpassbare Detektorrezepte, um Sicherheitsschwächen in Ihren Ressourcen zu identifizieren und riskante Aktivitäten von Operatoren und Benutzern zu verfolgen. Wenn ein falsches Konfigurations- oder Sicherheitsproblem erkannt wird, bietet Cloud Guard Empfehlungen für Korrekturmaßnahmen und kann sie mit vordefinierten Responder-Rezepten bei der Implementierung unterstützen.
  • Sicheres Ressourcen-Provisioning: Verwenden Sie Sicherheitszonen für Ressourcen, die ein Höchstmaß an Sicherheit erfordern. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Policy-Set basierend auf Best Practices für die Sicherheit verknüpft ist. Beispiel: Ressourcen in einer Sicherheitszone müssen über das öffentliche Internet nicht zugänglich sein und mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. OCI validiert die Erstellung und Aktualisierung von Ressourcen innerhalb einer Sicherheitszone anhand dieser Policys und verweigert automatisch alle Vorgänge, die diese verletzen.

Überlegungen

Berücksichtigen Sie bei der Implementierung der OCI Core Landing Zone die folgenden Informationen:

  • Zugriffsberechtigungen: Beim ersten Provisioning kann die Landing Zone Ressourcen mit Mandantenadministratorberechtigungen erstellen. Er umfasst vorkonfigurierte Policys, mit denen separate Administratorgruppen jedes Compartment nach dem anfänglichen Setup verwalten können. Diese Policys sind jedoch auf die von der Vorlage bereitgestellten Ressourcen beschränkt und decken nicht alle potenziellen Cloud-Ressourcen ab. Wenn Sie der Terraform-Vorlage neue Ressourcen hinzufügen, müssen Sie zusätzliche Policy-Anweisungen definieren, um die erforderlichen Zugriffsberechtigungen zu erteilen.
  • Netzwerkkonfiguration: Das Landing-Zone-Netzwerk kann auf verschiedene Arten bereitgestellt werden: mit einem bis mehreren eigenständigen VCNs oder in einer Hub- und Spoke-Architektur. Es ist auch möglich, das Netzwerk ohne Internetverbindung zu konfigurieren.
  • Deployment-Leitfaden: Der Deployment-Leitfaden für OCI Core Landing Zone in GitHub enthält detaillierte Anleitungen zur Konfiguration der OCI Core Landing Zone. Es enthält Deployment-Szenarios und Schritte zum Anpassen der Landing Zone.

Deployment

Der Terraform-Code für diese Lösung ist unter GitHub verfügbar. Sie können den Code mit einem einzigen Klick in OCI Resource Manager importieren, den Stack erstellen und die Landing Zone bereitstellen. Alternativ können Sie den Code auf Ihren lokalen Rechner herunterladen, anpassen und die Architektur mit der Terraform-CLI bereitstellen.

Mit dem Beispielstack in Resource Manager bereitstellen

Wählen Sie In OCI bereitstellen, um Resource Manager in der OCI-Konsole zu öffnen und einen Stack zu erstellen.

Wenn Sie noch nicht bei der Konsole angemeldet sind, geben Sie den Mandanten und die Benutzerzugangsdaten ein.

  1. Wählen Sie die Region aus, in der der Stack bereitgestellt werden soll.
  2. Befolgen Sie die Anweisungen und Anweisungen zum Erstellen des Stacks auf dem Bildschirm.
  3. Nachdem Sie den Stack erstellt haben, klicken Sie auf Terraform-Aktionen, und wählen Sie Planen aus.
  4. Warten Sie, bis der Job abgeschlossen ist, und prüfen Sie dann den Plan.
  5. Um Änderungen vorzunehmen, kehren Sie zur Seite Stackdetails zurück, klicken Sie auf Stack bearbeiten, und nehmen Sie die erforderlichen Änderungen vor. Führen Sie dann die Aktion Planen erneut aus.
  6. Wenn keine weiteren Änderungen erforderlich sind, kehren Sie zur Seite Stackdetails zurück, klicken Sie auf Terraform-Aktionen, und wählen Sie Anwenden aus.

Mit dem Terraform-Code in GitHub bereitstellen

  1. Gehen Sie zu GitHub.
  2. Laden Sie den Code herunter, oder klonen Sie ihn auf Ihren lokalen Computer.
  3. Folgen Sie den Anweisungen in der README-Datei.

Hinweis: OCI bietet seine Cloud-Services in allen Public Cloud-Regionen und dedizierten Cloud-Regionen an. Bestimmte spezialisierte oder neu entstehende Services sind jedoch nur in ausgewählten Regionen verfügbar. Weitere Informationen finden Sie unter Serviceverfügbarkeit.