OCI Core Landing Zone

L'uso delle zone di destinazione è una best practice generalmente accettata per l'adozione del cloud. Indipendentemente dal fatto che la tua organizzazione sia piccola o grande, puoi trarre vantaggio da un ambiente sicuro e scalabile basato sull'architettura di riferimento Oracle Cloud Infrastructure (OCI).

Lo scopo delle zone di destinazione è quello di aiutare le organizzazioni a gestire con successo e in modo efficiente i carichi di lavoro business-critical. Vengono trattati tutti i componenti tecnologici di base, tra cui identità, rete, storage, elaborazione e sicurezza. Tutti i progetti comprovati di infrastructure as code (IaC) sono automatizzati nel processo di distribuzione e possono essere forniti con un solo clic.

OCI Core Landing Zone unifica le iniziative di Oracle Enterprise Landing Zone (OELZ) e Center for Internet Security (CIS) Landing Zone. Questa zona di destinazione offre un'architettura di riferimento che può aiutarti a ottenere maggiore agilità, scalabilità e sicurezza negli ambienti cloud. È costruito dal framework OCI Landing Zone, basato su un'architettura modulare, che ti consente di distribuire e scalare l'infrastruttura cloud in modo rapido e semplice. Include anche best practice per la sicurezza e la compliance, applicando CIS OCI Foundations Benchmark v2.0 per iniziare con una solida postura di sicurezza e supportare i tuoi obiettivi di compliance.

Architettura

L'architettura della landing zone inizia con la progettazione di compartimenti per la tua tenancy, oltre alla creazione di gruppi e criteri per garantire una corretta separazione dei compiti. Esegue il provisioning dei compartimenti all'interno di un compartimento padre designato per tutti i servizi dell'infrastruttura di base, consentendo ai team di gestire le risorse OCI in modo più efficiente. A ogni compartimento della zona di destinazione viene assegnato un gruppo di amministratori specifico, al quale vengono concesse le autorizzazioni necessarie per gestire le risorse all'interno del compartimento e accedere alle risorse in altri compartimenti.

Questo design supporta anche il provisioning di più reti cloud virtuali (VCN), sia come reti standalone che come spoke in un'architettura hub e spoke. Le reti VCN possono essere configurate per distribuire una VCN hub, fino a una topologia VCN di rete a tre livelli, oppure possono essere personalizzate in base a casi d'uso specifici, ad esempio il supporto delle distribuzioni Oracle Exadata Database Service o Oracle Kubernetes Engine (OKE). Le reti VCN predefinite sono preconfigurate con il routing appropriato e interfacce in entrata e in uscita sicure.

La OCI Core Landing Zone include diversi servizi di sicurezza preconfigurati che supportano i CIS OCI Benchmarks che vengono distribuiti e integrati come parte dell'architettura generale, garantendo un livello di sicurezza elevato. Questi servizi di sicurezza nativi OCI includono Cloud Guard, Log di flusso, Hub connettore, Vault, Vulnerability Scanning Service, Bastion e Security Zones. Gli amministratori possono impostare le notifiche utilizzando argomenti ed eventi per rimanere informati sulle modifiche nelle risorse distribuite.

Il diagramma riportato di seguito mostra l'architettura di riferimento OCI Core Landing Zone.

Diagramma che mostra l'architettura semplificata della OCI Core Landing Zone

OCI Core Landing Zone è composta da un set di moduli progettati per essere flessibili, facili da usare e utili per allineare le distribuzioni dei clienti ai suggerimenti CIS OCI Foundations Benchmark.

Identity and Access Management

OCI Identity and Access Management (IAM) viene utilizzato per gestire e controllare l'accesso alle risorse cloud nella tenancy. La zona di destinazione crea automaticamente gruppi e criteri IAM per gestire l'accesso alle risorse di cui è stato eseguito il provisioning nell'ambiente e per supportare la separazione dei compiti e i requisiti RBAC (Role-Based Access Control, controllo dell'accesso basato sui ruoli). Inoltre, è possibile eseguire la federazione con Microsoft Active Directory dell'organizzazione per una perfetta integrazione con il provider di identità di terze parti esistente (IdP). Sono disponibili diversi moduli IAM, tra cui compartimenti, criteri, gruppi, gruppi dinamici e domini di Identity. Per ulteriori informazioni, vedere il repository GitHub, Moduli IAM OCI Landing Zones.

