Oracle Cloud Infrastructure에서 사이버 복구 솔루션 구현
사이버 보안은 맬웨어 및 랜섬웨어 공격이 전 세계적으로 계속 발생함에 따라 점점 더 중요한 주제가 되었습니다. 미션 크리티컬 데이터베이스의 경우 데이터 손실 및 시스템 다운타임을 초래하는 공격은 매출, 운영, 평판, 심지어 벌금과 관련하여 비즈니스 전반에 걸쳐 광범위한 영향을 미칠 수 있습니다.
변경 불가능한 백업을 생성 및 저장하여 사이버 공격으로부터 OCI(Oracle Cloud Infrastructure)에 호스팅되는 Oracle 애플리케이션을 보호하는 솔루션을 구현할 수 있습니다. 랜섬웨어 암호화 공격과 같은 사이버 공격이 발생할 경우 변경 불가능한 백업을 사용하여 Oracle 애플리케이션을 이전 상태로 복원함으로써 업무 운영 중단을 최소화할 수 있습니다.
구조
이 참조 아키텍처는 OCI에 배포된 자동화된 백업 및 복원 솔루션을 구현하는 방법을 보여줍니다.
Oracle E-Business Suite 애플리케이션(EBS)은 이 솔루션의 예로 사용되지만 다른 Oracle 애플리케이션에 쉽게 도입할 수 있습니다.
다음 다이어그램은 이 참조 아키텍처를 보여줍니다.
oci-cyber-recovery-arch-oracle.zip를 참조하십시오.
- 이 참조 아키텍처를 배포하려면 새 OCI 테넌시(사이버 복구 테넌시라고 함)를 생성하여 변경할 수 없는 백업 복사본을 저장하십시오.
- 사이버 복구 테넌시는 사이버 공격이 발생할 경우 시스템을 안전하게 테스트하고 복구하기 위한 플랫폼을 제공합니다.
- Cyber Recovery 테넌시는 Cyber Recovery 호출 또는 정기 테스트 중에만 인바운드 연결이 허용되는 운영 네트워크에서 "공기 차단"됩니다.
- OCI 사이버 복구 테넌시는 Active Directory와의 통합 없이 액세스 관리 측면에서 다릅니다. OCI 사이버 복구 테넌시에 복사된 모든 데이터는 테넌시 내에서 시작되며 OCI의 네트워크 백본을 통해 복사되어 완벽한 보안을 보장합니다.
- 정의된 백업 일정에 따라 운영 테넌시 내 사이버 복구 오브젝트 스토리지 버킷 집합에 모든 운영 엔티티(데이터베이스, 서버, 파일 스토리지 등)를 백업합니다.
- Cyber Recovery Object Storage 버킷에는 요구사항에 따라 설정된 보존 및 라이프사이클 정책이 있어야 합니다(예: 자체 보존 정책을 사용하는 일일 주기 버킷이 있음).
- 사이버 복구 오브젝트 스토리지 버킷에 권한 집합이 있어야만 사이버 복구 테넌시로부터 시작된 동기화 스크립트를 통해 읽을 수 있습니다.
- 필요할 때 활용되는 추가 백업 솔루션으로 기존 운영 백업의 목적 변경
- 프로덕션 테넌시에 서로 다른 스토리지 기술을 배포해야 하며, 각각 다른 기술 솔루션을 갖지만 사이버 복구 데이터 세트를 만드는 것과 동일한 논리적 시퀀스에 따라 배포해야 합니다.
- Cyber Recovery Tenancy의 CRS 구획에서 동기화 스크립트는 정기적으로 실행됩니다(예: 백업 기간 중 15분마다).
- 운용 테넌시에 대한 액세스가 허용되도록 관리 정책을 적용합니다.
- 프로덕션 사이버 복구 오브젝트 스토리지 버킷에서 식별된 모든 새 오브젝트를 동등한 사이버 복구 테넌시 오브젝트 스토리지 버킷에 복사합니다.
- 운용 테넌시에 대한 액세스를 방지하기 위해 관리 정책을 사용 안함으로 설정합니다.
- 데이터는 OCI의 네트워크 백본을 통해 사이버 복구 테넌시에 복사되고 모든 인바운드 접근은 OCI 콘솔 접근으로 제한됩니다.
