Distribuisci una zona di destinazione sicura che soddisfi il benchmark CIS Foundations per Oracle Cloud

Per eseguire i carichi di lavoro in Oracle Cloud, è necessario un ambiente sicuro in cui poter operare in modo efficiente. Questa architettura di riferimento fornisce un modello di landing zone basato su Terraform certificato dal Center for Internet Security (CIS) per soddisfare le linee guida sulla sicurezza prescritte nel benchmark di base di Oracle Cloud Infrastructure del CIS. Vedere https://www.cisecurity.org per la certificazione.

Architettura

L'architettura inizia con la progettazione del compartimento per la tenancy insieme a gruppi e criteri per la separazione dei compiti. Nella zona di destinazione V2 è supportato il provisioning dei compartimenti della zona di destinazione all'interno di un compartimento padre designato. A ciascuno dei compartimenti della zona di destinazione viene assegnato un gruppo con le autorizzazioni appropriate per la gestione delle risorse nel compartimento e per l'accesso alle risorse necessarie in altri compartimenti.

Landing Zone V2 consente di eseguire il provisioning di più VCN, in modalità standalone o come parti costituenti di un'architettura Hub e Spoke. I VCN possono seguire una topologia di rete a tre livelli standard General Purpose o orientati verso topologie specifiche, come il supporto delle distribuzioni di Oracle Exadata Database Service. Sono configurate con l'instradamento necessario e le relative interfacce in entrata e in uscita sono protette correttamente.

La Landing Zone include vari servizi di sicurezza preconfigurati che possono essere implementati in tandem con l'architettura generale per una solida postura della sicurezza. Questi servizi sono Oracle Cloud Guard, Log di flusso, Oracle Cloud Infrastructure Service Connector Hub, Vault con chiavi gestite dal cliente, Oracle Cloud Infrastructure Vulnerability Scanning Service, Oracle Cloud Infrastructure Bastion e Oracle Security Zones. Le notifiche vengono impostate utilizzando argomenti ed eventi per avvisare gli amministratori delle modifiche alle risorse distribuite.

Il seguente diagramma illustra questa architettura di riferimento.

Descrizione dell'immagine oci-cis-landingzone.png

oci-cis-landingzone-oracle.zip

L'architettura presenta i seguenti componenti:

• Tenancy

  Una tenancy è una partizione sicura e isolata che Oracle imposta all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. Puoi creare, organizzare e amministrare le risorse in Oracle Cloud all'interno della tua tenancy. Una tenancy è sinonimo di azienda o organizzazione. Di solito, un'azienda avrà una singola tenancy e rifletterà la sua struttura organizzativa all'interno di quella tenancy. Una singola tenancy viene in genere associata a una singola sottoscrizione e una singola sottoscrizione in genere ha una sola tenancy.

• Criteri

  Un criterio di Oracle Cloud Infrastructure Identity and Access Management specifica chi può accedere a quali risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che è possibile scrivere un criterio che fornisce a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o alla tenancy.

• Compartimenti

  I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Usare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote d'uso. Per controllare l'accesso alle risorse in un determinato compartimento, definire criteri che specificano chi può accedere alle risorse e quali azioni possono eseguire.

  Il provisioning delle risorse in questo modello di zona di destinazione viene eseguito nei seguenti compartimenti:

  • Compartimento di inclusione consigliato contenente tutti i compartimenti elencati di seguito.
  • Compartimento di rete per tutte le risorse di rete, inclusi i gateway di rete necessari.
  • Compartimento di sicurezza per le risorse di log, gestione delle chiavi e notifiche.
  • Compartimento applicazione per i servizi correlati all'applicazione, inclusi computazione, storage, funzioni, flussi, nodi Kubernetes, gateway API e così via.
  • Compartimento del database per tutte le risorse di database.
  • Compartimento facoltativo per l'infrastruttura Oracle Exadata Database Service.

  Le icone disattivate nel diagramma indicano i servizi di cui non è stato eseguito il provisioning dal modello.

  Questo design del compartimento riflette una struttura funzionale di base osservata in diverse organizzazioni, in cui le responsabilità IT sono in genere separate tra networking, sicurezza, sviluppo delle applicazioni e amministratori di database.

