Sicurezza per i servizi di base

Oracle Cloud Infrastructure Compute ti consente di eseguire il provisioning e gestire gli host di computazione, noti come istanze . Puoi avviare le istanze in base alle esigenze per soddisfare i requisiti di computazione e applicazione. Dopo aver avviato un'istanza, è possibile accedervi in modo sicuro dal computer in uso, riavviarla, collegare e scollegare volumi e terminarla al termine dell'operazione. La terminazione comporta la perdita di tutte le modifiche apportate alle unità locali dell'istanza. Tutte le modifiche salvate apportate ai volumi collegati all'istanza vengono conservate.

Oracle Cloud Infrastructure offre sia istanze Bare Metal che Virtual Machine:

Bare Metal

Un'istanza di computazione Bare Metal garantisce l'accesso fisico dedicato per prestazioni ottimali e un forte isolamento. Dopo che un cliente ha terminato la propria istanza Bare Metal, il server viene sottoposto a un processo di cancellazione automatico del disco e a livello di firmware per garantire l'isolamento tra i clienti.

Virtual machine

Una virtual machine (VM) è un ambiente di calcolo indipendente che viene eseguito su hardware Bare Metal fisico. La virtualizzazione consente di eseguire più VM isolate l'una dall'altra. Le VM sono ideali per l'esecuzione di applicazioni che non richiedono le prestazioni e le risorse (CPU, memoria, larghezza di banda di rete, storage) di un'intera macchina fisica.

Un'istanza di computazione VM Oracle Cloud Infrastructure viene eseguita sullo stesso hardware di un'istanza Bare Metal, utilizzando la stessa infrastruttura ottimizzata per il cloud a livello di hardware, firmware, stack software e networking.

Per impostazione predefinita, tutte le istanze di Oracle Cloud Infrastructure utilizzano Secure Shell (SSH) basata su chiavi. I clienti forniscono le chiavi pubbliche SSH a Oracle Cloud Infrastructure e utilizzano le chiavi private SSH per accedere alle istanze. Oracle consiglia di utilizzare la shell SSH basata su chiavi per accedere alle istanze di Oracle Cloud Infrastructure. SSH basato su password potrebbe essere soggetto ad attacchi di tipo brute-forcing e non è consigliato.

Le immagini Oracle Linux potenziate con gli ultimi aggiornamenti di sicurezza sono disponibili per l'esecuzione sulle istanze di Oracle Cloud Infrastructure. Le immagini Oracle Linux eseguono il kernel UEK (Unbreakable Enterprise Kernel) e supportano funzioni di sicurezza avanzate, come Ksplice, per applicare le patch di sicurezza senza riavviare il sistema. Oltre a Oracle Linux, Oracle Cloud Infrastructure rende disponibile un elenco di altre immagini della piattaforma del sistema operativo, tra cui CentOS, Ubuntu e Windows Server. Tutte le immagini della piattaforma sono dotate di impostazioni predefinite sicure, inclusi firewall a livello di sistema operativo attivati per impostazione predefinita.

Puoi anche portare le tue immagini personalizzate. Tuttavia, alcuni criteri della zona di sicurezza consentono di utilizzare solo le immagini della piattaforma nei compartimenti associati a una zona di sicurezza.

Utilizzare il servizio Vulnerability Scanning per controllare regolarmente le istanze alla ricerca di potenziali vulnerabilità della sicurezza, ad esempio patch mancanti o porte aperte. Il servizio genera report con metriche e dettagli su queste vulnerabilità e assegna a ciascuno un livello di rischio.

Istanze specializzate

Oracle Cloud Infrastructure offre funzionalità che ti consentono di personalizzare le istanze per carichi di lavoro specializzati e requisiti di sicurezza.

• Le istanza schermate rafforzano la sicurezza del firmware su host Bare Metal e virtual machine per difendersi da software dannoso a livello di avvio. Per ulteriori informazioni, vedere: Istanze schermate.
• La computazione riservata cifra e isola i dati in uso e le applicazioni che li elaborano. Per ulteriori informazioni, vedere: Computazione riservata.
• Gli host di virtual machine dedicati consentono di eseguire le istanze di virtual machine OCI Compute su server dedicati che sono un singolo tenant e non condivisi con altri clienti. Per ulteriori informazioni, vedere: Host Virtual Machine dedicati.

Per ulteriori informazioni, fare riferimento agli argomenti sotto riportati.

• Panoramica di Compute
• Protezione della computazione

Il servizio Oracle Cloud Infrastructure Networking consente di definire una rete privata personalizzabile (una rete VCN o una rete cloud virtuale), che applica l'isolamento logico delle risorse Oracle Cloud Infrastructure. Come con la tua rete on-premise nei tuoi data center, puoi impostare una VCN con subnet, tabelle di instradamento, gateway e regole del firewall.

Di seguito sono riportati i concetti chiave di networking associati a una VCN.

Subnet

Suddivisione primaria di una VCN. Le subnet possono essere pubbliche o private. Una subnet privata impedisce alle risorse avviate in tale subnet di avere indirizzi IP pubblici.

