1. Conformidad en el lanzamiento: Aplicaciones web preevaluadas
  2. Conformidad al iniciar: aplicaciones web preevaluadas

Conformidad al iniciar: aplicaciones web preevaluadas

La mayoría de las empresas están obligadas a certificar que sus aplicaciones cumplen los estándares internacionales de seguridad comunes, como ISO 27001, AICPA SOC-2 o PCI-DSS. Con el fin de racionalizar el proceso de obtención de esa certificación cuando se despliega en OCI, hemos creado una arquitectura de referencia que cumple los tres estándares -y si lo hubiera preevaluado Schellman & Co- una de las principales empresas de certificación.

Si tiene cargas de trabajo que almacenan, procesan o transmiten información de tarjetas de crédito, debe proteger los sistemas y diseñar las políticas de seguridad de datos de una forma compatible con el sector de tarjetas de pago (PCI). Puede utilizar los servicios de infraestructura en la nube compatibles con PCI de Oracle para iniciar la aplicación web.
Si sigue las recomendaciones de esta arquitectura de referencia, puede mantener y gestionar la conformidad con el estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS) para las aplicaciones y cargas de trabajo que utiliza en la nube.

Además de PCI, si sus cargas de trabajo se basan en la eficacia de los controles relevantes para la seguridad, la disponibilidad o la integridad del procesamiento del sistema utilizado para procesar la información de los clientes, o en la confidencialidad o privacidad de esa información; luego, debe proteger los sistemas y diseñar las políticas de seguridad de los datos de una manera compatible con ISO 27001 y SOC-2. Puede utilizar los servicios de infraestructura en la nube compatibles con ISO 27001 y SOC-2 de Oracle para iniciar la aplicación web y, siguiendo las recomendaciones de esta arquitectura de referencia, puede mantener y gestionar el cumplimiento de ISO 27001 y SOC con respecto a las aplicaciones y cargas de trabajo que utiliza en la nube.

La empresa Schellman &, LLC, realizó una evaluación de preparación para el despliegue de esta arquitectura de referencia: una empresa de contabilidad pública certificada (CPA) independiente, un asesor de seguridad cualificado de PCI con licencia global y un organismo de certificación ISO.

Conformidad con PCI

Su informe de preparación de PCI valida que la implementación de esta arquitectura según lo configurado cumple los requisitos de PCI-DSS, SOC-2 e ISO 27001. En GitHub también está disponible una matriz de roles y responsabilidades que describe los pasos adicionales recomendados.

Conformidad con ISO 27001

Su informe ISO de preparación, valida que el despliegue de esta arquitectura según la configuración se ajusta a los requisitos de control definidos en el anexo A de la norma ISO 27001, así como para identificar las responsabilidades de las entidades de usuario (clientes) para implementar determinados aspectos de cada actividad de control a fin de lograr la alineación con la norma ISO 27001 del anexo A.

Conformidad con SOC 2

Su informe de preparación de SOC 2 valida que el despliegue de esta arquitectura según la configuración cumple con la idoneidad del diseño de los controles para lograr los compromisos de servicio y requisitos del sistema de una entidad de usuario (clientes) basados en los criterios para las categorías de seguridad, disponibilidad y confidencialidad establecidos en la sección 100 del TSP de 2017, los criterios de servicios de confianza para la seguridad, disponibilidad, integridad de procesamiento, confidencialidad y privacidad (AICPA, criterios de servicios de confianza) (los "criterios de servicios de confianza aplicables"), así como para identificar las responsabilidades de la entidad de usuario (cliente) para implementar determinados aspectos de cada actividad de control a fin de lograr la alineación con los criterios de servicios de confianza de AICPA SOC 2.

Debe evaluar y configurar el entorno para la conformidad con PCI, ISO 27001 y SOC, y completar la auditoría de certificación del sistema de producción.

Arquitectura

Esta arquitectura de referencia ilustra cómo las organizaciones pueden mejorar la seguridad de sus datos en OCI mediante la configuración de una aplicación web compatible con PCI, ISO 27001 y SOC mediante el uso de cuadernos de cocina compatibles con Chef con PCI, ISO 27001 y SOC y módulos de Terraform.

