Despliegue de una zona de llegada segura que cumpla con la referencia de fundaciones de CIS para Oracle Cloud

Para ejecutar sus cargas de trabajo en Oracle Cloud, necesita un entorno seguro que pueda operar de manera eficiente. Esta arquitectura de referencia proporciona una plantilla de zona de llegada basada en Terraform que es compatible con el Centro para la seguridad de Internet (CIS) para cumplir con las directrices de seguridad prescritas en la referencia de fundamentos de CIS Oracle Cloud Infrastructure. Consulte https://www.cisecurity.org para obtener la certificación.

Arquitectura

La arquitectura comienza con el diseño del compartimento para el arrendamiento, junto con grupos y políticas para la separación de funciones. En la zona de llegada principal de OCI, está soportado el aprovisionamiento de compartimentos de zona de llegada dentro de un compartimento principal designado. A cada uno de los compartimentos de la zona de llegada se le asigna un grupo con los permisos adecuados para gestionar recursos en el compartimento y acceder a los recursos necesarios en otros compartimentos.

La zona de llegada principal de OCI tiene la capacidad de aprovisionar varias redes virtuales en la nube, ya sea en modo independiente o como partes constituyentes de una arquitectura de hub y radios, o conectado a través de una VCN de DMZ. Las VCN pueden seguir una topología de red de tres niveles de uso general o estar orientadas a topologías específicas para soportar despliegues de OCI Kubernetes Engine (OKE) u Oracle Exadata Database Service. Están configuradas listas para usar con el enrutamiento necesario, con sus interfaces de entrada y salida protegidas correctamente.

La zona de llegada incluye varios servicios de seguridad preconfigurados que se pueden implementar en conjunto con la arquitectura general para una postura de seguridad sólida. Estos servicios son Oracle Cloud Guard, logs de flujo de VCN, OCI Connector Hub, OCI Vault con claves gestionadas por el cliente, OCI Vulnerability Scanning Service, Security Zones y Zero Trust Packet Routing (ZPR). Las notificaciones se definen mediante Temas y eventos para alertar a los administradores sobre los cambios en los recursos desplegados.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración oci-core-landingzone.png

oci-core-landingzone-oracle.zip

La arquitectura tiene los siguientes componentes:

• Tenancy

  Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud al registrarse en Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud dentro de su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un único arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un único arrendamiento suele estar asociado a una única suscripción, y una única suscripción normalmente solo tiene un arrendamiento.

• dominio de identidad

  Un dominio de identidad es un contenedor que se utiliza para gestionar usuarios y roles, federar y aprovisionar usuarios, proteger la integración de aplicaciones mediante la configuración de conexión única (SSO) y la administración de proveedores de identidad basada en SAML/OAuth. Representa a un grupo de usuarios de Oracle Cloud Infrastructure y sus configuraciones y valores de seguridad asociados (como MFA).

• Políticas

  Una política de Oracle Cloud Infrastructure Identity and Access Management especifica quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico o al arrendamiento.

• Compartimentos

  Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar, controlar el acceso y definir cuotas de uso para los recursos de Oracle Cloud. En un compartimento determinado, defina políticas que controlen el acceso y definan privilegios para los recursos.

  Los recursos de esta plantilla de zona de llegada se aprovisionan en los siguientes compartimentos:

  • Compartimento delimitador recomendado que contiene todos los compartimentos enumerados a continuación.
  • Un compartimento de red para todos los recursos de red, incluidos los gateways de red necesarios.
  • Un compartimento de seguridad para los recursos de registro, gestión de claves y notificaciones.
  • compartimento de aplicación para los servicios relacionados con las aplicaciones, incluidos los recursos informáticos, el almacenamiento, las funciones, los flujos, los nodos de Kubernetes, el gateway de API, etc.
  • Compartimento de base de datos para todos los recursos de base de datos.
  • compartimento opcional para la infraestructura de Oracle Exadata Database Service.

