Sichere Landing Zone bereitstellen, die der CIS Foundation Benchmark für Oracle Cloud entspricht

Um Ihre Workloads in Oracle Cloud auszuführen, benötigen Sie eine sichere Umgebung, die Sie effizient betreiben können. Diese Referenzarchitektur stellt eine Terraform-basierte Landing-Zone-Vorlage bereit, die vom Center for Internet Security (CIS) konform ist, um die Sicherheitsrichtlinien zu erfüllen, die in der CIS Oracle Cloud Infrastructure Foundations Benchmark vorgeschrieben sind. Informationen zur Zertifizierung finden Sie unter https://www.cisecurity.org.

Architektur

Die Architektur beginnt mit dem Compartment-Design für den Mandanten sowie mit Gruppen und Policys für die Aufgabentrennung. In der OCI Core-Landing-Zone wird das Provisioning von Landing-Zone-Compartments in einem angegebenen übergeordneten Compartment unterstützt. Jedem Landing-Zone-Compartment wird eine Gruppe mit den entsprechenden Berechtigungen für die Verwaltung von Ressourcen im Compartment und den Zugriff auf erforderliche Ressourcen in anderen Compartments zugewiesen.

Die OCI Core Landing Zone kann mehrere VCNs bereitstellen, entweder im Standalone-Modus oder als Bestandteile einer Hub-and-Spoke-Architektur oder über ein DMZ-VCN verbunden. Die VCNs können entweder einer allgemeinen Netzwerktopologie mit drei Ebenen folgen oder sich an bestimmten Topologien zur Unterstützung von OCI Kubernetes Engine-(OKE-) oder Oracle Exadata Database Service-Deployments orientieren. Sie werden out-of-the-box mit dem erforderlichen Routing konfiguriert, wobei die eingehenden und ausgehenden Schnittstellen ordnungsgemäß gesichert sind.

Die Landing Zone umfasst verschiedene vorkonfigurierte Sicherheitsservices, die zusammen mit der Gesamtarchitektur für eine starke Sicherheitslage bereitgestellt werden können. Diese Services sind Oracle Cloud Guard, VCN-Flowlogs, OCI Connector Hub, OCI Vault mit vom Kunden verwalteten Schlüsseln, OCI Vulnerability Scanning Service, Sicherheitszonen und Zero Trust Packet Routing (ZPR). Benachrichtigungen werden mit Themen und Ereignissen festgelegt, um Administratoren über Änderungen in den bereitgestellten Ressourcen zu informieren.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung oci-core-landingzone.png

OCI-Core-Landingzone-oracle.zip

Die Architektur umfasst die folgenden Komponenten:

• Tenancy

  Ein Mandant ist eine sichere und isolierte Partition, die Oracle bei der Registrierung für Oracle Cloud Infrastructure in Oracle Cloud einrichtet. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist gleichbedeutend mit einem Unternehmen oder einer Organisation. Normalerweise verfügt ein Unternehmen über einen einzelnen Mandanten und spiegelt seine Organisationsstruktur in diesem Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.

• Identitätsdomain

  Eine Identitätsdomain ist ein Container für die Verwaltung von Benutzern und Rollen, die Föderation und das Provisioning von Benutzern, die Sicherung der Anwendungsintegration über die Single Sign-On-(SSO-)Konfiguration und die SAML/OAuth-basierte Identitätsprovideradministration. Sie stellt eine Benutzerpopulation in Oracle Cloud Infrastructure und die zugehörigen Konfigurationen und Sicherheitseinstellungen (wie MFA) dar.

• Policys

  Eine Oracle Cloud Infrastructure Identity and Access Management-Policy gibt an, wer auf welche Ressourcen zugreifen kann und wie. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt. Sie können also eine Policy schreiben, die einer Gruppe einen bestimmten Zugriffstyp in einem bestimmten Compartment oder dem Mandanten gibt.