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Come le tradizionali reti di data center, le reti VCN consentono di controllare l'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  Per impostazione predefinita, il modello distribuisce una VCN a tre livelli standard General Purpose con una subnet pubblica e due subnet private. Una subnet pubblica viene utilizzata per i load balancer e i server bastion. I livelli di applicazione e database sono collegati a subnet private separate. Il modello può anche creare VCN per supportare la distribuzione di carichi di lavoro specifici, come Oracle Exadata Database Service.

• Gateway Internet

  Il gateway Internet consente il traffico tra le subnet pubbliche in una VCN e la rete Internet pubblica.

• Gateway di instradamento dinamico (DRG)

  Il DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra le reti on premise e le reti VCN e può essere utilizzato anche per instradare il traffico tra le reti VCN nella stessa area o tra più aree.

• Gateway NAT

  Un gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

• Gateway del servizio

  Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, come Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viaggia sul fabric di rete Oracle e non attraversa Internet.

• Rete di servizi Oracle

  Oracle Services Network (OSN) è una rete concettuale in Oracle Cloud Infrastructure riservata ai servizi Oracle. Questi servizi hanno indirizzi IP pubblici che è possibile raggiungere su Internet. Gli host esterni a Oracle Cloud possono accedere privatamente a OSN utilizzando Oracle Cloud Infrastructure FastConnect o VPN Connect. Gli host nelle reti VCN possono accedere privatamente all'OSN tramite un gateway di servizi.

• Gruppi di sicurezza di rete (NSG)

  Il gruppo di sicurezza di rete (NSG) funge da firewall virtuale per le risorse cloud. Con il modello di sicurezza zero-trust di Oracle Cloud Infrastructure, tutto il traffico viene negato ed è possibile controllare il traffico di rete all'interno di una VCN. Un gruppo NSG è costituito da un set di regole di sicurezza in entrata e in uscita che si applicano solo a un set specificato di VNIC in una singola VCN.

• Eventi

  I servizi Oracle Cloud Infrastructure emettono eventi, ovvero messaggi strutturati che descrivono le modifiche alle risorse. Gli eventi vengono emessi per le operazioni di creazione, lettura, aggiornamento o eliminazione (CRUD), le modifiche allo stato del ciclo di vita delle risorse e gli eventi di sistema che influiscono sulle risorse cloud.

• Notifiche

  Il servizio Oracle Cloud Infrastructure Notifications trasmette messaggi ai componenti distribuiti tramite un pattern di pubblicazione/sottoscrizione, offrendo messaggi sicuri, altamente affidabili, a bassa latenza e duraturi per le applicazioni ospitate su Oracle Cloud Infrastructure.

• Vault

  Oracle Cloud Infrastructure Vault consente di gestire centralmente le chiavi di cifratura che proteggono i dati e le credenziali segrete utilizzate per proteggere l'accesso alle risorse nel cloud. È possibile utilizzare il servizio Vault per creare e gestire vault, chiavi e segreti.

• Log
  Logging è un servizio altamente scalabile e completamente gestito che fornisce l'accesso ai seguenti tipi di log dalle risorse nel cloud:

  • Log di audit: log relativi agli eventi emessi dal servizio di audit.
  • Log del servizio: log emessi da singoli servizi, ad esempio gateway API, eventi, funzioni, bilanciamento del carico, storage degli oggetti e log di flusso VCN.
  • Log personalizzati: log che contengono informazioni di diagnostica di applicazioni personalizzate, altri provider cloud o di un ambiente on premise.
• Connettori servizio

  Oracle Cloud Infrastructure Service Connector Hub è una piattaforma di bus di messaggi cloud che orchestra lo spostamento dei dati tra i servizi in OCI. È possibile utilizzare i connettori servizio per spostare i dati da un servizio di origine a un servizio di destinazione. I connettori servizio consentono inoltre di specificare facoltativamente un task (ad esempio una funzione) da eseguire sui dati prima che vengano consegnati al servizio di destinazione.

  È possibile utilizzare Oracle Cloud Infrastructure Service Connector Hub per creare rapidamente un framework di aggregazione dei log per i sistemi SIEM.

• Cloud Guard

  Oracle Cloud Guard ti consente di ottenere e mantenere un livello di sicurezza elevato in Oracle Cloud monitorando la tenancy per individuare impostazioni e azioni relative alle risorse che potrebbero rappresentare un problema di sicurezza.

