Oracle Cloud의 CIS 기반 벤치마크를 충족하는 보안 랜딩 존 배포
구조
OCI Core Landing Zone은 독립형 모드 또는 허브 앤 스포크 아키텍처의 구성 부분으로 또는 DMZ VCN을 통해 연결되는 여러 VCN을 프로비저닝할 수 있는 기능을 제공합니다. VCN은 범용 3계층 네트워크 토폴로지를 따르거나 OCI Kubernetes Engine(OKE) 또는 Oracle Exadata Database Service 배포를 지원하기 위한 특정 토폴로지를 지향할 수 있습니다. 인바운드 및 아웃바운드 인터페이스가 적절히 보호되어 필요한 라우팅을 통해 미리 정의된 상태로 구성됩니다.
랜딩 존에는 강력한 보안 태세를 위해 전체 아키텍처와 함께 배포할 수 있는 다양한 사전 구성된 보안 서비스가 포함되어 있습니다. 이러한 서비스는 Oracle Cloud Guard, VCN 플로우 로그, OCI Connector Hub, OCI Vault(고객 관리 키 포함), OCI Vulnerability Scanning Service, Security Zones 및 Zero Trust Packet Routing(ZPR)입니다. 통지는 배치된 리소스의 변경사항에 대해 관리자에게 경보를 제공하기 위해 토픽 및 이벤트를 사용하여 설정됩니다.
다음 다이어그램은 이 참조 아키텍처를 보여 줍니다.
oci-core-landingzone-oracle.zip
아키텍처의 구성 요소는 다음과 같습니다.
- Tenancy
테넌시는 Oracle Cloud Infrastructure에 등록할 때 Oracle이 Oracle Cloud 내에서 설정하는 격리된 보안 분할영역입니다. Oracle Cloud에서 테넌시 내의 리소스를 생성, 구성 및 관리할 수 있습니다. 테넌시는 회사 또는 조직과 동의어입니다. 일반적으로 회사는 단일 테넌시를 가지며 해당 테넌시 내의 조직 구조를 반영합니다. 일반적으로 단일 테넌시는 단일 구독과 연관되며, 단일 구독에는 일반적으로 하나의 테넌시만 포함됩니다.
- ID 도메인
ID 도메인은 사용자 및 롤 관리, 사용자 통합 및 프로비전, SSO(단일 사인온) 구성을 통한 애플리케이션 통합 보안, SAML/OAuth 기반 ID 제공자 관리를 위한 컨테이너입니다. Oracle Cloud Infrastructure의 사용자 모집단과 연관된 구성 및 보안 설정(예: MFA)을 나타냅니다.
- 정책
Oracle Cloud Infrastructure Identity and Access Management 정책은 어떤 리소스에 액세스할 수 있는지와 방법을 지정합니다. 액세스는 그룹 및 구획 수준에서 부여됩니다. 즉, 특정 구획 또는 테넌시 내에서 그룹에 특정 유형의 액세스 권한을 부여하는 정책을 작성할 수 있습니다.
- 구획
구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 파티션입니다. 구획을 사용하여 Oracle Cloud 리소스에 대한 사용 할당량을 구성, 제어 및 설정할 수 있습니다. 지정된 구획에서 액세스를 제어하고 리소스에 대한 권한을 설정하는 정책을 정의합니다.
이 랜딩 존 템플리트의 리소스는 다음 구획에서 프로비전됩니다.- 아래 나열된 모든 구획을 포함하는 권장 포함 구획입니다.
- 필요한 네트워크 게이트웨이를 포함하여 모든 네트워킹 리소스에 대한 네트워크 구획입니다.
- 로깅, 키 관리 및 통지 리소스에 대한 보안 구획입니다.
- 컴퓨트, 스토리지, 함수, 스트림, Kubernetes 노드, API 게이트웨이 등 애플리케이션 관련 서비스에 대한 앱 구획입니다.
- 모든 데이터베이스 리소스에 대한 데이터베이스 구획입니다.
- Oracle Exadata Database Service 인프라에 대한 선택적 구획입니다.
다이어그램에서 회색으로 표시된 아이콘은 템플리트에서 프로비전되지 않은 서비스를 나타냅니다.
