1. Uso de servicios de seguridad de OCI para la protección de datos con Oracle Cloud VMware Solution
  2. Uso de servicios de seguridad de OCI para la protección de datos con Oracle Cloud VMware Solution

Uso de servicios de seguridad de OCI para la protección de datos con Oracle Cloud VMware Solution

Oracle Cloud VMware Solution proporciona un entorno en la nube basado en VMware nativo y gestionado por el cliente, instalado en el arrendamiento de un cliente y ofrece un control completo con herramientas VMware conocidas.

Oracle Cloud Infrastructure (OCI) es una infraestructura como servicio de última generación (IaaS), diseñada sobre principios de diseño que priorizan la seguridad. Estos principios incluyen la virtualización de red aislada y el despliegue de hosts físicos primarios, que antes eran difíciles de lograr con diseños de nube pública anteriores. Con estos principios de diseño, OCI ayuda a reducir el riesgo de amenazas persistentes avanzadas.

En esta arquitectura de referencia se describen las opciones de integración de Oracle Cloud VMware Solution con la capa OCI Data Protection y los servicios de seguridad para satisfacer los requisitos de ejecución de cargas de trabajo críticas y confidenciales.

Arquitectura

Esta arquitectura de referencia lógica se centra principalmente en la capa Protección de datos y describe cómo se pueden utilizar los servicios de seguridad de OCI para la protección de datos con cargas de trabajo de Oracle Cloud VMware Solution.

Los siguientes servicios de seguridad nativos de OCI forman parte de la capa Seguridad de OCI: Protección de datos.

  • El servicio OCI Vault ayuda a gestionar de forma centralizada las claves de cifrado maestras que protegen los datos y las credenciales secretas que se pueden utilizar para acceder a OCI Block Storage, OCI File Storage u OCI Object Storage. La gestión de claves y la gestión de secretos también forman parte de OCI Vault. Las claves son claves de cifrado maestras utilizadas para cifrar el almacenamiento de objetos y los cubos. Además, los secretos se pueden proteger (por ejemplo, contraseñas de bases de datos). Ambos se gestionan de forma centralizada mediante el servicio OCI Vault
  • El servicio Oracle Data Safe protege los datos confidenciales y regulados almacenados en la base de datos Oracle que se ejecuta dentro de la capa de gestión vCenter. La base de datos Oracle está integrada con Oracle Data Safe mediante conectores de base de datos de Data Safe.
  • El servicio de certificados de OCI ayuda a proporcionar acceso seguro TLS/SSL a servidores, aplicaciones web, etc. El administrador puede crear y gestionar jerarquías privadas de autoridades de certificación (CA) y certificados TLS que se integren con el servicio OCI Load Balancing.

Cifrado de datos: el almacenamiento de OCI cifra los datos estáticos y en tránsito por defecto mediante el algoritmo estándar de cifrado avanzado (AES) con cifrado de 256 bits. Los datos del plano de control en tránsito se cifran mediante la seguridad de capa de transporte (TLS) 1.2 o posterior.

En el siguiente diagrama se ilustra esta arquitectura de referencia.


A continuación se muestra la descripción de ocvs_data_security_arch.png
Descripción de la ilustración ocvs_data_security_arch.png

ocvs-data-security-arch-oracle.zip

La arquitectura tiene los siguientes componentes:

  • Servicios de seguridad en la nube de OCI

    OCI Security ayuda a las organizaciones a reducir el riesgo de amenazas de seguridad para las cargas de trabajo en la nube. Esta arquitectura de referencia de seguridad de Oracle Cloud VMware Solution describe las capacidades de la capa OCI Data Protection.

    El servicio OCI Vault gestiona de forma centralizada las claves de cifrado y las credenciales secretas para la capa de almacenamiento de OCI y el repositorio de copia de seguridad. Estas claves de cifrado protegen los datos y las credenciales secretas. El servicio Data Safe está activado para supervisar y evaluar el destino de instancia de base de datos en VMware mediante conectores. El servicio de certificados proporciona capacidades de gestión, almacenamiento y emisión de certificados. Estos certificados se pueden desplegar en un equilibrador de carga.

  • Oracle Cloud VMware Solution

    Oracle Cloud VMware Solution despliega el centro de datos definido por software (SDDC) VMware en los servicios de infraestructura básica de Oracle Cloud. Los servidores DenseIO con hardware dedicado de OCI se utilizan para ejecutar el hipervisor VMware, también conocido como ESXi, que ofrece virtualización de recursos informáticos. Las máquinas virtuales que se ejecutan en la capa de gestión vCenter consumen el almacén de datos de vSAN o el almacenamiento de bloques de OCI como opción de almacenamiento principal. Sin embargo, Oracle Cloud VMware Solution también puede aprovechar OCI Block Volume y OCI File Storage como opciones de almacenamiento externo.

