OCI Core Landing Zone

La arquitectura de zona de llegada comienza con el diseño de compartimentos para su arrendamiento, además de la creación de grupos y políticas para ayudar a garantizar una separación adecuada de funciones. Aprovisiona compartimentos dentro de un compartimento principal designado para todos los servicios de infraestructura principales, lo que permite a sus equipos gestionar los recursos de OCI de forma más eficiente. A cada compartimento de zona de llegada se le asigna un grupo de administradores específico, al que se le otorgan los permisos necesarios para gestionar recursos en el compartimento y acceder a recursos en otros compartimentos.

Este diseño también admite el aprovisionamiento de varias redes virtuales en la nube (VCNs), ya sea como redes independientes o como radios en una arquitectura de hub y radios. Las VCN se pueden configurar para desplegar una VCN de hub, hasta una topología de VCN de red de tres niveles, o se pueden adaptar a casos de uso específicos, como el soporte de despliegues de Oracle Exadata Database Service u Oracle Kubernetes Engine (OKE). Inicialmente, las VCN están preconfiguradas con las interfaces de enrutamiento adecuadas y de entrada y salida seguras.

La zona de llegada principal de OCI incluye varios servicios de seguridad preconfigurados que admiten las referencias de OCI de CIS que se despliegan e integran como parte de la arquitectura general, lo que garantiza una estrategia de seguridad sólida. Estos servicios de seguridad nativos de OCI incluyen Cloud Guard, Flow Logs, Connector Hub, Vault, Vulnerability Scanning Service, Bastion y Security Zones. Los administradores pueden configurar notificaciones mediante temas y eventos para mantenerse informados sobre los cambios en los recursos desplegados.

En el siguiente diagrama se muestra la arquitectura de referencia de la zona de llegada principal de OCI.

La zona de llegada principal de OCI se compone de un conjunto de módulos diseñados para ser flexibles, fáciles de usar y útiles para alinear los despliegues de los clientes con las recomendaciones de CIS OCI Foundations Benchmark.

OCI Identity and Access Management (IAM) se utiliza para gestionar y controlar el acceso a los recursos en la nube de su arrendamiento. La zona de llegada crea automáticamente grupos y políticas de IAM para controlar el acceso a los recursos aprovisionados en su entorno y para admitir la separación de funciones y los requisitos de control de acceso basado en roles (RBAC). Además, tiene la opción de federarse con Microsoft Active Directory de su organización para una integración perfecta con su proveedor de identidad de terceros existente (IdP). Hay varios módulos de IAM, incluidos compartimentos, políticas, grupos, grupos dinámicos y dominios de identidad. Para obtener más información, consulte el repositorio GitHub, Módulos de IAM de OCI Landing Zones.

Las políticas de OCI IAM definen quién puede acceder a recursos específicos y el nivel de acceso que se les otorga. El acceso se gestiona a nivel de grupo y compartimento, lo que le permite crear políticas que asignen permisos específicos de grupo dentro de un compartimento o en todo el arrendamiento. Los compartimentos son particiones lógicas dentro de un arrendamiento de OCI. Se utilizan para organizar recursos, gestionar el acceso y aplicar cuotas de uso. Para controlar el acceso a los recursos de un compartimento, cree políticas que especifiquen qué usuarios o grupos pueden acceder a los recursos y qué acciones pueden realizar. Este diseño de compartimento sigue una estructura organizativa común, donde las responsabilidades de TI se suelen dividir entre los equipos de redes, seguridad, desarrollo de aplicaciones y administración de bases de datos.

