Despliegue de una zona de llegada segura que cumpla con la referencia de fundaciones de CIS para Oracle Cloud

Para ejecutar sus cargas de trabajo en Oracle Cloud, necesita un entorno seguro que pueda operar de manera eficiente. Esta arquitectura de referencia proporciona una plantilla de zona de llegada basada en Terraform certificada por el Centro de Seguridad de Internet (CIS) para cumplir las directrices de seguridad prescritas en la referencia de fundamentos de CIS de Oracle Cloud Infrastructure. Consulte https://www.cisecurity.org para obtener la certificación.

Arquitectura

La arquitectura comienza con el diseño del compartimento para el arrendamiento junto con grupos y políticas para la separación de funciones. En la zona de llegada, se admite el aprovisionamiento V2 de compartimentos de zona de llegada dentro de un compartimento principal designado. Cada uno de los compartimentos de la zona de llegada tiene asignado un grupo con los permisos adecuados para gestionar recursos en el compartimento y para acceder a los recursos necesarios en otros compartimentos.

La zona de llegada V2 permite aprovisionar varias redes virtuales en la nube, ya sea en modo independiente o como partes constituyentes de una arquitectura de hub y Spoke. Las VCN pueden seguir una topología de red de tres niveles estándar de uso general orientada a topologías específicas, como el soporte de despliegues de Oracle Exadata Database Service. Están configurados de forma inmediata con el enrutamiento necesario, con las interfaces de entrada y salida protegidas correctamente.

La zona de llegada incluye varios servicios de seguridad preconfigurados que se pueden desplegar junto con la arquitectura general para una estrategia de seguridad sólida. Estos servicios son Oracle Cloud Guard, logs de flujo, el hub de conector de servicio de Oracle Cloud Infrastructure, el almacén con claves gestionadas por el cliente, Oracle Cloud Infrastructure Vulnerability Scanning Service, el bastión de Oracle Cloud Infrastructure y Oracle Security Zones. Las notificaciones se definen mediante temas y eventos para alertar a los administradores sobre los cambios en los recursos desplegados.

El siguiente diagrama ilustra esta arquitectura de referencia.

Descripción de la ilustración oci-cis-landingzone.png

oci-cis-landingzona-oracle.zip

La arquitectura tiene los siguientes componentes:

• Tenancy

  Un arrendamiento es una partición segura y aislada que Oracle configura en Oracle Cloud al registrarse en Oracle Cloud Infrastructure. Puede crear, organizar y administrar sus recursos en Oracle Cloud dentro de su arrendamiento. Un arrendamiento es sinónimo de una compañía u organización. Normalmente, una compañía tendrá un único arrendamiento y reflejará su estructura organizativa dentro de ese arrendamiento. Un único arrendamiento suele estar asociado a una única suscripción, y una única suscripción normalmente solo tiene un arrendamiento.

• Políticas

  Una política de Oracle Cloud Infrastructure Identity and Access Management especifica quién puede acceder a qué recursos y cómo. El acceso se otorga en el nivel de grupo y compartimento, lo que significa que puede escribir una política que proporcione a un grupo un tipo específico de acceso dentro de un compartimento específico o al arrendamiento.

• Compartimentos

  Los compartimentos son particiones lógicas entre regiones dentro de un arrendamiento de Oracle Cloud Infrastructure. Utilice compartimentos para organizar los recursos en Oracle Cloud, controlar el acceso a los recursos y definir cuotas de uso. Para controlar el acceso a los recursos de un compartimento determinado, debe definir políticas que especifiquen quién puede acceder a los recursos y qué acciones pueden realizar.

  Los recursos de esta plantilla de zona de llegada se aprovisionan en los siguientes compartimentos:

  • Compartimento delimitador recomendado que contiene todos los compartimentos enumerados a continuación.
  • Un compartimento de red para todos los recursos de red, incluidos los gateways de red necesarios.
  • Un compartimento de seguridad para los recursos de registro, gestión de claves y notificaciones.
  • compartimento de aplicación para los servicios relacionados con las aplicaciones, incluidos los recursos informáticos, el almacenamiento, las funciones, los flujos, los nodos de Kubernetes, el gateway de API, etc.
  • Compartimento de base de datos para todos los recursos de base de datos.
  • compartimento opcional para la infraestructura de Oracle Exadata Database Service.

  Los iconos atenuados del diagrama indican servicios que no están aprovisionados por la plantilla.

  Este diseño de compartimento refleja una estructura funcional básica observada en distintas organizaciones, donde las responsabilidades de TI suelen estar separadas entre los administradores de redes, seguridad, desarrollo de aplicaciones y bases de datos.

