1. Proteggi i tuoi carichi di lavoro nel cloud utilizzando le zone di sicurezza
  2. Proteggi i tuoi carichi di lavoro nel cloud utilizzando le zone di sicurezza

Proteggi i tuoi carichi di lavoro nel cloud utilizzando le zone di sicurezza

Massimizza la sicurezza delle tue risorse di elaborazione, rete e storage nel cloud inserendole in una zona di sicurezza Oracle Cloud Infrastructure.

Oracle Cloud Infrastructure (OCI) offre la migliore tecnologia di sicurezza e processi operativi per proteggere i suoi servizi cloud aziendali. I clienti sono responsabili della protezione dei carichi di lavoro e della configurazione sicura dei servizi e delle applicazioni per soddisfare gli obblighi di conformità. Oracle Security Zones può fornire assistenza con il modello di responsabilità condivisa per la sicurezza del cloud nei modi riportati di seguito.

  • Nega l'accesso pubblico alle risorse di Oracle Cloud Infrastructure, come database e bucket di storage degli oggetti
  • Applica il criterio che richiede risorse di storage scollegate per risiedere nello stesso compartimento sicuro dell'istanza di computazione
  • Cifra le risorse di storage, come volumi a blocchi, bucket di storage degli oggetti e database, con una chiave gestita dal cliente

Architettura

Questa architettura di riferimento mostra una tipica architettura a tre livelli che è possibile utilizzare per eseguire in modo sicuro applicazioni come le applicazioni di e-commerce. La persistenza dei dati viene ottenuta utilizzando un database Oracle Autonomous Transaction Processing. I file multimediali e di immagine per l'applicazione vengono memorizzati in Oracle Cloud Infrastructure Object Storage.

Il seguente diagramma mostra un'architettura di base del compartimento.


Descrizione di msz-01.png
Descrizione dell'immagine msz-01.png

msz-01-oracle.zip

L'architettura presenta le seguenti limitazioni di sicurezza:

  • Storage degli oggetti: lo storage degli oggetti non cifrato viene esposto direttamente a Internet.
  • Database: il database non viene cifrato con una chiave gestita dal cliente e può essere esposto a Internet con una singola modifica alla configurazione (indirizzo IP pubblico).
  • Compartimento: il compartimento non limita lo spostamento di dati, asset, volumi all'interno o all'esterno dell'ambiente.
  • Virtual Machine: le VM non utilizzano volumi di avvio o storage cifrati.
  • Internet: le protezioni WAF (Web Application Firewall) non vengono fornite.
  • Rete: tutte le risorse si trovano su un singolo piano e forniscono isolamento insufficiente.

Il diagramma riportato di seguito mostra un'architettura che risolve questi problemi fornendo un ambiente altamente sicuro che isola più reti spoke, ognuna delle quali rappresenta un livello di applicazione, ad esempio Web, applicazione e database. Questa architettura funziona in ambienti specifici, come ambienti di produzione, test e sviluppo, e su infrastrutture diverse, come cloud region, data center on-premise e infrastrutture multicloud.


Descrizione di msz-02.png
Descrizione dell'immagine msz-02.png

msz-02-oracle.zip

L'architettura presenta i seguenti componenti:

  • Area

    Un'area geografica Oracle Cloud Infrastructure è un'area geografica localizzata che contiene uno o più data center, denominati domini di disponibilità. Le regioni sono indipendenti da altre regioni e grandi distanze possono separarle (tra paesi o addirittura continenti).

  • Dominio di disponibilità

    I domini di disponibilità sono data center standalone e indipendenti all'interno di un'area geografica. Le risorse fisiche in ciascun dominio di disponibilità sono isolate dalle risorse negli altri domini di disponibilità, il che fornisce tolleranza agli errori. I domini di disponibilità non condividono l'infrastruttura, ad esempio alimentazione o raffreddamento, o la rete interna del dominio di disponibilità. Pertanto, un errore in un dominio di disponibilità non dovrebbe influire sugli altri domini di disponibilità nell'area.

  • Dominio di errore

    Un dominio di errore consiste in un gruppo di hardware e infrastruttura all'interno di un dominio di disponibilità. Ogni dominio di disponibilità dispone di tre domini di errore con alimentazione e hardware indipendenti. Quando distribuisci le risorse su più domini di errore, le tue applicazioni possono tollerare errori fisici del server, manutenzione del sistema e errori di alimentazione all'interno di un dominio di errore.

