Distribuisci una zona di destinazione sicura che soddisfi il benchmark CIS Foundations per Oracle Cloud

Per eseguire i carichi di lavoro in Oracle Cloud, è necessario un ambiente sicuro in cui poter operare in modo efficiente. Questa architettura di riferimento fornisce un modello di zona di destinazione basato su Terraform conforme al Center for Internet Security (CIS) per soddisfare le linee guida di sicurezza prescritte nel benchmark di base di Oracle Cloud Infrastructure del CIS. Per la certificazione, vedere https://www.cisecurity.org.

Architettura

L'architettura inizia con la progettazione del compartimento per la tenancy, insieme a gruppi e criteri per la separazione dei compiti. Nella zona di destinazione di base OCI è supportato il provisioning dei compartimenti della zona di destinazione all'interno di un compartimento padre designato. A ciascuno dei compartimenti della zona di destinazione viene assegnato un gruppo con le autorizzazioni appropriate per la gestione delle risorse nel compartimento e per l'accesso alle risorse necessarie in altri compartimenti.

OCI Core Landing Zone ha la possibilità di eseguire il provisioning di più VCN, in modalità standalone o come parti costitutive di un'architettura hub e spoke oppure connessi tramite una VCN DMZ. I VCN possono seguire una topologia di rete a tre livelli General Purpose o essere orientati verso topologie specifiche per supportare le distribuzioni OCI Kubernetes Engine (OKE) o Oracle Exadata Database Service. Sono configurati pronti all'uso con l'instradamento necessario, con le interfacce in entrata e in uscita protette correttamente.

La landing zone include vari servizi di sicurezza preconfigurati che possono essere implementati in tandem con l'architettura generale per una solida postura della sicurezza. Questi servizi sono Oracle Cloud Guard, log di flusso della VCN, OCI Connector Hub, OCI Vault con chiavi gestite dal cliente, OCI Vulnerability Scanning Service, Security Zones e Zero Trust Packet Routing (ZPR). Le notifiche vengono impostate utilizzando argomenti ed eventi per avvisare gli amministratori delle modifiche alle risorse distribuite.

Il seguente diagramma illustra questa architettura di riferimento.

Descrizione dell'immagine oci-core-landingzone.png

oci-core-landingzone-oracle.zip

L'architettura presenta i seguenti componenti:

• Tenancy

  Una tenancy è una partizione sicura e isolata che Oracle imposta all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. Puoi creare, organizzare e amministrare le risorse in Oracle Cloud all'interno della tua tenancy. Una tenancy è sinonimo di azienda o organizzazione. Di solito, un'azienda avrà una singola tenancy e rifletterà la sua struttura organizzativa all'interno di quella tenancy. Una singola tenancy viene in genere associata a una singola sottoscrizione e una singola sottoscrizione in genere ha una sola tenancy.

• dominio identità

  Un dominio di identità è un contenitore per la gestione di utenti e ruoli, la federazione e il provisioning degli utenti, la protezione dell'integrazione delle applicazioni mediante la configurazione Single Sign-On (SSO) e l'amministrazione dei provider di identità basata su SAML/OAuth. Rappresenta una popolazione di utenti in Oracle Cloud Infrastructure e le configurazioni e le impostazioni di sicurezza associate (ad esempio MFA).

• Criteri

  Un criterio di Oracle Cloud Infrastructure Identity and Access Management specifica chi può accedere a quali risorse e come. L'accesso viene concesso a livello di gruppo e compartimento. Ciò significa che è possibile scrivere un criterio che fornisce a un gruppo un tipo specifico di accesso all'interno di un compartimento specifico o alla tenancy.

• Compartimenti

  I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Usare i compartimenti per organizzare, controllare l'accesso e impostare le quote d'uso per le risorse Oracle Cloud. In un determinato compartimento, si definiscono i criteri che controllano l'accesso e impostano i privilegi per le risorse.

  Il provisioning delle risorse in questo modello di zona di destinazione viene eseguito nei seguenti compartimenti:

  • Compartimento di inclusione consigliato contenente tutti i compartimenti elencati di seguito.
  • Compartimento di rete per tutte le risorse di rete, inclusi i gateway di rete necessari.
  • Compartimento di sicurezza per le risorse di log, gestione delle chiavi e notifiche.
  • Compartimento applicazione per i servizi correlati all'applicazione, inclusi computazione, storage, funzioni, flussi, nodi Kubernetes, gateway API e così via.
  • Compartimento del database per tutte le risorse di database.
  • Compartimento facoltativo per l'infrastruttura Oracle Exadata Database Service.

