Sichere Landing Zone bereitstellen, die der CIS Foundation Benchmark für Oracle Cloud entspricht

Um Ihre Workloads in Oracle Cloud auszuführen, benötigen Sie eine sichere Umgebung, in der Sie effizient arbeiten können. Diese Referenzarchitektur bietet eine Terraform-basierte Landing-Zone-Vorlage, die vom Center for Internet Security (CIS) zertifiziert ist, um die in der CIS Oracle Cloud Infrastructure Foundations Benchmark vorgeschriebenen Sicherheitsrichtlinien zu erfüllen. Die Zertifizierung finden Sie unter https://www.cisecurity.org.

Architektur

Die Architektur beginnt mit dem Compartment-Design für den Mandanten zusammen mit Gruppen und Policys für SoD. In der Landing Zone wird das Provisioning von Landing Zone-Compartments in einem angegebenen übergeordneten Compartment von V2 unterstützt. Jedem Landing Zone-Compartment wird eine Gruppe mit den entsprechenden Berechtigungen zur Verwaltung von Ressourcen im Compartment und für den Zugriff auf erforderliche Ressourcen in anderen Compartments zugewiesen.

Die Landing Zone V2 bietet die Möglichkeit, mehrere VCNs bereitzustellen, entweder im Standalone-Modus oder als Bestandteil einer Hub- und Spoke-Architektur. Die VCNs können entweder einer General-Purpose-Standard-Drei-Tier-Netzwerktopologie folgen oder auf bestimmte Topologien ausgerichtet sein, wie etwa die Unterstützung von Oracle Exadata Database Service-Deployments. Sie sind out-of-box mit dem erforderlichen Routing konfiguriert, wobei ihre eingehenden und ausgehenden Schnittstellen ordnungsgemäß gesichert sind.

Die Landing Zone umfasst verschiedene vorkonfigurierte Sicherheitsservices, die zusammen mit der allgemeinen Architektur für einen hohen Sicherheitsstatus bereitgestellt werden können. Diese Services sind Oracle Cloud Guard, Flowlogs, Oracle Cloud Infrastructure Service-Connector-Hub, Vault mit vom Kunden verwalteten Schlüsseln, Oracle Cloud Infrastructure Vulnerability Scanning Service, Oracle Cloud Infrastructure Bastion und Oracle Security Zones. Benachrichtigungen werden mit Themen und Ereignissen festgelegt, um Administratoren über Änderungen in den bereitgestellten Ressourcen zu informieren.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.

Beschreibung der Abbildung oci-cis-landingzone.png

oci-cis-landingzone-oracle.zip

Die Architektur umfasst die folgenden Komponenten:

• Tenancy

  Ein Mandant ist eine sichere und isolierte Partition, die Oracle bei der Registrierung für Oracle Cloud Infrastructure in Oracle Cloud einrichtet. Sie können Ihre Ressourcen in Oracle Cloud in Ihrem Mandanten erstellen, organisieren und verwalten. Ein Mandant ist gleichbedeutend mit einem Unternehmen oder einer Organisation. Normalerweise verfügt ein Unternehmen über einen einzelnen Mandanten und spiegelt seine Organisationsstruktur in diesem Mandanten wider. Ein einzelner Mandant ist in der Regel mit einem einzelnen Abonnement verknüpft, und ein einzelnes Abonnement hat in der Regel nur einen Mandanten.

• Policys

  Eine Oracle Cloud Infrastructure Identity and Access Management-Policy gibt an, wer auf welche Ressourcen zugreifen kann und wie. Der Zugriff wird auf Gruppen- und Compartment-Ebene erteilt. Sie können also eine Policy schreiben, die einer Gruppe einen bestimmten Zugriffstyp in einem bestimmten Compartment oder dem Mandanten gibt.

• Compartments

  Compartments sind regionsübergreifende logische Partitionen in einem Oracle Cloud Infrastructure-Mandanten. Verwenden Sie Compartments, um Ihre Ressourcen in Oracle Cloud zu organisieren, den Zugriff auf die Ressourcen zu kontrollieren und Nutzungs-Quotas festzulegen. Um den Zugriff auf die Ressourcen in einem bestimmten Compartment zu kontrollieren, definieren Sie Policys, mit denen angegeben wird, wer auf die Ressourcen zugreifen kann und welche Aktionen sie ausführen können.