I criteri IAM OCI definiscono gli utenti che possono accedere a risorse specifiche e il livello di accesso concesso. L'accesso viene gestito a livello di gruppo e compartimento, consentendo di creare criteri che assegnano autorizzazioni specifiche di un gruppo all'interno di un compartimento o nell'intera tenancy. I compartimenti sono partizioni logiche all'interno di una tenancy OCI. Vengono utilizzati per organizzare le risorse, gestire l'accesso e applicare le quote di utilizzo. Per controllare l'accesso alle risorse all'interno di un compartimento, è necessario creare criteri che specificano quali utenti o gruppi possono accedere alle risorse e quali azioni possono eseguire. La progettazione di questo compartimento segue una struttura organizzativa comune, in cui le responsabilità IT sono in genere suddivise tra team di networking, sicurezza, sviluppo delle applicazioni e amministrazione del database.

Il provisioning delle risorse in questo modello di zona di destinazione viene eseguito nei seguenti compartimenti:

  • Inclusione del compartimento: compartimento padre consigliato che contiene tutti gli altri compartimenti elencati di seguito.
  • Compartimento di rete: contiene tutte le risorse di rete, inclusi i gateway di rete necessari, le VCN del carico di lavoro e un'opzione hub e spoke.
  • Compartimento di sicurezza: ospita le risorse correlate a log, gestione delle chiavi, scansione delle vulnerabilità, bastion e notifiche.
  • Compartimento applicazioni: include servizi correlati all'applicazione come computazione, storage, funzioni, flussi, nodi Kubernetes, gateway API e altro ancora.
  • Compartimento di database: dedicato alle risorse di database.
  • Compartimento Exadata (facoltativo): un compartimento per il provisioning dell'infrastruttura Oracle Exadata Database Service.

Networking

È possibile configurare la zona di destinazione principale OCI per distribuire le risorse di rete seguenti:

  • VCN: una rete personalizzabile e definita dal software in OCI che ti dà il pieno controllo sul tuo ambiente di rete, simile alle reti di data center tradizionali. Una VCN può avere più blocchi CIDR non sovrapposti, che possono essere modificati dopo la creazione. Puoi segmentare ulteriormente una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet dispone di un intervallo contiguo di indirizzi IP che non si sovrappongono ad altre subnet nella stessa VCN. La dimensione di una subnet può essere modificata dopo la creazione e le subnet possono essere pubbliche o private.

    La zona di destinazione principale OCI può essere configurata per distribuire fino a 10 VCN:

    • 3 VCN a tre livelli
    • 3 VCN dell'infrastruttura Exadata Cloud
    • 3 VCN OKE
    • 1 VCN hub

    Queste reti VCN possono essere distribuite come reti standalone o in peer. Per impostazione predefinita, non viene eseguito il provisioning di VCN a meno che non sia selezionata.

  • Gateway Internet: abilita il traffico tra subnet pubbliche in una VCN e la rete Internet pubblica.

  • Dynamic Routing Gateway (DRG): router virtuale che facilita il traffico di rete privato tra le reti in locale e le reti VCN. Può anche instradare il traffico tra le reti VCN all'interno della stessa area o in aree diverse.
  • Gateway NAT: consente alle risorse private in una VCN di avviare connessioni in uscita a Internet senza esporre tali risorse al traffico Internet in entrata.
  • Gateway di servizi: fornisce l'accesso da una VCN ai servizi OCI, come lo storage degli oggetti. Il traffico dalla VCN a questi servizi scorre sul fabric di rete Oracle, evitando la rete Internet pubblica.
  • Oracle Services Network (OSN): rete dedicata all'interno di OCI per i servizi Oracle, che dispongono di indirizzi IP pubblici accessibili tramite Internet. Gli host esterni a OCI possono accedere privatamente all'OSN tramite OCI FastConnect o VPN Connect. Gli host all'interno della VCN possono raggiungere l'OSN in privato tramite un gateway di servizi.
  • Gruppi di sicurezza di rete (NSG): funge da firewall virtuale per le risorse cloud. Seguendo il modello di sicurezza zero-trust di OCI, tutto il traffico viene negato per impostazione predefinita e puoi controllare il flusso di traffico all'interno di una VCN. Un gruppo NSG è costituito da un set di regole in entrata e in uscita applicate a un set specifico di schede VNIC (Virtual Network Interface Card) in una VCN.
  • Zero Trust Packet Routing (ZPR): impedisce l'accesso non autorizzato ai dati tramite la gestione dei criteri di sicurezza di rete separatamente dall'architettura di rete. ZPR utilizza un linguaggio di criteri intuitivo basato su intenti per definire i percorsi di accesso consentiti per i dati. Qualsiasi pattern di traffico non definito in modo esplicito dai criteri non può attraversare la rete, il che semplifica la protezione dei dati e impedisce l'esfiltrazione dei dati. Per impostazione predefinita, ZPR non è abilitato e richiede la configurazione.

Sicurezza

Per impostazione predefinita, la OCI Core Landing Zone è configurata per distribuire i seguenti servizi di sicurezza cloud nativi per supportare il benchmark OCI CIS e fornire un livello di sicurezza affidabile.

