Sicheren Netzwerkzugriff gewährleisten

Setzen Sie die folgenden Best Practices ein, um Ihre virtuellen Cloud-Netzwerke, Subnetze, Load Balancer und andere Netzwerkressourcen zu sichern.

Netzwerkzugriffskontrolle implementieren

Enterprise Architect, Security Architect, Network Architect

Sichern Sie Ihr Netzwerk mit Zugriffskontrollen.

• Definieren Sie die entsprechenden IAM-Policys, um den Zugriff auf Netzwerkressourcen nur auf die Benutzer und Gruppen zu beschränken, die Netzwerkressourcen verwalten dürfen.
• Formulieren Sie eine Strategie mit mehreren Subnetzen für das VCN:
  • DMZ-Subnetz für Load Balancer.
  • Öffentliche Subnetze für extern zugängliche Hosts, wie Web Application Server und Instanzen, die Angriffserkennungssysteme (IDS) ausführen.
  • Private Subnetze für interne Hosts wie Datenbanken.
• Compute-Instanzen, die an ein privates Subnetz angehängt sind, können nur private IP-Adressen haben.
• Hängen Sie sicherheitsrelevante Hosts (z.B. DB-Systeme) an private Subnetze an. Um Verbindungen von diesen Hosts zum Internet herzustellen, verwenden Sie ein NAT-Gateway. Damit die Hosts auf andere Oracle Cloud Infrastructure-Services zugreifen können, verwenden Sie ein Servicegateway.
• Netzwerksicherheitsgruppen bieten eine fein granulierte Kontrolle über den Traffic, der zwischen vNICs fließt, das von der Netzwerksicherheitsgruppe kontrolliert wird.
• Sicherheitslisten steuern den Traffic, der in Subnetze, in Subnetze und aus Subnetzen fließen kann. Ändern oder trennen Sie die Standardsicherheitsliste, um SSH-Traffic von der IP-Adresse 0.0.0.0/0 zu verhindern.
• Konfigurieren Sie Sicherheitslisten mit den mindestens erforderlichen Ports.
• Mit Netzwerksicherheitsgruppen können Sie den Zugriff auf Ihre Ressourcen in privaten und öffentlichen Subnetzen kontrollieren:
  • Lassen Sie nur Netzwerkflüsse zu, die für eine Workload erforderlich sind, indem Sie Sicherheitsgruppen für jede Ebene der Anwendung erstellen.
  • Lassen Sie keinen unnötigen Seitenverkehr innerhalb oder zwischen Anwendungsebenen zu.
  • Kommunikation von Anwendungsebenen mit anderen Ebenen nicht zulassen, es sei denn, dies ist erforderlich.
• Verwenden Sie granulare Sicherheitsregeln, um die Kommunikation innerhalb des VCN, mit dem Internet, mit anderen VCNs, die über Peering-Gateways verbunden sind, und mit On-Premise-Hosts zu regulieren.
• Um ein Angriffserkennungssystem einzurichten und den gesamten ausgehenden Traffic zu scannen, verwenden Sie das VCN-Routentabellenfeature.
• VCN-Subnetzablauflogs protokollieren Traffic, der in einem VCN fließt. Aktivieren Sie VCN-Subnetzablauflogs, und überwachen Sie deren Inhalt regelmäßig.
• Wenn Sie mehr als ein VCN verwenden, erstellen Sie mit einem dynamischen Routinggateway (DRG) ein DMZ-Hub-VCN, um den Ost-/West- und Nord-/Südverkehr zu analysieren. Dazu können Sie entweder eine OCI-Netzwerkfirewall oder eine Netzwerk-Appliance eines Drittanbieters verwenden.
• Aktivieren Sie Web Application Firewall für öffentlich zugängliche HTTPS-Services.
• Verhindern Sie unbefugten Zugriff auf Daten, indem Sie die Netzwerksicherheits-Policy getrennt von der zugrunde liegenden Netzwerkarchitektur mit Oracle Cloud Infrastructure Zero Trust Packet Routing verwalten.
• Implementieren Sie ein Servicegateway für den sicheren Zugriff auf OCI-Services.

Load Balancer sichern

Enterprise Architect, Security Architect, Network Architect

Sie können End-to-End-TLS-Verbindungen zwischen den Anwendungen eines Clients und dem VCN eines Kunden mit Load Balancern aktivieren.

• Um TLS auf dem Load Balancer zu beenden, verwenden Sie einen HTTP-Load Balancer. Um TLS auf einem Backend-Server zu beenden, verwenden Sie einen TCP-Load Balancer.
• Sie können den Netzwerkzugriff auf die Load Balancer mit Netzwerksicherheitsgruppen oder Sicherheitslisten konfigurieren.
• Definieren Sie IAM-Policys, um die Berechtigungen zur Verwaltung der Load Balancer auf eine minimale Anzahl von Benutzern und Gruppen zu begrenzen.