Los recursos de esta plantilla de zona de llegada se aprovisionan en los siguientes compartimentos:

• Compartimento delimitador: compartimento principal recomendado que contiene todos los demás compartimentos mostrados debajo.
• Compartimento de red: contiene todos los recursos de red, incluidos los gateways de red necesarios, las redes virtuales en la nube de carga de trabajo y una opción de hub y radio.
• Compartimento de seguridad: aloja recursos relacionados con el registro, la gestión de claves, el análisis de vulnerabilidades, el bastión y las notificaciones.
• Compartimento de aplicación: incluye servicios relacionados con la aplicación, como recursos informáticos, almacenamiento, funciones, flujos, nodos de Kubernetes, gateway de API, etc.
• Compartimento de base de datos: dedicado a recursos de base de datos.
• Compartimento de Exadata (opcional): compartimento para aprovisionar la infraestructura de Oracle Exadata Database Service.

Puede configurar la zona de llegada principal de OCI para desplegar los siguientes recursos de red:

• VCN: una red personalizable definida por software en OCI que le proporciona un control total de su entorno de red, similar a las redes tradicionales del centro de datos. Una VCN puede tener varios bloques CIDR no solapados, que se pueden modificar después de la creación. Puede segmentar aún más una VCN en subredes, las cuales se pueden acotar a una región o un dominio de disponibilidad. Cada subred tiene un rango contiguo de direcciones IP que no se solapa con otras subredes de la misma VCN. El tamaño de una subred se puede ajustar después de la creación y las subredes pueden ser públicas o privadas.

  La zona de llegada principal de OCI se puede configurar para desplegar hasta 10 redes virtuales en la nube:

  • 3 redes virtuales en la nube de tres niveles
  • 3 VCN de Exadata Cloud Infrastructure
  • 3 VCN de OKE
  • 1 VCN de hub

  Estas redes virtuales en la nube se pueden desplegar como redes independientes o con intercambio de tráfico. Por defecto, no se aprovisiona ninguna red virtual a menos que se seleccione.

• Gateway de Internet: activa el tráfico entre subredes públicas en una VCN y la red pública de Internet.

• Gateway de enrutamiento dinámico (DRG): enrutador virtual que facilita el tráfico de red privada entre redes locales y VCN. También puede enrutar el tráfico entre las redes virtuales en la nube dentro de la misma región o entre distintas regiones.

• Gateway de NAT: permite que los recursos privados de una VCN inicien conexiones salientes a Internet sin exponer esos recursos al tráfico entrante de Internet.

• Gateway de servicio: proporciona acceso desde una VCN a los servicios de OCI, como Object Storage. El tráfico de la VCN a estos servicios fluye a través del tejido de red de Oracle, lo que evita la red pública de Internet.

• Oracle Services Network (OSN): red dedicada dentro de OCI para servicios de Oracle, que tienen direcciones IP públicas a las que se puede acceder a través de Internet. Los hosts fuera de OCI pueden acceder a OSN de forma privada mediante OCI FastConnect o VPN Connect. Los hosts de la VCN pueden acceder a OSN de forma privada a través de un gateway de servicios.

• Grupos de seguridad de red (NSG): actúa como un firewall virtual para sus recursos en la nube. Siguiendo el modelo de seguridad de confianza cero de OCI, se deniega todo el tráfico por defecto y puede controlar el flujo de tráfico dentro de una VCN. Un NSG consta de un juego de reglas de entrada y salida que se aplican a un juego específico de tarjetas de interfaz de red virtual (VNIC) en una VCN.

• Enrutamiento de paquetes de confianza cero (ZPR): evita el acceso no autorizado a los datos mediante la gestión de la política de seguridad de red independientemente de la arquitectura de red. ZPR utiliza un lenguaje de políticas basado en intenciones fácil de usar para definir rutas de acceso permitidas para los datos. Cualquier patrón de tráfico no definido explícitamente por la política no puede atravesar la red, lo que simplifica la protección de datos y evita la filtración de datos. Por defecto, ZPR no está activado y requiere configuración.

Por defecto, la zona de llegada principal de OCI está configurada para desplegar los siguientes servicios de seguridad nativos en la nube para soportar OCI Benchmark de CIS y proporcionar una estrategia de seguridad sólida.