• Red virtual en la nube (VCN) y subredes

  Una VCN es una red personalizable y definida por software que se configura en una región de Oracle Cloud Infrastructure. Al igual que las redes de los centros de datos tradicionales, las redes virtuales le proporcionan el control de su entorno de red. Una VCN puede tener varios bloques de CIDR no superpuestos que puede cambiar después de crear la VCN. Puede segmentar una VCN en subredes, las cuales se pueden acotar a una región o a un dominio de disponibilidad. Cada subred está formada por un rango contiguo de direcciones que no se solapan con las demás subredes de la VCN. Puede cambiar el tamaño de una subred después de la creación. Una subred puede ser pública o privada.

  Por defecto, la plantilla despliega una VCN de tres niveles estándar de uso general con una subred pública y dos subredes privadas. Una subred pública se utiliza para los equilibradores de carga y los servidores bastión. Los niveles de aplicación y base de datos están asociados a subredes privadas independientes. La plantilla también puede crear redes virtuales en la nube para soportar el despliegue de cargas de trabajo específicas, como Oracle Exadata Database Service.

• Gateway de Internet

  El gateway de Internet permite el tráfico entre las subredes públicas de una VCN y la red pública de Internet.

• Gateway de enrutamiento dinámico (DRG)

  El DRG es un enrutador virtual que proporciona una ruta para el tráfico de red privada entre redes locales y redes virtuales en la nube y también se puede utilizar para enrutar el tráfico entre redes virtuales en la misma región o entre regiones.

• Gateway de NAT

  Un gateway de NAT permite que los recursos privados de una VCN accedan a hosts de Internet sin exponer dichos recursos a conexiones de Internet entrantes.

• Gateway de servicio

  El gateway de servicio proporciona acceso desde una VCN a otros servicios, como Oracle Cloud Infrastructure Object Storage. El tráfico de VCN a Oracle viaja por el tejido de red de Oracle y no por Internet.

• Red de servicios de Oracle

  Oracle Services Network (OSN) es una red conceptual de Oracle Cloud Infrastructure reservada para los servicios de Oracle. Estos servicios tienen direcciones IP públicas a las que puede acceder a través de Internet. Los hosts fuera de Oracle Cloud pueden acceder a OSN de forma privada mediante Oracle Cloud Infrastructure FastConnect o VPN Connect. Los hosts de las redes virtuales en la nube pueden acceder a OSN de forma privada mediante un gateway de servicio.

• Grupos de seguridad de red

  El grupo de seguridad de red (NSG) actúa como firewall virtual para sus recursos en la nube. Con el modelo de seguridad de confianza cero de Oracle Cloud Infrastructure, se niega todo el tráfico y puede controlar el tráfico de red dentro de una VCN. Un NSG está formado por un conjunto de reglas de seguridad de entrada y salida que se aplican solo a un conjunto especificado de VNIC en una única VCN.

• Eventos

  Los servicios de Oracle Cloud Infrastructure generan eventos, que son mensajes estructurados que describen los cambios en los recursos. Los eventos se emiten para operaciones de creación, lectura, actualización o supresión (CRUD), cambios de estado del ciclo de vida de los recursos y eventos del sistema que afectan a los recursos en la nube.

• Notifications

  El servicio Oracle Cloud Infrastructure Notifications transmite mensajes a componentes distribuidos a través de un patrón de publicación y suscripción, lo que permite que los mensajes dirigidos a aplicaciones alojadas en Oracle Cloud Infrastructure sean seguros, altamente fiables, duraderos y de baja latencia.

• Vault

  Oracle Cloud Infrastructure Vault permite gestionar de forma central las claves de cifrado que protegen los datos y las credenciales secretas que utiliza para proteger el acceso a los recursos en la nube. Puede utilizar el servicio Vault para crear y gestionar almacenes, claves y secretos.

• Logs
  El registro es un servicio altamente escalable y totalmente gestionado que proporciona acceso a los siguientes tipos de logs de sus recursos en la nube:

  • Logs de auditoría: logs relacionados con eventos emitidos por el servicio Audit.
  • Logs de servicios: logs emitidos por servicios individuales como API Gateway, eventos, funciones, equilibrio de carga, almacenamiento de objetos y logs de flujo de VCN.
  • Logs personalizados: logs que contienen información de diagnóstico de aplicaciones personalizadas, otros proveedores de nube o un entorno local.
• Conectores de servicio

  Oracle Cloud Infrastructure Service Connector Hub es una plataforma de autobuses de mensajes en la nube que organiza el movimiento de datos entre servicios de OCI. Puede utilizar conectores de servicio para mover datos de un servicio de origen a un servicio de destino. Los conectores de servicio también permiten especificar opcionalmente una tarea (como una función) que realizar en los datos antes de entregarlos al servicio de destino.

