1. Usa servizi di sicurezza OCI per la protezione dei dati con Oracle Cloud VMware Solution
  2. Usa servizi di sicurezza OCI per la protezione dei dati con Oracle Cloud VMware Solution

Usa servizi di sicurezza OCI per la protezione dei dati con Oracle Cloud VMware Solution

Oracle Cloud VMware Solution fornisce un ambiente cloud nativo gestito dal cliente e basato su VMware, installato all'interno della tenancy di un cliente e offre controllo completo mediante strumenti familiari VMware.

Oracle Cloud Infrastructure (OCI) è una nuova generazione infrastructure-as-a-service (IaaS) che offre architetture basate su principi di progettazione incentrati sulla sicurezza. Questi principi includono la virtualizzazione di rete isolata e l'implementazione dell'host fisico spinoso, che in precedenza erano difficili da raggiungere con progettazioni di cloud pubblico precedenti. Con questi principi di progettazione, OCI aiuta a ridurre i rischi derivanti da minacce persistenti avanzate.

Questa architettura di riferimento descrive le opzioni di integrazione per Oracle Cloud VMware Solution con il livello di protezione dei dati OCI e i servizi di sicurezza per soddisfare i requisiti per l'esecuzione di carichi di lavoro critici e sensibili.

Architettura

Questa architettura di riferimento logica si concentra principalmente sul livello di protezione dei dati e descrive come utilizzare i servizi di sicurezza OCI per la protezione dei dati con carichi di lavoro di Oracle Cloud VMware Solution.

I seguenti servizi di sicurezza nativi OCI fanno parte del livello Sicurezza OCI - Protezione dati.

  • Il servizio OCI Vault consente di gestire centralmente le chiavi di cifratura master che proteggono i dati e le credenziali segrete che è possibile utilizzare per accedere allo storage a blocchi OCI, allo storage dei file OCI o allo storage degli oggetti OCI. La gestione delle chiavi e dei segreti fanno parte anche del vault OCI. Le chiavi sono chiavi di cifratura principali utilizzate per cifrare lo storage degli oggetti e i bucket. Inoltre, è possibile proteggere i segreti (ad esempio, le password del database). Entrambi vengono gestiti centralmente utilizzando il servizio Vault OCI
  • Il servizio Oracle Data Safe protegge i dati riservati e regolamentati memorizzati nel database Oracle in esecuzione all'interno del livello di gestione vCenter. Il database Oracle è integrato con Oracle Data Safe utilizzando i connettori DB Data Safe.
  • Il servizio certificati OCI consente di fornire l'accesso sicuro TLS/SSL a server, applicazioni Web e così via. L'amministratore può creare e gestire le gerarchie delle autorità di certificazione (CA) private e i certificati TLS che si integrano con il servizio di bilanciamento del carico OCI.

Cifratura dei dati: lo storage OCI cifra i dati in archivio e in transito per impostazione predefinita utilizzando l'algoritmo AES (Advanced Encryption Standard) con cifratura a 256 bit. I dati del piano di controllo in transito vengono cifrati mediante il protocollo TLS (Transport Layer Security) 1.2 o versioni successive.

Il diagramma riportato di seguito illustra questa architettura di riferimento.


Segue la descrizione di ocvs_data_security_arch.png
Descrizione dell'immagine ocvs_data_security_arch.png

ocvs-data-security-arch-oracle.zip

L'architettura è dotata dei componenti elencati di seguito.

  • Servizi di sicurezza cloud OCI

    La sicurezza OCI aiuta le organizzazioni a ridurre il rischio di minacce alla sicurezza per i carichi di lavoro cloud. Questa architettura di riferimento per la sicurezza di Oracle Cloud VMware Solution descrive le funzionalità del livello di protezione dei dati OCI.

    Il servizio Vault OCI gestisce centralmente le chiavi di cifratura e le credenziali segrete per il livello di storage e il repository di backup OCI. Queste chiavi di cifratura proteggono i dati e le credenziali segrete. Il servizio Data Safe è abilitato per il monitoraggio e la valutazione della destinazione dell'istanza di database in VMware mediante connettori. Il servizio Certificato fornisce funzionalità di emissione, memorizzazione e gestione dei certificati. Questi certificati possono essere distribuiti su un load balancer.

