1. Establecer un modelo básico de control de Oracle Cloud Infrastructure
  2. Recursos y servicios de Oracle Cloud Infrastructure

Recursos y servicios de Oracle Cloud Infrastructure

Oracle Cloud Infrastructure (OCI) proporciona varios recursos y servicios que le permiten controlar los recursos. Obtenga información sobre los servicios de OCI y cómo pueden permitir a su organización implantar un modelo de gobernanza.

Recursos

Oracle Cloud Infrastructure (OCI) permite organizar los recursos e implantar la gobernanza en su organización. Obtenga información sobre la organización física y lógica de los recursos y servicios de OCI.

Región

OCI se aloja físicamente en regiones geográficas y dominios de disponibilidad. Una región es un área geográfica localizada, mientras que un dominio de disponibilidad es uno o más centros de datos que se encuentran en una región.

Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones y las grandes distancias pueden separarlas (entre países e, incluso, continentes).

Una región se compone de uno o más dominios de disponibilidad. Los recursos de OCI son específicos de una región, como una red virtual en la nube, o específicos de un dominio de disponibilidad, como una instancia informática.

Dominio de disponibilidad

Los dominios de disponibilidad son centros de datos independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, que ofrecen tolerancia a los fallos. Los dominios de disponibilidad no comparten una infraestructura como la alimentación o la refrigeración, ni la red interna del dominio de disponibilidad. Por lo tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a los otros dominios de disponibilidad de la región.

Al configurar los servicios en la nube, utilice varios dominios de disponibilidad para garantizar una alta disponibilidad y ofrecer protección frente a fallos de los recursos. Tenga en cuenta que algunos recursos se deben crear dentro del mismo dominio de disponibilidad, como una instancia y el volumen de almacenamiento que tiene asociado.

Dominio de errores

Un dominio de errores es una agrupación de hardware e infraestructura en un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de errores con hardware y energía independientes. Al distribuir recursos entre varios dominios de errores, las aplicaciones pueden tolerar fallos físicos del servidor, mantenimiento del sistema y fallos de energía dentro de un dominio de errores.

Por ejemplo, un evento de mantenimiento de hardware de recursos informáticos o fallo de hardware que afecte a un dominio de errores no afecta a las instancias de otros dominios de errores.

Identificación de recursos

Un concepto fundamental para identificar los recursos de OCI es el OCID (identificador de Oracle Cloud). Es un identificador único que identifica recursos en un servicio de Oracle Cloud Infrastructure (OCI) que contiene metadatos sobre los recursos. El recurso puede ser un usuario o un grupo, una instancia o un servicio. El recurso que es una instancia de un servicio o un principal, es un componente del OCID completo de un recurso concreto.

OCI utiliza el OCID para identificar y aplicar políticas en los recursos al implantar la gobernanza en la organización. A continuación, se muestra la sintaxis de OCID y sus componentes:

Oracle Cloud Infrastructure proporciona los siguientes servicios que le permiten crear, organizar y administrar sus recursos en la nube. 

ocid1.<RESOURCE TYPE>.<REALM>.[REGION][.FUTURE USE].<UNIQUE
    ID>
  • OCID1: la cadena literal que indica la versión del OCID.
  • Tipo de recurso: tipo de recurso, como instancia, VCN, usuario o grupo.
  • Realm: un dominio es un juego de regiones que comparten entidades como oc1 para el dominio comercial, oc2 para la nube del gobierno, oc3 para el gobierno federal.
  • Región: la región geográfica de residencia del recurso es phx, iad.
  • Future Use (Uso futuro): especifica si los recursos están reservados para uso posterior.
  • Unique ID: parte única del identificador.

Arrendamiento

Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud al conectarse a Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud en su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un solo arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un solo arrendamiento suele estar asociado a una única suscripción y una única suscripción solo suele tener un arrendamiento.

Cada recurso dentro de una estructura de arrendamiento del arrendamiento pertenece a un compartimento (con pocas excepciones), lo que permite que los recursos se agrupen y gestionen de forma lógica para que se ajusten al modelo de gobernanza definido. Se aprovisiona un recurso en el arrendamiento relacionado con los componentes de infraestructura, IaaS y PaaS, pero no limitado a redes virtuales en la nube (VCN), subredes, seguridad y reglas de enrutamiento.

La mayoría de los recursos principales pertenecen a un compartimento dentro del arrendamiento. Sin embargo, hay recursos básicos que son globales y están activos fuera de los compartimentos.