  Le icone disattivate nel diagramma indicano i servizi di cui non è stato eseguito il provisioning dal modello.

  Questo design del compartimento riflette una struttura funzionale di base osservata in diverse organizzazioni, in cui le responsabilità IT sono in genere separate tra networking, sicurezza, sviluppo delle applicazioni e amministratori di database.

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Come le tradizionali reti di data center, le reti VCN consentono di controllare l'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  Il modello può distribuire VCN per diversi tipi di carico di lavoro, tra cui VCN a tre livelli per le tipiche applicazioni basate sul Web a tre livelli, le applicazioni OCI Kubernetes Engine e Oracle Exadata Database Service.

• Gateway Internet

  Un gateway Internet consente il traffico tra le subnet pubbliche di una VCN e la rete Internet pubblica.

• Gateway di instradamento dinamico (DRG)

  Il DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra le reti on premise e le reti VCN e può essere utilizzato anche per instradare il traffico tra le reti VCN nella stessa area o tra più aree.

• Gateway NAT

  Un gateway NAT consente alle risorse private in una VCN di accedere agli host su Internet, senza esporre tali risorse alle connessioni Internet in entrata.

• Gateway del servizio

  Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, come Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viaggia sul fabric di rete Oracle e non attraversa Internet.

• Rete di servizi Oracle

  Oracle Services Network (OSN) è una rete concettuale in Oracle Cloud Infrastructure riservata ai servizi Oracle. Questi servizi hanno indirizzi IP pubblici che è possibile raggiungere su Internet. Gli host esterni a Oracle Cloud possono accedere privatamente a OSN utilizzando Oracle Cloud Infrastructure FastConnect o VPN Connect. Gli host nelle reti VCN possono accedere privatamente all'OSN tramite un gateway di servizi.

• Gruppi di sicurezza di rete (NSG)

  I gruppi NSG fungono da firewall virtuali per le risorse cloud. Con il modello di sicurezza zero-trust di Oracle Cloud Infrastructure puoi controllare il traffico di rete all'interno di una VCN. Un gruppo NSG è costituito da un set di regole di sicurezza in entrata e in uscita che si applicano solo a un set specificato di VNIC in una singola VCN.

• Eventi

  I servizi Oracle Cloud Infrastructure emettono eventi, ovvero messaggi strutturati che descrivono le modifiche alle risorse. Gli eventi vengono emessi per le operazioni di creazione, lettura, aggiornamento o eliminazione (CRUD), le modifiche allo stato del ciclo di vita delle risorse e gli eventi di sistema che influiscono sulle risorse cloud.

• Notifiche

  OCI Notifications trasmette i messaggi ai componenti distribuiti utilizzando un pattern di pubblicazione/sottoscrizione a bassa latenza, offrendo messaggi sicuri, altamente affidabili e duraturi per le applicazioni ospitate su Oracle Cloud Infrastructure.

• Vault

  Oracle Cloud Infrastructure Vault consente di gestire centralmente le chiavi di cifratura che proteggono i dati e le credenziali segrete utilizzate per proteggere l'accesso alle risorse nel cloud. È possibile utilizzare il servizio Vault per creare e gestire vault, chiavi e segreti.

• Log
  Oracle Cloud Infrastructure Logging è un servizio altamente scalabile e completamente gestito che fornisce l'accesso ai seguenti tipi di log dalle tue risorse nel cloud:

  • Log di audit: log correlati agli eventi prodotti da OCI Audit.
  • Log dei servizi: log pubblicati da singoli servizi, ad esempio OCI API Gateway, OCI Events, OCI Functions, OCI Load Balancing, OCI Object Storage e log di flusso VCN.
  • Log personalizzati: log che contengono informazioni di diagnostica da applicazioni personalizzate, altri provider cloud o un ambiente in locale.
• Connettori servizio

  Oracle Cloud Infrastructure Connector Hub è una piattaforma di bus di messaggi cloud che orchestra lo spostamento dei dati tra i servizi in OCI. È possibile utilizzare i connettori servizio per spostare i dati da un servizio di origine a un servizio di destinazione. I connettori servizio consentono inoltre di specificare facoltativamente un task (ad esempio una funzione) da eseguire sui dati prima che vengano consegnati al servizio di destinazione.