  • Compartimento

    I compartimenti sono partizioni logiche tra più aree all'interno di una tenancy Oracle Cloud Infrastructure. Usare i compartimenti per organizzare, controllare l'accesso e impostare le quote d'uso per le risorse Oracle Cloud. In un determinato compartimento, si definiscono i criteri che controllano l'accesso e impostano i privilegi per le risorse.

  • Zona di sicurezza

    Le zone di sicurezza garantiscono le procedure ottimali di sicurezza di Oracle fin dall'inizio applicando criteri quali la cifratura dei dati e la prevenzione dell'accesso pubblico alle reti per un intero compartimento. Una zona di sicurezza è associata a un compartimento con lo stesso nome e include criteri della zona di sicurezza o una "ricetta" che si applica al compartimento e ai relativi compartimenti secondari. Non è possibile aggiungere o spostare un compartimento standard in un compartimento della zona di sicurezza.

    In questo caso d'uso, la zona di sicurezza applica i criteri seguenti:

    • Cifra i volumi di avvio delle istanze di computazione e dei bucket di storage degli oggetti
    • Impedisci l'accesso alle risorse di computazione dalla rete Internet pubblica
    • Cifra le risorse mediante chiavi gestite dall'utente
    • Backup regolare e automatico di tutte le risorse
  • Rete cloud virtuale (VCN) e subnet

    Una VCN è una rete personalizzabile e definita dal software configurata in un'area Oracle Cloud Infrastructure. Come le tradizionali reti di data center, le reti VCN consentono di controllare l'ambiente di rete. Una VCN può avere più blocchi CIDR non sovrapposti che è possibile modificare dopo aver creato la VCN. Puoi segmentare una VCN in subnet, che possono essere definite in un'area o in un dominio di disponibilità. Ogni subnet è costituita da un intervallo contiguo di indirizzi che non si sovrappongono alle altre subnet nella VCN. È possibile modificare le dimensioni di una subnet dopo la creazione. Una subnet può essere pubblica o privata.

  • Liste di sicurezza

    Per ogni subnet, puoi creare regole di sicurezza che specificano l'origine, la destinazione e il tipo di traffico che devono essere consentiti all'interno e all'esterno della subnet.

  • Load balancer

    Il servizio Oracle Cloud Infrastructure Load Balancing fornisce la distribuzione automatica del traffico da un unico punto di accesso a più server nel back-end.

    Questa architettura utilizza load balancer separati per le applicazioni dell'amministratore e le applicazioni self-service, per una maggiore sicurezza e una maggiore separazione del traffico. Se necessario, puoi aggiornare la forma del load balancer.

  • Gateway del servizio

    Il gateway di servizi fornisce l'accesso da una VCN ad altri servizi, come Oracle Cloud Infrastructure Object Storage. Il traffico dalla VCN al servizio Oracle viene instradato sul fabric di rete Oracle e non attraversa Internet.

  • Local Peering Gateway (LPG)

    Un GPL ti consente di eseguire il peer di una VCN con un'altra VCN nella stessa area. Peering significa che le VCN comunicano utilizzando indirizzi IP privati, senza il traffico che attraversa Internet o l'instradamento tramite la rete on premise.

  • Storage degli oggetti

    Lo storage degli oggetti Oracle Cloud Infrastructure fornisce un accesso rapido a grandi quantità di dati strutturati e non strutturati di qualsiasi tipo di contenuto, inclusi backup del database, dati analitici e contenuti avanzati come immagini e video. Puoi memorizzare e quindi recuperare i dati direttamente da Internet o dall'interno della piattaforma cloud. Puoi ridimensionare lo storage senza alcun deterioramento delle prestazioni o dell'affidabilità del servizio. Utilizza lo storage standard per lo storage "caldo" a cui è necessario accedere rapidamente, immediatamente e frequentemente. Utilizza lo storage di archivio per lo storage "freddo" che conservi per lunghi periodi di tempo e a cui accedi raramente o raramente.

  • Calcolo

    Con Oracle Cloud Infrastructure Compute, puoi eseguire il provisioning e gestire gli host di computazione nel cloud. Puoi avviare istanze di computazione con forme che soddisfano i requisiti delle risorse per CPU, memoria, larghezza di banda di rete e storage. Dopo aver creato un'istanza di computazione, è possibile accedervi in modo sicuro, riavviarla, collegare e scollegare volumi e arrestarla quando non è più necessaria.