  Los iconos atenuados del diagrama indican servicios que no están aprovisionados por la plantilla.

  Este diseño de compartimento refleja una estructura funcional básica observada en distintas organizaciones, donde las responsabilidades de TI suelen estar separadas entre los administradores de redes, seguridad, desarrollo de aplicaciones y bases de datos.

• Red virtual en la nube (VCN) y subredes

  Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan el control de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  La plantilla puede desplegar VCN para diferentes tipos de carga de trabajo, incluidas las VCN de tres niveles para aplicaciones típicas basadas en web de tres niveles, aplicaciones de OCI Kubernetes Engine y Oracle Exadata Database Service.

• Gateway de Internet

  Un gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• Gateway de enrutamiento dinámico (DRG)

  El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre redes locales y redes virtuales en la nube y también se puede utilizar para enrutar el tráfico entre redes virtuales en la misma región o entre regiones.

• Gateway de NAT

  Un gateway de NAT permite que los recursos privados de una VCN accedan a hosts de Internet sin exponer dichos recursos a conexiones de Internet entrantes.

• Gateway de servicio

  El gateway de servicio proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico de VCN a Oracle viaja por el tejido de red de Oracle y no por Internet.

• Red de servicios de Oracle

  Oracle Services Network (OSN) es una red conceptual de Oracle Cloud Infrastructure reservada para los servicios de Oracle. Estos servicios tienen direcciones IP públicas a las que puede acceder a través de Internet. Los hosts fuera de Oracle Cloud pueden acceder a OSN de forma privada mediante Oracle Cloud Infrastructure FastConnect o VPN Connect. Los hosts de las redes virtuales en la nube pueden acceder a OSN de forma privada mediante un gateway de servicio.

• Grupos de seguridad de red

  Los NSG actúan como firewalls virtuales para sus recursos en la nube. Con el modelo de seguridad de confianza cero de Oracle Cloud Infrastructure, puede controlar el tráfico de red dentro de una VCN. Un NSG está formado por un juego de reglas de seguridad de entrada y salida que se aplican solo a un juego especificado de VNIC en una única VCN.

• Eventos

  Los servicios de Oracle Cloud Infrastructure generan eventos, que son mensajes estructurados que describen los cambios en los recursos. Los eventos se emiten para operaciones de creación, lectura, actualización o supresión (CRUD), cambios de estado del ciclo de vida de los recursos y eventos del sistema que afectan a los recursos en la nube.

• Notifications

  OCI Notifications difunde mensajes a componentes distribuidos mediante un patrón de publicación-suscripción de baja latencia, lo que proporciona mensajes duraderos, seguros y de alta fiabilidad para aplicaciones alojadas en Oracle Cloud Infrastructure.

• Vault

  Oracle Cloud Infrastructure Vault permite gestionar de forma central las claves de cifrado que protegen los datos y las credenciales secretas que utiliza para proteger el acceso a los recursos en la nube. Puede utilizar el servicio Vault para crear y gestionar almacenes, claves y secretos.

• Logs
  Oracle Cloud Infrastructure Logging es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:

  • Logs de auditoría: logs relacionados con eventos producidos por OCI Audit.
  • Logs de servicio: logs publicados por servicios individuales como OCI API Gateway, OCI Events, OCI Functions, OCI Load Balancing, OCI Object Storage y logs de flujo de VCN.
  • Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores de nube o un entorno local.
• Conectores de servicio

  Oracle Cloud Infrastructure Connector Hub es una plataforma de bus de mensajes en la nube que organiza el movimiento de datos entre servicios de OCI. Puede utilizar conectores de servicio para mover datos de un servicio de origen a un servicio de destino. Los conectores de servicio también permiten especificar opcionalmente una tarea (como una función) que se debe realizar en los datos antes de que se entreguen al servicio de destino.

  Puede utilizar el hub de conector de servicio de Oracle Cloud Infrastructure para crear rápidamente un marco de agregación de registro para sistemas SIEM.