- 오브젝트가 사이버 복구 테넌시와 동기화되면 해당 라이프사이클은 더 이상 해당 프로덕션 테넌시에 연결되지 않습니다. 예를 들어, 드문 경우이긴 하지만(예: 수명 주기 정책 불일치) 프로덕션 백업 객체가 삭제될 경우 Cyber Recovery 테넌시 백업 객체가 삭제되지 않습니다.
- 사이버 복구 객체 버킷은 무단 변경을 방지하기 위해 보안 영역 정책이 있는 CRS 구획에 배치됩니다.
- 테넌시 내에서 권한이 부여된 사용자만 읽을 수 있도록 Cyber Recovery 테넌시 객체 버킷에서 권한을 설정합니다. 동기화 스크립트만 쓸 수 있도록 권한을 설정해야 합니다.
- Cyber Recovery 객체 버킷 내에서 보존 정책을 설정하여 삭제(예: 객체가 15일이 경과하면 삭제됨) 및 아카이브(예: 10일이 지난 아카이브 객체)의 객체 수명 주기를 관리합니다.
- Cyber Recovery 객체 버킷에서 새 객체를 생성할 때 바이러스가 있는지 검사하고 sha2/digital signature를 확인하여 백업 파일이 손상되지 않았는지 확인합니다. 솔루션의 백업 크기 및 RPO(Recovery Point Objective)/RTO(Recovery Time Objective)에 따라 데이터베이스 백업에 대해 sha2/digital signature check를 수행하는 것이 좋습니다.
참고:
이 참조 아키텍처의 배포 섹션에 설명된 Terraform 스크립트, Ansible 플레이북, 셸 및 RMAN 스크립트를 사용하여 대부분의 프로세스를 자동화할 수 있습니다.다음 다이어그램은 Cyber Recovery 테넌시에 대한 샘플 배치 토폴로지를 보여줍니다.
oci_cyber_recovery_deploy.png 그림에 대한 설명
oci-cyber-recovery-deploy-oracle.zip
이 예에서는 EBS_BlueRoom 및 EBS_RedRoom에 있는 운영 애플리케이션 VCN과 동일한 IP 범위를 사용합니다. 이 접근 방식은 EBS_RedRoom에서 애플리케이션을 복원하는 데 필요한 최소한의 변경 사항으로 백업을 자동 테스트할 수 있도록 선택되었습니다. 이는 EBS_BlueRoom VCN과 EBS_RedRoom VCN을 동시에 DRG에 연결할 수 없는 네트워크 설계를 나타냅니다.
테넌시 소유권 분리는 다음으로 고려할 수 있습니다.
- Cyber Recovery 테넌시를 지원하는 전용 팀(운영 테넌시에 대한 액세스 권한이 없는 팀)입니다.
및
- 분기별 응용 프로그램 테스트 연습 중에 빨간색 룸 구획에만 액세스할 수 있는 프로덕션 응용 프로그램 지원 팀입니다. 이 팀은 회사 온프레미스 네트워크에서 CRS 네트워크에 액세스할 수 있습니다.
이 구조에는 다음과 같은 구성 요소가 있습니다.
- 테넌트
테넌시는 Oracle Cloud Infrastructure에 등록할 때 Oracle이 Oracle Cloud 내에서 설정하는 안전하고 격리된 파티션입니다. 테넌시 내 Oracle Cloud에서 리소스를 생성, 구성 및 관리할 수 있습니다. 테넌시는 회사 또는 조직과 동의어입니다. 일반적으로 한 회사는 단일 테넌시를 가지며 해당 테넌시 내에 조직 구조를 반영합니다. 일반적으로 단일 테넌시는 단일 구독과 연결되며, 단일 구독은 하나의 테넌시만 갖습니다.
- 지역
Oracle Cloud Infrastructure 지역은 가용성 도메인이라고 하는 하나 이상의 데이터 센터를 포함하는 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며 거리가 멀면 국가 또는 대륙을 가로질러 분리할 수 있습니다.
- 구획
구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 분할 영역입니다. 구획을 사용하여 Oracle Cloud에서 리소스를 구성하고, 리소스에 대한 액세스를 제어하고, 사용 할당량을 설정합니다. 지정된 구획의 리소스에 대한 액세스를 제어하기 위해 리소스에 액세스할 수 있는 사용자와 수행할 수 있는 작업을 지정하는 정책을 정의합니다.
