部署符合 Oracle Cloud CIS 基礎基準的安全登陸區

若要在 Oracle Cloud 中執行您的工作負載，您需要一個可以有效率地運作的安全環境。此參考架構提供經 Center for Internet Security (CIS) 認證的 Terraform 登陸區域範本，以符合 CIS Oracle Cloud Infrastructure Foundations Benchmark 中規定的安全指南。請參閱 https://www.cisecurity.org 以取得認證。

架構

此架構從租用戶的區間設計開始，以及職責劃分的群組和原則。 在登陸區 V2 中，支援在指定的父項區間中佈建登陸區間。每個登陸區間都會被指派一個群組，該群組具有適當的權限，可管理區間中的資源，以及存取其他區間中的必要資源。

登陸區 V2 能夠以獨立模式或作為 Hub 和 Spoke 架構的組成部分佈建多個 VCN。VCN 可以遵循一般用途標準三層網路拓樸，或導向至特定拓樸 (例如支援 Oracle Exadata Database Service 部署)。系統會以必要的路由來立即配置這些路由，並正確保護其內送和外送介面。

登陸區包含各種預先設定的安全性服務，可與整體架構一起部署，以實現強大的安全性狀態。這些服務包括 Oracle Cloud Guard、流程日誌、Oracle Cloud Infrastructure Service Connector Hub、內含客戶管理金鑰的保存庫、Oracle Cloud Infrastructure Vulnerability Scanning Service、Oracle Cloud Infrastructure 堡壘主機以及 Oracle Security Zones。使用「主題」和「事件」設定通知，提醒管理員已部署資源中的變更。

下圖說明此參照架構。

oci-cis-landingzone.png 圖解描述

oci-cis-landingzone-oracle.zip 語言

此架構具有下列元件：

• Tenancy

  租用戶是 Oracle 在您註冊 Oracle Cloud Infrastructure 時在 Oracle Cloud 內設定的安全隔離分割區。您可以在您租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常，公司會有單一租用戶，並反映該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯，而單一訂閱通常只有一個租用戶。

• 原則

  Oracle Cloud Infrastructure Identity and Access Management 原則指定誰可以存取哪些資源以及存取方式。存取權是在群組和區間層次授予，這表示您可以編寫原則，讓群組在特定區間或租用戶中擁有特定類型的存取權。

• 區間

  區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織 Oracle Cloud 中的資源、控制對資源的存取，以及設定使用配額。若要控制對指定區間中資源的存取，您必須定義原則，指定誰可以存取資源及其可執行的動作。

  此著陸區域樣板中的資源會在下列區間中佈建：

  • 包含下方列出之所有區間的建議內含區間。
  • 適用於所有網路資源 (包括必要網路閘道) 的網路區間。
  • 記錄日誌、金鑰管理以及通知資源的安全區間。
  • 應用程式相關服務的 App 區間，包括運算、儲存、函數、串流、Kubernetes 節點、API 閘道等等。
  • 所有資料庫資源的資料庫區間。
  • Oracle Exadata Database Service 基礎架構的選擇性區間。

  圖表中的灰色圖示代表樣板未啟動設定的服務。

  此區間設計反映了跨不同組織觀察到的基本功能結構，其中 IT 職責通常在網路、安全性、應用程式開發及資料庫管理員之間分開。

• 虛擬雲端網路 (VCN) 和子網路

  VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路一樣，VCN 也可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊，您可以在建立 VCN 之後加以變更。您可以將 VCN 分割成子網路，子網路可以限定為區域或可用性網域。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用或專用。

  依照預設，樣板會以一個公用子網路和兩個專用子網路部署一般用途標準三層 VCN。公用子網路用於負載平衡器和堡壘主機伺服器。應用程式和資料庫層會連附至個別的專用子網路。此樣板也可以建立 VCN 來支援部署特定工作負載，例如 Oracle Exadata Database Service 。

• 網際網路閘道

  網際網路閘道允許 VCN 中公用子網路與公用網際網路之間的流量。

• 動態路由閘道 (DRG)

  DRG 是一個虛擬路由器，為內部部署網路與 VCN 之間的專用網路流量提供路徑，也可用於在相同區域或跨區域的 VCN 之間路由流量。

• NAT 閘道

  NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機，而不會將這些資源暴露給內送網際網路連線。

• 服務閘道

  服務閘道可讓您從 VCN 存取其他服務，例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送，而不會周遊網際網路。

• Oracle Services Network

  Oracle Services Network (OSN) 是 Oracle Cloud Infrastructure 中專為 Oracle 服務保留的概念性網路。這些服務具有可透過網際網路連線的公用 IP 位址。Oracle Cloud 外部的主機可以使用 Oracle Cloud Infrastructure FastConnect 或 VPN Connect 以私密方式存取 OSN。您 VCN 中的主機可以透過服務閘道以私密方式存取 OSN。