• Cloud Guard

  Oracle Cloud Guard le ayuda a lograr y mantener una estrategia de seguridad sólida en Oracle Cloud mediante el control del arrendamiento en busca de valores de configuración y acciones en los recursos que podrían plantear un problema de seguridad.

  Puede utilizar Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de debilidades de seguridad y para supervisar a los operadores y usuarios en busca de determinadas actividades de riesgo. Cuando se detecta cualquier actividad no segura o de configuración incorrecta, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, según las recetas de responsable de respuesta que pueda definir.

• Zona de seguridad

  Una zona de seguridad está asociada a uno o más compartimentos y una receta de zona de seguridad. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure (OCI) valida estas operaciones con respecto a la lista de políticas que están definidas en la receta de zona de seguridad. Si se infringe alguna política de zona de seguridad, se deniega la operación.

  Las zonas de seguridad garantizan que los recursos de OCI cumplan las políticas de seguridad, incluidos Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes y los recursos de base de datos.

• Servicio de análisis de vulnerabilidades

  El servicio de análisis de vulnerabilidades de Oracle Cloud Infrastructure ayuda a mejorar la estrategia de seguridad de Oracle Cloud comprobando de forma rutinaria las posibles vulnerabilidades de los puertos y los hosts. El servicio genera informes con métricas y detalles sobre estas vulnerabilidades.

• Zero Trust Packet Routing

  Oracle Cloud Infrastructure Zero Trust Packet Routing (ZPR) evita el acceso no autorizado a los datos mediante la gestión de la política de seguridad de red independientemente de la arquitectura de red. ZPR utiliza un lenguaje de políticas basado en intenciones y fácil de usar para definir rutas de acceso permitidas para los datos. Cualquier patrón de tráfico no definido explícitamente por la política no puede atravesar la red, lo que simplifica la protección de datos y evita la filtración de datos.

• Servicio de bastión

  El servicio de bastión de Oracle Cloud Infrastructure proporciona acceso restringido desde direcciones IP específicas a recursos de OCI de destino que no tienen puntos finales públicos mediante sesiones de shell seguro (SSH) basadas en identidades, auditadas y con límite de tiempo.

• Almacenamiento de objetos

  OCI Object Storage proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de base de datos, datos analíticos y contenido enriquecido, como imágenes y vídeos. Puede almacenar datos de forma segura directamente desde Internet o desde la plataforma en la nube. Puede ampliar el almacenamiento sin experimentar ninguna degradación del rendimiento ni de la fiabilidad del servicio.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para diseñar y configurar la seguridad de su entorno en la nube. Los requisitos pueden diferir de la arquitectura que se describe aquí.

• Configuración de red

  Para las redes virtuales en la nube, seleccione bloques de CIDR que no se solapen con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor de nube) a la que desee configurar conexiones privadas.

• Supervisión de seguridad

  Utilice Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de deficiencias de seguridad y para supervisar a los operadores y usuarios en busca de actividades de riesgo. Cuando se detecta una configuración incorrecta o una actividad no segura, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, en función de las recetas de responsable de respuesta que pueda definir.

• Provisionamiento Seguro de Recursos

  Para los recursos que requieren la máxima seguridad, utilice las zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta de políticas de seguridad definida por Oracle que se basa en las mejores prácticas. Por ejemplo, no se puede acceder a los recursos de una zona de seguridad desde la Internet pública y se deben cifrar con claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure validará las operaciones con respecto a las políticas de la receta de zona de seguridad y denegará las operaciones que violen cualquiera de las políticas.

Consideraciones

Al implementar esta arquitectura de referencia, tenga en cuenta los siguientes factores:

• Permisos de acceso

  El aprovisionamiento de plantillas de zona de llegada requiere un usuario con permisos para todo el arrendamiento (cualquier usuario que sea miembro del grupo Administradores).