  È possibile utilizzare Oracle Cloud Infrastructure Service Connector Hub per creare rapidamente un framework di aggregazione dei log per i sistemi SIEM.

• Cloud Guard

  Oracle Cloud Guard ti consente di ottenere e mantenere un livello di sicurezza elevato in Oracle Cloud monitorando la tenancy per individuare impostazioni e azioni relative alle risorse che potrebbero rappresentare un problema di sicurezza.

  Puoi utilizzare Oracle Cloud Guard per monitorare e gestire la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette del rilevatore che è possibile definire per esaminare le risorse per individuare eventuali punti deboli della sicurezza e per monitorare operatori e utenti per determinate attività rischiose. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e aiuta a eseguire tali azioni, in base alle ricette dei rispondenti che è possibile definire.

• Zona di sicurezza

  Una zona di sicurezza è associata a uno o più compartimenti e a una ricetta della zona di sicurezza. Quando si creano e si aggiornano risorse in una zona di sicurezza, Oracle Cloud Infrastructure (OCI) convalida queste operazioni in base alla lista di criteri definiti nella ricetta della zona di sicurezza. Se viene violato un criterio della zona di sicurezza, l'operazione viene negata.

  Le zone di sicurezza garantiscono che le risorse OCI siano conformi ai criteri di sicurezza, tra cui Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes e risorse del database.

• Servizio di analisi delle vulnerabilità

  Oracle Cloud Infrastructure Vulnerability Scanning Service aiuta a migliorare il livello di sicurezza in Oracle Cloud controllando regolarmente porte e host per potenziali vulnerabilità. Il servizio genera report con metriche e dettagli su queste vulnerabilità.

• Zero Trust Packet Routing

  Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) impedisce l'accesso non autorizzato ai dati gestendo i criteri di sicurezza di rete separatamente dall'architettura di rete. ZPR utilizza un linguaggio di criteri intuitivo basato su intenti per definire i percorsi di accesso consentiti per i dati. Qualsiasi pattern di traffico non definito esplicitamente dai criteri non può attraversare la rete, il che semplifica la protezione dei dati e impedisce l'esfiltrazione dei dati.

• Servizio bastion

  Il servizio Bastion di Oracle Cloud Infrastructure fornisce accesso limitato da indirizzi IP specifici alle risorse OCI di destinazione che non dispongono di endpoint pubblici utilizzando sessioni Secure Shell (SSH) basate su identità, sottoposte a audit e in tempo.

• Memorizzazione degli oggetti

  Lo storage degli oggetti OCI fornisce un accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati come immagini e video. Puoi archiviare i dati direttamente da Internet o dalla piattaforma cloud in tutta sicurezza. Puoi ridimensionare lo storage senza alcun deterioramento delle prestazioni o dell'affidabilità del servizio.

Suggerimenti

Utilizzare i suggerimenti riportati di seguito come punto di partenza per progettare e configurare la sicurezza per l'ambiente cloud. Le vostre esigenze potrebbero differire dall'architettura descritta qui.

• Configurazione di rete

  Per le reti VCN, selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) a cui si intende impostare connessioni private.

• Monitoraggio della sicurezza

  Utilizza Oracle Cloud Guard per monitorare e mantenere la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza le ricette del rilevatore che è possibile definire per esaminare le risorse per individuare eventuali punti deboli della sicurezza e per monitorare operatori e utenti per individuare attività rischiose. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e aiuta a eseguire tali azioni, in base alle ricette dei rispondenti che è possibile definire.

• Provisioning sicuro delle risorse

  Per le risorse che richiedono una maggiore sicurezza, utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una ricetta definita da Oracle dei criteri di sicurezza che si basano sulle best practice. Ad esempio, le risorse in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica e devono essere cifrate utilizzando chiavi gestite dal cliente. Quando crei e aggiorni le risorse in una zona di sicurezza, Oracle Cloud Infrastructure convalida le operazioni in base ai criteri nella ricetta della zona di sicurezza e nega le operazioni che violano uno qualsiasi dei criteri.

Considerazioni

Quando si implementa questa architettura di riferimento, considerare i seguenti fattori:

• Autorizzazioni accesso

  Il provisioning del modello della zona di destinazione richiede un utente con autorizzazioni a livello di tenancy (qualsiasi utente membro del gruppo Administrators).