사용자(로컬 및 통합 모두)가 하나 이상의 그룹에 추가되며, 이 그룹은 구획당 OCI 자산에 대한 액세스를 제어하는 IAM 정책에 연결됩니다.
구획은 Oracle Cloud Infrastructure 테넌시에서 리소스를 구성 및 격리하는 기능을 제공합니다. 테넌시에 새 워크로드를 배포하기 위한 기반을 설정하는 데 중요한 역할을 할 것입니다. OCI 리소스의 논리적 그룹화의 특성이 나타날 수도 있지만 정책 적용 지점 역할을 하므로 테넌시의 보안에 있어 매우 중요합니다.
구획은 기능, 운영 또는 프로젝트 계층에 따라 배포할 수 있습니다. 이를 통해 다양한 역할, 기능 및 조직 계층에 대해 리소스 간의 격리를 유지할 수 있습니다. 구획 계층은 요구사항에 따라 최대 6개의 레벨을 포함할 수 있습니다. 액세스 제어는 정책에 의해 정의됩니다.
각 구획에는 관련 그룹에 할당된 특정 권한이 있어야 합니다. 일반적으로 사용자는 다른 구획에 대한 권한을 높일 수 없습니다. 다음 구획 계층 구조가 사이버 복구 테넌시에서 사용되어 애플리케이션과 환경 간의 우려 사항을 분리합니다.
- 가용성 도메인
가용성 도메인은 한 지역 내에 있는 독립형 독립형 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 내결함성을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 특정 가용성 도메인에서 장애가 발생하면 해당 지역의 다른 가용성 도메인에 영향을 주지 않습니다.
- 결함 도메인
장애 도메인은 한 가용성 도메인 내에서 하드웨어와 인프라를 그룹화한 것입니다. 각 가용성 도메인에는 독립 전원과 하드웨어가 있는 장애 도메인 3개가 있습니다. 여러 장애 도메인에 리소스를 분산하면 애플리케이션이 장애 도메인 내부의 물리적 서버 장애, 시스템 유지보수 및 전원 장애를 허용할 수 있습니다.
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 지역에서 설정한 커스터마이징 가능한 소프트웨어 정의 네트워크입니다. 기존 데이터 센터 네트워크와 마찬가지로 VCN은 네트워크 환경을 완벽하게 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 여러 CIDR 블록이 있을 수 있습니다. VCN을 서브넷으로 세그먼트할 수 있으며, 지역 또는 가용성 도메인으로 범위를 지정할 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속된 주소 범위로 구성됩니다. 생성 후 서브넷의 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- 로드 밸런서
Oracle Cloud Infrastructure Load Balancing 서비스는 단일 시작점에서 백엔드의 여러 서버로 트래픽을 자동으로 분산합니다.
- 보안 목록
각 서브넷에 대해 서브넷에 들어오고 나가야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- Cloud Guard
Oracle Cloud Guard를 사용하여 Oracle Cloud Infrastructure에서 리소스의 보안을 모니터링하고 유지 관리할 수 있습니다. Cloud Guard는 리소스에서 보안 약점을 검사하고 운영자 및 사용자가 위험한 작업을 모니터하도록 정의할 수 있는 감지기 레시피를 사용합니다. 잘못된 구성 또는 비보안 작업이 감지되면 Cloud Guard는 수정 조치를 권장합니다. 정의할 수 있는 응답자 레시피를 기반으로 이러한 작업을 수행할 수 있습니다.
- 오브젝트 스토리지
오브젝트 스토리지를 사용하면 데이터베이스 백업, 애널리틱스 데이터, 이미지 및 비디오와 같은 풍부한 컨텐츠를 비롯하여 모든 컨텐츠 유형의 구조적 및 비구조적 데이터에 신속하게 접근할 수 있습니다. 인터넷 또는 클라우드 플랫폼 내에서 직접 안전하게 데이터를 저장하고 검색할 수 있습니다. 성능 또는 서비스 신뢰성의 저하를 경험하지 않고도 스토리지를 원활하게 확장할 수 있습니다. 빠르고 즉각적이며 자주 액세스하는 데 필요한 "핫" 스토리지에 표준 스토리지를 사용합니다. 장기간 보존하고 거의 액세스하지 않는 "콜드" 스토리지에 아카이브 스토리지를 사용합니다.
