Implemente uma Zona de Destino Segura que Atenda ao CIS Foundation Benchmark para Oracle Cloud

Para executar suas cargas de trabalho no Oracle Cloud, você precisa de um ambiente seguro que possa operar com eficiência. Essa arquitetura de referência fornece um modelo de zona de destino baseado no Terraform certificado pelo CIS (Center for Internet Security) para atender à orientação de segurança prescrita no Benchmark do Oracle Cloud Infrastructure Foundations do CIS. Consulte https://www.cisecurity.org para obter a certificação.

Arquitetura

A arquitetura começa com o design do compartimento da tenancy, juntamente com grupos e políticas para segregação de responsabilidades. Na Zona de Destino, o provisionamento V2 dos compartimentos da Zona de Destino dentro de um compartimento pai designado é suportado. Cada um dos compartimentos da Zona de Destino recebe um grupo com as permissões apropriadas para gerenciar recursos no compartimento e acessar recursos necessários em outros compartimentos.

A Zona de Destino V2 permite provisionar várias VCNs, no modo independente ou como partes constituintes de uma arquitetura Hub e Spoke. As VCNs podem seguir uma topologia de rede de três camadas padrão para fins gerais ou orientadas a topologias específicas, como suporte a implantações do Oracle Exadata Database Service. Elas são configuradas com o roteamento necessário, com suas interfaces de entrada e saída devidamente protegidas.

A Zona de Destino inclui vários serviços de segurança pré-configurados que podem ser implantados em conjunto com a arquitetura geral para uma postura de segurança forte. Esses serviços são Oracle Cloud Guard, Logs de Fluxo, Oracle Cloud Infrastructure Service Connector Hub, Vault com chaves gerenciadas pelo cliente, Oracle Cloud Infrastructure Vulnerability Scanning Service, Oracle Cloud Infrastructure Bastion e Oracle Security Zones. As notificações são definidas usando Tópicos e Eventos para alertar os administradores sobre alterações nos recursos implantados.

O diagrama a seguir ilustra essa arquitetura de referência.

Descrição da ilustração oci-cis-landingzone.png

oci-cis-landingzone-oracle.zip

A arquitetura tem os seguintes componentes:

• Tenancy

  Uma tenancy é uma partição segura e isolada que a Oracle configura no Oracle Cloud quando você acessa o Oracle Cloud Infrastructure. Você pode criar, organizar e administrar seus recursos no Oracle Cloud em sua tenancy. Uma tenancy é sinônimo de uma empresa ou organização. Geralmente, uma empresa terá uma única tenancy e refletirá sua estrutura organizacional dentro dessa tenancy. Uma única tenancy geralmente está associada a uma única assinatura, e uma única assinatura geralmente só tem uma tenancy.

• Políticas

  Uma política do Oracle Cloud Infrastructure Identity and Access Management especifica quem pode acessar quais recursos e como. O acesso é concedido no nível de grupo e compartimento. Isso significa que você pode gravar uma política que dá a um grupo um tipo específico de acesso em um compartimento específico ou à tenancy.

• Compartimentos

  Compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar seus recursos no Oracle Cloud, controlar o acesso aos recursos e definir cotas de uso. Para controlar o acesso aos recursos em um determinado compartimento, você define políticas que especificam quem pode acessar os recursos e quais ações eles podem executar.

  Os recursos neste modelo de zona de destino são provisionados nos seguintes compartimentos:

  • Um compartimento delimitador recomendado contendo todos os compartimentos listados abaixo.
  • Um compartimento de Rede para todos os recursos de rede, incluindo os gateways de rede necessários.
  • Um compartimento de Segurança para os recursos de registro em log, gerenciamento de chaves e notificações.
  • Um compartimento Aplicativo para os serviços relacionados a aplicativos, incluindo computação, armazenamento, funções, streams, nós do Kubernetes, gateway de API etc.
  • Um compartimento do Banco de Dados para todos os recursos do banco de dados.
  • Um compartimento opcional para a infraestrutura do Oracle Exadata Database Service.

  Os ícones esmaecidos no diagrama indicam serviços que não são provisionados pelo modelo.

  Esse design de compartimento reflete uma estrutura funcional básica observada em diferentes organizações, nas quais as responsabilidades de TI geralmente são separadas entre redes, segurança, desenvolvimento de aplicativos e administradores de banco de dados.

• Rede virtual na nuvem (VCN) e sub-redes

  Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.

