Documentação do Oracle Cloud Infrastructure

OCI Core Landing Zone

O uso de zonas de destino é uma prática recomendada geralmente aceita para adoção da nuvem. Independentemente de sua organização ser pequena ou grande, você pode se beneficiar começando com um ambiente seguro e escalável com base na arquitetura de referência da Oracle Cloud Infrastructure (OCI).

O objetivo das zonas de destino é ajudar as organizações a obter cargas de trabalho críticas para os negócios com sucesso e eficiência. Todos os componentes básicos de tecnologia são cobertos, incluindo identidade, rede, armazenamento, computação e segurança. Todos os projetos comprovados de infraestrutura como código (IaC) são automatizados no processo de implantação e podem ser provisionados com um único clique.

A Zona de Destino do OCI Core unifica as iniciativas da Zona de Destino do Oracle Enterprise Landing Zone (OELZ) e do Centro de Segurança da Internet (CIS). Essa zona de destino fornece uma arquitetura de referência que pode ajudá-lo a obter maior agilidade, escalabilidade e segurança em ambientes de nuvem. Ele foi criado com base na estrutura da Zona de Destino da OCI, com base em uma arquitetura modular, que permite implementar e dimensionar a infraestrutura em nuvem de forma rápida e fácil. Ele também inclui as melhores práticas de segurança e conformidade, aplicando o CIS OCI Foundations Benchmark v2.0 para ajudar você a começar com uma forte postura de segurança e dar suporte às suas metas de conformidade.

Arquitetura

A arquitetura da zona de destino começa com o design de compartimentos para sua tenancy, além da criação de grupos e políticas para ajudar a garantir a segregação adequada de tarefas. Ele provisiona compartimentos dentro de um compartimento pai designado para todos os seus principais serviços de infraestrutura, permitindo que suas equipes gerenciem recursos do OCI com mais eficiência. Cada compartimento da zona de destino recebe um grupo de administradores específico, que recebe as permissões necessárias para gerenciar recursos dentro do compartimento e acessar recursos em outros compartimentos.

Esse design também suporta o provisionamento de várias Redes Virtuais na Nuvem (VCNs), seja como redes autônomas ou como raios em uma arquitetura hub e spoke. As VCNs podem ser configuradas para implantar uma VCN hub, até uma topologia de VCN de rede de três camadas, ou podem ser personalizadas para casos de uso específicos, como suporte a implantações do Oracle Exadata Database Service ou do Oracle Kubernetes Engine (OKE). Prontas para uso, as VCNs são pré-configuradas com o roteamento apropriado e interfaces de entrada e saída seguras.

A Zona de Destino do OCI Core inclui vários serviços de segurança pré-configurados que oferecem suporte aos Benchmarks do OCI CIS que são implantados e integrados como parte da arquitetura geral, garantindo uma postura de segurança robusta. Esses serviços de segurança nativos do OCI incluem Cloud Guard, Logs de Fluxo, Connector Hub, Vault, Vulnerability Scanning Service, Bastion e Security Zones. Os administradores podem configurar notificações usando tópicos e eventos para se manterem informados sobre alterações nos recursos implantados.

O diagrama a seguir mostra a arquitetura de referência da Zona de Destino Principal do OCI.

Diagrama mostrando a arquitetura simplificada da Zona de Destino do OCI Core

A Zona de Destino do OCI Core é composta por um conjunto de módulos projetados para serem flexíveis, fáceis de usar e úteis para alinhar as implementações do cliente com as recomendações do CIS OCI Foundations Benchmark.

Serviço Identity and Access Management

O OCI Identity and Access Management (IAM) é usado para gerenciar e controlar o acesso aos recursos de nuvem em sua tenancy. A zona de destino cria automaticamente grupos e políticas do IAM para controlar o acesso aos recursos provisionados em seu ambiente e para dar suporte à segregação de responsabilidades e aos requisitos do RBAC (Role-Based Access Control, Controle de Acesso Baseado em Atribuição). Além disso, você tem a opção de federar com o Microsoft Active Directory da sua organização para integração perfeita com seu provedor de identidades de terceiros existente (IdP). Há vários módulos do IAM, incluindo Compartimentos, Políticas, Grupos, Grupos Dinâmicos e Domínios de Identidade. Para obter mais informações, consulte o repositório GitHub, Módulos do OCI Landing Zones IAM.