  • Web Application Firewall

    Oracle Cloud Infrastructure Web Application Firewall (WAF) è un servizio di sicurezza globale basato su cloud e conforme al settore delle carte di pagamento (PCI) che protegge le applicazioni dal traffico Internet dannoso e indesiderato. WAF è in grado di proteggere qualsiasi endpoint che si interfaccia con Internet, offrendo un'applicazione coerente delle regole in tutte le applicazioni di un cliente.

Suggerimenti

Le vostre esigenze potrebbero differire dall'architettura descritta qui. Utilizzare i seguenti suggerimenti come punto di partenza.

  • VCN

    Quando crei una VCN, determina il numero di blocchi CIDR necessari e la dimensione di ciascun blocco in base al numero di risorse che intendi collegare alle subnet nella VCN. Utilizzare i blocchi CIDR all'interno dello spazio di indirizzi IP privati standard.

    Selezionare i blocchi CIDR che non si sovrappongono a qualsiasi altra rete (in Oracle Cloud Infrastructure, nel data center on premise o in un altro provider cloud) a cui si intende impostare connessioni private.

    Dopo aver creato una VCN, puoi modificarne, aggiungerne e rimuoverne i blocchi CIDR.

    Quando si progettano le subnet, considerare il flusso di traffico e i requisiti di sicurezza. Collega tutte le risorse all'interno di un livello o ruolo specifico alla stessa subnet, che può fungere da limite di sicurezza.

    Utilizzare le subnet regionali.

  • Zone di sicurezza

    Per le risorse che richiedono una maggiore sicurezza, Oracle consiglia di utilizzare le zone di sicurezza. Una zona di sicurezza è un compartimento associato a una ricetta definita da Oracle dei criteri di sicurezza che si basano sulle best practice. Ad esempio, le risorse in una zona di sicurezza non devono essere accessibili dalla rete Internet pubblica e devono essere cifrate utilizzando chiavi gestite dal cliente. Quando crei e aggiorni le risorse in una zona di sicurezza, Oracle Cloud Infrastructure convalida le operazioni in base ai criteri nella ricetta della zona di sicurezza e nega le operazioni che violano uno qualsiasi dei criteri.

  • Memorizzazione degli oggetti

    Utilizza Oracle Cloud Infrastructure Object Storage per memorizzare i backup del database e di altri dati.

    Crea storage degli oggetti in un compartimento con le zone di sicurezza abilitate e impostane la visibilità solo su Privato. Questa configurazione garantisce che il bucket di storage degli oggetti sia conforme ai rigorosi criteri di sicurezza delle zone di sicurezza.

Considerazioni

  • Disponibilità

    Alcune aree offrono più domini di disponibilità, il che consente una maggiore disponibilità con una ridondanza maggiore. Prendi in considerazione la possibilità di distribuire la tua soluzione di e-commerce su più domini di disponibilità per sfruttare questa ridondanza. Inoltre, considera la possibilità di avere un piano di disaster recovery in un'area diversa con la ridondanza appropriata.

  • Costo

    Utilizza forme flessibili in modo da poter selezionare il numero di CPU e la quantità di memoria necessaria per i carichi di lavoro eseguiti nell'istanza. Questa flessibilità ti consente di creare VM che corrispondono al tuo carico di lavoro, consentendoti di ottimizzare le prestazioni e ridurre al minimo i costi.

  • Monitoraggio e registrazione

    Impostare il servizio di log, il monitoraggio e gli avvisi sull'uso della CPU e della memoria per i nodi, in modo da poter eseguire lo scale up o lo scale down della forma in base alle esigenze.

Distribuire

Il codice Terraform per la distribuzione dell'applicazione di esempio di base MuShop su Oracle Cloud Infrastructure utilizzando le zone di sicurezza è disponibile in GitHub.

  1. Passare a GitHub.
  2. Duplica o scarica il repository nel computer locale.
  3. Seguire le istruzioni riportate nel documento README_MSZ.md.

Visualizza altro

Ulteriori informazioni sulle caratteristiche di questa architettura.

Log delle modifiche

Questo log elenca le modifiche significative: