Implementa una soluzione di recupero informatico su Oracle Cloud Infrastructure

La sicurezza informatica è diventata un argomento sempre più critico poiché gli attacchi malware e ransomware continuano a verificarsi in tutto il mondo. Per i database mission-critical, tali attacchi che comportano la perdita di dati e tempi di inattività dei sistemi possono avere impatti di gran lunga diversi in tutta l'azienda in termini di ricavi, operazioni, reputazione e persino sanzioni.

Puoi implementare una soluzione per proteggere le tue applicazioni Oracle ospitate su Oracle Cloud Infrastructure (OCI), dagli attacchi informatici creando e memorizzando backup immutabili. In caso di attacco informatico, come un attacco alla cifratura ransomware, i backup immutabili possono essere utilizzati per ripristinare lo stato precedente dell'applicazione Oracle, con conseguente interruzione minima delle attività aziendali.

Architettura

Questa architettura di riferimento mostra come implementare una soluzione di backup e ripristino automatizzata distribuita su OCI.

L'applicazione Oracle E-Business Suite (EBS) viene utilizzata come esempio per questa soluzione, ma è possibile adottarla facilmente per altre applicazioni Oracle.

Il diagramma riportato di seguito illustra questa architettura di riferimento.

Descrizione dell'immagine oci_cyber_recovery_arch.png

oci-cyber-recovery-arch-oracle.zip

1. Per distribuire questa architettura di riferimento, creare una nuova tenancy OCI (denominata tenancy di recupero cibernetico) per memorizzare copie immutabili dei backup.
   1. La tenancy di recupero cibernetico fornirà una piattaforma per test e recupero sicuri dei sistemi in caso di attacco informatico.
   2. La tenancy di recupero cibernetico verrà "cancellata" dalla rete di produzione, con connessioni in entrata consentite solo durante un richiamo di recupero cibernetico o un test periodico.
   3. La tenancy OCI Cyber Recovery differirà in termini di gestione degli accessi, senza integrazione con Active Directory. Tutti i dati copiati nella tenancy di Cyber Recovery OCI verranno avviati dall'interno della tenancy e copiati tramite il backbone di rete di OCI per garantire la sicurezza completa.
2. Eseguire il backup di tutte le entità di produzione (database, server, storage di file e così via) in un set di bucket di storage degli oggetti Cyber Recovery all'interno della tenancy di produzione, in conformità a una pianificazione di backup definita.
   1. I bucket di storage degli oggetti per il ripristino informatico devono avere i criteri di conservazione e ciclo di vita impostati in linea con le tue esigenze (ad esempio, ci sarà un bucket di ciclo giornaliero con i propri criteri di conservazione).
   2. Per i bucket di storage degli oggetti Cyber Recovery è necessario impostare le autorizzazioni, in modo che possano essere letti da uno script di sincronizzazione avviato dalla tenancy Cyber Recovery.
   3. Ridefinire lo scopo dei backup di produzione esistenti con soluzioni di backup aggiuntive utilizzate quando necessario.
   4. Nella Tenancy di produzione devono essere distribuite diverse tecniche di storage, ognuna con una soluzione tecnica diversa, ma seguendo la stessa sequenza logica di creazione di un data set di Cyber Recovery.
3. Lo script di sincronizzazione generato dal compartimento CRS della tenancy di recupero informatico verrà eseguito regolarmente (ad esempio, ogni 15 minuti durante la finestra di backup).
   1. Applicare il criterio di amministrazione in modo che l'accesso alla tenancy di produzione sia consentito.
   2. Copiare tutti i nuovi oggetti identificati nei bucket di storage degli oggetti per il recupero ciber di produzione in un equivalente bucket di storage degli oggetti per la tenancy di recupero cibernetico.
   3. Disabilitare il criterio di amministrazione per impedire l'accesso alla tenancy di produzione.
   4. I dati verranno copiati nella tenancy di recupero cibernetico tramite il backbone di rete di OCI e tutti gli accessi in entrata verranno limitati all'accesso alla console OCI.
4. Quando un oggetto viene sincronizzato con la tenancy di recupero informatico, il relativo ciclo di vita non viene più collegato al relativo equivalente in produzione. Ad esempio, nell'improbabile evento (ad esempio, una mancata corrispondenza nei criteri del ciclo di vita), un oggetto di backup di produzione viene eliminato, NON comporterà l'eliminazione dell'oggetto di backup tenancy di recupero informatico.
5. Il bucket dell'oggetto Cyber Recovery verrà posizionato nel compartimento CRS con un criterio Zona di sicurezza per impedire modifiche non autorizzate ad esso.
6. Impostare le autorizzazioni per i bucket dell'oggetto tenancy di recupero cibernetico in modo che possano essere letti solo dagli utenti autorizzati all'interno della tenancy (le autorizzazioni devono essere impostate in modo che solo lo script di sincronizzazione possa scrivervi).
7. Impostare i criteri di conservazione all'interno dei bucket degli oggetti Cyber Recovery per gestire il ciclo di vita degli oggetti per l'eliminazione (ad esempio, gli oggetti verranno eliminati una volta vecchi di 15 giorni) e l'archiviazione (ad esempio, oggetti di archivio vecchi di 10 giorni).
8. Quando un nuovo oggetto viene creato nel bucket dell'oggetto Cyber Recovery, verrà sottoposto a scansione per individuare i virus e la relativa firma sha2/digitale verificata per garantire che il file di backup non sia sottoposto a misurazione. Valutare la possibilità di eseguire il controllo della firma digitale sha2 sui backup del database in base alla dimensione del backup e all'obiettivo del punto di ripristino (RPO)/obiettivo del tempo di recupero (RTO) della soluzione.