• Cloud Guard: servicio nativo en la nube diseñado para ayudarte a supervisar, identificar y mantener una sólida estrategia de seguridad en Oracle Cloud. El servicio examina continuamente los recursos de OCI para detectar deficiencias de seguridad relacionadas con la configuración y supervisa a los operadores y usuarios en busca de actividades riesgosas. Mediante el uso de recetas de detector personalizables, Cloud Guard identifica configuraciones incorrectas y posibles amenazas de seguridad, y, cuando se detecta, puede recomendar acciones correctivas o ayudar a implementarlas mediante recetas de responsable de respuesta predefinidas. Esto le permite gestionar de forma proactiva la seguridad de sus recursos y mantener el cumplimiento de las mejores prácticas.
• Zona de seguridad: asociada a uno o más compartimentos y a una receta de zona de seguridad. Cuando se crean o modifican recursos en una zona de seguridad, OCI valida la operación con respecto a las políticas de seguridad definidas en la receta de zonas. Si se infringe alguna política, se niega la operación. Las zonas de seguridad ayudan a garantizar que los recursos de OCI cumplen los requisitos de seguridad de su organización en servicios como Compute, Networking, Object Storage, Block Volume y Database.
• Servicio de análisis de vulnerabilidades: ayuda a mejorar la seguridad mediante la exploración periódica de puertos y hosts para detectar vulnerabilidades. El servicio genera informes detallados, incluidas métricas y estadísticas sobre vulnerabilidades identificadas, lo que le ayuda a abordar de forma proactiva los riesgos de seguridad.
• Almacén: permite gestionar de forma centralizada las claves de cifrado que protegen los datos, además de las credenciales secretas utilizadas para proteger el acceso a los recursos en la nube. Con el servicio Vault, puede crear y gestionar almacenes, claves de cifrado y secretos.
• Bastion: proporciona acceso seguro y controlado a los recursos de OCI que no tienen puntos finales públicos. Permite sesiones SSH basadas en la identidad, con restricciones de dirección IP específicas y acceso con límite de tiempo. Todas las actividades se auditan, lo que garantiza un acceso remoto seguro y rastreable a los recursos críticos.

La zona de llegada principal de OCI está configurada para utilizar los siguientes servicios de OCI para la observabilidad:

• Registro: servicio altamente escalable y totalmente gestionado que proporciona acceso a los logs desde sus recursos en la nube. Permite ver, gestionar y analizar logs en todo el arrendamiento, incluida la información de diagnóstico crítica sobre el rendimiento y el acceso a los recursos. El servicio admite los siguientes tipos de logs:
  • Logs de auditoría: registros de eventos emitidos por el servicio OCI Audit.
  • Logs de servicios: logs generados por los servicios nativos de OCI, como API Gateway, eventos, funciones, equilibrador de carga, Object Storage y logs de flujo de VCN.
  • Logs personalizados: logs de aplicaciones personalizadas, proveedores de nube de terceros o entornos locales, que proporcionan detalles de diagnóstico adicionales.
• Eventos: mensajes estructurados emitidos por los servicios de OCI que describen los cambios en los recursos. Estos eventos pueden corresponder a operaciones de creación, lectura, actualización o supresión (CRUD), cambios de estado del ciclo de vida de los recursos o eventos del sistema que afectan a los recursos en la nube.
• Notificaciones: difunde mensajes seguros, altamente fiables, de baja latencia y duraderos a componentes distribuidos mediante un patrón de publicación-suscripción. Proporciona mensajes para aplicaciones alojadas en OCI y externamente, y se puede utilizar para notificarle cuando se disparan alarmas, conectores de servicio o reglas de eventos.
• Connector Hub: plataforma de bus de mensajes basada en la nube que organiza el movimiento de datos entre servicios en la nube. Proporciona un único panel para definir, ejecutar y supervisar las transferencias de datos, lo que le permite mover datos de un servicio de origen a un servicio de destino. Además, Connector Hub permite especificar tareas, como llamar a una función, para procesar los datos antes de la entrega al servicio de destino. Esto facilita la creación de un marco de agregación de registros para sistemas de supervisión de eventos e información de seguridad (SIEM).
• Object Storage: permite gestionar datos como objetos dentro de contenedores, proporcionando acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de base de datos, datos analíticos y medios enriquecidos, como imágenes y vídeos. Puede almacenar y recuperar datos de forma segura tanto desde Internet como dentro de la plataforma en la nube, con la capacidad de ampliar el almacenamiento sin sacrificar el rendimiento o la fiabilidad. Utilice Almacenamiento estándar para datos "en caliente" a los que se accede con frecuencia y que requieren una recuperación rápida e inmediata, y Almacenamiento de archivos para datos "en frío" a los que rara vez se accede pero que se conservan para el almacenamiento a largo plazo.

