Security Zones을 사용하여 클라우드에서 워크로드 보호
Oracle Cloud Infrastructure 보안 영역에 배치하여 클라우드에서 컴퓨트, 네트워킹 및 스토리지 리소스의 보안을 극대화합니다.
Oracle Cloud Infrastructure(OCI)는 엔터프라이즈 클라우드 서비스를 보호하기 위한 동급 최강의 보안 기술 및 운영 프로세스를 제공합니다. 고객은 규정 준수 의무를 충족하기 위해 워크로드를 보호하고 서비스 및 애플리케이션을 안전하게 구성할 책임이 있습니다. Oracle Security Zones은 다음과 같은 방식으로 클라우드 보안 공유 책임 모델을 지원할 수 있습니다.
- 데이터베이스 및 오브젝트 스토리지 버킷과 같은 Oracle Cloud Infrastructure 리소스에 대한 퍼블릭 액세스를 거부합니다.
- 분리된 스토리지 리소스가 필요한 정책이 컴퓨트 인스턴스와 동일한 보안 컴파트먼트에 상주하도록 합니다.
- 고객 관리 키를 사용하여 블록 볼륨, 오브젝트 스토리지 버킷, 데이터베이스와 같은 스토리지 리소스 암호화
구조
이 참조 아키텍처는 전자 상거래 애플리케이션과 같은 애플리케이션을 안전하게 실행하는 데 사용할 수 있는 일반적인 3계층 아키텍처를 보여줍니다. 데이터 지속성은 Oracle Autonomous Transaction Processing 데이터베이스를 사용하여 달성됩니다. 애플리케이션의 미디어 및 이미지 파일은 Oracle Cloud Infrastructure Object Storage에 저장됩니다.
다음 다이어그램은 기본 구획 구조를 보여줍니다.
아키텍처에는 다음과 같은 보안 제한 사항이 있습니다.
- 객체 스토리지: 암호화되지 않은 객체 스토리지는 인터넷에 직접 노출됩니다.
- 데이터베이스: 데이터베이스는 고객 관리 키로 암호화되지 않으며 단일 구성 변경(공용 IP 주소)으로 인터넷에 노출될 수 있습니다.
- 구획: 구획은 데이터, 자산, 환경의 볼륨 이동을 제한하지 않습니다.
- 가상 머신: VM은 암호화된 부트 볼륨 또는 스토리지를 사용하지 않습니다.
- 인터넷: WAF(웹 응용 프로그램 방화벽) 보호는 제공되지 않습니다.
- 네트워크: 모든 리소스가 단일 평면에 있으며 불충분한 격리를 제공합니다.
다음 다이어그램은 웹, 응용 프로그램 및 데이터베이스와 같은 응용 프로그램 계층을 나타내는 여러 스포크 네트워크를 격리하는 매우 안전한 환경을 제공하여 이러한 문제를 해결하는 구조를 보여줍니다. 이 아키텍처는 운영, 테스트, 개발 환경과 같은 특정 환경과 클라우드 리전, 온프레미스 데이터 센터, 멀티클라우드 인프라 등 다양한 인프라에서 작동합니다.
구조에는 다음과 같은 구성 요소가 있습니다.
- 지역
Oracle Cloud Infrastructure 리전은 가용성 도메인이라고 하는 데이터 센터가 하나 이상 포함된 지역화된 지리적 영역입니다. 지역은 다른 지역과 독립적이며, 먼 거리가 그들을 분리 할 수 있습니다 (국가 또는 대륙에 걸쳐).
- 가용성 도메인
가용성 도메인은 한 지역 내의 독립형 독립 데이터 센터입니다. 각 가용성 도메인의 물리적 리소스는 결함 허용을 제공하는 다른 가용성 도메인의 리소스와 격리됩니다. 가용성 도메인은 전원, 냉각 또는 내부 가용성 도메인 네트워크와 같은 인프라를 공유하지 않습니다. 따라서 한 가용성 도메인의 장애가 해당 영역의 다른 가용성 도메인에 영향을 미치지 않아야 합니다.
- 결함 도메인
장애 도메인은 가용성 도메인 내의 하드웨어 및 인프라 그룹입니다. 가용성 도메인에는 독립적인 전원 및 하드웨어를 갖춘 3개의 장애 도메인이 있습니다. 여러 결함 도메인에 리소스를 분배할 때 응용 프로그램은 결함 도메인 내의 물리적 서버 오류, 시스템 유지 관리 및 전원 오류를 허용할 수 있습니다.