Nota:

Puoi automatizzare la maggior parte del processo utilizzando gli script Terraform, i playbook Ansible, gli script Shell e RMAN descritti nella sezione Distribuisci di questa architettura di riferimento.

Il diagramma riportato di seguito illustra una topologia di distribuzione di esempio per la tenancy di recupero cibernetico.

Descrizione dell'immagine oci_cyber_recovery_deploy.png

oci-cyber-recovery-deploy-oracle.zip

In questo esempio vengono utilizzati gli stessi intervalli IP della VCN dell'applicazione di produzione in EBS_BlueRoom e EBS_RedRoom. Questo approccio è stato scelto per consentire il test automatico dei backup con modifiche minime necessarie per ripristinare l'applicazione in EBS_RedRoom. Questa operazione determina la progettazione della rete in cui non è possibile connettere contemporaneamente sia la VCN EBS_BlueRoom che la VCN EBS_RedRoom al DRG.

La separazione della proprietà della tenancy può essere considerata con:

1. Un team dedicato che supporta la tenancy di recupero informatico (che non ha accesso alla tenancy di produzione).

   e

2. Un team di supporto per applicazioni di produzione con accesso solo ai compartimenti di stanza rossi durante il test trimestrale delle applicazioni. Questo team può accedere alla rete CRS dalla rete locale aziendale.

L'architettura è dotata dei componenti elencati di seguito.

• Tenancy

  Una tenancy è una partizione sicura e isolata che Oracle imposta all'interno di Oracle Cloud quando ti iscrivi a Oracle Cloud Infrastructure. Puoi creare, organizzare e amministrare le tue risorse in Oracle Cloud all'interno della tua tenancy. Una tenancy è sinonimo di azienda o organizzazione. In genere, un'azienda avrà una singola tenancy e ne rifletterà la struttura organizzativa all'interno di tale tenancy. Una singola tenancy in genere è associata a una singola sottoscrizione e una singola sottoscrizione in genere ha una sola tenancy.

• Area

  Un'area Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, definiti domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (in tutti i paesi o anche in continenti).

• Compartimento

  I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy di Oracle Cloud Infrastructure. Utilizza i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote di utilizzo. Per controllare l'accesso alle risorse in un determinato compartimento, definisci i criteri che specificano chi può accedere alle risorse e quali azioni può eseguire.

  Gli utenti (sia locali che federati) vengono aggiunti a uno o più gruppi, a loro volta collegati ai criteri IAM che regolano l'accesso agli asset OCI per compartimento.