  Puede utilizar el hub de conector de servicio de Oracle Cloud Infrastructure para crear rápidamente un marco de agregación de registro para sistemas SIEM.

• Cloud Guard

  Oracle Cloud Guard le ayuda a lograr y mantener una estrategia de seguridad sólida en Oracle Cloud mediante el control del arrendamiento en busca de valores de configuración y acciones en los recursos que podrían plantear un problema de seguridad.

  Puede utilizar Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de debilidades de seguridad y para supervisar a los operadores y usuarios en busca de determinadas actividades de riesgo. Cuando se detecta cualquier actividad no segura o de configuración incorrecta, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, según las recetas de responsable de respuesta que pueda definir.

• Zona de seguridad

  Una zona de seguridad está asociada a uno o más compartimentos y una receta de zona de seguridad. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure (OCI) valida estas operaciones con respecto a la lista de políticas que están definidas en la receta de zona de seguridad. Si se infringe alguna política de zona de seguridad, se deniega la operación.

  Las zonas de seguridad garantizan que los recursos de OCI cumplan las políticas de seguridad, incluidos Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes y los recursos de base de datos.

• Servicio de análisis de vulnerabilidades

  El servicio de análisis de vulnerabilidades de Oracle Cloud Infrastructure ayuda a mejorar la estrategia de seguridad de Oracle Cloud comprobando de forma rutinaria las posibles vulnerabilidades de los puertos y los hosts. El servicio genera informes con métricas y detalles sobre estas vulnerabilidades.

• Servicio de bastión

  El servicio de bastión de Oracle Cloud Infrastructure proporciona acceso restringido desde direcciones IP específicas a recursos de OCI de destino que no tienen puntos finales públicos mediante sesiones de shell seguro (SSH) basadas en identidades, auditadas y con límite de tiempo.

• Almacenamiento de objetos

  El almacenamiento de objetos proporciona acceso rápido a grandes cantidades de datos estructurados y no estructurados de cualquier tipo de contenido, incluidas copias de seguridad de base de datos, datos analíticos y contenido rico, como imágenes y vídeos. Puede almacenar datos de forma segura y, a continuación, recuperarlos directamente desde Internet o desde la plataforma en la nube. Puede escalar el almacenamiento sin experimentar ninguna degradación en el rendimiento ni en la confiabilidad del servicio. Utilice el almacenamiento estándar para el almacenamiento de acceso frecuente al que debe acceder de forma rápida, inmediata y frecuente. Utilice el almacenamiento de archivo para el almacenamiento "frío" que conserva durante largos períodos de tiempo y a los que rara vez accede.

Recomendaciones

Utilice las siguientes recomendaciones como punto de partida para diseñar y configurar la seguridad de su entorno en la nube. Los requisitos pueden diferir de la arquitectura que se describe aquí.

• Configuración de red

  Para la VCN, seleccione un bloque de CIDR que no se solape con ninguna otra red (en Oracle Cloud Infrastructure, su centro de datos local u otro proveedor en la nube) a la que desee configurar conexiones privadas.

• Supervisión de seguridad

  Utilice Oracle Cloud Guard para supervisar y mantener la seguridad de los recursos en Oracle Cloud Infrastructure. Cloud Guard utiliza recetas de detector que puede definir para examinar los recursos en busca de debilidades de seguridad y para supervisar a los operadores y usuarios en busca de actividades de riesgo. Cuando se detecta cualquier actividad no segura o de configuración incorrecta, Cloud Guard recomienda acciones correctivas y ayuda a realizar esas acciones, según las recetas de responsable de respuesta que pueda definir.

• Provisionamiento Seguro de Recursos

  Para los recursos que requieren la máxima seguridad, utilice las zonas de seguridad. Una zona de seguridad es un compartimento asociado a una receta de políticas de seguridad definida por Oracle que se basa en las mejores prácticas. Por ejemplo, no se puede acceder a los recursos de una zona de seguridad desde la Internet pública y se deben cifrar con claves gestionadas por el cliente. Al crear y actualizar recursos en una zona de seguridad, Oracle Cloud Infrastructure validará las operaciones con respecto a las políticas de la receta de zona de seguridad y denegará las operaciones que violen cualquiera de las políticas.

Consideraciones

Al implementar esta arquitectura de referencia, tenga en cuenta los siguientes factores:

• Permisos de acceso

  La plantilla de zona de llegada puede aprovisionar recursos como administrador de arrendamiento (cualquier usuario que sea miembro del grupo Administradores) o como usuario con permisos más limitados. Consulte Explorar más para ver "Modos de despliegue para la zona de llegada de OCI de CIS".