• Compartments

  Compartments sind regionsübergreifende logische Partitionen innerhalb eines Oracle Cloud Infrastructure-Mandanten. Mit Compartments können Sie Nutzungsquoten für Ihre Oracle Cloud-Ressourcen organisieren, den Zugriff kontrollieren und festlegen. In einem bestimmten Compartment definieren Sie Policys, die den Zugriff kontrollieren und Berechtigungen für Ressourcen festlegen.

  Die Ressourcen in dieser Landing Zone-Vorlage werden in den folgenden Compartments bereitgestellt:

  • Ein empfohlenes umschließendes Compartment mit allen unten aufgeführten Compartments.
  • Ein Netzwerk-Compartment für alle Netzwerkressourcen, einschließlich der erforderlichen Netzwerkgateways.
  • Ein Sicherheits-Compartment für die Logging-, Schlüsselverwaltungs- und Benachrichtigungsressourcen.
  • Ein App Compartment für die anwendungsbezogenen Services, wie Compute, Speicher, Funktionen, Streams, Kubernetes-Knoten, API-Gateway usw.
  • Ein Datenbank-Compartment für alle Datenbankressourcen.
  • Ein optionales Compartment für die Oracle Exadata Database Service-Infrastruktur.

  Die ausgegrauten Symbole im Diagramm zeigen Services an, die nicht von der Vorlage bereitgestellt werden.

  Dieses Compartment-Design spiegelt eine allgemeine Funktionsstruktur wider, die in unterschiedlichen Organisationen beobachtet wird. Dabei sind IT-Zuständigkeiten in der Regel unter Netzwerk-, Sicherheits-, Anwendungsentwicklungs- und Datenbankadministratoren aufgeteilt.

• Virtuelles Cloud-Netzwerk (VCN) und Subnetze

  Ein VCN ist ein anpassbares, benutzerdefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie traditionelle Data Center-Netzwerke erhalten Sie mit VCNs Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

  Die Vorlage kann VCNs für verschiedene Workload-Typen bereitstellen, einschließlich dreistufiger VCNs für typische webbasierte Anwendungen mit drei Ebenen, OCI Kubernetes Engine-Anwendungen und Oracle Exadata Database Service.

• Internetgateway

  Ein Internetgateway ermöglicht Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.

• Dynamisches Routinggateway (DRG)

  Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen On-Premise-Netzwerken und VCNs bereitstellt. Es kann auch zur Weiterleitung von Traffic zwischen VCNs in derselben Region oder über Regionen hinweg verwendet werden.

• NAT-Gateway

  Mit einem NAT-Gateway können private Ressourcen in einem VCN auf Hosts im Internet zugreifen, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.

• Servicegateway

  Das Servicegateway ermöglicht den Zugriff von einem VCN auf andere Services, wie Oracle Cloud Infrastructure Object Storage. Der Traffic vom VCN zum Oracle-Service durchläuft die Oracle-Netzwerkstruktur und nicht das Internet.

• Oracle-Servicenetzwerk

  Das Oracle Services Network (OSN) ist ein Konzeptnetzwerk in Oracle Cloud Infrastructure, das für Oracle-Services reserviert ist. Diese Services verfügen über öffentliche IP-Adressen, die Sie über das Internet erreichen können. Hosts außerhalb der Oracle Cloud können mit Oracle Cloud Infrastructure FastConnect oder VPN Connect privat auf das OSN zugreifen. Hosts in Ihren VCNs können über ein Servicegateway privat auf das OSN zugreifen.

• Netzwerksicherheitsgruppen (NSGs)

  NSGs fungieren als virtuelle Firewalls für Ihre Cloud-Ressourcen. Mit dem Zero-Trust-Sicherheitsmodell von Oracle Cloud Infrastructure steuern Sie den Netzwerktraffic in einem VCN. Eine NSG besteht aus einer Gruppe von Ingress- und Egress-Sicherheitsregeln, die nur für eine bestimmte Gruppe von VNICs in einem einzelnen VCN gelten.

