Oracle Cloud VMware Solution을 통한 데이터 보호를 위해 OCI 보안 서비스 사용
Oracle Cloud VMware Solution은 고객의 테넌시 내에 설치된 고객 관리형 고유 VMware 기반 클라우드 환경을 제공하며, 익숙한 VMware 툴을 통한 완벽한 제어를 제공합니다.
OCI(Oracle Cloud Infrastructure)는 보안 우선 설계 원칙에 따라 설계된 차세대 서비스형 인프라(IaaS)입니다. 이러한 원칙에는 격리된 네트워크 가상화 및 이전 퍼블릭 클라우드 설계로 달성하기 어려운 이전의 물리적 호스트 배포가 포함됩니다. 이러한 설계 원칙을 통해 OCI는 고급 영구 위협으로부터 위험을 줄이는 데 도움이 됩니다.
이 참조 아키텍처는 Oracle Cloud VMware Solution과 OCI Data Protection 계층 및 보안 서비스를 통합하여 중요하고 민감한 워크로드를 실행하기 위한 요구 사항을 해결하는 통합 옵션을 설명합니다.
구조
이 논리적 참조 아키텍처는 주로 데이터 보호 계층에 중점을 두고 있으며 Oracle Cloud VMware Solution 워크로드를 통해 OCI 보안 서비스를 데이터 보호에 사용하는 방법을 설명합니다.
다음 OCI 기본 보안 서비스는 OCI 보안 - 데이터 보호 계층의 일부입니다.
- OCI Vault 서비스는 데이터를 보호하는 마스터 암호화 키와 OCI 블록 스토리지, OCI 파일 스토리지 또는 OCI 오브젝트 스토리지에 액세스하는 데 사용할 수 있는 보안 자격 증명을 중앙에서 관리할 수 있도록 지원합니다. 키 관리 및 암호 관리도 OCI Vault의 일부입니다. 키는 오브젝트 스토리지 및 버킷 암호화에 사용되는 마스터 암호화 키입니다. 암호도 보호할 수 있습니다(예: 데이터베이스 암호). 둘 다 OCI Vault 서비스를 사용하여 중앙에서 관리
- Oracle Data Safe 서비스는 vCenter - 관리 계층 내에서 실행되는 Oracle 데이터베이스에 저장된 중요하고 규제된 데이터를 보호합니다. Oracle 데이터베이스는 Data Safe DB 커넥터를 사용하여 Oracle Data Safe와 통합됩니다.
- OCI 인증서 서비스는 서버, 웹 응용 프로그램 등에 대한 TLS/SSL 보안 액세스를 제공하는 데 도움이 됩니다. 관리자는 OCI 로드 밸런싱 서비스와 통합되는 전용 CA(인증 기관) 계층 및 TLS 인증서를 생성하고 관리할 수 있습니다.
데이터 암호화: OCI 스토리지는 256비트 암호화와 함께 AES(고급 암호화 표준) 알고리즘을 사용하여 기본적으로 유휴 상태 및 전송 중인 데이터를 암호화합니다. 이동 중 제어 플레인 데이터는 TLS(전송 계층 보안) 1.2 이상을 사용하여 암호화됩니다.
다음 다이어그램은 이 참조 구조를 보여줍니다.
ocvs-data-security-arch-oracle.zip
구조에는 다음과 같은 구성 요소가 있습니다.
- OCI 클라우드 보안 서비스
OCI 보안은 조직이 클라우드 워크로드에 대한 보안 위협의 위험을 줄일 수 있도록 지원합니다. 이 Oracle Cloud VMware Solution 보안 참조 아키텍처는 OCI 데이터 보호 계층 기능을 설명합니다.
OCI Vault 서비스는 OCI 스토리지 계층 및 백업 저장소에 대한 암호화 키와 보안 인증서를 중앙에서 관리합니다. 이러한 암호화 키는 데이터 및 암호 자격 증명을 보호합니다. Data Safe 서비스는 커넥터를 사용하여 VMware에서 데이터베이스 인스턴스 대상을 모니터링하고 평가할 수 있도록 사용으로 설정됩니다. 인증서 서비스는 인증서 발급, 저장소 및 관리 기능을 제공합니다. 이러한 인증서는 로드 밸런서에 배치할 수 있습니다.
- Oracle Cloud VMware Solution입니다.
Oracle Cloud VMware Solution은 VMware 소프트웨어 정의 데이터 센터(SDDC)를 Oracle Cloud 핵심 인프라 서비스에 배포합니다. OCI 베어메탈 DenseIO 서버는 컴퓨트 가상화를 제공하는 VMware 하이퍼바이저(ESXi라고도 함)를 실행하는 데 사용됩니다. vCenter 관리 계층에서 실행되는 가상 머신은 vSAN 데이터 저장소 또는 OCI 블록 스토리지를 기본 스토리지 옵션으로 사용합니다. 그러나 Oracle Cloud VMware Solution은 OCI 블록 볼륨 및 OCI 파일 스토리지를 외부 스토리지 옵션으로 활용할 수도 있습니다.
Oracle Cloud VMware Solution에서 실행되는 가상 머신은 다음과 같은 스토리지 및 백업 옵션을 사용합니다.- vSAN Storage는 Oracle Cloud VMware Solution 환경에서 제공되는 즉시 사용 가능한 소프트웨어 정의 스토리지 솔루션입니다. vSAN은 엔터프라이즈 스토리지이며 vSphere 고유 키 제공자 또는 외부 KMS(키 관리 서비스) 제공자를 사용하는 암호화를 지원합니다.
- OCI 블록 볼륨은 가상 머신 스토리지에 대한 iSCSI 대상으로 VMware ESXi 서버에 제공됩니다. KMS, 암호화 및 저장소와 같은 OCI 보안 기능은 OCI 블록 볼륨에 저장된 VM 데이터에 적용됩니다.
- File Storage에서는 OCI File Storage 서비스를 가상 머신용 NFS 스토리지로 사용할 수 있습니다. KMS, 암호화 및 저장소와 같은 OCI 보안 기능은 OCI File Storage에서 지원하는 NFS 스토리지에 저장된 VM에 적용할 수 있습니다.
- 오브젝트 스토리지는 Oracle Cloud VMware Solution VM 백업 사본을 저장합니다. 오브젝트 스토리지는 VM 실행에 사용할 수 없습니다. 객체 스토리지에 대한 모든 OCI 보안 기능은 VM 백업 파일에 적용됩니다.
다음 표에서는 OCI 보안 서비스를 Oracle Cloud VMware Solution을 사용한 데이터 보호에 사용하는 방법에 대해 설명합니다.
| OCI 서비스 | Oracle Cloud VMware 솔루션으로 데이터 보호 |
|---|---|
| Data Safe | Data Safe는 OCI 또는 온프레미스 환경에서 실행되는 Oracle 데이터베이스를 보호하기 위한 OCI 전용 서비스입니다. 가상 머신으로 Oracle Cloud VMware Solution SDDC에서 실행되는 Oracle 데이터베이스는 Data Safe 커넥터를 사용하여 Data Safe와 통합할 수 있습니다. |
| 블록 볼륨 암호화 | OCI 블록 볼륨은 OCI 관리/고객 관리 키를 제공하는 VMware SDDC용 외부 데이터 저장소로 마운트됩니다. |
| 파일 스토리지 암호화 | OCI 파일 스토리지 서비스는 OCI 관리/고객 관리 키를 제공하는 VMware SDDC용 외부 NFS 데이터 저장소로 마운트됩니다. |
| 오브젝트 스토리지 암호화 |
|
| 저장소 |
|
| 인증서 |
|