Estendi le enclave accreditate DoD con Oracle Cloud for Government
Oracle Cloud for Government consente di ottenere un vantaggio dominio completo per il Dipartimento della difesa degli Stati Uniti (DoD) grazie all'innovazione e alla resilienza del cloud. La DDREN (Defense Research and Engineering Network) ha integrato Oracle Cloud Infrastructure (OCI) come capacità di cloud computing commerciale per gli utenti DREN, classificazioni fino a DoD IL5. Esistono due cross connect DREN per l'area geografica della risorsa Ashburn (Est) dell'infrastruttura OCI e due cross connect per l'area geografica della fenice AZ OCI (occidentale).
DREN fornisce servizi di trasferimento dei dati digitali, di imaging, video e audio di connettività di rete robusti, ad alta capacità e a bassa latenza, detti "trasporti", tra i punti di erogazione dei servizi definiti (SDP). Ci sono oltre 200 SDP operanti dalle basi di installazione militare denominate 'Siti' che collegano oltre 500 clienti attualmente attivi, composti da Defense Labs, DoD Comunità di ricerca, sviluppo, test e valutazione (RDT&E), ingegneria dell'acquisizione (AE), HPCMP (High Performance Computing Modernization Program) e che includono tutti e cinque i Centri risorse di supercomputing (DSRC).
- Supporta alcuni dei più grandi progetti computazionali al mondo.
- Fornire un aggregato di 4,5 miliardi di ore di processore di potenza di elaborazione all'anno e oltre 40 petaFLOPS di capacità di elaborazione tramite numerosi sistemi HPC (supercomputer).
- Mantenere archivi di storage di massa con capacità di storage di aggregazione superiore a 100 petabyte.
- Connetti gli utenti ai sistemi HPC tramite reti ad alta velocità a velocità fino a 40 gigabit al secondo.
Architettura
Questa architettura di riferimento descrive in che modo i proprietari delle missioni con DREN di DOD possono sfruttare l'infrastruttura, i servizi, i processi e l'accreditamento esistenti estendendo le dichiarazioni esistenti a Oracle Cloud. Utilizza questa architettura per esplorare, prototipo e pilotare varie applicazioni in Oracle Cloud e acquisire esperienza operativa per semplificare qualsiasi requisito relativo allo sviluppo basato su cloud o ai progetti di test.
- Un portafoglio completo di funzionalità di Infrastructure as a Service (IaaS) e Platform as a Service (PaaS). L'architettura e l'infrastruttura di seconda generazione di Oracle consentono di migliorare la sicurezza, le performance e ridurre il Total Cost of Ownership rispetto ad altri provider di servizi cloud. Fornisce la prima infrastruttura server Bare Metal nativa combinata con l'innovativa applicazione dell'isolamento della sicurezza attraverso la gestione della virtualizzazione della rete fuori banda.
- Introduzione di miglioramenti quali le nuove generazioni di processori Intel, AMD o ARM con velocità di base più elevate, volumi di storage con capacità e velocità maggiori e reti con latenza inferiore. Sono inclusi hardware specializzato quali le GPU e le reti RoCE che consentono l'esecuzione di carichi di lavoro HPC e AI o Exadata Cloud Service per carichi di lavoro di database relazionali ad alte prestazioni e affidabilità.
- Utilizzo di standard aperti e tecnologie open source per supportare i carichi di lavoro di gestione, integrazione e analisi dei dati necessari per consentire la modernizzazione digitale di DoD. Le partnership cloud univoche di Oracle, tra cui VMWare tramite Oracle VMware Cloud Service, accelerano le migrazioni cloud con molta meno complessità.
- L'unico provider di servizi cloud commerciali che offre impegni sia a livello di prestazioni che di gestione.
- La politica "tutto il mondo" che evidenzia la visione che gli stessi servizi offerti nel nostro cloud commerciale esisteranno in tutte le aree Oracle. I prezzi per i servizi Oracle Cloud in TUTTE le aree, incluse quelle commerciali, DoD e classificate, sono identici. Ciò consente di eliminare qualsiasi aumento dei prezzi, in quanto i proprietari della missione spostano i carichi di lavoro per le applicazioni classificate.
- Oracle FastConnect consente di connettere la rete DREN alla rete Oracle Cloud tramite connessioni affidabili, dedicate, private e ad alta larghezza di banda. I clienti FastConnect pagano mensilmente una tariffa fissa ridotta, senza costi di entrata/uscita dei dati aggiuntivi e questo garantisce i costi di rete più bassi del settore.
- Spazio di indirizzi IP e dominio DNS dell'enclave locale (se possibile) ed estendere CIDR (spazio IP) a Oracle Cloud.
- Strutture di sicurezza implementate per l'enclave e lo stack di sicurezza esistente in Oracle Cloud mediante il modello BYOL (Bring Your Own License).