• 網路安全群組 (NSG)

  網路安全群組 (NSG) 可作為雲端資源的虛擬防火牆。透過 Oracle Cloud Infrastructure 的零信任安全模型，所有流量都會被拒絕，您可以控制 VCN 內的網路流量。NSG 包含一組僅適用於單一 VCN 中一組指定 VNIC 的輸入和輸出安全規則。

• 事件

  Oracle Cloud Infrastructure 服務會發出事件，這些事件是描述資源變更的結構化訊息。系統會發出事件來建立、讀取、更新或刪除 (CRUD) 作業、資源週期狀態變更，以及影響雲端資源的系統事件。

• 通知

  Oracle Cloud Infrastructure Notifications 服務會透過發布 / 訂閱模式，將訊息廣播至分散式元件，為 Oracle Cloud Infrastructure 上代管的應用程式提供安全、極為可靠、低延遲和持久的訊息。

• 保存庫

  Oracle Cloud Infrastructure Vault 可讓您集中管理加密金鑰，以保護您的資料，以及用於保護對雲端資源存取安全性的秘密憑證。您可以使用保存庫服務來建立及管理保存庫、金鑰以及加密密碼。

• 日誌
  日誌記錄是一種可高度擴展且完全受管理的服務，可讓您從雲端資源存取下列類型的日誌：

  • 稽核日誌：與稽核服務所發出之事件相關的日誌。
  • 服務日誌：由個別服務 (例如 API 閘道、事件、函數、負載平衡、物件儲存以及 VCN 流量日誌) 所發出的日誌。
  • 自訂日誌：包含自訂應用程式、其他雲端提供者或內部部署環境之診斷資訊的日誌。
• 服務連線器

  Oracle Cloud Infrastructure Service Connector Hub 是一個雲端訊息匯流排平台，可協調 OCI 中服務之間的資料移動。您可以使用服務連線器將資料從來源服務移至目標服務。服務連接器也可讓您選擇性地指定要在資料上執行的工作 (例如函數)，然後再傳遞到目標服務。

  您可以使用 Oracle Cloud Infrastructure Service Connector Hub 快速為 SIEM 系統建置記錄彙總架構。

• 雲端保全

  Oracle Cloud Guard 透過監控租用戶的組態設定和可能造成安全問題的資源動作，協助您在 Oracle Cloud 中達成並維持強大的安全狀態。

  您可以使用 Oracle Cloud Guard 來監控及維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方，您可以定義這些處方來檢查資源是否有安全漏洞，以及監控操作員和使用者是否有危險的活動。偵測到任何組態錯誤或不安全的活動時，Cloud Guard 會建議更正動作，並根據您可以定義的回應器處方協助採取這些動作。

• 安全區域

  安全區域與一或多個區間和安全區域處方關聯。當您在安全區域中建立及更新資源時，Oracle Cloud Infrastructure (OCI) 會根據安全區域處方中定義的原則清單來驗證這些作業。如果違反任何安全區域原則，則會拒絕作業。

  安全區域可確保您的 OCI 資源符合您的安全原則，包括 Oracle Cloud Infrastructure Compute 、Oracle Cloud Infrastructure Networking 、Oracle Cloud Infrastructure Object Storage 、Oracle Cloud Infrastructure Block Volumes 和資料庫資源。

• 漏洞掃描服務

  Oracle Cloud Infrastructure 漏洞掃描服務透過定期檢查連接埠和主機是否有潛在的漏洞，協助改善 Oracle Cloud 中的安全性狀態。此服務會產生含有這些漏洞之度量和詳細資訊的報表。

• 堡壘主機服務

  Oracle Cloud Infrastructure 堡壘主機服務使用身分識別型、經過稽核且受時間限制的安全 Shell (SSH) 階段作業，提供從特定 IP 位址到目標 OCI 資源的限制存取。

• 物件儲存

  物件儲存可讓您快速存取各種內容類型的大量結構化和非結構化資料，包括資料庫備份、分析資料，以及豐富的內容 (例如影像和影片)。您可以安全地儲存資料，然後直接從網際網路或雲端平台內擷取資料。您可以擴展儲存體，而不會發生任何效能或服務可靠性的降低。針對快速、立即且經常存取的「熱」儲存體，使用標準儲存體。將封存儲存用於保留很長一段時間、極少或極少存取的「冷」儲存。

建議

使用下列建議作為設計並設定雲端環境安全性的起點。您的需求可能與此處描述的架構不同。

• 網路組態

  對於 VCN，請選取 CIDR 區塊，此區塊不會與您要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure 中、企業內部部署資料中心或其他雲端提供者) 重疊。

• 安全監督

  使用 Oracle Cloud Guard 監控及維護 Oracle Cloud Infrastructure 中資源的安全性。Cloud Guard 使用偵測器處方，您可以定義這些處方來檢查資源是否有安全漏洞，以及監控操作員和使用者是否有危險的活動。偵測到任何組態錯誤或不安全的活動時，Cloud Guard 會建議更正動作，並根據您可以定義的回應器處方協助採取這些動作。