  Die Ressourcen in dieser Landing Zone-Vorlage werden in den folgenden Compartments bereitgestellt:

  • Ein empfohlenes umschließendes Compartment mit allen unten aufgeführten Compartments.
  • Ein Netzwerk-Compartment für alle Netzwerkressourcen, einschließlich der erforderlichen Netzwerkgateways.
  • Ein Sicherheits-Compartment für die Logging-, Schlüsselverwaltungs- und Benachrichtigungsressourcen.
  • Ein App Compartment für die anwendungsbezogenen Services, wie Compute, Speicher, Funktionen, Streams, Kubernetes-Knoten, API-Gateway usw.
  • Ein Datenbank-Compartment für alle Datenbankressourcen.
  • Ein optionales Compartment für die Oracle Exadata Database Service-Infrastruktur.

  Die ausgegrauten Symbole im Diagramm zeigen Services an, die nicht von der Vorlage bereitgestellt werden.

  Dieses Compartment-Design spiegelt eine allgemeine Funktionsstruktur wider, die in unterschiedlichen Organisationen beobachtet wird. Dabei sind IT-Zuständigkeiten in der Regel unter Netzwerk-, Sicherheits-, Anwendungsentwicklungs- und Datenbankadministratoren aufgeteilt.

• Virtuelles Cloud-Netzwerk (VCN) und Subnetze

  Ein VCN ist ein anpassbares, benutzerdefiniertes Netzwerk, das Sie in einer Oracle Cloud Infrastructure-Region einrichten können. Wie traditionelle Data Center-Netzwerke erhalten Sie mit VCNs Kontrolle über Ihre Netzwerkumgebung. Ein VCN kann mehrere sich nicht überschneidende CIDR-Blöcke aufweisen, die Sie nach dem Erstellen des VCN ändern können. Sie können ein VCN in Subnetze segmentieren, die sich auf eine Region oder eine Availability-Domain beschränken. Jedes Subnetz besteht aus einem Bereich zusammenhängender Adressen, die sich nicht mit anderen Subnetzen im VCN überschneiden. Sie können die Größe eines Subnetzes nach der Erstellung ändern. Ein Subnetz kann öffentlich oder privat sein.

  Standardmäßig stellt die Vorlage ein General-Purpose-Standard-Drei-Tier-VCN mit einem öffentlichen Subnetz und zwei privaten Subnetzen bereit. Ein öffentliches Subnetz wird für die Load Balancer und Bastion-Server verwendet. Die Anwendungs- und Datenbankebenen sind an separate private Subnetze angehängt. Die Vorlage kann auch VCNs erstellen, um das Deployment bestimmter Workloads wie Oracle Exadata Database Service zu unterstützen.

• Internetgateway

  Das Internetgateway ermöglicht Traffic zwischen den öffentlichen Subnetzen in einem VCN und dem öffentlichen Internet.

• Dynamisches Routinggateway (DRG)

  Das DRG ist ein virtueller Router, der einen Pfad für privaten Netzwerktraffic zwischen On-Premise-Netzwerken und VCNs bereitstellt. Es kann auch zur Weiterleitung von Traffic zwischen VCNs in derselben Region oder über Regionen hinweg verwendet werden.

• NAT-Gateway

  Mit einem NAT-Gateway können private Ressourcen in einem VCN auf Hosts im Internet zugreifen, ohne dass diese Ressourcen für eingehende Internetverbindungen freigegeben werden.

• Servicegateway

  Das Servicegateway ermöglicht den Zugriff von einem VCN auf andere Services, wie Oracle Cloud Infrastructure Object Storage. Der Traffic vom VCN zum Oracle-Service durchläuft die Oracle-Netzwerkstruktur und nicht das Internet.

• Oracle-Servicenetzwerk

  Das Oracle Services Network (OSN) ist ein Konzeptnetzwerk in Oracle Cloud Infrastructure, das für Oracle-Services reserviert ist. Diese Services verfügen über öffentliche IP-Adressen, die Sie über das Internet erreichen können. Hosts außerhalb der Oracle Cloud können mit Oracle Cloud Infrastructure FastConnect oder VPN Connect privat auf das OSN zugreifen. Hosts in Ihren VCNs können über ein Servicegateway privat auf das OSN zugreifen.

• Netzwerksicherheitsgruppen (NSGs)

  Netzwerksicherheitsgruppe (NSG) fungiert als virtuelle Firewall für Ihre Cloud-Ressourcen. Mit dem Zero-Trust-Sicherheitsmodell von Oracle Cloud Infrastructure wird der gesamte Datenverkehr abgelehnt, und Sie können den Netzwerkverkehr in einem VCN kontrollieren. Eine NSG besteht aus einer Gruppe von Ingress- und Egress-Sicherheitsregeln, die nur für eine bestimmte Gruppe von VNICs in einem einzelnen VCN gelten.