• Ereignisse

  Oracle Cloud Infrastructure-Services geben Ereignisse aus. Dies sind strukturierte Nachrichten, in denen die Änderungen an Ressourcen beschrieben werden. Ereignisse werden für CRUD-Vorgänge (Create, Read, Update oder Delete), Änderungen des Ressourcenlebenszyklusstatus und Systemereignisse ausgegeben, die sich auf Cloud-Ressourcen auswirken.

• Notifications

  OCI Notifications sendet Nachrichten mit einem Publish-Subscribe-Muster mit geringer Latenz an verteilte Komponenten. Dabei werden sichere, äußerst zuverlässige und dauerhafte Nachrichten für Anwendungen bereitgestellt, die auf Oracle Cloud Infrastructure gehostet werden.

• Vault

  Mit Oracle Cloud Infrastructure Vault können Sie die Verschlüsselungsschlüssel, die Ihre Daten schützen, und die geheimen Zugangsdaten, mit denen Sie den Zugriff auf Ihre Ressourcen in der Cloud sichern. Mit dem Vault-Service können Sie Vaults, Schlüssel und Secrets erstellen und verwalten.

• Logs
  Oracle Cloud Infrastructure Logging ist ein hoch skalierbarer und vollständig verwalteter Service, der Zugriff auf die folgenden Logtypen von Ihren Ressourcen in der Cloud ermöglicht:

  • Auditlogs: Logs für Ereignisse, die von OCI Audit erzeugt werden.
  • Servicelogs: Logs, die von einzelnen Services wie OCI API Gateway, OCI Events, OCI Functions, OCI Load Balancing, OCI Object Storage und VCN-Flowlogs veröffentlicht werden.
  • Benutzerdefinierte Logs, die Diagnoseinformationen von benutzerdefinierten Anwendungen, andere Cloud-Provider oder eine On-Premise-Umgebung enthalten.
• Service-Konnektoren

  Oracle Cloud Infrastructure Connector Hub ist eine Cloud-Nachrichtenbusplattform, die das Verschieben von Daten zwischen Services in OCI orchestriert. Mit Service-Connectors können Sie Daten aus einem Quellservice in einen Zielservice verschieben. Mit Service-Connectors können Sie auch optional eine Aufgabe (wie eine Funktion) angeben, die für die Daten ausgeführt werden soll, bevor sie an den Zielservice zugestellt werden.

  Mit Oracle Cloud Infrastructure Service Connector Hub können Sie schnell ein Loggingaggregations-Framework für SIEM-Systeme erstellen.

• Cloud Guard

  Mit Oracle Cloud Guard können Sie einen starken Sicherheitsstatus in Oracle Cloud erreichen und aufrechterhalten, indem Sie den Mandanten auf Konfigurationseinstellungen und Aktionen für Ressourcen überwachen, die ein Sicherheitsproblem darstellen könnten.

  Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitslücken zu untersuchen und Operatoren und Benutzer auf bestimmte riskante Aktivitäten zu überwachen. Wenn eine Fehlkonfiguration oder unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.

• Sicherheitszone

  Eine Sicherheitszone ist mit mindestens einem Compartment und einem Sicherheitszonenrezept verknüpft. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure (OCI) diese Vorgänge anhand der im Sicherheitszonenrezept definierten Policys. Bei einem Verstoß gegen eine Sicherheitszonen-Policy wird der Vorgang abgelehnt.

  Sicherheitszonen stellen sicher, dass Ihre OCI-Ressourcen Ihren Sicherheitsrichtlinien entsprechen, einschließlich Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes und Datenbankressourcen.

• Sicherheitslückenscanservice

  Der Oracle Cloud Infrastructure-Sicherheitslücken-Scan-Service hilft dabei, den Sicherheitsstatus in Oracle Cloud zu verbessern, indem Ports und Hosts routinemäßig auf potenzielle Schwachstellen geprüft werden. Der Service generiert Berichte mit Metriken und Details zu diesen Sicherheitslücken.