이 구획 설계는 일반적으로 네트워킹, 보안, 애플리케이션 개발 및 데이터베이스 관리자 간에 IT 책임이 분리되는 여러 조직에서 관찰되는 기본 기능 구조를 반영합니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 지역에서 설정한 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN을 통해 네트워크 환경을 제어할 수 있습니다. VCN은 VCN 생성 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록을 가질 수 있습니다. VCN을 서브넷으로 분할할 수 있으며, 영역 또는 가용성 도메인으로 범위를 지정할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷을 생성한 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
템플릿은 일반적인 3계층 웹 기반 애플리케이션, OCI Kubernetes Engine 애플리케이션 및 Oracle Exadata Database Service를 위한 3계층 VCN을 포함하여 다양한 워크로드 유형에 대해 VCN을 배포할 수 있습니다.
- 인터넷 게이트웨이
인터넷 게이트웨이는 VCN의 공용 서브넷과 공용 인터넷 간의 트래픽을 허용합니다.
- DRG(동적 경로 지정 게이트웨이)
DRG는 온프레미스 네트워크와 VCN 간 전용(private) 네트워크 트래픽에 대한 경로를 제공하는 가상 라우터로, 동일한 리전의 VCN 간 또는 리전 간 트래픽을 라우팅하는 데 사용할 수도 있습니다.
- NAT 게이트웨이
NAT 게이트웨이를 사용하면 VCN의 개인 자원이 수신 인터넷 연결에 이러한 자원을 노출시키지 않고도 인터넷의 호스트에 접근할 수 있습니다.
- 서비스 게이트웨이
서비스 게이트웨이는 VCN에서 Oracle Cloud Infrastructure Object Storage와 같은 다른 서비스로의 액세스를 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 순회하지 않습니다.
- Oracle Services Network
OSN(Oracle Services Network)은 Oracle 서비스에 예약된 Oracle Cloud Infrastructure의 개념적 네트워크입니다. 이러한 서비스에는 인터넷을 통해 연결할 수 있는 공용 IP 주소가 있습니다. Oracle Cloud 외부의 호스트는 Oracle Cloud Infrastructure FastConnect 또는 VPN Connect를 사용하여 전용으로 OSN에 액세스할 수 있습니다. VCN의 호스트는 서비스 게이트웨이를 통해 전용으로 OSN에 액세스할 수 있습니다.
- NSG(네트워크 보안 그룹)
NSG는 클라우드 리소스에 대한 가상 방화벽 역할을 합니다. Oracle Cloud Infrastructure의 제로 트러스트 보안 모델을 사용하면 VCN 내부의 네트워크 트래픽을 제어할 수 있습니다. NSG는 단일 VCN의 지정된 VNIC 세트에만 적용되는 일련의 수신 및 송신 보안 규칙으로 구성됩니다.
- 이벤트
Oracle Cloud Infrastructure 서비스는 리소스 변경사항을 설명하는 구조화된 메시지인 이벤트를 내보냅니다. 이벤트는 생성, 읽기, 업데이트 또는 삭제(CRUD) 작업, 리소스 수명 주기 상태 변경 및 클라우드 리소스에 영향을 주는 시스템 이벤트에 대해 내보내집니다.
- 통지
OCI Notifications는 짧은 대기시간의 게시-구독 패턴을 사용하여 분산된 구성요소로 메시지를 브로드캐스트하고, Oracle Cloud Infrastructure에서 호스팅되는 애플리케이션에 대해 안전하고 신뢰성이 높으며 내구성 있는 메시지를 전달합니다.
- 저장소
Oracle Cloud Infrastructure Vault를 사용하면 데이터를 보호하는 암호화 키와 클라우드의 리소스에 대한 액세스를 보호하는 데 사용하는 비밀 인증서를 중앙에서 관리할 수 있습니다. 저장소 서비스를 사용하여 저장소, 키 및 암호를 만들고 관리할 수 있습니다.
- 로그Oracle Cloud Infrastructure Logging은 클라우드 리소스의 다음 로그 유형에 대한 액세스를 제공하는 확장성이 뛰어난 완전 관리형 서비스입니다.
- 감사 로그: OCI Audit으로 생성된 이벤트와 관련된 로그입니다.
- 서비스 로그: OCI API Gateway, OCI Events, OCI Functions, OCI Load Balancing, OCI Object Storage, VCN 흐름 로그 등 개별 서비스가 게시한 로그입니다.
- 사용자정의 로그: 사용자정의 애플리케이션, 기타 클라우드 제공자 또는 온프레미스 환경의 진단 정보가 포함된 로그입니다.