• Ereignisse

  Oracle Cloud Infrastructure-Services geben Ereignisse aus. Dies sind strukturierte Nachrichten, in denen die Änderungen an Ressourcen beschrieben werden. Ereignisse werden für CRUD-Vorgänge (Create, Read, Update oder Delete), Änderungen des Ressourcenlebenszyklusstatus und Systemereignisse ausgegeben, die sich auf Cloud-Ressourcen auswirken.

• Notifications

  Der Oracle Cloud Infrastructure Notifications-Service überträgt Nachrichten über ein Veröffentlichungs- und Abonnementmuster an verteilte Komponenten. So erhalten Sie sichere, zuverlässige und dauerhafte Nachrichten mit geringer Latenz für Anwendungen, die auf Oracle Cloud Infrastructure gehostet werden.

• Vault

  Mit Oracle Cloud Infrastructure Vault können Sie die Verschlüsselungsschlüssel, die Ihre Daten schützen, und die geheimen Zugangsdaten, mit denen Sie den Zugriff auf Ihre Ressourcen in der Cloud sichern. Mit dem Vault-Service können Sie Vaults, Schlüssel und Secrets erstellen und verwalten.

• Logs
  Bei Logging handelt es sich um einen hoch skalierbaren und vollständig verwalteten Service, der Zugriff auf die folgenden Logtypen von Ihren Ressourcen in der Cloud ermöglicht:

  • Logs: Logs zu Ereignissen, die vom Audit-Service ausgegeben werden.
  • Service-Logs:: Logs, die von einzelnen Services wie API Gateway, Events, Functions, Load Balancing, Object Storage und VCN-Flowlogs ausgegeben werden.
  • Benutzerdefinierte Logs: Logs, die Diagnoseinformationen von benutzerdefinierten Anwendungen, anderen Cloud-Providern oder einer On-Premise-Umgebung enthalten.
• Service-Konnektoren

  Oracle Cloud Infrastructure Service Connector Hub ist eine Cloud-Nachrichtenbusplattform, die das Verschieben von Daten zwischen Services in OCI orchestriert. Mit Service-Connectors können Sie Daten von einem Quellservice in einen Zielservice verschieben. Mit Service-Connectors können Sie auch optional eine Aufgabe (z.B. eine Funktion) angeben, die für die Daten ausgeführt werden soll, bevor sie an den Zielservice zugestellt wird.

  Mit Oracle Cloud Infrastructure Service Connector Hub können Sie schnell ein Loggingaggregations-Framework für SIEM-Systeme erstellen.

• Cloud Guard

  Mit Oracle Cloud Guard können Sie einen starken Sicherheitsstatus in Oracle Cloud erreichen und aufrechterhalten, indem Sie den Mandanten auf Konfigurationseinstellungen und Aktionen für Ressourcen überwachen, die ein Sicherheitsproblem darstellen könnten.

  Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitslücken zu untersuchen und Operatoren und Benutzer auf bestimmte riskante Aktivitäten zu überwachen. Wenn eine Fehlkonfiguration oder unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.

• Sicherheitszone

  Eine Sicherheitszone ist mit mindestens einem Compartment und einem Sicherheitszonenrezept verknüpft. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure (OCI) diese Vorgänge anhand der im Sicherheitszonenrezept definierten Policys. Bei einem Verstoß gegen eine Sicherheitszonen-Policy wird der Vorgang abgelehnt.

  Sicherheitszonen stellen sicher, dass Ihre OCI-Ressourcen Ihren Sicherheitsrichtlinien entsprechen, einschließlich Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes und Datenbankressourcen.

• Sicherheitslückenscanservice

  Der Oracle Cloud Infrastructure-Sicherheitslücken-Scan-Service hilft dabei, den Sicherheitsstatus in Oracle Cloud zu verbessern, indem Ports und Hosts routinemäßig auf potenzielle Schwachstellen geprüft werden. Der Service generiert Berichte mit Metriken und Details zu diesen Sicherheitslücken.

• Bastionservice

  Der Oracle Cloud Infrastructure Bastion-Service bietet eingeschränkten Zugriff von bestimmten IP-Adressen auf OCI-Zielressourcen, die keine öffentlichen Endpunkte haben, mit Identity-basierten, auditierten und zeitgebundenen Secure Shell-(SSH-)Sessions.