• Zero Trust Packet Routing

  Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) verhindert unbefugten Datenzugriff, indem die Netzwerksicherheits-Policy getrennt von der Netzwerkarchitektur verwaltet wird. ZPR verwendet eine benutzerfreundliche, absichtsbasierte Policy-Sprache, um zulässige Zugriffspfade für Daten zu definieren. Alle Verkehrsmuster, die nicht explizit durch eine Richtlinie definiert werden, können das Netzwerk nicht durchlaufen, was den Datenschutz vereinfacht und die Datenexfiltration verhindert.

• Bastionservice

  Der Oracle Cloud Infrastructure Bastion-Service bietet eingeschränkten Zugriff von bestimmten IP-Adressen auf OCI-Zielressourcen, die keine öffentlichen Endpunkte haben, mit Identity-basierten, auditierten und zeitgebundenen Secure Shell-(SSH-)Sessions.

• Objektspeicher

  Mit OCI Object Storage können Sie schnell auf große Mengen an strukturierten und unstrukturierten Daten eines beliebigen Inhaltstyps zugreifen, darunter Datenbankbackups, analytische Daten und umfangreiche Inhalte, wie Bilder und Videos. Sie können Daten sicher im Internet oder in der Cloud-Plattform speichern. Sie können den Speicher skalieren, ohne dass die Performance oder Servicezuverlässigkeit beeinträchtigt wird.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt, um die Sicherheit für Ihre Cloud-Umgebung zu entwerfen und zu konfigurieren. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.

• Netzwerkkonfiguration

  Wählen Sie für die VCNs CIDR-Blöcke aus, die sich nicht mit einem anderen Netzwerk (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneiden, für das Sie private Verbindungen einrichten möchten.

• Überwachung der Sicherheit

  Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitsschwächen zu untersuchen und Operatoren und Benutzer auf riskante Aktivitäten zu überwachen. Wenn eine falsche Konfiguration oder unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf den Responder-Rezepten, die Sie definieren können.

• Sicheres Ressourcen-Provisioning

  Für Ressourcen, die maximale Sicherheit erfordern, verwenden Sie Sicherheitszonen. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept von Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Die Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein und müssen mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure die Vorgänge mit den Policys im Rezept der Sicherheitszone und lehnt Vorgänge ab, die eine der Policys verletzen.

Hinweise

Berücksichtigen Sie bei der Implementierung dieser Referenzarchitektur die folgenden Faktoren:

• Zugriffsberechtigungen

  Das Provisioning der Landing-Zone-Vorlage erfordert einen Benutzer mit mandantenweiten Berechtigungen (jeder Benutzer, der Mitglied der Administratorengruppe ist).

  Die Landing-Zone-Vorlage stellt Ressourcen als Mandantenadministrator bereit (jeder Benutzer, der Mitglied der Administratorengruppe ist), und enthält Policys, mit denen separate Administratorgruppen jedes Compartment nach dem anfänglichen Provisioning verwalten können. Die vorkonfigurierten Policys decken nicht alle in OCI verfügbaren Ressourcen ab (Beispiel: Wenn Sie der Terraform-Vorlage Ressourcen hinzufügen, müssen Sie möglicherweise die erforderlichen zusätzlichen Policy-Anweisungen hinzufügen).

• Netzwerkkonfiguration

  Das Landing Zonennetzwerk kann auf verschiedene Arten bereitgestellt werden: mit einem oder mehreren Standalone-VCNs in einer Hub-and-Spoke-Architektur mit dem Oracle Cloud Infrastructure-DRG-Service V2 oder mit einer DMZ-VCN-Architektur mit dem Oracle Cloud Infrastructure-DRG V2. Es ist auch möglich, das Netzwerk ohne Internetverbindung zu konfigurieren. Obwohl die Landezone das Wechseln zwischen Standalone und Hub-and-Spoke ermöglicht, ist es wichtig, ein bestimmtes Design zu planen, da beim Wechseln manuelle Aktionen erforderlich sein können.