Cómo desplegar la zona de llegada principal de OCI

Utilice las siguientes directrices como base para diseñar y configurar la seguridad de su entorno en la nube. Tenga en cuenta que sus requisitos específicos pueden diferir de la arquitectura descrita aquí.

• Configuración de red: al seleccionar un bloque CIDR para su VCN, asegúrese de que no se superponga con ninguna otra red (ya sea en OCI, su centro de datos local u otro proveedor en la nube) a la que tenga previsto establecer conexiones privadas.
• Supervisión de seguridad: utilice Cloud Guard para supervisar y mantener la seguridad de los recursos en OCI. Cloud Guard emplea recetas de detector personalizables para identificar deficiencias de seguridad en sus recursos y realizar un seguimiento de las actividades de riesgo por parte de operadores y usuarios. Cuando se detecta una configuración incorrecta o un problema de seguridad, Cloud Guard proporciona recomendaciones para acciones correctivas y puede ayudar a implantarlas mediante recetas de responsable de respuesta predefinidas.
• Provisionamiento seguro de recursos: para los recursos que requieren el nivel más alto de seguridad, utilice zonas de seguridad. Una zona de seguridad es un compartimento asociado a un juego de políticas definido por Oracle basado en las mejores prácticas de seguridad. Por ejemplo, los recursos de una zona de seguridad deben ser inaccesibles desde la red pública de Internet y deben estar cifrados con claves gestionadas por el cliente. OCI valida la creación y las actualizaciones de recursos dentro de una zona de seguridad con estas políticas, lo que deniega automáticamente cualquier operación que las infrinja.

Al implantar la zona de llegada principal de OCI, tenga en cuenta la siguiente información:

• Permisos de acceso: durante el aprovisionamiento inicial, la zona de llegada puede crear recursos con privilegios de administrador de arrendamiento. Incluye políticas preconfiguradas que permiten a grupos de administradores independientes gestionar cada compartimento después de la configuración inicial. Sin embargo, estas políticas están limitadas a los recursos desplegados por la plantilla y no cubren todos los posibles recursos en la nube. Si agrega nuevos recursos a la plantilla de Terraform, debe definir sentencias de política adicionales para otorgar los permisos de acceso necesarios.
• Configuración de red: la red de zona de llegada se puede desplegar de diferentes maneras: con una o varias redes virtuales en la nube independientes o en una arquitectura de hub y radio. También es posible configurar la red sin conectividad a Internet.
• Guía de despliegue: la Guía de despliegue de la zona de llegada principal de OCI en GitHub proporciona orientación detallada sobre cómo configurar la zona de llegada principal de OCI. Incluye escenarios de despliegue y pasos sobre cómo personalizar la zona de llegada.

El código de Terraform para esta solución está disponible en GitHub. Puede importar el código en OCI Resource Manager con un solo clic, crear la pila y desplegar la zona de llegada. También puede descargar el código en la máquina local, personalizarlo y desplegar la arquitectura con la CLI de Terraform.