Oracle Cloud Infrastructure-Dokumentation

Compute Cloud@Customer sichern

Compute Cloud@Customer bietet effektive und verwaltbare Sicherheit, mit der Sie geschäftskritische Workloads ausführen und Daten zuverlässig speichern können.

Compute Cloud@Customer ist eine vollständig verwaltete OCI-Regionalressource im Rackmaßstab, die Cloud-Services der zweiten Generation von Oracle On Premise bereitstellt. Das System wird von Oracle installiert und bietet unabhängig von den lokalen Vorgehensweisen ein gewisses Maß an Sicherheit. Dies erfordert jedoch auch, dass die Systemadministratoren genau verstehen, was als Sicherheits-Baseline bereitgestellt wird. Anschließend können die Administratoren Sicherheitsverfahren und -konfigurationen anpassen, um das für ihre spezifischen Umstände erforderliche Maß an Sicherheit zu erreichen.

Hinweis

Umfassende Informationen zur Oracle Cloud Infrastructure-Sicherheit finden Sie unter Oracle Cloud Infrastructure: Sicherheit.

Hauptsicherheitsbereiche

Die Sicherheit von Compute Cloud@Customer wird in drei Bereichen verwaltet:

  • Compute Cloud@Customer-Infrastruktur: Dies ist die physische Rackhardware, die im Besitz von Oracle ist und beim Kunden installiert wird. Einige sicherheitsbezogene Aufgaben werden bei der Installation des Systems auf dieser Basisebene ausgeführt.

    Diese Infrastrukturschicht umfasst auch Software zur Steuerung der Infrastruktur. Der Zugriff auf diese Schicht ist auf autorisierte Oracle-Mitarbeiter beschränkt und wird eng von ihnen überwacht. Sie können steuern, wann autorisierte Oracle-Mitarbeiter auf die Infrastruktur zugreifen können.

  • Infrastrukturbasierte Compute Cloud@Customer-Ressourcen: Hier werden Ihre Workloads erstellt, konfiguriert und gehostet und Cloud-Ressourcen wie Compute-Instanzen, Netzwerke und Speicher verwaltet.

    Sie verwalten die Sicherheit in diesem Bereich, indem Sie die Ressourcen (Netzwerke, Instanzen und Speicher) sicher konfigurieren. Beispiel: Um Ihr VCN zu sichern, können Sie Netzwerksicherheitsgruppen (NSGs) und Sicherheitslisten verwenden, um den Netzwerkzugriff zu sichern, und andere Netzwerksicherheitsfunktionen verwenden. Sie können Instanzen bereitstellen, die SSH-Benutzerschlüssel für die Authentifizierung verwenden. Mit Speicherfeatures können Sie den Block-, Datei- und Objektspeicher sichern.

  • Oracle Cloud Infrastructure Identity and Access Management-(IAM-)Service: Hier konfigurieren Sie Compartments und Policys, um den Zugriff auf Ihre Infrastrukturressourcen zu kontrollieren.

    Der IAM-Service verarbeitet die Authentifizierung - identifiziert Benutzer über vertrauliche Informationen wie Benutzername und Kennwort oder gemeinsame Schlüssel. IAM verarbeitet auch die Autorisierung - Benutzer können nur auf die Ressourcen zugreifen, deren Zugriffsebene ihnen erteilt wurde.

    Achtung

    Bei Compute Cloud@Customer werden IAM-Ressourcen in OCI innerhalb Ihres Mandanten verwaltet und alle etwa zehn Minuten mit Compute Cloud@Customer synchronisiert. IAM-Ressourcen können nicht in der Compute Cloud@Customer-Infrastruktur verwaltet werden.

    Informationen zum Verwalten von IAM finden Sie unter IAM mit Identitätsdomains.

Nach der Konfiguration der oben genannten Sicherheitsbereiche aktivieren Sie die folgenden sicheren Umgebungen:

  • Überlebensfähigkeit geschäftskritischer Workloads: Compute Cloud@Customer verhindert oder minimiert die Schäden, die durch versehentliche und böswillige Aktionen von internen Benutzern oder externen Parteien verursacht werden. Dies wird durch Sicherheitstests von Komponenten, die Prüfung von Protokollen auf Sicherheitslücken und die Überprüfung der Softwarekontinuität selbst bei Sicherheitsverletzungen erreicht.

  • Defense in Depth zur Sicherung der Betriebsumgebung: Compute Cloud@Customer verwendet mehrere unabhängige und sich gegenseitig verstärkende Sicherheitskontrollen, damit Organisationen eine sichere Betriebsumgebung für ihre Workloads und Daten erstellen können. Alle Ebenen des Systems sind durch eine Reihe von Sicherheitsfunktionen geschützt.

  • Least-Privilege-Zugriff für Services und Benutzer: Compute Cloud@Customer fördert die Verwendung von Sicherheits-Policys, die sicherstellen, dass Anwendungen, Services und Benutzer Zugriff auf die Funktionen haben, die sie zur Ausführung ihrer Aufgaben benötigen. Ebenso wichtig ist es jedoch, sicherzustellen, dass der Zugriff auf unnötige Funktionen, Services und Schnittstellen begrenzt ist. Benutzer und Administratoren sind auf ihre spezifischen Problembereiche beschränkt.

  • Verantwortlichkeit von Ereignissen und Aktionen: Compute Cloud@Customer bietet detaillierte Audittrails auf jeder Ebene und Kontrollen, um Ressourcen zu berücksichtigen. Dies hilft einem Administrator, Vorfälle zu erkennen und zu melden, wenn sie auftreten (z. B. einen Denial-of-Service-Angriff) oder nachdem sie aufgetreten sind, wenn sie nicht vermeidbar waren (durch Rückverfolgbarkeit über Auditlogs auf resultierende Änderungen an Ressourcen).

  • Buchhaltung: Mit der Buchhaltung können Administratoren Bestände von Hardware- und Cloud-Ressourcen verfolgen. Über die Oracle Cloud-Konsole kann ein Administrator die Seriennummer des Compute Cloud@Customer-Racks abrufen.