Zugriff mit Netzwerkquellen einschränken

Enterprise Architect, Security Architect, Network Architect

Eine Netzwerkquelle ist eine Gruppe definierter IP-Adressen. Bei den IP-Adressen kann es sich um öffentliche IP-Adressen oder IP-Adressen von VCNs in Ihrem Mandanten handeln.

Nachdem Sie eine Netzwerkquelle erstellt haben, können Sie sie in Policys oder in den Authentifizierungseinstellungen Ihres Mandanten referenzieren, um den Zugriff basierend auf der ursprünglichen IP-Adresse zu kontrollieren.

Netzwerkressourcen können nur im Mandanten (oder Root Compartment) erstellt werden und sich wie andere Identitätsressourcen in der Hauptregion befinden.

Mit Netzwerkquellen können Sie Ihren Mandanten wie folgt sichern:

• Geben Sie die Netzwerkquelle in einer IAM-Policy an, um den Zugriff auf Ressourcen einzuschränken. Sofern dies in einer Policy angegeben wurde, prüft IAM, dass Anforderungen für den Zugriff auf eine Ressource von einer zulässigen IP-Adresse stammen. Beispiel: Sie können den Zugriff auf Objektspeicher-Buckets in Ihrem Mandanten nur auf Benutzer einschränken, die über Ihr Unternehmensnetzwerk bei Oracle Cloud Infrastructure angemeldet sind. Sie können auch festlegen, dass nur Ressourcen, die zu bestimmten Subnetzen eines bestimmten VCN gehören, Anforderungen über ein Servicegateway stellen können.
• Geben Sie die Netzwerkquelle in den Authentifizierungseinstellungen Ihres Mandanten an, um die Anmeldung bei der Konsole einzuschränken. Sie können die Authentifizierungs-Policy Ihres Mandanten einrichten, um eine Anmeldung bei der Konsole nur mit den in der Netzwerkquelle angegebenen IP-Adressen zu ermöglichen. Benutzern, die versuchen, sich mit einer IP-Adresse anmelden, die nicht in der Liste der zulässigen IP-Adressen in der Netzwerkquelle enthalten ist, wird der Zugriff verweigert.

Sichere DNS-Zonen und -Datensätze

Enterprise Architect, Security Architect, Network Architect

Falsche Aktualisierungen oder nicht autorisierte Löschvorgänge von DNS-Zonen und -Datensätzen können zu Serviceausfällen führen.

Definieren Sie IAM-Policys, um die Benutzer einzuschränken, die DNS-Zonen und -Datensätze ändern können.

Sicherheitszonen in Oracle Cloud Infrastructure nutzen

Enterprise Architect, Security Architect, Network Architect

Mit Oracle Security Zones können Sie das Risiko unangemessen niedriger Sicherheitsrichtlinien minimieren.

Wenn Sie ein neues Projekt starten und eine neue Lösung erstellen, gibt es viele Best Practices aus vielen verschiedenen Quellen, z. B.:

• Lieferantenempfehlungen
• Organisationsstandards und -richtlinien
• Externe Frameworks
• Einhaltung gesetzlicher Vorschriften
• Referenzarchitekturen

Diese Best Practices decken in der Regel eine Reihe verschiedener Sicherheitsthemen ab, darunter Authentifizierung, Verschlüsselung, Speicherung, Zugriffskontrolle usw. In vielen Fällen werden Best Practices jedoch ignoriert. Wir alle haben es oft gesehen: Projektzeitpläne, Budgetbeschränkungen, Wissenslücken und Umgebungen, die als Nicht-Produktion beginnen, können alle bedeuten, dass die relevanten Best Practices nicht befolgt werden, was zu einer unsicheren Umgebung und einer schwachen Sicherheitslage führt.

Mit Oracle Security Zones können Sie dieses Risiko minimieren. Eine Sicherheitszone ist eine vorbeugende Kontrolle, die aufgrund der Tatsache, dass sie sensible Daten und Ressourcen enthält, von Grund auf einschränkend ist. Beispiel: Oracle Security Zones wird mit aktivierter Höchstsicherheits-Policy freigegeben. Dies ist der Ansicht, dass der öffentliche Zugang nicht gestattet werden sollte und dass sensible Daten so weit wie möglich vom Internet getrennt werden sollten. Die Sicherheits-Policy erzwingt diese Position, indem sie verhindert, dass Sie in Echtzeit Ressourcen erstellen, die diese Policy verletzen würden.

Weitere Informationen

• Best Practices zur Sicherheit
• Networking sichern: VCN, Load Balancer und DNS
• Private IP als Routingziel verwenden
• Load Balancer Listener verwalten
• OCI DMZ Common Architectures (Blog)
• OCI Network Firewall - Hub- und Spoke-Trafficprüfung (Blog)