  • Oracle Cloud VMware Solution

    Oracle Cloud VMware Solution distribuisce il data center (SDDC) definito dal software VMware sui servizi dell'infrastruttura di base di Oracle Cloud. I server DenseIO Bare Metal OCI vengono utilizzati per eseguire l'hypervisor VMware, noto anche come ESXi, che offre la virtualizzazione della computazione. Le virtual machine in esecuzione nel layer di gestione vCenter utilizzano il data store vSAN o lo storage a blocchi OCI come opzione di storage principale. Tuttavia, Oracle Cloud VMware Solution può anche utilizzare il volume a blocchi OCI e lo storage di file OCI come opzioni di storage esterne.

    Le virtual machine in esecuzione in Oracle Cloud VMware Solution utilizzano le opzioni di storage e backup riportate di seguito.
    • vSAN Storage è una soluzione di storage predefinita del software e pronta all'uso offerta nell'ambiente Oracle Cloud VMware Solution. vSAN è storage enterprise e supporta la cifratura mediante il provider di chiavi native vSphere o un provider KMS (Key Management Service) esterno.
    • Il volume a blocchi OCI viene presentato al server VMware ESXi come destinazione iSCSI per lo storage delle virtual machine. Le funzioni di sicurezza OCI, quali KMS, cifratura e vault, si applicano ai dati VM memorizzati nel volume a blocchi OCI.
    • Storage di file consente l'uso del servizio di storage di file OCI come storage NFS per le virtual machine. Le funzioni di sicurezza OCI, quali KMS, cifratura e vault, sono applicabili per le VM memorizzate nello storage NFS supportato dallo storage di file OCI.
    • Lo storage degli oggetti memorizza le copie di backup delle VM di Oracle Cloud VMware Solution. Lo storage degli oggetti non può essere utilizzato per eseguire le VM. Tutte le funzioni di sicurezza OCI per lo storage degli oggetti si applicano ai file di backup delle VM.

Nella tabella riportata di seguito viene descritto come utilizzare i servizi di sicurezza OCI per la protezione dei dati con Oracle Cloud VMware Solution.

Servizio OCI Protezione dei dati con la soluzione Oracle Cloud VMware
Data Safe Data Safe è un servizio nativo OCI per proteggere il database Oracle in esecuzione in un ambiente OCI o in locale. Il database Oracle in esecuzione nell'SDDC Oracle Cloud VMware Solution come virtual machine può essere integrato con Data Safe utilizzando i connettori Data Safe.
Cifratura del volume a blocchi Il volume a blocchi OCI viene installato come data store esterno per l'SDDC VMware che offre chiavi gestite da OCI/clienti.
Cifratura dello storage di file Il servizio di storage di file OCI viene installato come data store NFS esterno per l'SDDC VMware che offre chiavi gestite o gestite dal cliente OCI.
Cifratura dello storage degli oggetti
  • Lo storage degli oggetti OCI non può essere utilizzato con l'SDDC di Oracle Cloud VMware Solution come data store di storage collegato direttamente o esterno.
  • Lo storage degli oggetti OCI viene utilizzato come repository di backup e archiviazione per le VM SDDC VMware.
  • Le soluzioni di backup come Veeam e Commvault possono essere integrate nello storage degli oggetti OCI consentendoti di conservare i dati di backup dell'archivio cifrati.
  • La soluzione di backup mantiene inoltre i dati di backup del livello di prestazioni nei volumi a blocchi OCI per garantire la cifratura dei dati di backup.
Vault
  • Impossibile utilizzare il vault OCI con lo storage vSAN. Il datastore vSAN supporta solo vSphere Provider di chiavi native e provider KMS esterni. Per ulteriori informazioni, consulta il collegamento VMware Provider KMS di terze parti nella sezione Esplora altro.
  • OCI Vault può essere utilizzato con Oracle Cloud VMware Solution solo se i servizi di storage OCI vengono utilizzati come opzione di storage condiviso per le virtual machine.
Certificati
  • Oracle Cloud VMware Solution è un servizio OCI nativo in base alla progettazione e consente l'integrazione nativa con altri servizi OCI.
  • Le VM di Oracle Cloud VMware Solution possono utilizzare OCI LBaaS per qualsiasi requisito di pubblicazione delle applicazioni. Lo scaricamento SSL per queste applicazioni può essere eseguito integrando i certificati SSL dal servizio Certificati OCI.
  • Per le applicazioni pubbliche in OCI, è necessario ottenere i certificati pubblici firmati da terze parti e importarli nel servizio Certificati OCI. Questi certificati possono essere importati in LBaaS e nei server Web backend per SSL end-to-end.

Visualizza altro

Per ulteriori informazioni sulle funzioni di questa architettura di riferimento, esaminare queste risorse aggiuntive.

Conferme

  • Authors: Dev Gawale, Sandeep Khedekar