- 서비스 커넥터
Oracle Cloud Infrastructure Connector Hub는 OCI의 서비스 간 데이터 이동을 통합관리하는 클라우드 메시지 버스 플랫폼입니다. 서비스 커넥터를 사용하여 소스 서비스에서 대상 서비스로 데이터를 이동할 수 있습니다. 서비스 커넥터를 사용하면 대상 서비스로 전달되기 전에 데이터에 대해 수행할 작업(예: 함수)을 선택적으로 지정할 수도 있습니다.
Oracle Cloud Infrastructure Service Connector Hub를 사용하여 SIEM 시스템에 대한 로깅 집계 프레임워크를 빠르게 구축할 수 있습니다.
- Cloud Guard
Oracle Cloud Guard는 테넌시를 모니터링하여 보안 문제가 발생할 수 있는 리소스에 대한 구성 설정 및 작업을 모니터링함으로써 Oracle Cloud에서 강력한 보안 상태를 달성하고 유지할 수 있도록 지원합니다.
Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 모니터링하고 유지 관리할 수 있습니다. Cloud Guard는 감지자 레시피를 사용하여 리소스의 보안 취약점을 검사하고 운영자 및 사용자에게 특정 위험한 작업을 모니터하도록 정의할 수 있습니다. 잘못 구성되거나 안전하지 않은 작업이 감지되면 Cloud Guard는 정의할 수 있는 응답자 레시피를 기반으로 해결 조치를 권장하고 해당 작업을 수행할 수 있도록 지원합니다.
- 보안 영역
보안 영역은 하나 이상의 구획 및 보안 영역 레시피와 연관됩니다. 보안 영역에서 리소스를 만들고 업데이트할 때 Oracle Cloud Infrastructure(OCI)는 보안 영역 레시피에 정의된 정책 목록에 대해 이러한 작업을 검증합니다. 보안 영역 정책을 위반하면 작업이 거부됩니다.
보안 영역은 OCI 리소스가 Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes, 데이터베이스 리소스를 포함한 보안 정책을 준수하도록 보장합니다.
- 취약성 스캔 서비스
Oracle Cloud Infrastructure Vulnerability Scanning Service는 포트 및 호스트에서 잠재적 취약성을 정기적으로 확인하여 Oracle Cloud의 보안 상태를 개선합니다. 이 서비스는 이러한 취약점에 대한 측정항목 및 세부정보로 보고서를 생성합니다.
- Zero Trust Packet Routing
Oracle Cloud Infrastructure Zero Trust Packet Routing(ZPR)은 네트워크 아키텍처와 별도로 네트워크 보안 정책을 관리함으로써 무단 데이터 액세스를 방지합니다. ZPR은 사용자에게 친숙한 의도 기반 정책 언어를 사용하여 데이터에 허용되는 액세스 경로를 정의합니다. 정책에 의해 명시적으로 정의되지 않은 트래픽 패턴은 네트워크를 순회할 수 없으므로 데이터 보호를 단순화하고 데이터 유출을 방지할 수 있습니다.
- 배스천 서비스
Oracle Cloud Infrastructure Bastion 서비스는 ID 기반, 감사 및 시간 제한 보안 셸(SSH) 세션을 사용하여 공용 엔드포인트가 없는 특정 IP 주소에서 대상 OCI 리소스로의 제한된 액세스를 제공합니다.
- 오브젝트 스토리지
OCI Object Storage는 데이터베이스 백업, 분석 데이터, 이미지 및 비디오와 같은 리치 콘텐츠 등 모든 콘텐츠 유형의 대량의 구조적 및 비구조적 데이터에 빠르게 액세스할 수 있게 해줍니다. 인터넷 또는 클라우드 플랫폼 내에서 직접 데이터를 안전하고 안전하게 저장할 수 있습니다. 성능 또는 서비스 안정성이 저하되지 않고 스토리지를 확장할 수 있습니다.
권장사항
다음 권장사항을 사용하여 클라우드 환경에 대한 보안을 설계하고 구성할 수 있습니다. 요구 사항은 여기에 설명된 아키텍처와 다를 수 있습니다.
- 네트워크 구성
VCN의 경우, 프라이빗 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택하십시오.
- 보안 모니터링
Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 모니터링하고 유지 관리합니다. Cloud Guard는 정의 가능한 감지자 레시피를 사용하여 리소스에서 보안 취약점을 검사하고 운영자 및 사용자에게 위험한 작업을 모니터합니다. 잘못 구성되거나 안전하지 않은 작업이 감지되면 Cloud Guard는 정의할 수 있는 응답기 레시피를 기반으로 수정 조치를 권장하고 해당 작업을 수행하는 데 도움을 줍니다.