  Puoi utilizzare Oracle Cloud Guard per monitorare e gestire la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette del rilevatore che è possibile definire per esaminare le risorse per individuare eventuali punti deboli della sicurezza e per monitorare operatori e utenti per determinate attività rischiose. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e aiuta a eseguire tali azioni, in base alle ricette dei rispondenti che è possibile definire.

• Zona di sicurezza

  Una zona di sicurezza è associata a uno o più compartimenti e a una ricetta della zona di sicurezza. Quando si creano e si aggiornano risorse in una zona di sicurezza, Oracle Cloud Infrastructure (OCI) convalida queste operazioni in base alla lista di criteri definiti nella ricetta della zona di sicurezza. Se viene violato un criterio della zona di sicurezza, l'operazione viene negata.

  Le zone di sicurezza garantiscono che le risorse OCI siano conformi ai criteri di sicurezza, tra cui Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes e risorse del database.

• Servizio di analisi delle vulnerabilità

  Oracle Cloud Infrastructure Vulnerability Scanning Service aiuta a migliorare il livello di sicurezza in Oracle Cloud controllando regolarmente porte e host per potenziali vulnerabilità. Il servizio genera report con metriche e dettagli su queste vulnerabilità.

• Servizio bastion

  Il servizio Bastion di Oracle Cloud Infrastructure fornisce accesso limitato da indirizzi IP specifici alle risorse OCI di destinazione che non dispongono di endpoint pubblici utilizzando sessioni Secure Shell (SSH) basate su identità, sottoposte a audit e in tempo.

• Memorizzazione degli oggetti

  Lo storage degli oggetti offre un accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati come immagini e video. Puoi memorizzare e quindi recuperare i dati direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage senza alcun deterioramento delle prestazioni o dell'affidabilità del servizio. Utilizza lo storage standard per lo storage "caldo" a cui è necessario accedere rapidamente, immediatamente e frequentemente. Utilizza lo storage di archivio per lo storage "freddo" che conservi per lunghi periodi di tempo e a cui accedi raramente o raramente.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza per progettare e configurare la sicurezza per l'ambiente cloud. Le vostre esigenze potrebbero differire dall'architettura descritta qui.

• Configurazione di rete

  Per la VCN, selezionare un blocco CIDR che non si sovrapponga a qualsiasi altra rete (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) a cui si intende impostare connessioni private.

• Monitoraggio della sicurezza

  Utilizza Oracle Cloud Guard per monitorare e mantenere la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza le ricette del rilevatore che è possibile definire per esaminare le risorse per individuare eventuali punti deboli della sicurezza e per monitorare operatori e utenti per individuare attività rischiose. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e aiuta a eseguire tali azioni, in base alle ricette dei rispondenti che è possibile definire.

• Provisioning sicuro delle risorse

  Per le risorse che richiedono una maggiore sicurezza, utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una ricetta definita da Oracle dei criteri di sicurezza che si basano sulle best practice. Ad esempio, le risorse in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica e devono essere cifrate utilizzando chiavi gestite dal cliente. Quando crei e aggiorni le risorse in una zona di sicurezza, Oracle Cloud Infrastructure convalida le operazioni in base ai criteri nella ricetta della zona di sicurezza e nega le operazioni che violano uno qualsiasi dei criteri.

Considerazioni

Quando si implementa questa architettura di riferimento, considerare i seguenti fattori:

• Autorizzazioni accesso

  Il modello Area di destinazione può eseguire il provisioning delle risorse come amministratore della tenancy (qualsiasi utente membro del gruppo Amministratori) o come utente con autorizzazioni più limitate. Vedere Ulteriori informazioni per "Modalità di distribuzione per la zona di destinazione OCI CIS".

  Il modello Zona di destinazione esegue il provisioning delle risorse come amministratore della tenancy (qualsiasi utente membro del gruppo Administrators) e include criteri che consentono a gruppi di amministratori separati di gestire ogni compartimento dopo il provisioning iniziale. I criteri preconfigurati non coprono tutte le possibili risorse disponibili in OCI, ovvero sono applicabili alle risorse attualmente distribuite dal modello. Se si aggiungono risorse al modello Terraform, è necessario definire le istruzioni dei criteri aggiuntive necessarie.

• Configurazione di rete

  La rete Landing Zone può essere distribuita in modi diversi: da una a più VCN standalone o in un'architettura Hub & Spoke con il servizio DRG V2 di Oracle Cloud Infrastructure. È anche possibile configurare la rete senza connettività Internet. Anche se la Landing Zone consente di passare avanti e indietro tra standalone e Hub & Spoke, è importante pianificare un progetto specifico, poiché potrebbero essere necessarie azioni manuali durante il passaggio.

• Personalizzazione del modello area di arrivo

  La configurazione Terraform dispone di un singolo modulo radice e di singoli moduli per eseguire il provisioning delle risorse. Questo modello modulare consente un riutilizzo efficiente e coerente del codice. Per aggiungere risorse alla configurazione Terraform, riutilizzare i moduli esistenti, ma sostituire la variabile specifica con la configurazione richiesta utilizzando i file di sostituzione di Terraform. Ad esempio, per aggiungere un nuovo compartimento, definire una nuova mappa di oggetti compartimento nel file override.tf con lo stesso nome della mappa originale dei compartimenti. Per ulteriori dettagli, vedere Personalizzazione della zona di destinazione.

• Guida alla distribuzione

  La Guida alla distribuzione rapida della zona di arrivo OCI CIS in GitHub fornisce una guida dettagliata su come configurare la zona di arrivo OCI CIS. Include scenari di distribuzione e passi su come personalizzare la zona di destinazione.

Distribuire

Il codice Terraform per questa soluzione è disponibile in GitHub. Puoi estrarre il codice in Oracle Cloud Infrastructure Resource Manager con un solo clic, creare lo stack e distribuirlo. In alternativa, scaricare il codice da GitHub sul computer, personalizzare il codice e distribuire l'architettura utilizzando l'interfaccia CLI Terraform.

• Distribuisci utilizzando lo stack di esempio in Oracle Cloud Infrastructure Resource Manager:
  1. Andare a

     Se non si è già connessi, immettere la tenancy e le credenziali utente.

  2. Selezionare l'area in cui distribuire lo stack.
  3. Seguire i prompt visualizzati e le istruzioni per creare lo stack.
  4. Dopo aver creato lo stack, fare clic su Azioni Terraform e selezionare Piano.
  5. Attendere il completamento del job e rivedere il piano.

     Per apportare eventuali modifiche, tornare alla pagina Dettagli stack, fare clic su Modifica stack e apportare le modifiche necessarie. Eseguire quindi di nuovo l'azione Piano.

  6. Se non sono necessarie ulteriori modifiche, tornare alla pagina Dettagli stack, fare clic su Azioni Terraform e selezionare Applica.
• Eseguire la distribuzione utilizzando il codice Terraform in GitHub:
  1. Passare a GitHub.
  2. Scaricare o clonare il codice nel computer locale.
  3. Seguire le istruzioni del README.

Visualizza altro

Ulteriori informazioni su come impostare e gestire un ambiente sicuro in Oracle Cloud.

• Framework delle best practice per Oracle Cloud Infrastructure
• Lista di controllo di sicurezza per Oracle Cloud Infrastructure
• Benchmark sulle basi di Oracle Cloud Infrastructure CIS
• Guida alla distribuzione di OCI CIS Landing Zone Quick Start

Leggi i seguenti post del blog:

• Creazione di una zona di destinazione multiregione sicura
• Modello di avvio rapido OCI Secure Landing Zone, versione 2
• Modalità di distribuzione della zona di destinazione sicura OCI
• Come distribuire OCI Secure Landing Zone per Exadata Cloud Service

Log modifiche

Questo log elenca le modifiche significative:

16 maggio 2024	Architettura aggiornata per consigliare l'utilizzo di un compartimento di inclusione per gli altri compartimenti. Considerazioni aggiornate per includere la Guida alla distribuzione rapida della zona di arrivo CIS OCI. Aggiunto un collegamento al Center for Internet Security (CIS).
2 maggio 2023	Revisione del diagramma dell'architettura e del testo corrispondente. Sono state riviste le seguenti sezioni in Considerazioni: "Autorizzazioni di accesso" e "Personalizzazione del modello di area di destinazione". Distribuisci aggiornato. Puoi anche eseguire la distribuzione direttamente da GitHub utilizzando il pulsante Distribuisci in Oracle Cloud.
19 ottobre 2021	Diagramma e testo dell'architettura modificati per includere il compartimento e l'amministratore opzionali di Oracle Exadata. Miglioramento del contenuto nelle sezioni Architettura, Considerazioni e Distribuzione.