- Servizi di infrastruttura utilizzati nell'enclave on premise. Qualsiasi accesso esterno all'inclave avviene tramite lo stack di sicurezza dell'ambiente esistente utilizzando il principio di sicurezza dei privilegi minimi di Oracle Cloud. L'accreditamento di cifratura è aggiornato in modo da riflettere un sito aggiuntivo.
Il diagramma riportato di seguito illustra questa architettura di riferimento.
Descrizione dell'illustrazione oci-dod-dren-arch.png
- I proprietari delle missioni possono connettersi tramite i punti di accesso cloud DREN (CAPS) a Oracle Cloud for Government tramite router primari e secondari OCI.
- Il gateway di instradamento dinamico OCI (DRG 2.0) fornisce l'entrata alla tenancy dei proprietari della missione. Le DRG possono trasferire la tenancy dei proprietari della missione alla propria rete on premise.
- Ogni enclave ottiene una VCN dedicata. Tutte le infrastrutture, i servizi e i processi di sicurezza provengono dall'enclave. L'unico uscita dalla rete VCN è la VLAN a cui eseguire l'inclave (nessun altro accesso diretto a Internet, OCI o alle reti di informazioni del Dipartimento della difesa (DoDIN).
- Il servizio IAM (Identity and Access Management) protegge le tenancy del proprietario della missione tra le aree all'interno di un realm applicando i criteri sui gruppi di utenti.
- Una lista di sicurezza protegge gli instradamenti a livello di subnet e aggiunge alla sicurezza di tutte le risorse all'interno di una singola subnet.
- I compartimenti aggiungono sicurezza e gestibilità per i proprietari delle missioni per isolare le risorse e limitare l'accesso alle risorse utilizzando i criteri IAM.
- Un gruppo di sicurezza di rete (NSG) protegge la tenancy del proprietario della missione applicando regole personalizzate per consentire solo il traffico 'obbligatorio'. I gruppi NSG vengono applicati a livello di risorse.
L'architettura prevede i componenti elencati di seguito.
- Tenancy
La tenancy di Oracle Government Cloud è una partizione sicura e isolata all'interno dell'infrastruttura OCI che ti consente di creare, organizzare e amministrare le tue risorse cloud.
- Area
Un'area Oracle Cloud Infrastructure è un'area geografica localizzata contenente uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e le grandi distanze possono separarle (tra paesi o addirittura continenti).
- Compartimento
I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Utilizzare i compartimenti per organizzare le risorse in Oracle Cloud, controllare l'accesso alle risorse e impostare le quote di utilizzo. Per controllare l'accesso alle risorse in un determinato compartimento, puoi definire criteri che specificano gli utenti che possono accedere alle risorse e le azioni che possono eseguire. I compartimenti aggiungono sicurezza e gestibilità per i proprietari delle missioni per isolare le risorse e limitare l'accesso alle risorse tramite criteri IAM.
- Rete cloud virtuale (VCN) e subnet
Una VCN è una rete personalizzabile e definita dal software impostata dall'utente in un'area Oracle Cloud Infrastructure. Come le reti di data center tradizionali, le VCN offrono il controllo completo sull'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. È possibile segmentare una VCN in subnet, che può essere definita in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono con le altre subnet nella VCN. Puoi modificare la dimensione di una subnet dopo la creazione. Una subnet può essere pubblica o privata.
- Lista di sicurezza
Per ogni subnet, puoi creare regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.
- Tabella di instradamento
Le tabelle di instradamento virtuale contengono regole per instradare il traffico dalle subnet alle destinazioni esterne a una VCN, in genere tramite i gateway.
- Gateway di instradamento dinamico (DRG)
Il gateway DRG è un router virtuale che fornisce un percorso per il traffico di rete privato tra una VCN e una rete esterna all'area geografica, ad esempio una VCN in un'altra area Oracle Cloud Infrastructure, una rete on premise o una rete in un altro provider cloud.
- Cloud Guard
È possibile utilizzare Oracle Cloud Guard per monitorare e gestire la sicurezza delle risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza le ricette del settore che è possibile definire per esaminare le risorse per i punti deboli della sicurezza e per monitorare operatori e utenti per le attività a rischio. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e supporta l'esecuzione di tali azioni in base alle ricette dei rispondenti che è possibile definire.
- Zona di sicurezza
Le zone di sicurezza garantiscono che le best practice di sicurezza di Oracle fin dall'inizio applicando criteri come la cifratura dei dati e la prevenzione dell'accesso pubblico alle reti per un intero compartimento. Una zona di sicurezza è associata a un compartimento con lo stesso nome e include i criteri della zona di sicurezza oppure a una "ricetta" che si applica al compartimento e ai relativi compartimenti secondari. Non è possibile aggiungere o spostare un compartimento standard in un compartimento della zona di sicurezza.