- 보안 리소스 프로비전
최대 보안이 필요한 리소스의 경우 보안 영역을 사용합니다. 보안 영역은 모범 사례를 기반으로 하는 Oracle에서 정의한 보안 정책 레시피와 연관된 구획입니다. 예를 들어, 보안 영역의 리소스는 공용 인터넷에서 액세스할 수 없어야 하며 고객 관리 키를 사용하여 암호화해야 합니다. 보안 영역에서 리소스를 생성 및 업데이트할 때 Oracle Cloud Infrastructure는 보안 영역 레시피의 정책에 대해 작업을 검증하고 모든 정책을 위반하는 작업을 거부합니다.
고려사항
이 참조 구조를 구현할 때는 다음 요소를 고려하십시오.
- 액세스 권한
랜딩 존 템플리트 프로비저닝에는 테넌시 전체 권한이 있는 사용자(관리자 그룹의 멤버인 모든 사용자)가 필요합니다.
랜딩 존 템플리트는 테넌시 관리자(관리자 그룹의 멤버인 모든 사용자)로 리소스를 프로비저닝하며, 초기 프로비저닝 후 별도의 관리자 그룹이 각 구획을 관리할 수 있도록 허용하는 정책을 포함합니다. 사전 구성된 정책은 OCI에서 사용 가능한 모든 리소스를 포함하지 않습니다. 예를 들어, Terraform 템플릿에 리소스를 추가하는 경우 필요한 추가 정책 문을 추가해야 할 수 있습니다.
- 네트워크 구성
랜딩 존 네트워크는 Oracle Cloud Infrastructure DRG V2 서비스를 사용하는 허브 앤 스포크 아키텍처에 하나 또는 여러 개의 독립형 VCN을 사용하거나 Oracle Cloud Infrastructure DRG V2를 사용하는 DMZ VCN 아키텍처를 사용하여 다양한 방식으로 배포할 수 있습니다. 인터넷 연결 없이 네트워크를 구성할 수도 있습니다. 랜딩 존은 독립형과 허브 앤 스포크 간에 전환할 수 있지만 전환할 때 수동 작업이 필요할 수 있으므로 특정 설계를 계획하는 것이 중요합니다.
- 배포 설명서
GitHub의 OCI Core Landing Zone Deployment Guide는 몇 가지 주요 배포 시나리오를 비롯해 핵심 랜딩 존을 구성하는 방법에 대한 자세한 지침을 제공합니다.
배치
이 솔루션의 Terraform 코드는 GitHub에서 확인할 수 있습니다. 한 번의 클릭으로 코드를 Oracle Cloud Infrastructure Resource Manager로 가져와서 스택을 생성하고 배포할 수 있습니다. 또는 GitHub에서 컴퓨터로 코드를 다운로드하고, 코드를 사용자 정의하고, Terraform CLI를 사용하여 아키텍처를 배포합니다.
- Oracle Cloud Infrastructure Resource Manager의 샘플 스택을 사용하여 배포합니다.
- 로 이동하십시오
아직 사인인하지 않은 경우 테넌시 및 사용자 인증서를 입력합니다.
- 스택을 배치할 영역을 선택합니다.
- 화면 프롬프트 및 지침에 따라 스택을 만듭니다.
- 스택을 생성한 후 Terraform 작업을 누르고 계획을 선택합니다.
- 작업이 완료될 때까지 기다렸다가 계획을 검토합니다.
변경하려면 [스택 세부정보] 페이지로 돌아가서 스택 편집을 누르고 필요에 따라 변경합니다. 그런 다음 계획 작업을 다시 실행합니다.
- 추가 변경이 필요하지 않은 경우 [스택 세부정보] 페이지로 돌아가서 Terraform 작업을 누르고 적용을 선택합니다.
- 로 이동하십시오
- GitHub의 Terraform 코드를 사용하여 배포:
- GitHub로 이동합니다.
- 로컬 컴퓨터에 코드를 다운로드하거나 복제합니다.
- README의 지침을 따릅니다.
로그 변경
이 로그에는 중요한 변경 내용이 나열됩니다.
| 2025년 2월 20일 |
|
| 2024년 5월 16일 |
|
| 2023년 5월 2일 |
|
| 2021년 10월 19일 |
|