Gateway Internet

Router virtuale che fornisce la connettività Internet pubblica da una VCN. Per impostazione predefinita, una VCN appena creata non dispone di connettività Internet.

Gateway di instradamento dinamico (DRG)

Router virtuale che fornisce un percorso per il traffico privato tra una VCN e la rete di un data center. Un DRG viene utilizzato con una IPSec VPN o Oracle Cloud Infrastructure FastConnect.

Gateway NAT (Network Address Translation)

Un router virtuale che offre alle risorse cloud senza indirizzi IP pubblici l'accesso a Internet senza esporre tali risorse alle connessioni a Internet in entrata.

Gateway del servizio

Router virtuale che fornisce alle risorse cloud l'accesso privato ai servizi Oracle, ad esempio lo storage degli oggetti, senza utilizzare un gateway Internet o NAT.

Tabella di instradamento

Tabelle di instradamento virtuale con regole per instradare il traffico dalle subnet alle destinazioni esterne alla VCN mediante gateway o istanze di computazione configurate in modo speciale.

Lista di sicurezza

Regole del firewall virtuale che specificano i tipi di traffico (protocollo e porta) consentiti all'interno e all'esterno delle risorse. È possibile definire singole regole con conservazione dello stato o senza conservazione dello stato e influire su tutte le risorse nella subnet di destinazione.

Gruppo di sicurezza di rete

Regole del firewall virtuale che definiscono l'ingresso e l'uscita consentiti per le risorse che sono membri del gruppo. Le singole regole possono essere definite come stateful o stateless.

Utilizza liste di sicurezza, gruppi di sicurezza di rete o una combinazione di entrambi per controllare il traffico a livello di pacchetto in entrata e in uscita dalle risorse nella tua VCN. Ad esempio, puoi consentire il traffico SSH in entrata da qualsiasi posizione a una subnet o a un gruppo di istanze impostando una regola di entrata con conservazione dello stato con CIDR di origine 0.0.0.0/0 e porta TCP di destinazione 22. Ogni VCN dispone di una lista di sicurezza predefinita che consente solo la shell SSH e determinati tipi di traffico in entrata ICMP importante e consente tutto il traffico in uscita.

Crea subnet private per garantire che le risorse nella subnet non dispongano dell'accesso a Internet, anche se la VCN dispone di un gateway Internet funzionante e anche se le regole di sicurezza e le regole del firewall consentono il traffico. Alcuni criteri della zona di sicurezza consentono solo l'uso di subnet private. È possibile utilizzare il servizio Bastion per creare sessioni SSH sicure e temporanee da Internet alle risorse in una subnet privata.

Una VCN può essere configurata per la connettività Internet o connessa al data center privato tramite un sito Web all'indirizzo VPNor FastConnect. FastConnect offre una connessione privata tra il router perimetrale di una rete esistente e i DRG. Il traffico non attraversa Internet.

Per ulteriori informazioni, fare riferimento agli argomenti sotto riportati.

• Modalità di protezione della rete
• Controllo dell'accesso
• Regole di sicurezza
• Protezione della rete: VCN, load balancer e DNS

Oracle Cloud Infrastructure offre molteplici soluzioni di storage per soddisfare i requisiti di performance e durabilità:

Memoria locale

Storage basato su NVMe sulle istanze di computazione, con IOPS elevato.

Volume a blocchi

Volumi di storage collegati in rete, collegabili alle istanze di computazione.

Storage degli oggetti

Servizio regionale per la memorizzazione di grandi quantità di dati come oggetti, garantendo elevata coerenza e durabilità. Gli oggetti vengono organizzati mediante bucket.

Storage file

File system di rete permanente che supporta il protocollo di rete 3.0 (NFSv3).

Il servizio Oracle Cloud Infrastructure Block Volume fornisce storage persistente che può essere collegato alle istanze di computazione utilizzando il protocollo iSCSI. I volumi vengono memorizzati nello storage di rete ad alte prestazioni e supportano funzionalità automatizzate di backup e snapshot. I volumi e i relativi backup sono accessibili solo dall'interno della VCN di un cliente e vengono cifrati in archivio utilizzando chiavi univoche. Per una maggiore sicurezza, è possibile richiedere l'autenticazione CHAP iSCSI per volume.

Il servizio Oracle Cloud Infrastructure Object Storage fornisce storage altamente scalabile, coerente e duraturo per gli oggetti. Le chiamate API tramite HTTPS forniscono accesso ai dati con throughput elevato. Tutti gli oggetti vengono cifrati in archivio utilizzando chiavi univoche e, per impostazione predefinita, l'accesso ai bucket e agli oggetti al loro interno richiede l'autenticazione.

I criteri delle zone di sicurezza richiedono la cifratura di volumi, oggetti e file system mediante chiavi gestite dal cliente nel servizio Vault. È inoltre possibile utilizzare Security Advisor per creare rapidamente le risorse di storage e le chiavi necessarie in un'unica interfaccia.