- 구획
구획은 Oracle Cloud Infrastructure 테넌시 내의 지역 간 논리적 파티션입니다. 구획을 사용하여 Oracle Cloud 리소스에 대한 사용 할당량을 구성, 제어 및 설정할 수 있습니다. 지정된 구획에서 액세스를 제어하고 리소스에 대한 권한을 설정하는 정책을 정의합니다.
- 보안 영역
보안 영역은 데이터를 암호화하고 전체 구획의 네트워크에 대한 공용 액세스를 방지하는 등의 정책을 적용하여 처음부터 Oracle의 보안 모범 사례를 보장합니다. 보안 영역은 동일한 이름의 컴파트먼트와 연관되며, 컴파트먼트 및 해당 하위 컴파트먼트에 적용되는 보안 영역 정책 또는 "레시피"를 포함합니다. 표준 구획을 추가하거나 보안 영역 구획으로 이동할 수 없습니다.
이 사용 사례에서 보안 영역은 다음 정책을 적용합니다.
- 컴퓨트 인스턴스 및 오브젝트 스토리지 버킷의 부트 볼륨 암호화
- 공용 인터넷에서 컴퓨팅 리소스에 액세스하지 못하도록 합니다.
- 고객 관리 키를 사용하여 리소스 암호화
- 모든 리소스를 정기적으로 자동 백업
- VCN(가상 클라우드 네트워크) 및 서브넷
VCN은 Oracle Cloud Infrastructure 지역에서 설정한 맞춤형 소프트웨어 정의 네트워크입니다. 기존의 데이터 센터 네트워크와 마찬가지로 VCN을 통해 네트워크 환경을 제어할 수 있습니다. VCN에는 VCN 생성 후 변경할 수 있는 겹치지 않는 CIDR 블록이 여러 개 있을 수 있습니다. VCN을 서브넷으로 분할할 수 있습니다. 서브넷은 지역 또는 가용성 도메인으로 범위가 지정될 수 있습니다. 각 서브넷은 VCN의 다른 서브넷과 겹치지 않는 연속적인 주소 범위로 구성됩니다. 서브넷 생성 후 크기를 변경할 수 있습니다. 서브넷은 공용 또는 전용일 수 있습니다.
- 보안 목록
각 서브넷에 대해 서브넷에 들어오고 나가도록 허용해야 하는 트래픽의 소스, 대상 및 유형을 지정하는 보안 규칙을 생성할 수 있습니다.
- 로드 밸런서
Oracle Cloud Infrastructure Load Balancing 서비스는 단일 시작점에서 백엔드에 있는 여러 서버로 트래픽을 자동으로 배포합니다.
이 아키텍처는 관리자의 애플리케이션 및 셀프 서비스 애플리케이션에 별도의 로드 밸런서를 사용하여 보안 및 트래픽을 더욱 엄격하게 구분합니다. 필요한 경우 로드 밸런서 구성을 업그레이드할 수 있습니다.
- 서비스 게이트웨이
서비스 게이트웨이는 VCN에서 Oracle Cloud Infrastructure Object Storage와 같은 다른 서비스로의 액세스를 제공합니다. VCN에서 Oracle 서비스로의 트래픽은 Oracle 네트워크 패브릭을 통해 이동하며 인터넷을 순회하지 않습니다.
- LPG(로컬 피어링 게이트웨이)
LPG를 사용하면 한 VCN을 동일한 지역의 다른 VCN과 피어링할 수 있습니다. 피어링이란 VCN이 인터넷을 순회하거나 온프레미스 네트워크를 통해 라우팅하지 않고 전용(private) IP 주소를 사용하여 통신하는 것을 의미합니다.
- 오브젝트 스토리지
Oracle Cloud Infrastructure Object Storage를 사용하면 데이터베이스 백업, 분석 데이터, 이미지 및 비디오와 같은 리치 콘텐츠 등 모든 콘텐츠 유형의 대량의 구조적 및 비구조적 데이터에 빠르게 액세스할 수 있습니다. 인터넷 또는 클라우드 플랫폼 내에서 직접 안전하고 안전하게 데이터를 저장하고 검색할 수 있습니다. 성능 또는 서비스 안정성이 저하되지 않고 스토리지를 확장할 수 있습니다. 빠르고 즉각적이며 자주 액세스하는 데 필요한 "핫" 스토리지에 표준 스토리지를 사용합니다. 장기간 보존하고 거의 또는 거의 액세스하지 않는 "콜드" 스토리지에 아카이브 스토리지를 사용합니다.