Compartimentos

Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.

Los compartimentos bien diseñados permiten a su organización hacer lo siguiente:

  • Controle el acceso por parte de los compartimentos para aplicar la separación de funciones y controlar el acceso en función de funciones como los recursos de red o las bases de datos.
  • Delegar privilegios administrativos a los administradores de compartimentos para gestionar sus respectivos recursos
  • Desarrollar un modelo de contracargo por departamentos en función de sus respectivos compartimentos
  • Definir cuotas y jueces en función de los compartimentos

Límites de los servicios

Cuando se registra para OCI, se configura un conjunto de límites de servicio para su arrendamiento. El límite de servicio consiste en la cuota o asignación establecida para un recurso. Por ejemplo, su arrendamiento puede permitir un número máximo de instancias de Data Science Service. Cada recurso tiene un límite y un ámbito definidos. Los límites establecidos inicialmente en el arrendamiento se basan en una combinación de recursos adquiridos en la lista de materiales y los valores determinados como valores por defecto. El ámbito de los límites de servicio es regional o específico del dominio de disponibilidad, lo que permite una mayor flexibilidad. Estos límites pueden aumentarse de forma automática en función de su uso de recursos de OCI y de la cuenta.

Presupuestos

Puede especificar un presupuesto para definir límites variables en el gasto de OCI. También puede definir alertas en el presupuesto para notificarle cuando el uso supere el presupuesto. Puede ver todos los presupuestos y gastos en un solo lugar mediante la consola de OCI.

Cuotas de compartimento

Las cuotas de compartimento proporcionan a los administradores de arrendamiento y compartimento un mejor control sobre cómo se consumen los recursos en OCI. Las cuotas permiten a los administradores asignar fácilmente recursos a los compartimentos mediante la consola. Las cuotas de compartimento proporcionan un potente mecanismo para gestionar el gasto en arrendamientos de OCI.

Registro

El registro es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:
  • Logs de auditoría: logs relacionados con eventos emitidos por el servicio de auditoría.
  • Logs de servicio: logs emitidos por servicios individuales como gateway de API, eventos, funciones, equilibrio de carga, almacenamiento de objetos y logs de flujo de VCN.
  • Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores en la nube o un entorno local.

Grupos de logs

Contenedores lógicos para organizar los logs que se utilizan para definir/limitar el acceso a los logs a un grupo limitado de usuarios. Puede crear grupos de logs independientes según la sensibilidad de los datos de log.

Por ejemplo, cree tres grupos de logs: Seguridad, Red y Aplicación.

  • A continuación, para cada grupo de logs, cree políticas de OCI IAM para proporcionar a los usuarios administradores acceso para leer blogs de los grupos de logs.
  • Permita al grupo SecOps leer el contenido de log en el registro de compartimentos donde:
    target.loggroup.id=’ocid1.loggroup.oc1.<OCIRegion>..<SecurityLogGroupUniqueID>

Análisis de registro

Solución en la nube en OCI que permite indexar, enriquecer, agregar, explorar, buscar, analizar, correlacionar, visualizar y controlar todos los datos del log de sus aplicaciones e infraestructura del sistema.

Logging Analytics proporciona varias formas de obtener estadísticas operativas de los logs.

  • Usar la interfaz de usuario del explorador de logs
  • Agregar la información de log a los paneles de control
  • Utilizar las API para realizar la ingesta de los datos y analizarlos
  • Integración con otros servicios de OCI

Cloud Guard

Descripción de cloud-guard-detector-recipe.png a continuación
Descripción de la ilustración cloud-guard-detector-recipe.png

Puede utilizar Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de puntos débiles en la seguridad y para controlar operadores y usuarios en busca de actividades de riesgo. Cuando se detecta cualquier configuración incorrecta o actividad no segura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones en función de las recetas de responsable de respuesta que puede definir.

receta de detector

Juego de reglas/cheques para identificar posibles problemas de seguridad. Oracle proporciona algunas recetas de detector de línea base para servicios como cubos de almacenamiento de objetos, instancias informáticas, instancias de VCN, usuarios y grupos de IAM, equilibradores de carga, listas de seguridad y grupos de seguridad de red. No puede actualizar la regla de receta para recetas gestionadas por Oracle. Sin embargo, puede clonar recetas gestionadas por Oracle y crear nuevas recetas denominadas recetas de detector gestionadas por el usuario.