  • Cloud Guard: servizio cloud nativo progettato per aiutarti a monitorare, identificare e gestire un livello di sicurezza elevato in Oracle Cloud. Il servizio esamina continuamente le risorse OCI per individuare eventuali punti deboli nella sicurezza correlati alla configurazione e monitora operatori e utenti per individuare attività rischiose. Utilizzando ricette del rilevatore personalizzabili, Cloud Guard identifica configurazioni errate e potenziali minacce alla sicurezza e, una volta rilevate, può consigliare azioni correttive o fornire assistenza per l'implementazione tramite ricette predefinite del rispondente. Ciò ti consente di gestire in modo proattivo la sicurezza delle tue risorse e mantenere la conformità alle best practice.
  • Zona di sicurezza: associata a uno o più compartimenti e a una ricetta della zona di sicurezza. Quando le risorse vengono create o modificate all'interno di una zona di sicurezza, OCI convalida l'operazione in base ai criteri di sicurezza definiti nella ricetta delle zone. Se un criterio viene violato, l'operazione viene negata. Le zone di sicurezza garantiscono la conformità delle risorse OCI ai requisiti di sicurezza della tua organizzazione in servizi quali computazione, networking, storage degli oggetti, volume a blocchi e database.
  • Servizio di scansione delle vulnerabilità: consente di migliorare la sicurezza eseguendo regolarmente la scansione di porte e host per rilevare le vulnerabilità. Il servizio genera report dettagliati, inclusi metriche e approfondimenti sulle vulnerabilità identificate, aiutandoti a risolvere in modo proattivo i rischi per la sicurezza.
  • Vault: consente di gestire centralmente le chiavi di cifratura che proteggono i dati, oltre alle credenziali segrete utilizzate per proteggere l'accesso alle risorse cloud. Il servizio Vault consente di creare e gestire vault, chiavi di cifratura e segreti.
  • Bastion: fornisce accesso sicuro e controllato alle risorse OCI che non hanno endpoint pubblici. Consente sessioni SSH basate sull'identità, con limitazioni di indirizzi IP specifici e accesso con limite di tempo. Tutte le attività vengono controllate, garantendo un accesso remoto sicuro e tracciabile alle risorse critiche.

Osservabilità

La zona di destinazione principale OCI è configurata per utilizzare i seguenti servizi OCI per l'osservabilità:

  • Log: servizio altamente scalabile e completamente gestito che fornisce l'accesso ai log dalle tue risorse cloud. Consente di visualizzare, gestire e analizzare i log nella tenancy, incluse informazioni diagnostiche critiche sulle prestazioni e sull'accesso delle risorse. Il servizio supporta i tipi di log elencati di seguito.
    • Log di audit: record degli eventi emessi dal servizio di audit OCI.
    • Log dei servizi: log generati dai servizi nativi OCI, ad esempio gateway API, eventi, funzioni, load balancer, storage degli oggetti e log di flusso della VCN.
    • Log personalizzati: log di applicazioni personalizzate, provider cloud di terze parti o ambienti on premise che forniscono dettagli diagnostici aggiuntivi.
  • Eventi: messaggi strutturati emessi dai servizi OCI che descrivono le modifiche alle risorse. Questi eventi possono corrispondere a operazioni di creazione, lettura, aggiornamento o eliminazione (CRUD), modifiche allo stato del ciclo di vita delle risorse o eventi di sistema che influiscono sulle risorse cloud.
  • Notifiche: trasmette messaggi sicuri, altamente affidabili, a bassa latenza e durevoli ai componenti distribuiti utilizzando un pattern di pubblicazione/sottoscrizione. Consegna messaggi per le applicazioni ospitate su OCI ed esternamente e può essere utilizzato per avvisare l'utente quando vengono attivati allarmi, connettori di servizio o regole evento.
  • Connector Hub: piattaforma di bus dei messaggi basata su cloud che orchestra lo spostamento dei dati tra i servizi nel cloud. Fornisce un unico pannello di controllo per definire, eseguire e monitorare i trasferimenti di dati, consentendo di spostare i dati da un servizio di origine a un servizio di destinazione. Inoltre, Connector Hub consente di specificare task, ad esempio il richiamo di una funzione, per elaborare i dati prima della consegna al servizio di destinazione. Ciò semplifica la creazione di un framework di aggregazione dei log per i sistemi SIEM (Security Information and Event Monitoring).
  • Storage degli oggetti: ti consente di gestire i dati come oggetti all'interno dei container, fornendo accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e rich media come immagini e video. Puoi archiviare e recuperare i dati in tutta sicurezza sia da Internet che all'interno della piattaforma cloud, con la possibilità di ridimensionare lo storage senza sacrificare prestazioni o affidabilità. Utilizza lo storage standard per dati "hot" ad accesso frequente che richiedono un recupero rapido e immediato e lo storage di archivio per dati "freddi" a cui si accede raramente ma che vengono conservati per lo storage a lungo termine.