• 保護資源配置

  對於需要最高安全性的資源，請使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則處方關聯的區間。舉例來說，安全區域中的資源不得從公用網際網路存取，而必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時，Oracle Cloud Infrastructure 會根據安全區域處方中的原則驗證作業，並拒絕違反任何原則的作業。

注意事項

實行此參照架構時，請考量下列因素：

• 存取權限

  「登陸區」範本可佈建資源作為租用戶管理員 (任何身為「管理員」群組成員的使用者) 或權限較小的使用者。請參閱深入瞭解，瞭解「CIS OCI 登陸區的部署模式」。

  「登陸區」樣板會以租用戶管理員身分 (任何身為 Administrators 群組成員的使用者) 佈建資源，並包括允許個別管理員群組在初始佈建之後管理每個區間的原則。預先設定的原則並不涵蓋 OCI 中可用的所有可能資源，亦即適用於樣板目前部署的資源。如果您將資源新增至 Terraform 樣板，就必須定義必要的額外原則敘述句。

• 網路組態

  著陸區網路可以不同的方式部署：使用一到多個獨立 VCN，或使用 Oracle Cloud Infrastructure DRG V2 服務的 Hub & Spoke 架構。也可在沒有網際網路連線的情況下配置網路。雖然「登陸區」允許在獨立與 Hub & Spoke 之間來回切換，但請務必規劃特定設計，因為切換時可能需要手動動作。

• 自訂登陸區範本

  Terraform 組態具備單一根模組和個別模組，可啟動設定資源。這個模組化樣式可以有效率且一致地重複使用程式碼。若要將資源新增至 Terraform 組態，請重複使用現有模組，但使用 Terraform 的覆寫檔案，以必要的組態覆寫特定變數。例如，若要新增區間，請在 override.tf 檔案中定義與區間原始對應相同名稱的區間物件新對應。如需詳細資訊，請參閱自訂登陸區。

• 建置指南

  GitHub 中的 OCI CIS Landing Zone Quick Start Deployment Guide 提供有關如何設定 OCI CIS Landing Zone 的詳細指導。其中包含如何自訂「登陸區」的部署案例和步驟。

部署

此解決方案的 Terraform 程式碼可從 GitHub 取得。只要按一下，即可將程式碼提取至 Oracle Cloud Infrastructure Resource Manager ，建立堆疊並進行部署。或者，將程式碼從 GitHub 下載至電腦、自訂程式碼，以及使用 Terraform CLI 部署架構。

• 使用 Oracle Cloud Infrastructure Resource Manager 中的範例堆疊進行部署：
  1. 前往

     如果您尚未登入，請輸入租用戶和使用者證明資料。

  2. 選取您要在其中部署堆疊的區域。
  3. 依照畫面上的提示和指示建立堆疊。
  4. 建立堆疊之後，按一下 Terraform 動作，然後選取計畫。
  5. 等待工作完成，然後複查計畫。

     若要進行任何變更，請返回「堆疊詳細資訊」頁面，按一下編輯堆疊，然後進行必要的變更。然後，再次執行計畫 (Plan) 動作。

  6. 如果不需要進一步的變更，請返回「堆疊詳細資訊」頁面，按一下 Terraform 動作，然後選取套用。
• 使用 GitHub 中的 Terraform 程式碼進行部署：
  1. 請前往 GitHub 。
  2. 下載程式碼或複製到本機電腦。
  3. 請依照 README 中的指示。

探索更多

深入瞭解如何在 Oracle Cloud 中設定及操作安全的環境。

• Oracle Cloud Infrastructure 的最佳做法架構
• Oracle Cloud Infrastructure 的安全檢查清單
• CIS Oracle Cloud Infrastructure 基礎基準
• OCI CIS Landing Zone Quick Start Deployment Guide

請參閱以下部落格文章：

• 建立安全的多區域登陸區
• OCI Secure Landing Zone 快速入門範本，版本 2
• OCI 安全登陸區部署模式
• 如何部署適用於 Exadata Cloud Service 的 OCI 安全登陸區

變更日誌

此日誌列出重大變更：

五月 16，2024	已更新架構，建議您在其他區間使用內含區間。 包含 OCI CIS 登陸區快速入門部署指南的已更新考量。 已新增 Internet Security Center (CIS) 的連結。
五月 2，2023	修訂架構圖與對應的文字。 已修訂考量中的下列區段：「存取權限」與「自訂登陸區範本」。 已更新建置。您也可以使用部署至 Oracle Cloud 按鈕，直接從 GitHub 進行部署。
2021 年 10 月 19 日	修訂架構圖和文字，以包含選用的 Oracle Exadata 區間和管理員。 增強「架構」、「考量」和「部署」區段中的內容。