1. OCI-Sicherheitsservices für Datenschutz mit Oracle Cloud VMware Solution verwenden
  2. OCI-Sicherheitsservices für Datenschutz mit Oracle Cloud VMware Solution verwenden

OCI-Sicherheitsservices für Datenschutz mit Oracle Cloud VMware Solution verwenden

Oracle Cloud VMware Solution bietet eine vom Kunden verwaltete, native VMware-basierte Cloud-Umgebung, die im Mandanten des Kunden installiert wird, und bietet vollständige Kontrolle mit vertrauten VMware-Tools.

Oracle Cloud Infrastructure (OCI) ist ein Infrastructure-as-a-Service-Angebot der nächsten Generation (IaaS), das auf Security-First-Designprinzipien ausgelegt ist. Diese Grundsätze umfassen eine isolierte Netzwerkvirtualisierung und eine unbereinigte Bereitstellung physischer Hosts, die mit früheren Public Cloud-Designs bisher nur schwer zu erreichen waren. Mit diesen Designprinzipien trägt OCI dazu bei, Risiken durch fortschrittliche persistente Bedrohungen zu reduzieren.

Diese Referenzarchitektur beschreibt die Integrationsoptionen für Oracle Cloud VMware Solution mit OCI Data Protection-Schicht und Sicherheitsservices, um die Anforderungen für die Ausführung kritischer und sensibler Workloads zu erfüllen.

Architektur

Diese logische Referenzarchitektur konzentriert sich hauptsächlich auf die Datenschutzschicht und beschreibt, wie OCI Security Services mit Oracle Cloud VMware Solution-Workloads für den Datenschutz verwendet werden kann.

Die folgenden nativen OCI-Sicherheitsservices sind Bestandteil der OCI-Sicherheitsschicht "Datenschutz".

  • Mit dem OCI Vault-Service können Sie die Masterverschlüsselungsschlüssel, die Daten schützen, und die Secret-Zugangsdaten, die für den Zugriff auf OCI Block Storage, OCI File Storage oder OCI Object Storage verwendet werden können, zentral verwalten. Schlüsselmanagement und Secrets-Management sind ebenfalls Teil von OCI Vault. Schlüssel sind Masterverschlüsselungsschlüssel, die zum Verschlüsseln von Objektspeicher und Buckets verwendet werden. Secrets können ebenfalls geschützt werden (z.B. Datenbankkennwörter). Beide werden zentral mit dem OCI Vault-Service verwaltet
  • Der Oracle Data Safe-Service schützt sensible und regulierte Daten, die in der Oracle-Datenbank gespeichert sind, die in der Managementschicht vCenter ausgeführt wird. Die Oracle-Datenbank ist mit Data Safe-DB-Connectors in Oracle Data Safe integriert.
  • Mit dem OCI Certificates-Service können Sie den sicheren TLS/SSL-Zugriff auf Server, Webanwendungen usw. bereitstellen. Der Administrator kann private Certificate Authoritys-(CA-)Hierarchien und TLS-Zertifikate erstellen und verwalten, die in OCI Load Balancing Service integriert sind.

Datenverschlüsselung: Der OCI-Speicher verschlüsselt standardmäßig Daten im Ruhezustand und bei der Übertragung mit dem Advanced Encryption Standard-(AES-)Algorithmus mit 256-Bit-Verschlüsselung. Daten der Control Plane für die Übertragung werden mit Transport Layer Security (TLS) 1.2 oder höher verschlüsselt.

Das folgende Diagramm veranschaulicht diese Referenzarchitektur.


Beschreibung von ocvs_data_security_arch.png folgt
Beschreibung der Abbildung ocvs_data_security_arch.png

ocvs-data-security-arch-oracle.zip

Die Architektur umfasst die folgenden Komponenten:

  • OCI Cloud-Sicherheitsservices

    Mit OCI Security können Unternehmen das Risiko von Sicherheitsbedrohungen für Cloud-Workloads reduzieren. Diese Sicherheitsreferenzarchitektur von Oracle Cloud VMware Solution beschreibt die Funktionen der OCI-Datenschutzschicht.

    Der OCI Vault-Service verwaltet zentral Verschlüsselungsschlüssel und Secret-Zugangsdaten für den OCI-Speicherschicht und das Backup-Repository. Diese Verschlüsselungsschlüssel schützen die Daten und Secret-Zugangsdaten. Der Data Safe-Service ist für die Überwachung und Bewertung des Datenbankinstanzziels in VMware mit Connectors aktiviert. Der Zertifikatsservice bietet Funktionen zur Ausstellung, Speicherung und Verwaltung von Zertifikaten. Diese Zertifikate können auf einem Load Balancer bereitgestellt werden.