- FastConnect
Oracle Cloud Infrastructure FastConnect를 사용하면 데이터 센터와 Oracle Cloud Infrastructure 간에 전용 개인 연결을 쉽게 생성할 수 있습니다. FastConnect는 더 높은 대역폭 옵션과 인터넷 기반 연결에 비해 더 안정적인 네트워킹 환경을 제공합니다.
- LPG(로컬 피어링 게이트웨이)
LPG를 사용하면 한 VCN을 동일한 지역의 다른 VCN과 피어링할 수 있습니다. 피어링은 VCN이 인터넷을 통과하거나 온프레미스 네트워크를 통과하는 트래픽 없이 전용 IP 주소를 사용하여 통신하는 것을 의미합니다.
- Exadata DB 시스템
Oracle Exadata Database Service를 통해 클라우드에서 Exadata의 기능을 활용할 수 있습니다. 필요에 따라 시스템에 데이터베이스 컴퓨트 서버 및 스토리지 서버를 추가할 수 있는 유연한 X8M 시스템을 프로비저닝할 수 있습니다. X8M 시스템은 높은 대역폭과 짧은 대기 시간, 영구 메모리(PMEM) 모듈 및 지능형 Exadata 소프트웨어를 위한 RoCE(RDMA over Converged Ethernet) 네트워킹을 제공합니다. 쿼터 랙 X8 시스템과 동일한 구성을 사용하여 X8M 시스템을 프로비저닝한 다음 프로비저닝 후 언제든지 데이터베이스 및 스토리지 서버를 추가할 수 있습니다.
권장 사항
- VCN
VCN을 생성할 때 VCN의 서브넷에 연결할 리소스 수에 따라 필요한 CIDR 블록 수 및 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
전용 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.
VCN을 생성한 후에는 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
서브넷을 설계할 때 트래픽 플로우와 보안 요구사항을 고려합니다. 특정 계층 또는 역할 내의 모든 리소스를 보안 경계 역할을 할 수 있는 동일한 서브넷에 연결합니다.
- 보안
운용 EBS 및 SOA 시스템은 고객이 관리하는 OCI 구획 내에서 호스팅되며 고객이 공유하는 보안 방침이 제공됩니다. 의도는 사이버 복구 테넌시에 보안 목록 및 네트워크 토폴로지를 비롯한 환경의 보안 상태를 복제하는 것입니다. 고객의 Active Directory 솔루션과의 IAM 통합 없이 사이버 복구 테넌시의 접근 관리는 운영 테넌시와 다릅니다.
청정실 Blue 및 Red에 대한 액세스가 제한되며 모든 수신은 해당 역할 전용 Bastion/Jump 서버를 통해 라우팅됩니다. 이 액세스는 테스트 기간 동안에만 사용으로 설정되며 테스트가 빨간색 방에서 완료된 후 제거되고 파란색 방은 매일 액세스할 수 있습니다. Blue Room에 대한 액세스는 지정된 Cyber Recovery 관리 서비스 파트너로 제한되며 Red Room에 대한 액세스는 지정된 관리 서비스 파트너 및 주요 직원으로 제한됩니다.
IPsec/VPN 터널을 통한 사이버 복구 테넌시로의 인바운드 액세스는 매일 Blue Room에서 사용할 수 있지만 Red Room에 대한 액세스는 정상 작동 중에 완전히 차단되며 Red Room 테스트 이벤트 중에 사전 정의된 IP 주소로만 열립니다.
사이버 복구 테넌시에서 IPsec/VPN 터널을 통한 아웃바운드 접근이 완전히 차단됩니다. 사이버 복구 테넌시에서 프로덕션 테넌시로의 액세스는 백업 파일을 동기화하는 동안에만 적용되며 이 기간이 지나면 정책 제거로 인해 이 액세스가 금지됩니다. 사이버 복구 테넌시에 대한 인바운드 또는 아웃바운드 인터넷 액세스는 없습니다.
- Cloud Guard
Oracle에서 제공하는 기본 레시피를 복제 및 사용자정의하여 사용자정의 감지기 및 응답기 레시피를 생성합니다. 이러한 레시피를 사용하면 경고를 생성하는 보안 위반 유형과 해당 위반에 대해 수행할 수 있는 작업을 지정할 수 있습니다. 예를 들어 가시성이 [공개]로 설정된 오브젝트 스토리지 버킷을 감지할 수 있습니다.