Utilizzare i criteri di sicurezza IAM per concedere a utenti e gruppi i privilegi di accesso ai bucket di storage degli oggetti. Per consentire l'accesso ai bucket da parte degli utenti che non dispongono delle credenziali IAM, il proprietario del bucket (o un utente con i privilegi necessari) può creare richieste preautenticate. Le richieste preautenticate consentono azioni autorizzate su bucket o oggetti per una durata specificata.

In alternativa, i bucket possono essere resi pubblici, il che consente un accesso non autenticato e anonimo. Lo storage degli oggetti consente di verificare che un oggetto non sia stato danneggiato involontariamente consentendo l'invio di un checksum MD5 con l'oggetto e la restituzione al caricamento riuscito. Questo checksum può essere usato per convalidare l'integrità dell'oggetto. Data la pericolosità per la sicurezza della divulgazione involontaria delle informazioni, Oracle consiglia di considerare attentamente il business case prima di rendere pubblico un bucket. Alcuni criteri della zona di sicurezza vietano la creazione di bucket pubblici.

Il servizio Oracle Cloud Infrastructure File Storage ti consente di gestire risorse come file system, destinazioni di MOUNT e set di esportazione. I criteri IAM vengono utilizzati per definire l'accesso a queste risorse. Lo stile AUTH_UNIX di autenticazione e controllo delle autorizzazioni è supportato per le richieste client NFS remote a un file system.

Per ulteriori informazioni, fare riferimento agli argomenti sotto riportati.

• Protezione del volume a blocchi
• Protezione dello storage degli oggetti
• Protezione dello storage di file

Il servizio Oracle Cloud Infrastructure Database offre soluzioni cloud autonome e co-gestite di Oracle Database. Per entrambi i tipi di soluzioni di database, hai accesso completo alle funzioni e alle operazioni disponibili con il database, ma Oracle possiede e gestisce l'infrastruttura.

• Gli Autonomous Database sono ambienti preconfigurati e completamente gestiti che sono adatti per l'elaborazione delle transazioni o per i carichi di lavoro del data warehouse.
• Le soluzioni in gestione condivisa sono sistemi DB Bare Metal, Virtual Machine ed Exadata che puoi personalizzare con le risorse e le impostazioni che soddisfano le tue esigenze.

I sistemi DB sono accessibili solo dalla VCN e puoi configurare gruppi di sicurezza di rete o liste di sicurezza per controllare l'accesso di rete ai database. Il servizio di database è integrato con IAM per controllare quali utenti possono avviare e gestire i sistemi DB. Per impostazione predefinita, i dati vengono cifrati in archivio utilizzando la cifratura dati trasparente (TDE) Oracle con chiavi master memorizzate in un Oracle Wallet su ogni sistema DB.

I backup RMAN dei sistemi DB vengono cifrati e memorizzati nei bucket di proprietà del cliente nel servizio di storage degli oggetti. Alcuni criteri della zona di sicurezza richiedono la configurazione dei backup del database.

L'applicazione delle patch di sicurezza del database Oracle (aggiornamenti di patch critiche Oracle) è fondamentale per ridurre i problemi di sicurezza noti e Oracle consiglia di mantenere aggiornate le patch. I set di patch e gli aggiornamenti dei set di patch (PSU, Patch Set Updates) vengono rilasciati su base trimestrale. Queste release di patch contengono correzioni della sicurezza e altre correzioni di bug critici ad alto impatto/basso rischio.

Per ulteriori informazioni, vedere Protezione del database.

Oracle Cloud Infrastructure Load Balancer fornisce la distribuzione automatica del traffico da un unico punto di accesso a più server raggiungibili dalla rete cloud virtuale (VCN). Il servizio offre un load balancer con la scelta di un indirizzo IP pubblico o privato e larghezza di banda di cui è stato eseguito il provisioning. Un load balancer privato dispone di un indirizzo IP della subnet di hosting, visibile solo all'interno della VCN.

È possibile applicare al load balancer le configurazioni SSL riportate di seguito.

SSL - CESSAZIONE

Il load balancer gestisce il traffico SSL in entrata e passa la richiesta non cifrata a un server backend.

SSL POINT-TO-POINT

Il load balancer interrompe la connessione SSL con un client del traffico in entrata e quindi avvia una connessione SSL a un server backend.

TUNNELING SSL

Se si configura il listener del load balancer per il traffico TCP, il load balancer esegue il tunneling delle connessioni SSL in entrata agli Application Server.

Il servizio Load Balancer supporta TLS 1.2 per impostazione predefinita e assegna la priorità alle seguenti cifrature di forward-secrecy nella suite di cifratura TLS:

• ECDHE-RSA-AES256-GCM-SHA384
• ECDHE-RSA-AES256-SHA384
• ECDHE-RSA-AES128-GCM-SHA256
• ECDHE-RSA-AES128-SHA256
• DHE-RSA-AES256-GCM-SHA384
• DHE-RSA-AES256-SHA256
• DHE-RSA-AES128-GCM-SHA256
• DHE-RSA-AES128-SHA256

Puoi configurare l'accesso di rete ai load balancer utilizzando i gruppi di sicurezza di rete VCN o le liste di sicurezza.

Per ulteriori informazioni, vedere Protezione della rete: VCN, load balancer e DNS.