Recetas de reglas para detectar problemas

  • Recetas gestionadas por Oracle
  • Recetas gestionadas por el usuario
  • Recetas de detector de configuración
    • Cubo público
    • La instancia tiene una dirección IP pública
    • El certificado SSL de LB está a punto de caducar
  • Recetas de detector de actividad
    • Usuario agregado a un grupo
    • Instancia informática suprimida

Las recetas de detector de configuración comprueban las configuraciones de recursos. Por ejemplo, compruebe si el cubo de almacenamiento es público o si hay un gateway de NAT o de Internet creado en una VCN. Otras recetas de detector detectan actividad como crear un grupo dinámico o agregar una VNIC a la VM.

receta de responsable de respuesta

Juego de reglas para solucionar el problema detectado o enviar una acción de solicitud de notificación. La receta de responsable de respuesta por defecto no proporciona una opción para solucionar cada problema. Sin embargo, puede solucionarlo llamando a funciones desde eventos. Tome medidas correctivas o solucione el problema de la función OCI.

Al igual que las recetas de detector, hay recetas de responsable de respuesta gestionadas por Oracle y recetas de responsable de respuesta gestionadas por el cliente. Las recetas de responsable de respuesta gestionadas por el cliente son un clon de recetas gestionadas por Oracle en las que puede desactivar algunas de las reglas de responsable de respuesta predefinidas.

Destino

Un destino define el ámbito de comprobación de Cloud Guard. Incluye una lista de compartimentos. Al agregar un compartimento como destino, Cloud Guard comprueba también todos los subcompartimentos. Los destinos se definen en los que los compartimentos, las recetas de detector y las recetas de responsable de respuesta se unen.

Etiquetado

Las etiquetas contienen metadatos, pares clave-valor, que están asociados a los recursos y definen sus atributos, como uso, costo o propiedad.

Conceptos básicos de etiquetas

Espacio de nombres de etiqueta (solo aplicable a etiquetas definidas)

El espacio de nombres de etiqueta es un contenedor para sus etiquetas. Consta de un nombre y cero o más definiciones de clave de etiqueta. El espacio de nombres de etiqueta es único en el arrendamiento.

Clave de etiqueta

Nombre que utiliza para hacer referencia a la etiqueta. Las claves de etiqueta son únicas en el espacio de nombres.

Tipo de valor de etiqueta

Especifica el tipo de dato permitido para el valor. Hay dos tipos de dato soportados: Cadena y una lista de cadenas.

Valor de etiqueta

Es el valor que el usuario aplica a las etiquetas. Algunas etiquetas tienen valores predefinidos. Los usuarios deben seleccionar un valor de la lista de valores para otras etiquetas.

Un recurso, que es una instancia de un servicio en un compartimento, puede tener una o más etiquetas. Las etiquetas asignadas a un compartimento se asignan a todos los recursos del compartimento.

Hay dos formas de asignar etiquetas a recursos.

Etiquetas definidas

Las etiquetas predefinidas en las que los administradores gestionan los metadatos se utilizan con más frecuencia. Por ejemplo, para crear metadatos de recursos para gestionar recursos o recopilar datos, puede utilizar las etiquetas definidas. Hay tres tipos de etiquetas definidas según su uso y cómo se asignan los valores.

  • Etiquetas con valores predefinidos

    Puede crear una lista de valores y asociarla a una definición de clave de etiqueta. Cuando los usuarios aplican la etiqueta a un recurso, deben seleccionar un valor de la lista de valores predefinidos. Utilice listas de valores predefinidos para imponer límites a los valores que los usuarios pueden aplicar a las etiquetas.

  • Etiquetas de seguimiento de costos

    Etiquetas que se utilizan al definir presupuestos para gestionar el costo de uso de recursos.

  • Valores por defecto de etiqueta

    Puede definir etiquetas por defecto que se aplicarán a todos los recursos cuando se creen en un compartimento específico. Al configurar los valores por defecto de las etiquetas, se garantiza que se apliquen las etiquetas adecuadas al crear los recursos sin necesidad de que el usuario que está creando el recurso tenga acceso a los espacios de nombres de las etiquetas. Utilice variables de etiqueta para crear de forma eficaz valores por defecto de etiqueta para los recursos creados en un compartimento. Por ejemplo:
    $(iam.principal.name}, $(iam.principal.type}, ${oci.datetime}

Etiquetas de formato libre

Metadatos no gestionados definidos por el usuario aplicados a los recursos durante el ciclo de vida de un recurso.

Consulte la guía Oracle Cloud Foundations, que está enlazada en la sección Explorar más, para obtener más información.