테넌시 수준에서 Cloud Guard를 적용하여 가장 광범위한 범위를 관리하고 여러 구성을 유지 관리하는 데 드는 관리 부담을 줄일 수 있습니다.
Managed List 기능을 사용하여 특정 구성을 감지기에 적용할 수도 있습니다.
- NSG(Network Security Group)
NSG를 사용하여 특정 VNIC에 적용되는 수신 및 송신 규칙 집합을 정의할 수 있습니다. NSG를 사용하면 VCN 서브넷 아키텍처를 애플리케이션의 보안 요구사항과 분리할 수 있으므로 보안 목록이 아닌 NSG를 사용하는 것이 좋습니다.
- 로드 밸런서 대역폭
로드 밸런서를 생성하는 동안 고정 대역폭을 제공하는 사전 정의된 구성을 선택하거나, 대역폭 범위를 설정한 커스터마이징(유연한) 구성을 지정하고 서비스가 트래픽 패턴에 따라 자동으로 대역폭을 확장할 수 있습니다. 두 가지 접근 방식을 모두 사용할 경우 로드 밸런서를 생성한 후 언제든지 구성을 변경할 수 있습니다.
고려 사항
이 참조 아키텍처를 배치할 때는 다음 사항을 고려하십시오.
- 성능
오브젝트 스토리지 전송: 운영 데이터베이스 및 컴퓨트 백업의 크기가 상당히 클 수 있습니다. 테넌시 간에 일별 백업을 전송하는 데 걸리는 시간을 테스트합니다. 최상의 데이터 전송 성능을 위해 CRS 테넌시를 운용 테넌시와 동일한 OCI 지역에 배치하는 것이 좋습니다.
CRS 테넌시에서 바이러스 백신 및 서명 검사: CRS 프로세스의 일부로 백업 파일의 바이러스 백신 및 서명 검사를 포함할 수 있습니다. 적시에 스캔을 완료하려면 오케스트레이션 서버에 충분한 리소스를 제공해야 합니다.
- 보안
오브젝트 스토리지 정책이 설치되었는지 모니터링하고 사이버 복구 보안 상태와 일치하도록 Oracle Cloud Guard/최대 보안 영역을 구성하여 이를 변경하려는 시도가 금지되도록 합니다.
잠재적 공격으로부터 클라우드 환경 및 백업 솔루션을 보호하기 위해 추가 보안 조치를 구현해야 합니다.
- 가용성
이 솔루션은 모든 OCI 지역에 배포할 수 있습니다. 중복 통합관리 및 배스천 서버를 배치하면 고가용성이 구현될 수 있습니다.
- 비용
비용을 예측할 때는 다음 요소를 고려하십시오.
- 오브젝트 스토리지: 이 솔루션은 며칠 동안 운영 환경의 매일 데이터베이스와 블록 볼륨 백업을 저장한다고 가정합니다.
- 컴퓨트 비용: 백업을 테스트하려면 컴퓨트 및 데이터베이스 리소스를 시작해야 합니다.
- 소프트웨어 라이센스 비용: 응용 프로그램 테스트가 포함된 경우 테스트 중 시작될 응용 프로그램 서비스에 대해 적절한 소프트웨어 라이센스를 얻어야 합니다.
배치
GitHub에서 코드를 다운로드하고 특정 요구 사항에 따라 사용자 정의하여 이 참조 아키텍처를 배포할 수 있습니다.
- OCI CIS 랜딩존을 설정합니다. 자세한 내용은 Oracle Cloud용 CIS 기초 벤치마크 배치 링크의 자세히 탐색을 참조하십시오.
- 두 VM을 운영 테넌시에서 통합관리 서버로 프로비저닝하고 사이버 복구 테넌시를 통해 스크립트를 실행합니다.
- GitHub으로 이동합니다.
- 프로덕션 스크립트(Ansible 스크립트)를 저장소에서 운영 통합관리 서버로 복제합니다.
- Cyber Recovery 테넌시 통합관리 서버에서 Cyber Recovery 테넌시 통합관리 서버로 Cyber Recovery 스크립트(Ansible, Terraform 및 셸 스크립트)를 복제합니다.
README문서의 지침에 따라 백업 스크립트(운영 테넌시), 동기화 및 복원(사이버 복구 테넌시)을 실행합니다.