El siguiente diagrama ilustra esta arquitectura de referencia. A continuación se muestra la descripción de launch_pci_webapp_on_oci.png
Descripción de la ilustración launch_pci_webapp_on_oci.png

Esta arquitectura contiene un equilibrador de carga y un gateway NAT para proporcionar acceso seguro a Internet. El equilibrador de carga, el nivel de aplicación con Apache Tomcat y el nivel de base de datos con Oracle Autonomous Transaction Processing están en subredes diferentes. Se puede acceder a estas subredes a través de un host bastion. El tráfico entre Internet y el bastión es a través de una puerta de enlace de Internet. Los clientes pueden acceder a instancias de la subred privada mediante el firewall de aplicaciones web de OCI y el equilibrador de carga mediante un gateway de Internet. El gateway Traducción de direcciones de red (NAT) permite a las instancias de aplicación y Wazuh asociadas a subredes privadas en VCN acceder a Internet público. Las conexiones a través del gateway NAT se pueden iniciar desde los recursos de VCN y no desde Internet público.

La arquitectura tiene los siguientes componentes:

  • Región

    Una región de Oracle Cloud Infrastructure es un área geográfica localizada que contiene uno o más centros de datos, denominados dominios de disponibilidad. Las regiones son independientes de otras regiones, y grandes distancias pueden separarlas (entre países o incluso continentes).

  • Dominios de disponibilidad

    Los dominios de disponibilidad son centros de datos independientes e independientes dentro de una región. Los recursos físicos de cada dominio de disponibilidad están aislados de los recursos de los otros dominios de disponibilidad, lo que proporciona tolerancia a fallos. Los dominios de disponibilidad no comparten infraestructura, como energía o refrigeración, o la red de dominio de disponibilidad interna. Por lo tanto, es poco probable que un fallo en un dominio de disponibilidad afecte a otros dominios de disponibilidad de la región.

  • Dominios de fallo

    Un dominio de fallos es una agrupación de hardware e infraestructura dentro de un dominio de disponibilidad. Cada dominio de disponibilidad tiene tres dominios de fallos con energía y hardware independientes. Al distribuir recursos entre varios dominios de fallos, las aplicaciones pueden tolerar fallos físicos del servidor, mantenimiento del sistema y fallos de energía dentro de un dominio de fallos.

  • Red virtual en la nube (VCN) y subredes

    VCN es una red personalizable definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes tradicionales de centros de datos, las VCN le proporcionan un control completo sobre su entorno de red. VCN puede tener varios bloques CIDR no superpuestos que puede cambiar después de crear VCN. Puede segmentar VCN en subredes, que se pueden asignar a una región o a un dominio de disponibilidad. Cada subred consta de un rango contiguo de direcciones que no se superponen con las otras subredes de VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  • Listas de seguridad

    Para cada subred, puede crear reglas de seguridad que especifiquen el origen, destino y tipo de tráfico que se debe permitir dentro y fuera de la subred.

  • Host Bastion

    El host bastion es una instancia de cálculo que sirve de punto de entrada controlado y seguro a la topología desde fuera de la nube. El host bastión se aprovisiona normalmente en una zona desmilitarizada (DMZ). Permite proteger recursos sensibles colocándolos en redes privadas a las que no se puede acceder directamente desde fuera de la nube. La topología tiene un punto de entrada único y conocido que puede supervisar y auditar regularmente. Por lo tanto, puede evitar exponer los componentes más sensibles de la topología sin comprometer el acceso a ellos.

  • Servidor Tomcat

    Apache Tomcat® es un servidor de aplicaciones Java de código abierto. Implanta las tecnologías Java Servlet, JavaServer Pages, Java Expression Language y Java WebSocket. La aplicación web existe en esta capa.

  • Procesamiento de transacciones autónomas

    Oracle Autonomous Transaction Processing es un servicio de base de datos autogestionable, autoseguro y autoreparador que se optimiza para procesar cargas de trabajo de transacciones. No es necesario configurar ni administrar ningún hardware ni instalar ningún software. Oracle Cloud Infrastructure maneja la creación de la base de datos, así como la copia de seguridad, aplicación de parches, actualización y ajuste de la base de datos.

  • Servidor Wazuh
    Wazuh es una solución de supervisión de seguridad gratuita, de código abierto y preparada para empresas para la detección de amenazas, la supervisión de la integridad, la respuesta a incidentes y el cumplimiento.
    • Detección de intrusión basada en host

      El agente Wazuh se ejecuta a nivel de host, combinando tecnologías basadas en la anomalía y la firma para detectar intrusiones o mal uso del software. También se puede utilizar para supervisar las actividades del usuario, evaluar la configuración del sistema y detectar vulnerabilidades.