  La plantilla de zona de llegada aprovisiona recursos como administrador de arrendamiento (cualquier usuario que sea miembro del grupo Administrators) e incluye políticas para permitir que grupos de administradores independientes gestionen cada compartimento después del aprovisionamiento inicial. Las políticas preconfiguradas no cubren todos los recursos posibles disponibles en OCI, es decir, se aplican a los recursos desplegados actualmente por la plantilla. Si agrega recursos a la plantilla de Terraform, debe definir las sentencias de política adicionales necesarias.

• Configuración de Red

  La red de zona de llegada se puede desplegar de distintas formas: con una a varias redes virtuales en la nube independientes o en una arquitectura de hub y spoke con el servicio V2 de DRG de Oracle Cloud Infrastructure. También es posible configurar la red sin conexión a Internet. Aunque la zona de llegada permite cambiar de ida y vuelta entre independiente y Hub & Spoke, es importante planificar un diseño específico, ya que pueden ser necesarias acciones manuales al cambiar.

• Personalización de la plantilla de zona de llegada

  La configuración de Terraform tiene un único módulo raíz y módulos individuales para aprovisionar los recursos. Este patrón modular permite una reutilización de código eficiente y consistente. Para agregar recursos a la configuración de Terraform, reutilice los módulos existentes, pero sustituya la variable específica por la configuración necesaria mediante los archivos de sustitución de Terraform. Por ejemplo, para agregar un nuevo compartimento, defina una nueva asignación de objetos de compartimento en el archivo override.tf con el mismo nombre que la asignación original de compartimentos. Para obtener más información, consulte Personalización de la zona de llegada.

• Guía de despliegue

  La Guía de despliegue de inicio rápido de zona de llegada de OCI CIS de GitHub proporciona orientación detallada sobre cómo configurar la zona de llegada de OCI CIS. Incluye escenarios de despliegue y pasos sobre cómo personalizar la zona de llegada.

Despliegue

El código de Terraform para esta solución está disponible en GitHub. Puede extraer el código en Oracle Cloud Infrastructure Resource Manager con un solo clic, crear la pila y desplegarla. También puede descargar el código de GitHub en su computadora, personalizar el código y desplegar la arquitectura mediante la CLI de Terraform.

• Realice el despliegue con la pila de ejemplo en Oracle Cloud Infrastructure Resource Manager:
  1. Vaya a

     Si aún no se ha conectado, introduzca las credenciales de arrendamiento y usuario.

  2. Seleccione la región en la que desea desplegar la pila.
  3. Siga las indicaciones e instrucciones en pantalla para crear la pila.
  4. Después de crear la pila, haga clic en Acciones de Terraform y seleccione Plan.
  5. Espere a que se complete el trabajo y revise el plan.

     Para realizar cambios, vuelva a la página Detalles de pila, haga clic en Editar pila y realice los cambios necesarios. A continuación, vuelva a ejecutar la acción Plan.

  6. Si no es necesario realizar más cambios, vuelva a la página Detalles de pila, haga clic en Acciones de Terraform y seleccione Aplicar.
• Realice el despliegue con el código de Terraform en GitHub:
  1. Vaya a GitHub.
  2. Descargue o clone el código en su computadora local.
  3. Siga las instrucciones del archivo LÉAME.

Explorar más

Obtenga más información sobre la configuración y el funcionamiento de un entorno seguro en Oracle Cloud.

• Marco de mejores prácticas para Oracle Cloud Infrastructure
• Lista de control de seguridad para Oracle Cloud Infrastructure
• Referencia de fundamentos de CIS de Oracle Cloud Infrastructure
• Guía de despliegue de inicio rápido de la zona de llegada de OCI CIS

Consulte las siguientes entradas del blog:

• Creación de una zona de llegada segura de varias regiones
• Plantilla de inicio rápido de zona de llegada segura de OCI, versión 2
• Modos de despliegue de zona de llegada segura de OCI
• Cómo desplegar la zona de llegada segura de OCI para Exadata Cloud Service

Log de Cambios

Este log muestra cambios significativos:

Mayo 16, 2024	Arquitectura actualizada para recomendar mediante un compartimento delimitador para los demás compartimentos. Consideraciones actualizadas para incluir la guía de despliegue de inicio rápido de la zona de llegada de OCI CIS. Se agregó un enlace al centro de la seguridad informática (CIS).
Mayo 2, 2023	Revisado el diagrama de arquitectura y el texto correspondiente. Se revisaron las siguientes secciones en Consideraciones: "Permisos de acceso" y "Personalización de la plantilla de zona de llegada". Se ha actualizado Desplegar. También puede desplegar directamente desde GitHub mediante el botón Desplegar en Oracle Cloud.
19 de octubre de 2021	Se ha revisado el diagrama de arquitectura y el texto para incluir el compartimento y el administrador opcionales de Oracle Exadata. Se ha mejorado el contenido de las secciones Arquitectura, Consideraciones y Despliegue.