- FastConnect
Oracle Cloud Infrastructure FastConnect offre un modo semplice per creare una connessione dedicata e privata tra il tuo data center e Oracle Cloud Infrastructure. FastConnect fornisce opzioni di larghezza di banda più elevata e un'esperienza di rete più affidabile rispetto alle connessioni basate su Internet.
- Local Peering Gateway (LPG)
Un GPL consente di creare un peer di una VCN con un'altra VCN nella stessa area. Peering significa che i VCN comunicano utilizzando indirizzi IP privati, senza il traffico che attraversa Internet o il routing attraverso la rete on premise.
Suggerimenti
- VCN
Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ogni blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR che si trovano all'interno dello spazio di indirizzi IP privati standard.
Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, il data center on premise o un altro provider cloud) a cui si intende impostare connessioni private.
Dopo aver creato una VCN, è possibile modificare, aggiungere e rimuovere i relativi blocchi CIDR.
Durante la progettazione delle subnet, prendi in considerazione i requisiti di flusso del traffico e sicurezza. Associare tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.
- Sicurezza
Utilizza Oracle Cloud Guard per monitorare e gestire in modo proattivo la sicurezza delle tue risorse in Oracle Cloud Infrastructure. Cloud Guard utilizza ricette del rilevatore che è possibile definire per esaminare le risorse per i punti deboli della sicurezza e per monitorare operatori e utenti per le attività a rischio. Quando viene rilevata una configurazione errata o un'attività non sicura, Cloud Guard consiglia azioni correttive e supporta l'esecuzione di tali azioni in base alle ricette dei rispondenti che è possibile definire.
Per le risorse che richiedono la massima sicurezza, Oracle consiglia di utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una ricetta definita da Oracle di criteri di sicurezza basati sulle migliori prassi. Ad esempio, le risorse in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica e devono essere cifrate utilizzando chiavi gestite dal cliente. Quando crei e aggiorna le risorse in una zona di sicurezza, Oracle Cloud Infrastructure convalida le operazioni rispetto ai criteri nella ricetta della zona di sicurezza e nega le operazioni che violano qualsiasi criterio.
- Cloud Guard
Duplica e personalizza le ricette predefinite fornite da Oracle per creare ricette di rilevamento e rispondenti personalizzate. Queste ricette consentono di specificare il tipo di violazioni della sicurezza che generano un'avvertenza e le azioni che possono essere eseguite su di esse. Ad esempio, potresti voler rilevare i bucket di storage degli oggetti con visibilità impostata su pubblico.
Applicare Cloud Guard a livello di tenancy per coprire l'ambito più ampio e ridurre il carico amministrativo derivante dalla gestione di più configurazioni. È inoltre possibile utilizzare la funzione Lista gestita per applicare determinate configurazioni ai rilevatori.
- Zone di sicurezza
Duplica e personalizza le ricette predefinite fornite da Oracle per creare ricette di rilevamento e rispondenti personalizzate. Queste ricette consentono di specificare il tipo di violazioni della sicurezza che generano un'avvertenza e le azioni che possono essere eseguite su di esse. Ad esempio, potresti voler rilevare i bucket di storage degli oggetti con visibilità impostata su pubblico.
Applicare Cloud Guard a livello di tenancy per coprire l'ambito più ampio e ridurre il carico amministrativo derivante dalla gestione di più configurazioni.
È inoltre possibile utilizzare la funzione Lista gestita per applicare determinate configurazioni ai rilevatori.
- Gruppi di sicurezza di rete (NSG)
Puoi utilizzare i gruppi NSG per definire un set di regole di entrata e uscita applicabili a VNIC specifiche. Si consiglia di utilizzare i gruppi di NSG anziché gli elenchi di sicurezza, in quanto i gruppi di NSG consentono di separare l'architettura della subnet della VCN dai requisiti di sicurezza dell'applicazione.
Considerazioni
Quando si distribuisce questa architettura di riferimento, tenere presenti i punti riportati di seguito.
- Prestazioni
FastConnect consente la connettività diretta a OCI dai tuoi data center on premise mediante connessioni dedicate, private e a banda larga. FastConnect offre un modo semplice ed economico per creare una connessione dedicata e privata con opzioni di larghezza di banda più elevata. Se sono necessarie velocità più elevate, considerare la larghezza di banda più elevata. Le velocità delle porte sono disponibili con incrementi di 10 e 100 Gbps.
- Sicurezza
Utilizza la cifratura MacSec (MACSec) su FastConnect per proteggere la rete dalle connessioni di rete su Layer2. Con l'abilitazione di MACSec è possibile scegliere l'algoritmo di cifratura AES, 2 chiavi di sicurezza vengono scambiate e verificate tra due reti connesse e viene stabilito un collegamento bidirezionale sicuro. Il servizio vault memorizza in modo sicuro le chiavi di cifratura.