  La plantilla de zona de llegada aprovisiona recursos como administrador de arrendamiento (cualquier usuario que sea miembro del grupo Administradores) e incluye políticas para permitir que grupos de administradores independientes gestionen cada compartimento después del aprovisionamiento inicial. Las políticas preconfiguradas no cubren todos los recursos posibles disponibles en OCI (por ejemplo, si agrega recursos a la plantilla de Terraform, puede que tenga que agregar las sentencias de política adicionales necesarias).

• Configuración de Red

  La red de zona de llegada se puede desplegar de diferentes formas: con una o varias redes virtuales en la nube independientes en una arquitectura de hub y radio con el servicio V2 de DRG de Oracle Cloud Infrastructure o con una arquitectura de VCN de DMZ con DRG de Oracle Cloud Infrastructure V2. También es posible configurar la red sin conectividad a Internet. Aunque la zona de aterrizaje permite alternar entre el modo independiente y el hub y radios, es importante planificar un diseño específico, ya que es posible que se necesiten acciones manuales al cambiar.

• Guía de despliegue

  La Guía de despliegue de la zona de llegada principal de OCI en GitHub proporciona orientación detallada sobre cómo configurar la zona de llegada principal, incluidos algunos escenarios de despliegue clave.

Despliegue

El código de Terraform para esta solución está disponible en GitHub. Puede extraer el código en Oracle Cloud Infrastructure Resource Manager con un solo clic, crear la pila y desplegarla. También puede descargar el código de GitHub en su computadora, personalizar el código y desplegar la arquitectura mediante la CLI de Terraform.

• Realice el despliegue con la pila de ejemplo en Oracle Cloud Infrastructure Resource Manager:
  1. Vaya a

     Si aún no se ha conectado, introduzca las credenciales de arrendamiento y usuario.

  2. Seleccione la región en la que desea desplegar la pila.
  3. Siga las indicaciones e instrucciones en pantalla para crear la pila.
  4. Después de crear la pila, haga clic en Acciones de Terraform y seleccione Plan.
  5. Espere a que se complete el trabajo y revise el plan.

     Para realizar cambios, vuelva a la página Detalles de pila, haga clic en Editar pila y realice los cambios necesarios. A continuación, vuelva a ejecutar la acción Plan.

  6. Si no es necesario realizar más cambios, vuelva a la página Detalles de pila, haga clic en Acciones de Terraform y seleccione Aplicar.
• Realice el despliegue con el código de Terraform en GitHub:
  1. Vaya a GitHub.
  2. Descargue o clone el código en su computadora local.
  3. Siga las instrucciones del archivo LÉAME.

Explorar más

Obtenga más información sobre la configuración y el funcionamiento de un entorno seguro en Oracle Cloud.

• Marco bien diseñado para Oracle Cloud Infrastructure
• Lista de control de seguridad para Oracle Cloud Infrastructure
• Referencia de los fundamentos de CIS de Oracle Cloud Infrastructure
• Guía de despliegue de zonas de llegada principales de OCI

Log de Cambios

Este log muestra cambios significativos:

20 de febrero de 2025	Cambió el título. Cambios editoriales en todo momento. Enlaces de despliegue actualizados. Diagrama actualizado y descripción asociada.
Mayo 16, 2024	Arquitectura actualizada para recomendar mediante un compartimento delimitador para los demás compartimentos. Consideraciones actualizadas para incluir la guía de despliegue de inicio rápido de la zona de llegada de OCI CIS. Se agregó un enlace al centro de la seguridad informática (CIS).
Mayo 2, 2023	Revisado el diagrama de arquitectura y el texto correspondiente. Se revisaron las siguientes secciones en Consideraciones: "Permisos de acceso" y "Personalización de la plantilla de zona de llegada". Se ha actualizado Desplegar. También puede desplegar directamente desde GitHub mediante el botón Desplegar en Oracle Cloud.
19 de octubre de 2021	Se ha revisado el diagrama de arquitectura y el texto para incluir el compartimento y el administrador opcionales de Oracle Exadata. Se ha mejorado el contenido de las secciones Arquitectura, Consideraciones y Despliegue.