  I compartimenti consentono di organizzare e isolare le risorse in una tenancy di Oracle Cloud Infrastructure. L'azienda svolgerà un ruolo importante nell'impostazione di una base per la distribuzione di nuovi carichi di lavoro nella tenancy. Sebbene sembrino avere la natura del raggruppamento logico di risorse OCI, questi ultimi fungono da punti di applicazione dei criteri e pertanto rivestono un'importanza primaria rispetto alla sicurezza della tenancy.

  I compartimenti possono essere distribuiti in base a una gerarchia funzionale, operativa o di progetto. Ciò consente di mantenere un isolamento tra le risorse per ruoli, funzioni e gerarchia organizzativa diversi. Una gerarchia di compartimenti può avere fino a 6 livelli, in base ai requisiti. Il controllo dell'accesso è definito dai criteri.

  A ciascun compartimento devono essere assegnate autorizzazioni specifiche ai gruppi correlati. In linea generale, gli utenti non saranno in grado di elevare le proprie autorizzazioni per altri compartimenti. La seguente gerarchia di compartimenti verrà utilizzata nella tenancy di recupero informatico per fornire separazione dei problemi tra applicazioni e ambienti.

  
  
  
  Descrizione dell'immagine oci_cyber_recovery_compartments.png
  
  

  compartimenti-oracle.zip oci-cyber-recovery

• Domini di disponibilità

  I domini di disponibilità sono data center standalone indipendenti all'interno di un'area geografica. Le risorse fisiche in ciascun dominio di disponibilità sono isolate dalle risorse presenti negli altri domini di disponibilità, che offrono tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio l'alimentazione, il raffreddamento o la rete interna del dominio di disponibilità. È pertanto improbabile che l'eventuale guasto di un dominio di disponibilità influenzi gli altri domini di disponibilità nell'area.

• domini di errore

  Un dominio di errore è un raggruppamento di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando distribuisci risorse su più domini di errore, le tue applicazioni possono tollerare errori fisici del server, manutenzione del sistema e errori di alimentazione all'interno di un dominio di errore.

• Rete cloud virtuale (VCN) e subnet

  Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Analogamente alle reti di data center tradizionali, i VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che puoi modificare dopo aver creato la VCN. Puoi segmentare una VCN nelle subnet che possono essere definite nell'area o in un dominio di disponibilità. Ogni subnet è composta da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. Puoi modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

• Load balancer

  Il servizio Oracle Cloud Infrastructure Load Balancing offre la distribuzione automatica del traffico da un unico punto di accesso a più server nel back-end.

• Lista di sicurezza

  Per ogni subnet, puoi creare regole di sicurezza che specifichino l'origine, la destinazione e il tipo di traffico che deve essere consentito all'interno e all'esterno della subnet.

• Cloud Guard

  Puoi utilizzare Oracle Cloud Guard per monitorare e mantenere la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette dei rilevatori che puoi definire per esaminare le tue risorse ai fini di individuare punti deboli della sicurezza e per monitorare operatori e utenti per individuare attività a rischio. Quando viene rilevata un'attività di configurazione errata o non sicura, Cloud Guard consiglia azioni correttive e assiste l'esecuzione di tali azioni in base alle ricette del risponditore che è possibile definire.

• Memoria oggetti

  Lo storage degli oggetti garantisce un accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati, ad esempio immagini e video. Puoi memorizzare i dati in tutta sicurezza e poi recuperarli direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage in modo trasparente senza alcun peggioramento a livello di prestazioni o affidabilità dei servizi. Utilizza lo storage standard per lo storage "hot" a cui devi accedere in modo rapido, immediato e frequente. Utilizzare lo storage di archivio per lo storage "freddo" che si mantiene per lunghi periodi di tempo e raramente può accedere.

• FastConnect

  Oracle Cloud Infrastructure FastConnect offre un modo semplice per creare una connessione dedicata e privata tra il tuo data center e Oracle Cloud Infrastructure. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.

• Local Peering Gateway (LPG)

  Un LPG consente di peer di una VCN con un'altra VCN nella stessa area. Peering indica che i VCN comunicano mediante indirizzi IP privati, senza il traffico che attraversa Internet o instrada attraverso la rete on premise.