As políticas do OCI IAM definem quem pode acessar recursos específicos e o nível de acesso que eles recebem. O acesso é gerenciado no nível do grupo e do compartimento, permitindo que você crie políticas que designem permissões específicas a um grupo em um compartimento ou em toda a tenancy. Compartimentos são partições lógicas dentro de uma tenancy do OCI. Eles são usados para organizar recursos, gerenciar acesso e impor cotas de uso. Para controlar o acesso a recursos em um compartimento, você cria políticas que especificam quais usuários ou grupos podem acessar os recursos e quais ações eles têm permissão para executar. Esse design de compartimento segue uma estrutura organizacional comum, em que as responsabilidades de TI geralmente são divididas entre equipes de rede, segurança, desenvolvimento de aplicativos e administração de banco de dados.

Os recursos neste modelo de zona de destino são provisionados nos seguintes compartimentos:

  • Compartimento de Inclusão: Um compartimento pai recomendado que contém todos os outros compartimentos listados abaixo dele.
  • Compartimento de Rede: Contém todos os recursos de rede, incluindo gateways de rede necessários, VCNs de carga de trabalho e uma opção de hub e spoke.
  • Compartimento de Segurança: abriga recursos relacionados a registro em log, gerenciamento de chaves, verificação de vulnerabilidades, bastion e notificações.
  • Compartimento do Aplicativo: Inclui serviços relacionados ao aplicativo, como computação, armazenamento, funções, streams, nós do Kubernetes, gateway de API e muito mais.
  • Compartimento do Banco de Dados: Dedicado a recursos de banco de dados.
  • Compartimento Exadata (Opcional): Um compartimento para provisionar a infraestrutura do Oracle Exadata Database Service.

Redes

Você pode configurar a Zona de Destino do OCI Core para implantar os seguintes recursos de rede:

  • VCN: Uma rede personalizável e definida por software na OCI que oferece controle total sobre seu ambiente de rede, semelhante às redes tradicionais do data center. Uma VCN pode ter vários blocos CIDR não sobrepostos, que podem ser modificados após a criação. Você pode segmentar ainda mais uma VCN em sub-redes, com escopo definido para uma região ou domínio de disponibilidade. Cada sub-rede tem uma faixa contígua de endereços IP que não se sobrepõe a outras sub-redes na mesma VCN. O tamanho de uma sub-rede pode ser ajustado após a criação, e as sub-redes podem ser públicas ou privadas.

    A Zona de Destino do OCI Core pode ser configurada para implantar até 10 VCNs:

    • 3 VCNs de três camadas
    • 3 VCNs do Exadata Cloud Infrastructure
    • 3 VCNs do OKE
    • 1 VCN hub

    Essas VCNs podem ser implantadas como redes standalone ou pareadas. Por padrão, nenhuma VCNs é provisionada, a menos que seja selecionada.

  • Gateway de Internet: Permite o tráfego entre sub-redes públicas em uma VCN e a internet pública.

  • Gateway de Roteamento Dinâmico (DRG): Roteador virtual que facilita o tráfego de rede privada entre redes on-premises e VCNs. Ele também pode rotear o tráfego entre VCNs na mesma região ou em diferentes regiões.
  • Gateway NAT: Permite que recursos privados em uma VCN iniciem conexões de saída com a internet sem expor esses recursos ao tráfego de entrada da internet.
  • Gateway de Serviço: Fornece acesso de uma VCN aos serviços do OCI, como o Object Storage. O tráfego da VCN para esses serviços flui pela malha de rede da Oracle, evitando a internet pública.
  • Oracle Services Network (OSN): Rede dedicada na OCI para serviços Oracle, que têm endereços IP públicos acessíveis pela internet. Hosts fora do OCI podem acessar o OSN de forma privada por meio do OCI FastConnect ou do VPN Connect. Os hosts da sua VCN podem acessar o OSN de forma privada por meio de um gateway de serviço.
  • Grupos de Segurança de Rede (NSGs): Atua como um firewall virtual para seus recursos de nuvem. Seguindo o modelo de segurança de confiança zero do OCI, todo o tráfego é negado por padrão e você pode controlar o fluxo de tráfego dentro de uma VCN. Um NSG consiste em um conjunto de regras de entrada e saída aplicadas a um conjunto específico de placas de interface de rede virtual (VNICs) em uma VCN.
  • Zero Trust Packet Routing (ZPR): Impede o acesso não autorizado a dados gerenciando a política de segurança de rede separadamente da arquitetura de rede. O ZPR usa uma linguagem de política baseada em intenção amigável para definir caminhos de acesso permitidos para dados. Qualquer padrão de tráfego não definido explicitamente pela política não pode atravessar a rede, o que simplifica a proteção de dados e impede a exfiltração de dados. Por padrão, ZPR não está ativado e requer configuração.