• Bereitstellungshandbuch

  Die Deployment-Dokumentation der OCI Core-Landing-Zone in GitHub enthält detaillierte Anleitungen zur Konfiguration der Core-Landing-Zone, einschließlich einiger wichtiger Deployment-Szenarios.

Stellen Sie

Der Terraform-Code für diese Lösung ist unter GitHub verfügbar. Sie können den Code mit einem einzigen Klick in Oracle Cloud Infrastructure Resource Manager abrufen, den Stack erstellen und bereitstellen. Alternativ können Sie den Code von GitHub auf Ihren Computer herunterladen, den Code anpassen und die Architektur mit der Terraform-CLI bereitstellen.

• Mit dem Beispielstack in Oracle Cloud Infrastructure Resource Manager bereitstellen:
  1. Navigieren Sie zu

     Wenn Sie noch nicht angemeldet sind, geben Sie die Mandanten- und Benutzerzugangsdaten ein.

  2. Wählen Sie die Region aus, in der der Stack bereitgestellt werden soll.
  3. Befolgen Sie die Anweisungen auf dem Bildschirm, um den Stack zu erstellen.
  4. Nachdem Sie den Stack erstellt haben, klicken Sie auf Terraform-Aktionen, und wählen Sie Planen aus.
  5. Warten Sie, bis der Job abgeschlossen ist, und prüfen Sie den Plan.

     Um Änderungen vorzunehmen, kehren Sie zur Seite "Stackdetails" zurück, klicken auf Stack bearbeiten, und nehmen Sie die erforderlichen Änderungen vor. Führen Sie dann die Aktion Planen erneut aus.

  6. Wenn keine weiteren Änderungen erforderlich sind, kehren Sie zur Seite "Stackdetails" zurück, klicken Sie auf Terraform-Aktionen, und wählen Sie Anwenden aus.
• Mit dem Terraform-Code in GitHub bereitstellen:
  1. Gehen Sie zu GitHub.
  2. Laden Sie den Code herunter, oder klonen Sie ihn auf Ihren lokalen Rechner.
  3. Folgen Sie den Anweisungen in der README.

Mehr erfahren

Weitere Informationen zum Einrichten und Betreiben einer sicheren Umgebung in Oracle Cloud.

• Gut durchdachte Framework-Architektur für Oracle Cloud Infrastructure
• Sicherheitscheckliste für Oracle Cloud Infrastructure
• CIS Oracle Cloud Infrastructure Foundations – Benchmark
• Deployment-Leitfaden für OCI Core Landing Zone

Änderungslog

In diesem Log werden wichtige Änderungen aufgeführt:

20. Februar 2025	Der Titel wurde geändert. Redaktionelle Veränderungen. Deployment-Links aktualisiert. Diagramm und zugehörige Beschreibung aktualisiert.
16. Mai 2024	Die Architektur wurde auf die empfohlene Verwendung eines umschließenden Compartments für die anderen Compartments aktualisiert. Überlegungen wurden aktualisiert, um die Kurzanleitung für die OCI CIS-Landing-Zone für die Bereitstellung einzuschließen. Link zum Center for Internet Security (CIS) hinzugefügt.
2. Mai 2023	Das Architekturdiagramm und der entsprechende Text wurden überarbeitet. Unter Hinweise wurden die folgenden Abschnitte überarbeitet: "Zugriffsberechtigungen" und "Landing-Zone-Vorlage anpassen". Das Deployment wurde aktualisiert. Sie können das Deployment auch direkt über GitHub mit der Schaltfläche In Oracle Cloud bereitstellen ausführen.
19. Oktober 2021	Das Architekturdiagramm und der Text wurden überarbeitet, um das optionale Oracle Exadata Compartment und den Administrator aufzunehmen. Der Inhalt der Abschnitte "Architektur", "Überlegungen" und "Bereitstellen" wurde verbessert.