- 계산
Oracle Cloud Infrastructure Compute를 사용하면 클라우드에서 컴퓨트 호스트를 프로비저닝하고 관리할 수 있습니다. CPU, 메모리, 네트워크 대역폭 및 스토리지에 대한 리소스 요구사항을 충족하는 구성을 사용하여 컴퓨트 인스턴스를 실행할 수 있습니다. 컴퓨트 인스턴스를 생성한 후에는 해당 인스턴스에 안전하게 액세스하고, 재시작하고, 볼륨을 연결 및 분리하고, 더 이상 필요하지 않을 때 이를 종료할 수 있습니다.
-
Web Application Firewall
Oracle Cloud Infrastructure Web Application Firewall(WAF)은 클라우드 기반 PCI(Payment Card Industry) 호환 글로벌 보안 서비스로서 원치 않는 악성 인터넷 트래픽으로부터 애플리케이션을 보호합니다. WAF는 인터넷에 접속하는 모든 끝점을 보호할 수 있으며, 고객의 애플리케이션에 대해 일관된 규칙을 적용합니다.
권장사항
요구 사항은 여기에 설명된 아키텍처와 다를 수 있습니다. 다음 권장 사항을 시작점으로 사용합니다.
- VCN
VCN을 생성할 때 VCN의 서브넷에 연결하려는 리소스 수에 따라 필요한 CIDR 블록 수와 각 블록의 크기를 결정합니다. 표준 전용 IP 주소 공간 내에 있는 CIDR 블록을 사용합니다.
프라이빗 접속을 설정하려는 다른 네트워크(Oracle Cloud Infrastructure, 온프레미스 데이터 센터 또는 다른 클라우드 제공자)와 겹치지 않는 CIDR 블록을 선택합니다.
VCN을 생성한 후 해당 CIDR 블록을 변경, 추가 및 제거할 수 있습니다.
서브넷을 설계할 때는 트래픽 플로우 및 보안 요구사항을 고려하십시오. 특정 계층 또는 역할 내의 모든 리소스를 동일한 서브넷에 연결합니다. 이 서브넷은 보안 경계 역할을 할 수 있습니다.
지역 서브넷을 사용합니다.
- 보안 영역
최대 보안이 필요한 리소스의 경우 Oracle은 보안 영역을 사용할 것을 권장합니다. 보안 영역은 모범 사례를 기반으로 하는 Oracle 정의 보안 정책 레시피와 연관된 컴파트먼트입니다. 예를 들어, 보안 영역의 리소스는 공용 인터넷에서 액세스할 수 없어야 하며 고객 관리 키를 사용하여 암호화해야 합니다. 보안 영역에서 리소스를 생성 및 업데이트할 때 Oracle Cloud Infrastructure는 보안 영역 레시피의 정책에 대해 작업을 검증하고 정책을 위반하는 작업을 거부합니다.
- 오브젝트 스토리지
Oracle Cloud Infrastructure Object Storage를 사용하여 데이터베이스 및 기타 데이터의 백업을 저장합니다.
보안 영역이 사용으로 설정된 컴파트먼트에 객체 스토리지를 생성하고 가시성을 프라이빗으로 설정합니다. 이 구성은 오브젝트 스토리지 버킷이 보안 영역의 엄격한 보안 정책을 준수하도록 보장합니다.
고려사항
-
가용성
일부 지역은 여러 가용성 도메인을 제공하므로 더 높은 중복성으로 더 높은 가용성을 제공합니다. 이 중복성을 활용하려면 여러 가용성 도메인에 전자 상거래 솔루션을 배포하는 것이 좋습니다. 또한 적절한 중복성이 있는 다른 지역에서 재해 복구 계획을 수립하는 것도 고려해 보십시오.
- 비용
인스턴스에서 실행되는 작업 로드에 필요한 CPU 수와 메모리 양을 선택할 수 있도록 가변 구성을 사용합니다. 이러한 유연성을 통해 워크로드에 맞는 VM을 구축할 수 있으므로 성능을 최적화하고 비용을 최소화할 수 있습니다.
-
모니터 및 로깅
필요에 따라 구성을 확장 또는 축소할 수 있도록 노드에 대한 CPU 및 메모리 사용량에 대한 로깅 서비스, 모니터링 및 경보를 설정합니다.
배치
보안 영역을 사용하여 Oracle Cloud Infrastructure에서 MuShop 기본 샘플 애플리케이션을 배포하기 위한 Terraform 코드는 GitHub에서 확인할 수 있습니다.
- GitHub로 이동합니다.
- 저장소를 복제하거나 로컬 컴퓨터에 다운로드합니다.
README_MSZ.md문서의 지침을 따릅니다.