  • Oracle Cloud VMware Solution

    Oracle Cloud VMware Solution stellt das softwaredefinierte Data Center (SDDC) VMware auf Oracle Cloud-Core-Infrastrukturservices bereit. Mit den OCI-Bare-Metal-DenseIO-Servern wird der Hypervisor VMware ausgeführt, der auch als ESXi bezeichnet wird und Compute-Virtualisierung bereitstellt. Die virtuellen Maschinen, die in der Managementschicht vCenter ausgeführt werden, verbrauchen entweder vSAN-Datenspeicher oder OCI Block Storage als primäre Speicheroption. Oracle Cloud VMware Solution kann jedoch auch OCI Block Volume und OCI File Storage als externe Speicheroptionen nutzen.

    Die in Oracle Cloud VMware Solution ausgeführten virtuellen Maschinen verwenden die folgenden Speicher- und Backupoptionen.
    • vSAN Storage ist eine sofort einsatzbereite, softwaredefinierte Speicherlösung, die in der Oracle Cloud VMware Solution-Umgebung angeboten wird. Der vSAN ist Unternehmensspeicher und unterstützt die Verschlüsselung mit vSphere Native Key Provider oder einem externen Key Management Service-(KMS-)Provider.
    • OCI Block Volume wird dem VMware ESXi-Server als iSCSI-Ziel für die Speicherung virtueller Maschinen dargestellt. OCI-Sicherheitsfeatures wie KMS, Verschlüsselung und Vaults gelten für VM-Daten, die in OCI Block Volume gespeichert sind.
    • File Storage ermöglicht die Verwendung von OCI File Storage Service als NFS-Speicher für virtuelle Maschinen. OCI-Sicherheitsfeatures wie KMS, Verschlüsselung und Vaults gelten für die im NFS-Speicher gespeicherten VMs, die von OCI File Storage gesichert werden.
    • Object Storage speichert die Oracle Cloud VMware Solution-VM-Backupkopien. Object Storage kann nicht zur Ausführung der VMs verwendet werden. Alle OCI-Sicherheitsfeatures für den Objektspeicher gelten für die VM-Backupdateien.

In der folgenden Tabelle wird beschrieben, wie OCI-Sicherheitsservices für den Datenschutz mit Oracle Cloud VMware Solution verwendet werden können.

OCI-Service Datenschutz mit Oracle Cloud VMware Lösung
Data Safe Data Safe ist ein nativer OCI-Service zum Sichern der Oracle-Datenbank, die in der OCI- oder On-Premise-Umgebung ausgeführt wird. Die Oracle-Datenbank, die im Oracle Cloud VMware Solution-SDDC als virtuelle Maschine ausgeführt wird, kann mit Data Safe-Connectors in Data Safe integriert werden.
Block-Volume-Verschlüsselung OCI Block Volume ist als externer Datenspeicher für das VMware-SDDC gemountet, das von OCI verwaltete/vom Kunden verwaltete Schlüssel anbietet.
Verschlüsselung von File Storage Der OCI File Storage-Service wird als externer NFS-Datenspeicher für das VMware-SDDC gemountet, das von OCI verwaltete/vom Kunden verwaltete Schlüssel anbietet.
Object Storage-Verschlüsselung
  • OCI Object Storage kann nicht mit dem Oracle Cloud VMware Solution-SDDC als direkt angehängter oder externer Speicherdatenspeicher verwendet werden.
  • OCI Object Storage wird als Backup- und Archivierungs-Repository für die VMware-SDDC-VMs verwendet.
  • Backuplösungen wie Veeam und Commvault können in OCI Object Storage integriert werden, sodass Sie die Archivbackupdaten verschlüsselt speichern können.
  • Die Backuplösung speichert auch die Backupdaten der Performanceebene in OCI Block Volumes, um die Verschlüsselung von Backupdaten sicherzustellen.
Vault
  • OCI Vault kann nicht mit dem vSAN-Speicher verwendet werden. Der vSAN-Datenspeicher unterstützt nur vSphere Native Key Provider und externe KMS-Provider. Weitere Informationen finden Sie unter dem Link VMware KMS-Provider von Drittanbietern im Abschnitt Weitere Informationen.
  • OCI Vault kann nur dann mit Oracle Cloud VMware Solution verwendet werden, wenn OCI-Speicherservices als Shared Storage-Option für virtuelle Maschinen verwendet werden.
Zertifikate
  • Oracle Cloud VMware Solution ist ein nativer OCI-Service, der entworfen wird und die native Integration mit anderen OCI-Services ermöglicht.
  • Die VMs von Oracle Cloud VMware Solution können OCI LBaaS für alle Anwendungsveröffentlichungsanforderungen verwenden. Die SSL-Auslagerung für diese Anwendungen kann durch Integration von SSL-Zertifikaten aus dem OCI-Zertifikatservice erfolgen.
  • Bei öffentlichen Anwendungen auf OCI müssen Sie die von Drittanbietern signierten öffentlichen Zertifikate abrufen und in den OCI-Zertifikatsservice importieren. Diese Zertifikate können in LBaaS und Backend-Webserver für End-to-End-SSL importiert werden.

Mehr erfahren

Weitere Informationen zu den Features dieser Referenzarchitektur finden Sie in diesen zusätzlichen Ressourcen.

Bestätigungen

  • Authors: Dev Gawale, Sandeep Khedekar