• Sistema DB Exadata

  Oracle Exadata Database Service ti consente di sfruttare la potenza di Exadata nel cloud. Puoi eseguire il provisioning di sistemi X8M flessibili che ti consentono di aggiungere server di calcolo e server di storage del database al tuo sistema di pari passo con la crescita delle tue esigenze. I sistemi X8M offrono reti RoCE (RDMA over Converged Ethernet) per moduli di larghezza di banda elevata e bassa latenza, memoria persistente (PMEM) e software Exadata intelligente. È possibile eseguire il provisioning dei sistemi X8M utilizzando una forma equivalente a un sistema X8 rack trimestrale e quindi aggiungere database server e server di storage in qualsiasi momento dopo il provisioning.

Suggerimenti

Utilizzare i seguenti suggerimenti come punto di partenza. I requisiti potrebbero essere diversi dall'architettura descritta qui.

• VCN

  Quando crei una rete VCN, determina il numero di blocchi CIDR necessari e la dimensione di ogni blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Usa blocchi CIDR che si trovano nello spazio di indirizzi IP privati standard.

  Selezionare i blocchi CIDR che non si sovrappongono ad altre reti (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) a cui si intende impostare connessioni private.

  Dopo aver creato una VCN, puoi modificarne, aggiungere e rimuovere i blocchi CIDR.

  Quando si progettano le subnet, tenere in considerazione il flusso di traffico e i requisiti di sicurezza. Collegare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può essere utilizzata come limite di sicurezza.

• Sicurezza

  I sistemi EBS e SOA di produzione vengono gestiti in hosting all'interno di un compartimento OCI gestito dal cliente, con il livello di sicurezza condiviso dal cliente. L'intenzione è quella di replicare il livello di sicurezza dell'ambiente, inclusi gli elenchi di sicurezza e la topologia di rete, nella tenancy di recupero cibernetico. La gestione degli accessi nella tenancy di Cyber Recovery differirà dalla tenancy di produzione, senza integrazione IAM con la soluzione Active Directory del cliente.

  L'accesso alle camere pulite, Blu e Rosso, sarà limitato e tutta l'entrata verrà instradata tramite server Bastion/Jump dedicati a quel ruolo. Questo accesso verrà abilitato solo durante una finestra di test e verrà rimosso una volta completato il test in camera rossa e sarà possibile accedere quotidianamente alla stanza blu. L'accesso alla stanza Blue sarà limitato al partner di servizio gestito Cyber Recovery nominato, mentre l'accesso alla stanza Red sarà limitato al partner di servizio gestito nominato e al personale chiave.

  L'accesso in entrata tramite il tunnel IPsec/VPN alla tenancy di recupero cibernetico sarà disponibile ogni giorno per la stanza blu, mentre l'accesso alla stanza rossa verrà completamente bloccato durante il normale funzionamento e verrà aperto solo agli indirizzi IP predefiniti durante un evento di test della stanza rossa.

  L'accesso in uscita tramite il tunnel IPsec/VPN dalla tenancy di recupero cibernetico verrà completamente bloccato. L'accesso dalla tenancy di recupero cibernetico alla tenancy di produzione avverrà solo durante la sincronizzazione dei file di backup e all'esterno di questi periodi tale accesso verrà impedito dalla rimozione del criterio. Non ci sarà alcun accesso a Internet in entrata o in uscita alla tenancy di recupero cibernetico.

• Cloud Guard

  Duplicare e personalizzare le ricette predefinite fornite da Oracle per creare ricette personalizzate di rilevatori e rispondenti. Queste ricette consentono di specificare il tipo di violazione della sicurezza che genera un'avvertenza e quali azioni possono essere eseguite su di esse. Ad esempio, potresti voler rilevare i bucket di storage degli oggetti che hanno visibilità impostata sul pubblico.

  Applica Cloud Guard a livello di tenancy per coprire l'ambito più ampio e ridurre l'onere amministrativo derivante dalla gestione di più configurazioni.

  È inoltre possibile utilizzare la funzione Lista gestita per applicare determinate configurazioni ai rilevatori.