Suggerimenti

Come distribuire la OCI Core Landing Zone

Utilizzare le linee guida riportate di seguito come base per progettare e configurare la sicurezza per l'ambiente cloud. Considera che i tuoi requisiti specifici potrebbero differire dall'architettura qui descritta.

  • Configurazione di rete: quando si seleziona un blocco CIDR per la VCN, assicurarsi che non si sovrapponga a qualsiasi altra rete (sia in OCI, nel data center on-premise o in un altro provider cloud) a cui si prevede di stabilire connessioni private.
  • Monitoraggio della sicurezza: utilizza Cloud Guard per monitorare e mantenere la sicurezza delle tue risorse in OCI. Cloud Guard utilizza ricette di rilevatori personalizzabili per identificare i punti deboli della sicurezza delle risorse e tenere traccia delle attività rischiose da parte di operatori e utenti. Quando viene rilevato un problema di configurazione errata o di sicurezza, Cloud Guard fornisce suggerimenti per azioni correttive e può fornire assistenza per l'implementazione utilizzando le ricette predefinite del rispondente.
  • Provisioning sicuro delle risorse: per le risorse che richiedono il livello di sicurezza più elevato, utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a un set di criteri definito da Oracle in base alle procedure ottimali di sicurezza. Ad esempio, le risorse in una zona di sicurezza devono essere inaccessibili dalla rete Internet pubblica e devono essere cifrate con chiavi gestite dal cliente. OCI convalida la creazione e gli aggiornamenti delle risorse all'interno di una zona di sicurezza in base a questi criteri, negando automaticamente qualsiasi operazione che li violi.

Considerazioni

Quando si implementa OCI Core Landing Zone, tenere presenti le informazioni riportate di seguito.

  • Autorizzazioni di accesso: durante il provisioning iniziale, la zona di destinazione può creare risorse con privilegi di amministratore della tenancy. Include criteri preconfigurati che consentono a gruppi di amministratori separati di gestire ogni compartimento dopo l'impostazione iniziale. Tuttavia, questi criteri sono limitati alle risorse distribuite dal modello e non coprono tutte le potenziali risorse cloud. Se si aggiungono nuove risorse al modello Terraform, è necessario definire istruzioni criteri aggiuntive per concedere le autorizzazioni di accesso necessarie.
  • Configurazione di rete: la rete della zona di destinazione può essere distribuita in modi diversi: da una a più VCN standalone o in un'architettura hub e spoke. È anche possibile configurare la rete senza connettività Internet.
  • Guida alla distribuzione: la Guida alla distribuzione della zona di destinazione principale OCI in GitHub fornisce istruzioni dettagliate su come configurare la zona di destinazione principale OCI. Include scenari di distribuzione e passi su come personalizzare la zona di destinazione.

Sviluppo

Il codice Terraform per questa soluzione è disponibile all'indirizzo GitHub. Puoi importare il codice in OCI Resource Manager con un solo clic, creare lo stack e distribuire la zona di destinazione. In alternativa, puoi scaricare il codice sul tuo computer locale, personalizzarlo e distribuire l'architettura con l'interfaccia CLI Terraform.

Distribuisci utilizzando lo stack di esempio in Resource Manager

Selezionare Distribuisci in OCI per aprire Resource Manager in OCI Console e creare uno stack.

Se non si è già connessi alla console, immettere la tenancy e le credenziali utente.

  1. Selezionare l'area in cui distribuire lo stack.
  2. Seguire i prompt visualizzati e le istruzioni per creare lo stack.
  3. Dopo aver creato lo stack, fare clic su Azioni Terraform, quindi selezionare Piano.
  4. Attendere il completamento del job, quindi rivedere il piano.
  5. Per apportare modifiche, tornare alla pagina Dettagli stack, fare clic su Modifica stack, quindi apportare le modifiche necessarie. Eseguire quindi di nuovo l'azione Piano.
  6. Se non sono necessarie ulteriori modifiche, tornare alla pagina Dettagli stack, fare clic su Azioni Terraform, quindi selezionare Applica.

Distribuisci utilizzando il codice Terraform in GitHub

  1. Andare a GitHub.
  2. Scaricare o clonare il codice nel computer locale.
  3. Seguire le istruzioni del README.

Nota: OCI offre i propri servizi cloud in tutte le sue aree cloud pubbliche e aree cloud dedicate. Tuttavia, alcuni servizi specializzati o emergenti sono disponibili solo in determinate aree geografiche. Per ulteriori informazioni, vedere Disponibilità del servizio.