1. Oracle Cloud Infrastructure 的安全性檢查清單
  2. 瞭解 Oracle Cloud Infrastructure 中的安全性

瞭解 Oracle Cloud Infrastructure 中的安全性

您的應用系統需要可靠、高效能且符合所有安全性、資料保護以及規範需求的成本效益雲端解決方案。Oracle Cloud 是以最先進的安全技術和作業程序建立的基礎,可讓您運用不相符的安全性來完整控制。

您可以使用此文件來瞭解 Oracle Cloud Infrastructure 的安全設計原則,以及瞭解共用安全模型。複查您可以用來為關鍵企業應用程式與現代化雲端原生工作負載建置最安全的雲端拓樸的各種安全控制。

本文件中所含的核對清單會與安全性與規範的最佳做法對齊,如 Oracle Cloud Infrastructure 的最佳實務架構中所述。

安全產品組

Oracle Cloud Infrastructure 中的安全是以七個核心產品組為基礎。每個支援組都包括多個解決方案,設計成最大化平台的安全性和規範。

  1. 客戶隔離:將您在雲端中的應用程式、資料和資源與其他用戶和 Oracle 隔離。
  2. 資料加密:使用安全控制保護您的資料,並符合您的安全性和相容性需求。
  3. 安全控制:透過管理您服務的存取權並區分營運責任,降低與惡意及意外使用者作業相關的風險。
  4. 可見性:透過全方位的日誌和安全監控解決方案來稽核及監控資源的動作,以最小化安全性和操作風險。
  5. 全混合雲:存取雲端資源及保護資料和應用程式資產時,請使用您現有的安全資產 (例如使用者帳戶、原則和第三方安全方案)。
  6. 高可用性:藉利用與網路攻擊相同的容錯資料中心,確保工作負載的一致性。
  7. 驗證式安全基礎架構:在可驗證的安全基礎架構上執行關鍵業務的工作負載,此基礎架構在開發和作業的所有階段實行嚴格的處理作業和安全控制。

    Oracle Cloud Infrastructure 服務符合各式各樣的標準和需求,包括 FedRAMP、FIPS 140-2、GDPR、HIPAA、PCI DSS 及 SOC 1 /2/3。如需相容性證明與證明的完整清單,請參閱 Oracle Cloud 相容性

下圖顯示構成七個核心安全產品組的主要 Oracle Cloud Infrastructure 服務和功能:


安全產品組- png.png 的描述請參見下方
Security product lars-png.png 圖解描述

設計原則

套用下列設計原則,以便在 Oracle Cloud Infrastructure 中安全地建置、操作及使用您的應用程式:

  • 瞭解並實行 Oracle Cloud Infrastructure 的安全服務和功能。請參閱安全服務和功能
  • 瞭解共用安全性職責模型。請參閱下一節。
  • 實行最低權限原則與職責分隔。

    儘可能限制權限。使用者應該僅授予執行其工作所需的存取權。定期複查使用者權限以判斷與目前工作需求的關聯性。

  • 實行多層安全機制。
  • 保護靜態和傳輸中的資料。
  • 監督及回應安全事件。

    監督系統活動。建立應存取哪些系統元件、頻率以及監督這些元件的使用者。

  • 請保持最新的安全警示、修正程式以及軟體更新。

    Oracle 會定期發出與安全相關的修正程式更新和安全警示。儘快安裝所有的安全修正程式。請參閱重要修正程式更新、安全性警示和電子佈告欄

  • 導入安全相關的最佳實務。請參閱安全最佳作法

共用的安全模型

Oracle 採用了最佳的企業級安全技術和作業處理作業,保護雲端服務。若要在 Oracle Cloud 中安全地部署工作負載,您必須注意安全性和規範責任。

Oracle 可確保雲端基礎架構與作業的安全性,例如雲端操作員存取控制與基礎架構安全修正。您需負責設定雲端資源的安全性。下圖說明共用安全性職責模型:


Security-model-png.png 的描述如下
Security-model-png.png 圖解描述

Oracle 僅負責處理每個區域中可用性網域及容錯域的實體安全性之所有方面。Oracle 和您都負責硬體、軟體以及相關邏輯組態和控制項的基礎架構安全性。

身為客戶,您的安全性職責涵蓋下列項目:
  • 您在 Oracle Cloud 上建立的平台。
  • 您部署的應用程式。
  • 儲存和使用的資料。
  • 您工作負載的整體治理、風險及安全性。
共用職責會延伸至不同的網域,包括識別管理、存取控制、工作負載安全性、資料分類與相容性、基礎架構安全性,以及網路安全性。
  • 身分識別與存取管理 (IAM)

    保護您的雲端存取證明資料,並設定個別使用者帳戶。管理與複查自己的員工帳戶與租用戶所有活動的存取權限。

    Oracle 提供必要的 IAM 服務,例如識別管理、認證、授權以及稽核。

  • 工作負載安全

    Oracle 提供已降低的安全映像檔並包括最新的修正程式。Oracle 簡單易用來提供現在使用的相同第三方安全解決方案。

    啟動設定運算執行處理之後,就可以保護並保護作業系統和應用程式層,避免遭受攻擊並受損。其中包括修正應用程式和作業系統,確保作業系統組態是安全的,並且將應用程式保護為不安全的軟體和網路攻擊。您可以使用作業系統管理服務,管理運算執行處理之作業系統環境的更新和修正程式。請參閱作業系統管理

  • 資料類別與規範

    適當地分類並標示資料,以滿足安全性與規範的需求。稽核並監督您的部署項目,以確保其繼續符合您的資料相容性義務。

  • 主機基礎架構安全

    安全地設定及管理您的運算資源 (虛擬機器、裸機執行處理和容器)、儲存體資源 (物件儲存體、本機儲存體以及區塊磁碟區) 以及資料庫服務。

    Oracle 會共用此職責以確保服務設定最佳與安全。此職責包含虛擬機器管理程式的安全性。它可以擴充以設定讓主機正確通訊以及要安全連附和掛載之儲存體裝置所需的權限和網路存取控制。

  • 網路安全

    安全地設定網路元素,例如虛擬網路、負載平衡、DNS 及閘道。

    Oracle 可確保網路基礎架構的安全性。

  • 從屬端與端點保護

    您的使用者可能會使用各種硬體和軟體系統 (例如行動裝置和瀏覽器) 來存取您的雲端資源。確定您允許存取 Oracle Cloud Infrastructure 服務之所有從屬端和端點的安全。

  • 實體安全性

    Oracle 可保護用來執行 Oracle Cloud Infrastructure 服務的全域實體基礎架構 (硬體、軟體、網路和設備)。