• Gruppi di sicurezza di rete (NSG)

  Puoi utilizzare i gruppi NSG per definire un set di regole di entrata e uscita valide per VNIC specifiche. È consigliabile utilizzare i gruppi NSG anziché le liste di sicurezza, perché i gruppi NSG consentono di separare l'architettura della subnet della VCN dai requisiti di sicurezza dell'applicazione.

• Larghezza di banda del load balancer

  Durante la creazione del load balancer, puoi selezionare una forma predefinita che fornisce la larghezza di banda fissa o specificare una forma personalizzata (flessibile) in cui impostare un intervallo di larghezza di banda e lasciare che il servizio ridimensioni automaticamente la larghezza di banda in base ai pattern di traffico. Mediante entrambi gli approcci, puoi modificare la forma in qualsiasi momento dopo aver creato il load balancer.

Considerazioni

Quando si distribuisce questa architettura di riferimento, tenere presente quanto riportato di seguito.

• Prestazioni

  Trasferimento dello storage degli oggetti: i database di produzione e i backup di computazione possono avere dimensioni significative. Eseguire il test del tempo necessario per trasferire un backup giornaliero tra le tenancy. Valutare la possibilità di distribuire la tenancy CRS nella stessa area OCI della tenancy di produzione per ottenere le migliori prestazioni di trasferimento dati.

  Analisi antivirus e firma nella tenancy CRS: come parte del processo CRS, è possibile includere la scansione antivirus e della firma dei file di backup. È necessario fornire risorse sufficienti sul server di orchestrazione per completare le scansioni in modo tempestivo.

• Sicurezza

  Configurare Oracle Cloud Guard / Maximum Security Zones per monitorare se i criteri di storage degli oggetti sono in vigore e se corrispondono al livello di sicurezza Cyber Recovery per garantire che venga impedito qualsiasi tentativo di modifica.

  È necessario implementare ulteriori misure di sicurezza per proteggere l'ambiente cloud e la soluzione di backup da potenziali attacchi.

• Disponibilità

  Questa soluzione può essere distribuita in qualsiasi area geografica OCI. L'alta disponibilità potrebbe essere ottenuta distribuendo server di orchestrazione ridondante e Bastion.

• Costo

  Considerare i seguenti elementi durante la stima del costo:

  • Storage degli oggetti: la soluzione presuppone lo storage dei backup giornalieri del database e dei volumi a blocchi dell'ambiente di produzione per più giorni.
  • Costi di computazione: il test dei backup richiede l'avvio delle risorse di computazione e del database.
  • Costo della licenza software: se è incluso il test dell'applicazione, è necessario ottenere la licenza software appropriata per i servizi applicativi che verranno avviati durante il test.

Distribuisci

È possibile distribuire questa architettura di riferimento scaricando il codice da GitHub e personalizzandolo in base alle specifiche esigenze.

1. Impostare la zona di arrivo CIS OCI. Per ulteriori informazioni, vedere il collegamento Distribuisci una zona di destinazione sicura che soddisfa il benchmark di fondazione CIS per Oracle Cloud nella sezione Scopri di più.
2. Eseguire il provisioning di due VM come server di orchestrazione nella tenancy di produzione e nella tenancy di recupero cibernetico per eseguire gli script.
3. Vai a GitHub.
4. Duplicare lo script di produzione (script Ansible) dal repository al server di orchestrazione produzione.
5. Copiare lo script Cyber Recovery (script Ansible, Terraform e Shell) dal repository al server di orchestrazione Cyber Recovery Tenancy.
6. Seguire le istruzioni riportate nel documento README per eseguire lo script di backup (tenancy di produzione), la sincronizzazione e il ripristino (tenancy di recupero chip).

Visualizza altro

Esaminare queste risorse aggiuntive per ulteriori informazioni sulle funzioni di questa architettura di riferimento.

• Implementa una zona di destinazione sicura che soddisfi il benchmark di fondazione CIS per Oracle Cloud
• Framework basato sulle best practice per Oracle Cloud Infrastructure
• Documentazione di Oracle Cloud Infrastructure
• Valutatore costi Oracle Cloud

Conferme

• Authors: Grzegorz Reizer, Peter Deakin, Anand Singh
• Contributors: Bala Sunil, Elwyne Mabanglo, Bhaskar Ivaturi, Hiren Mehta, Chandan Raychaudhury