Segurança

Por padrão, a Zona de Destino do OCI Core é configurada para implantar os seguintes serviços de segurança nativos da nuvem para oferecer suporte ao CIS OCI Benchmark e fornecer uma postura de segurança robusta.

  • Cloud Guard: Serviço nativo da nuvem projetado para ajudar você a monitorar, identificar e manter uma forte postura de segurança no Oracle Cloud. O serviço examina continuamente seus recursos da OCI em busca de pontos fracos de segurança relacionados à configuração e monitora operadores e usuários em busca de atividades arriscadas. Usando receitas de detector personalizáveis, o Cloud Guard identifica configurações incorretas e possíveis ameaças de segurança e, quando detectado, pode recomendar ações corretivas ou ajudar a implementá-las por meio de receitas predefinidas do respondedor. Isso permite que você gerencie proativamente a segurança de seus recursos e mantenha a conformidade com as melhores práticas.
  • Zona de Segurança: Associada a um ou mais compartimentos e a uma receita de zona de segurança. Quando os recursos são criados ou modificados dentro de uma zona de segurança, o OCI valida a operação com base nas políticas de segurança definidas na receita das zonas. Se qualquer política for violada, a operação será negada. As zonas de segurança ajudam a garantir que seus recursos do OCI atendam aos requisitos de segurança da sua organização em serviços como Computação, Rede, Armazenamento de Objetos, Volume em Blocos e Banco de Dados.
  • Serviço de Verificação de Vulnerabilidade: Ajuda a melhorar a segurança verificando regularmente portas e hosts em busca de vulnerabilidades. O serviço gera relatórios detalhados, incluindo métricas e insights sobre vulnerabilidades identificadas, ajudando você a lidar proativamente com os riscos de segurança.
  • Vault: Permite gerenciar centralmente chaves de criptografia que protegem seus dados, além das credenciais secretas usadas para proteger o acesso aos seus recursos de nuvem. Com o serviço Vault, você pode criar e gerenciar vaults, chaves de criptografia e segredos.
  • Bastion: Fornece acesso seguro e controlado a recursos do OCI que não têm pontos finais públicos. Ele permite sessões SSH com base na identidade, com restrições de endereço IP específicas e acesso limitado por tempo. Todas as atividades são auditadas, garantindo acesso remoto seguro e rastreável a recursos críticos.

Observabilidade

A Zona de Destino do OCI Core está configurada para usar os seguintes serviços do OCI para observabilidade:

  • Logging: Serviço altamente escalável e totalmente gerenciado que fornece acesso a logs de seus recursos de nuvem. Ele permite exibir, gerenciar e analisar logs em sua tenancy, incluindo informações críticas de diagnóstico sobre desempenho e acesso de recursos. O serviço suporta os seguintes tipos de logs:
    • Logs de Auditoria: Registros de eventos emitidos pelo serviço OCI Audit.
    • Logs de Serviço: Logs gerados por serviços nativos do OCI, como logs de fluxo de API Gateway, Events, Functions, Load Balancer, Object Storage e VCN.
    • Logs Personalizados: Logs de aplicativos personalizados, provedores de nuvem de terceiros ou ambientes on-premises, fornecendo detalhes de diagnóstico adicionais.
  • Eventos: Mensagens estruturadas emitidas por serviços do OCI que descrevem alterações nos recursos. Esses eventos podem corresponder a operações de criação, leitura, atualização ou exclusão (CRUD), alterações de estado do ciclo de vida do recurso ou eventos do sistema que afetam os recursos da nuvem.
  • Notifications: Transmite mensagens seguras, altamente confiáveis, de baixa latência e duráveis a componentes distribuídos usando um padrão publicar-inscrever. Ele entrega mensagens para aplicativos hospedados no OCI e externamente e pode ser usado para notificá-lo quando alarmes, conectores de serviço ou regras de evento forem acionados.
  • Connector Hub: Plataforma de barramento de mensagens baseada na nuvem que orquestra a movimentação de dados entre serviços na nuvem. Ele fornece um único painel de controle para definir, executar e monitorar transferências de dados, permitindo mover dados de um serviço de origem para um serviço de destino. Além disso, o Connector Hub permite especificar tarefas, como chamar uma função, para processar os dados antes da entrega ao serviço de destino. Isso facilita a criação de uma estrutura de agregação de logs para sistemas de monitoramento de eventos e informações de segurança (SIEM).
  • Armazenamento de Objetos: permite que você gerencie dados como objetos dentro de contêineres, fornecendo acesso rápido a grandes quantidades de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de bancos de dados, dados de análise e rich media, como imagens e vídeos. Você pode armazenar e recuperar dados com segurança da internet e dentro da plataforma de nuvem, com a capacidade de dimensionar o armazenamento sem sacrificar o desempenho ou a confiabilidade. Use o Armazenamento Padrão para dados "quentes" acessados com frequência que exigem recuperação rápida e imediata, e o Armazenamento de Arquivos Compactados para dados "frios" que raramente são acessados, mas retidos para armazenamento de longo prazo.