    • Solución SIEM integral

      Wazuh se utiliza para recopilar, analizar y correlacionar datos, con la capacidad de ofrecer capacidades de detección de amenazas, gestión de conformidad y respuesta a incidentes. Se puede implementar en entornos locales o híbridos y en la nube.

  • Almacenamiento de objetos

    El almacenamiento de objetos proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de bases de datos, datos analíticos y contenido rico, como imágenes y vídeos. Utilice el almacenamiento estándar para el almacenamiento "caliente" al que necesita acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivos para el almacenamiento "frío" que retenga durante largos períodos de tiempo y rara vez o rara vez acceda.

  • Almacén

    Oracle Cloud Infrastructure Vault permite gestionar de forma centralizada las claves de cifrado que protegen los datos y las credenciales secretas que utiliza para proteger el acceso a los recursos de la nube.

  • Firewall de Aplicación Web

    Oracle Cloud Infrastructure Web Application Firewall (WAF) es un servicio de seguridad global compatible con la industria de tarjetas de pago (PCI) basado en la nube que protege las aplicaciones del tráfico de Internet malicioso y no deseado. WAF puede proteger cualquier punto final orientado a Internet, proporcionando una aplicación coherente de reglas en las aplicaciones de un cliente.

  • DNS

    El servicio Oracle Cloud Infrastructure Domain Name System (DNS) permite crear y gestionar las zonas de DNS. Puede crear zonas, agregar registros a zonas y permitir que la red de bordes de Oracle Cloud Infrastructure maneje las consultas DNS de su dominio.

  • Certificados SSL

    Los certificados SSL se crean mediante Let 's Encrypt y se despliegan en el firewall de aplicaciones web.

Recomendaciones

Sus requisitos pueden diferir de la arquitectura descrita aquí. Utilice las siguientes recomendaciones como punto de inicio.
  • VCN

    Al crear una VCN, determine el número de bloques CIDR necesarios y el tamaño de cada bloque en función del número de recursos que planea asociar a subredes en VCN. Utilice bloques CIDR que se encuentran dentro del espacio de direcciones IP privadas estándar.

    Seleccione bloques CIDR que no se superpongan con ninguna otra red (en Oracle Cloud Infrastructure, el centro de datos local u otro proveedor de nube) a la que desee configurar conexiones privadas.

    Después de crear VCN, puede cambiar, agregar y eliminar sus bloques CIDR.

    Cuando diseñe las subredes, tenga en cuenta los requisitos de flujo de tráfico y seguridad. Conecte todos los recursos dentro de un nivel o rol específico a la misma subred, que puede servir como límite de seguridad.

  • Conectividad de red

    Para permitir que los administradores gestionen el entorno, puede conectar la topología en la nube a la infraestructura local existente mediante conexiones VPN de IPSec de sitio a sitio o circuitos FastConnect dedicados.

    Si es necesario aislar la topología de nube de la infraestructura local, puede desplegar un host bastión para proteger el acceso de gestión a los recursos de las subredes privadas.

Consideraciones

Tenga en cuenta los siguientes puntos al desplegar esta arquitectura de referencia.

  • Rendimiento

    Esta arquitectura de referencia despliega inicialmente una única máquina virtual que ejecuta Apache Tomcat. Según los requisitos de la aplicación, debe modificar las reglas de ajuste automático para hacer girar hosts adicionales en función de las métricas de carga adecuadas.

  • Seguridad

    Utilice políticas para restringir quién puede acceder a los recursos de Oracle Cloud Infrastructure que tiene la compañía y cómo. Para Object Storage, el cifrado está activado por defecto y no se puede desactivar.

    Excepto para el host de bastión (si tiene uno en la arquitectura) y los equilibradores de carga, todos los componentes se deben colocar en subredes privadas.

  • Gestión

    Un script de Terraform despliega un arrendamiento preconfigurado. Puede utilizarla como plantilla para gestionar esta infraestructura como código en su propio repositorio de códigos.

  • Disponibilidad

    Esta arquitectura de referencia puede aprovechar los servicios y configuraciones que no están disponibles en regiones del dominio de Government Cloud.

Desplegar

El código Terraform para esta arquitectura de referencia está disponible en GitHub. Puede descargar el código de GitHub en el equipo, personalizar el código y desplegar la arquitectura mediante la CLI de Terraform.

  1. Vaya a GitHub.
  2. Clonar o descargar el repositorio en el equipo local.
  3. Siga las instrucciones del documento README.

Explorar más

Obtenga más información sobre la configuración y el funcionamiento de un entorno seguro en Oracle Cloud.