    Las máquinas virtuales que se ejecutan en Oracle Cloud VMware Solution utilizan las siguientes opciones de almacenamiento y copia de seguridad.
    • vSAN Storage es una solución de almacenamiento definida por software lista para usar que se ofrece en el entorno de Oracle Cloud VMware Solution. vSAN es un almacenamiento empresarial y admite el cifrado mediante el proveedor de claves nativas vSphere o un proveedor externo de Key Management Service (KMS).
    • El volumen en bloque de OCI se presenta en el servidor VMware ESXi como destino iSCSI para el almacenamiento de máquinas virtuales. Las funciones de seguridad de OCI, como KMS, cifrado y almacenes, se aplican a los datos de VM almacenados en OCI Block Volume.
    • El almacenamiento de archivos permite el uso del servicio OCI File Storage como almacenamiento NFS para máquinas virtuales. Las funciones de seguridad de OCI, como KMS, cifrado y almacenes, se aplican a las máquinas virtuales almacenadas en almacenamiento NFS respaldadas por OCI File Storage.
    • El almacenamiento de objetos almacena las copias de seguridad de máquinas virtuales de Oracle Cloud VMware Solution. El almacenamiento de objetos no se puede utilizar para ejecutar las máquinas virtuales. Todas las funciones de seguridad de OCI para el almacenamiento de objetos se aplican a los archivos de copia de seguridad de VM.

En la siguiente tabla se describe cómo se pueden utilizar los servicios de seguridad de OCI para la protección de datos con Oracle Cloud VMware Solution.

Servicio de OCI Protección de datos con la solución VMware de Oracle Cloud
Data Safe Data Safe es un servicio nativo de OCI para proteger la base de datos Oracle que se ejecuta en OCI o en un entorno local. La base de datos Oracle que se ejecuta en el SDDC de Oracle Cloud VMware Solution como máquina virtual se puede integrar con Data Safe mediante conectores de Data Safe.
Cifrado de volúmenes en bloque El volumen en bloque de OCI está montado como almacén de datos externo para el SDDC VMware que ofrece claves gestionadas por OCI/gestionadas por el cliente.
cifrado de almacenamiento de archivos El servicio OCI File Storage se monta como almacén de datos NFS externo para SDDC VMware que ofrece claves gestionadas por OCI/gestionadas por el cliente.
Cifrado de almacenamiento de objetos
  • El almacenamiento de objetos de OCI no se puede utilizar con el SDDC de Oracle Cloud VMware Solution como un almacén de datos de almacenamiento externo o de conexión directa.
  • OCI Object Storage se utiliza como repositorio de copia de seguridad y archivado para las máquinas virtuales de SDDC VMware.
  • Se pueden integrar soluciones de copia de seguridad como Veeam y Commvault con OCI Object Storage, lo que le permite mantener cifrados los datos de copia de seguridad de archivado.
  • La solución de copia de seguridad también mantiene los datos de copia de seguridad de nivel de rendimiento en los volúmenes en bloque de OCI para garantizar el cifrado de los datos de copia de seguridad.
Vault
  • OCI Vault no se puede utilizar con el almacenamiento de vSAN. El almacén de datos vSAN solo admite el proveedor de claves nativas vSphere y los proveedores de KMS externos. Para obtener más información, consulte el enlace VMware Proveedores de KMS de terceros en la sección Explorar más.
  • OCI Vault se puede utilizar con Oracle Cloud VMware Solution solo si los servicios de almacenamiento de OCI se utilizan como opción de almacenamiento compartido para máquinas virtuales.
Certificados
  • Oracle Cloud VMware Solution es un servicio nativo de OCI por diseño y permite la integración nativa con otros servicios de OCI.
  • Las máquinas virtuales de Oracle Cloud VMware Solution pueden utilizar OCI LBaaS para cualquier requisito de publicación de aplicaciones. La descarga de SSL para estas aplicaciones se puede realizar mediante la integración de certificados SSL desde el servicio OCI Certificates.
  • Para aplicaciones orientadas al público en OCI, debe obtener los certificados públicos firmados de terceros e importarlos al servicio OCI Certificates. Estos certificados se pueden importar a LBaaS y a servidores web de backend para SSL completo.

Explorar más

Para obtener más información sobre las funciones de esta arquitectura de referencia, revise estos recursos adicionales.

Confirmaciones

  • Authors: Dev Gawale, Sandeep Khedekar