  Il modello di zona di destinazione esegue il provisioning delle risorse come amministratore della tenancy (qualsiasi utente membro del gruppo Amministratori) e include criteri che consentono a gruppi di amministratori distinti di gestire ogni compartimento dopo il provisioning iniziale. I criteri preconfigurati non coprono tutte le possibili risorse disponibili in OCI (ad esempio, se si aggiungono risorse al modello Terraform, potrebbe essere necessario aggiungere le istruzioni dei criteri aggiuntive necessarie).

• Configurazione di rete

  La rete della zona di destinazione può essere distribuita in modi diversi: con una o più VCN standalone in un'architettura hub e spoke con il servizio DRG V2 di Oracle Cloud Infrastructure o con un'architettura VCN DMZ con DRG Oracle Cloud Infrastructure V2. È anche possibile configurare la rete senza connettività Internet. Sebbene la zona di atterraggio consenta di passare avanti e indietro tra standalone e hub e spoke, è importante pianificare un progetto specifico, poiché potrebbero essere necessarie azioni manuali durante il passaggio.

• Guida alla distribuzione

  La Guida alla distribuzione di OCI Core Landing Zone in GitHub fornisce una guida dettagliata su come configurare la zona di destinazione di base, inclusi alcuni scenari di distribuzione chiave.

Distribuire

Il codice Terraform per questa soluzione è disponibile in GitHub. Puoi estrarre il codice in Oracle Cloud Infrastructure Resource Manager con un solo clic, creare lo stack e distribuirlo. In alternativa, scaricare il codice da GitHub sul computer, personalizzare il codice e distribuire l'architettura utilizzando l'interfaccia CLI Terraform.

• Distribuisci utilizzando lo stack di esempio in Oracle Cloud Infrastructure Resource Manager:
  1. Andare a

     Se non si è già connessi, immettere la tenancy e le credenziali utente.

  2. Selezionare l'area in cui distribuire lo stack.
  3. Seguire i prompt visualizzati e le istruzioni per creare lo stack.
  4. Dopo aver creato lo stack, fare clic su Azioni Terraform e selezionare Piano.
  5. Attendere il completamento del job e rivedere il piano.

     Per apportare eventuali modifiche, tornare alla pagina Dettagli stack, fare clic su Modifica stack e apportare le modifiche necessarie. Eseguire quindi di nuovo l'azione Piano.

  6. Se non sono necessarie ulteriori modifiche, tornare alla pagina Dettagli stack, fare clic su Azioni Terraform e selezionare Applica.
• Eseguire la distribuzione utilizzando il codice Terraform in GitHub:
  1. Passare a GitHub.
  2. Scaricare o clonare il codice nel computer locale.
  3. Seguire le istruzioni del README.

Visualizza altro

Ulteriori informazioni su come impostare e gestire un ambiente sicuro in Oracle Cloud.

• Framework ben strutturato per l'infrastruttura Oracle Cloud
• Lista di controllo di sicurezza per Oracle Cloud Infrastructure
• Benchmark sulle basi di Oracle Cloud Infrastructure CIS
• Guida alla distribuzione della zona di destinazione principale OCI

Log modifiche

Questo log elenca le modifiche significative:

Febbraio 20, 2025	Modifica del titolo. Modifiche editoriali in tutto. Collegamenti distribuzione aggiornati. Diagramma aggiornato e descrizione associata.
16 maggio 2024	Architettura aggiornata per consigliare l'utilizzo di un compartimento di inclusione per gli altri compartimenti. Considerazioni aggiornate per includere la Guida alla distribuzione rapida della zona di arrivo CIS OCI. Aggiunto un collegamento al Center for Internet Security (CIS).
2 maggio 2023	Revisione del diagramma dell'architettura e del testo corrispondente. Sono state riviste le seguenti sezioni in Considerazioni: "Autorizzazioni di accesso" e "Personalizzazione del modello di area di destinazione". Distribuisci aggiornato. Puoi anche eseguire la distribuzione direttamente da GitHub utilizzando il pulsante Distribuisci in Oracle Cloud.
19 ottobre 2021	Diagramma e testo dell'architettura modificati per includere il compartimento e l'amministratore opzionali di Oracle Exadata. Miglioramento del contenuto nelle sezioni Architettura, Considerazioni e Distribuzione.