• Objektspeicher

  Der Objektspeicher bietet schnellen Zugriff auf große Mengen an strukturierten und unstrukturierten Daten eines beliebigen Inhaltstyps, einschließlich Datenbankbackups, Analysedaten und umfangreichen Inhalten, wie Bildern und Videos. Sie können Daten sicher und geschützt speichern und dann direkt aus dem Internet oder aus der Cloud-Plattform abrufen. Sie können den Speicher skalieren, ohne dass die Performance oder Servicezuverlässigkeit beeinträchtigt wird. Verwenden Sie Standardspeicher für "Hot Storage", auf den Sie schnell, sofort und häufig zugreifen müssen. Verwenden Sie Archivspeicher für "Cold Storage", den Sie über lange Zeiträume beibehalten möchten und auf den Sie nur selten zugreifen.

Empfehlungen

Verwenden Sie die folgenden Empfehlungen als Ausgangspunkt, um die Sicherheit für Ihre Cloud-Umgebung zu entwerfen und zu konfigurieren. Ihre Anforderungen können von der hier beschriebenen Architektur abweichen.

• Netzwerkkonfiguration

  Wählen Sie für das VCN einen CIDR-Block aus, der sich nicht mit anderen Netzwerken (in Oracle Cloud Infrastructure, Ihrem On-Premise-Data Center oder einem anderen Cloud-Provider) überschneidet, für die Sie private Verbindungen einrichten möchten.

• Überwachung der Sicherheit

  Mit Oracle Cloud Guard können Sie die Sicherheit Ihrer Ressourcen in Oracle Cloud Infrastructure überwachen und verwalten. Cloud Guard verwendet Detektorrezepte, die Sie definieren können, um Ihre Ressourcen auf Sicherheitslücken zu untersuchen und Operatoren und Benutzer auf riskante Aktivitäten zu überwachen. Wenn eine Fehlkonfiguration oder unsichere Aktivität erkannt wird, empfiehlt Cloud Guard Korrekturmaßnahmen und unterstützt Sie bei der Ausführung dieser Aktionen basierend auf Responder-Rezepten, die Sie definieren können.

• Sicheres Ressourcen-Provisioning

  Für Ressourcen, die maximale Sicherheit erfordern, verwenden Sie Sicherheitszonen. Eine Sicherheitszone ist ein Compartment, das mit einem von Oracle definierten Rezept von Sicherheits-Policys verknüpft ist, die auf Best Practices basieren. Beispiel: Die Ressourcen in einer Sicherheitszone dürfen nicht über das öffentliche Internet zugänglich sein und müssen mit vom Kunden verwalteten Schlüsseln verschlüsselt werden. Wenn Sie Ressourcen in einer Sicherheitszone erstellen und aktualisieren, validiert Oracle Cloud Infrastructure die Vorgänge mit den Policys im Rezept der Sicherheitszone und lehnt Vorgänge ab, die eine der Policys verletzen.

Hinweise

Berücksichtigen Sie bei der Implementierung dieser Referenzarchitektur die folgenden Faktoren:

• Zugriffsberechtigungen

  Die Landing Zone-Vorlage kann Ressourcen als Mandantenadministrator (jeder Benutzer, der Mitglied der Administratorengruppe ist) oder als Benutzer mit engeren Berechtigungen bereitstellen. Informationen zu "Deployment-Modi für CIS OCI Landing Zone" finden Sie unter Weitere Informationen.

  Die Landing Zone-Vorlage stellt Ressourcen als Mandantenadministrator bereit (jeder Benutzer, der Mitglied der Gruppe Administrators ist), und enthält Policys, mit denen separate Administratorgruppen nach dem anfänglichen Provisioning jedes Compartment verwalten können. Die vorkonfigurierten Policys decken nicht alle in OCI verfügbaren Ressourcen ab, d.h. sie gelten für die Ressourcen, die aktuell von der Vorlage bereitgestellt werden. Wenn Sie der Terraform-Vorlage Ressourcen hinzufügen, müssen Sie die erforderlichen zusätzlichen Policy-Anweisungen definieren.

• Netzwerkkonfiguration

  Das Landing-Zone-Netzwerk kann auf verschiedene Arten bereitgestellt werden: mit einem bis mehreren Standalone-VCNs oder in einer Hub & Spoke-Architektur mit dem Oracle Cloud Infrastructure DRG-Service V2. Es ist auch möglich, das Netzwerk ohne Internetverbindung zu konfigurieren. Obwohl die Landing Zone das Wechseln zwischen Standalone und Hub & Spoke ermöglicht, ist es wichtig, ein bestimmtes Design zu planen, da beim Wechseln möglicherweise manuelle Aktionen erforderlich sind.