Recomendações

Como Implantar a Zona de Destino Principal do OCI

Use as diretrizes a seguir como base para projetar e configurar a segurança do seu ambiente de nuvem. Considere que seus requisitos específicos podem diferir da arquitetura descrita aqui.

  • Configuração de Rede: ao selecionar um bloco CIDR para sua VCN, certifique-se de que ele não se sobreponha a nenhuma outra rede (seja no OCI, no data center local ou em outro provedor de nuvem) com a qual você planeja estabelecer conexões privadas.
  • Monitorando a Segurança: Use o Cloud Guard para monitorar e manter a segurança de seus recursos no OCI. O Cloud Guard emprega receitas de detector personalizáveis para identificar pontos fracos de segurança em seus recursos e rastrear atividades arriscadas por operadores e usuários. Quando um problema de configuração incorreta ou segurança é detectado, o Cloud Guard fornece recomendações para ações corretivas e pode ajudar a implementá-las usando receitas predefinidas do respondedor.
  • Provisionamento Seguro de Recursos: Para recursos que exigem o mais alto nível de segurança, use zonas de segurança. Uma zona de segurança é um compartimento associado a um conjunto de políticas definido pela Oracle com base nas melhores práticas de segurança. Por exemplo, recursos em uma zona de segurança devem estar inacessíveis a partir da internet pública e devem ser criptografados com chaves gerenciadas pelo cliente. O OCI valida a criação e as atualizações de recursos dentro de uma zona de segurança em relação a essas políticas, negando automaticamente quaisquer operações que as violem.

Considerações

Ao implementar a Zona de Destino Principal do OCI, considere as seguintes informações:

  • Permissões de acesso: Durante o provisionamento inicial, a zona de destino pode criar recursos com privilégios de administrador da tenancy. Ele inclui políticas pré-configuradas que permitem que grupos de administradores separados gerenciem cada compartimento após a configuração inicial. No entanto, essas políticas são limitadas aos recursos implantados pelo modelo e não abrangem todos os recursos de nuvem em potencial. Se você adicionar novos recursos ao modelo do Terraform, precisará definir instruções de política adicionais para conceder as permissões de acesso necessárias.
  • Configuração de Rede: A rede da zona de destino pode ser implantada de diferentes maneiras: com uma a várias VCNs independentes ou em uma arquitetura hub e spoke. Também é possível configurar a rede sem conectividade com a Internet.
  • Guia de Implantação: O Guia de Implantação da Zona de Destino do OCI Core em GitHub fornece orientação detalhada sobre como configurar a Zona de Destino do OCI Core. Ele inclui cenários de implantação e etapas sobre como personalizar a Zona de Destino.

Implantação

O código do Terraform para esta solução está disponível em GitHub. Você pode importar o código para o OCI Resource Manager com um único clique, criar a pilha e implantar a zona de destino. Como alternativa, você pode fazer download do código para sua máquina local, personalizá-lo e implantar a arquitetura com a CLI do Terraform.

Implantar Usando a Pilha de Amostra no Resource Manager

Selecione Implantar no OCI para abrir o Resource Manager na Console do OCI e criar uma pilha.

Se você ainda não tiver acessado a Console, informe a tenancy e as credenciais do usuário.

  1. Selecione a região na qual você deseja implantar a pilha.
  2. Siga os prompts na tela e as instruções para criar a pilha.
  3. Após criar a pilha, clique em Ações do Terraform e selecione Planejar.
  4. Aguarde a conclusão do job e revise o plano.
  5. Para fazer qualquer alteração, retorne à página Detalhes da pilha, clique em Editar Pilha e faça as alterações necessárias. Em seguida, execute a ação Planejar novamente.
  6. Se nenhuma alteração adicional for necessária, retorne à página Detalhes da pilha, clique em Ações do Terraform e selecione Aplicar.

Implantar Usando o Código do Terraform em GitHub

  1. Vá para GitHub.
  2. Faça download ou clone o código no seu computador local.
  3. Siga as instruções em LEIAME.

Observação: A OCI oferece seus serviços de nuvem em todas as suas regiões de nuvem pública e regiões de nuvem dedicada. No entanto, certos serviços especializados ou emergentes estão disponíveis apenas em regiões selecionadas. Para obter mais informações, consulte Disponibilidade de Serviço.