• Landing-Zone-Vorlage anpassen

  Die Terraform-Konfiguration verfügt über ein einzelnes Root-Modul und einzelne Module zum Provisioning der Ressourcen. Dieses modulare Muster ermöglicht eine effiziente und konsistente Codewiederverwendung. Um der Terraform-Konfiguration Ressourcen hinzuzufügen, verwenden Sie die vorhandenen Module wieder, überschreiben die spezifische Variable jedoch mit der erforderlichen Konfiguration mit den Override-Dateien von Terraform. Beispiel: Um ein neues Compartment hinzuzufügen, definieren Sie eine neue Zuordnung von Compartment-Objekten in der Datei override.tf mit demselben Namen wie die ursprüngliche Zuordnung von Compartments. Weitere Informationen finden Sie unter Anpassen der Landing Zone.

• Bereitstellungshandbuch

  Der Schnellstart-Deployment-Leitfaden für OCI CIS-Landing-Zone in GitHub enthält detaillierte Anleitungen zur Konfiguration der OCI CIS-Landing-Zone. Sie enthält Deployment-Szenarios und Schritte zur Anpassung der Landing Zone.

Stellen Sie

Der Terraform-Code für diese Lösung ist unter GitHub verfügbar. Sie können den Code mit einem einzigen Klick in Oracle Cloud Infrastructure Resource Manager abrufen, den Stack erstellen und bereitstellen. Alternativ können Sie den Code von GitHub auf Ihren Computer herunterladen, den Code anpassen und die Architektur mit der Terraform-CLI bereitstellen.

• Mit dem Beispielstack in Oracle Cloud Infrastructure Resource Manager bereitstellen:
  1. Navigieren Sie zu

     Wenn Sie noch nicht angemeldet sind, geben Sie die Mandanten- und Benutzerzugangsdaten ein.

  2. Wählen Sie die Region aus, in der der Stack bereitgestellt werden soll.
  3. Befolgen Sie die Anweisungen auf dem Bildschirm, um den Stack zu erstellen.
  4. Nachdem Sie den Stack erstellt haben, klicken Sie auf Terraform-Aktionen, und wählen Sie Planen aus.
  5. Warten Sie, bis der Job abgeschlossen ist, und prüfen Sie den Plan.

     Um Änderungen vorzunehmen, kehren Sie zur Seite "Stackdetails" zurück, klicken auf Stack bearbeiten, und nehmen Sie die erforderlichen Änderungen vor. Führen Sie dann die Aktion Planen erneut aus.

  6. Wenn keine weiteren Änderungen erforderlich sind, kehren Sie zur Seite "Stackdetails" zurück, klicken Sie auf Terraform-Aktionen, und wählen Sie Anwenden aus.
• Mit dem Terraform-Code in GitHub bereitstellen:
  1. Gehen Sie zu GitHub.
  2. Laden Sie den Code herunter, oder klonen Sie ihn auf Ihren lokalen Rechner.
  3. Folgen Sie den Anweisungen in der README.

Mehr erfahren

Weitere Informationen zum Einrichten und Betreiben einer sicheren Umgebung in Oracle Cloud.

• Best Practice Framework für Oracle Cloud Infrastructure
• Sicherheitscheckliste für Oracle Cloud Infrastructure
• CIS Oracle Cloud Infrastructure Foundations Benchmark
• OCI CIS Landing Zone - Kurzanleitung für die Bereitstellung

Die folgenden Blogposts:

• Sichere regionsübergreifende Landing Zone erstellen
• OCI Secure Landing Zone - Schnellstartvorlage, Version 2
• OCI Secure Landing Zone - Deployment-Modi
• So stellen Sie eine sichere OCI-Landing-Zone für Exadata Cloud Service bereit

Änderungslog

In diesem Log werden wichtige Änderungen aufgeführt:

16. Mai 2024	Die Architektur wurde auf die empfohlene Verwendung eines umschließenden Compartments für die anderen Compartments aktualisiert. Überlegungen wurden aktualisiert, um die Kurzanleitung für die OCI CIS-Landing-Zone für die Bereitstellung einzuschließen. Link zum Center for Internet Security (CIS) hinzugefügt.
2. Mai 2023	Das Architekturdiagramm und der entsprechende Text wurden überarbeitet. Unter Hinweise wurden die folgenden Abschnitte überarbeitet: "Zugriffsberechtigungen" und "Landing-Zone-Vorlage anpassen". Das Deployment wurde aktualisiert. Sie können das Deployment auch direkt über GitHub mit der Schaltfläche In Oracle Cloud bereitstellen ausführen.
19. Oktober 2021	Das Architekturdiagramm und der Text wurden überarbeitet, um das optionale Oracle Exadata Compartment und den Administrator aufzunehmen. Der Inhalt der Abschnitte "Architektur", "Überlegungen" und "Bereitstellen" wurde verbessert.