  Por padrão, o modelo implanta uma VCN de três camadas padrão de propósito geral com uma sub-rede pública e duas sub-redes privadas. Uma sub-rede pública é usada para os balanceadores de carga e servidores bastion. As camadas de aplicativo e banco de dados são anexadas a sub-redes privadas separadas. O modelo também pode criar VCNs para suportar a implantação de cargas de trabalho específicas, como o Oracle Exadata Database Service.

• Gateway de internet

  O gateway de internet permite tráfego entre as sub-redes públicas em uma VCN e a internet pública.

• Gateway de roteamento dinâmico (DRG)

  O DRG é um roteador virtual que fornece um caminho para o tráfego de rede privada entre as redes locais e as VCNs e também pode ser usado para rotear o tráfego entre as VCNs na mesma região ou entre regiões.

• Gateway NAT

  Um gateway NAT permite que recursos privados em uma VCN acessem hosts na internet, sem expor esses recursos a conexões de internet de entrada.

• Gateway de serviço

  O gateway de serviço fornece acesso de uma VCN a outros serviços, como o Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e não passa pela internet.

• rede de serviços Oracle

  O OSN (Oracle Services Network) é uma rede conceptual no Oracle Cloud Infrastructure reservada para os serviços Oracle. Esses serviços têm endereços IP públicos que você pode acessar pela internet. Os hosts fora do Oracle Cloud podem acessar o OSN de forma privada usando o Oracle Cloud Infrastructure FastConnect ou o VPN Connect. Os hosts em suas VCNs podem acessar o OSN de forma privada por meio de um gateway de serviço.

• Grupos de segurança de rede (NSGs)

  O NSG (Network Security Group) atua como um firewall virtual para seus recursos de nuvem. Com o modelo de segurança de confiança zero do Oracle Cloud Infrastructure, todo o tráfego é negado, e você pode controlar o tráfego de rede dentro de uma VCN. Um NSG consiste em um conjunto de regras de segurança de entrada e saída que se aplicam somente a um conjunto especificado de VNICs em uma única VCN.

• Eventos

  Oracle Cloud Infrastructure services emit events, which are structured messages that describe the changes in resources. Os eventos são emitidos para operações de criação, leitura, atualização ou exclusão (CRUD), alterações no estado do ciclo de vida do recurso e eventos do sistema que afetam os recursos da nuvem.

• Notifications

  O serviço Oracle Cloud Infrastructure Notifications transmite mensagens a componentes distribuídos por meio de um padrão de publicação/inscrição, entregando mensagens seguras, altamente confiáveis, de baixa latência e duráveis para aplicativos hospedados no Oracle Cloud Infrastructure.

• Vault

  O Oracle Cloud Infrastructure Vault permite que você gerencie centralmente as chaves de criptografia que protegem seus dados e as credenciais secretas usadas para proteger o acesso aos seus recursos na nuvem. Você pode usar o serviço Vault para criar e gerenciar vaults, chaves e segredos.

• Logs
  O registro em log é um serviço altamente escalável e totalmente gerenciado que oferece acesso aos seguintes tipos de logs de seus recursos na nuvem:

  • Logs de auditoria: Logs relacionados a eventos emitidos pelo serviço Audit.
  • Logs de serviço: Logs emitidos por serviços individuais, como logs de fluxo do serviço API Gateway, do serviço Events, do serviço Functions, do serviço Load Balancing, do serviço Object Storage e da VCN.
  • Logs personalizados: Logs que contêm informações de diagnóstico de aplicativos personalizados, outros provedores de nuvem ou um ambiente on-premises.
• Conectores de serviço

  O Oracle Cloud Infrastructure Service Connector Hub é uma plataforma de barramento de mensagens da nuvem que orquestra a movimentação de dados entre serviços no OCI. Você pode usar conectores de serviço para mover dados de um serviço de origem para um serviço de destino. Os conectores de serviço também permitem que você especifique opcionalmente uma tarefa (como uma função) a ser executada nos dados antes de serem entregues ao serviço de destino.

  Você pode usar o Oracle Cloud Infrastructure Service Connector Hub para criar rapidamente uma estrutura de agregação de log para sistemas SIEM.

• Cloud Guard

  O Oracle Cloud Guard ajuda você a obter e manter uma forte postura de segurança no Oracle Cloud monitorando a tenancy para definições de configuração e ações em recursos que possam representar um problema de segurança.

  Você pode usar o Oracle Cloud Guard para monitorar e manter a segurança de seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas de detector que você pode definir para examinar seus recursos quanto a pontos fracos de segurança e monitorar operadores e usuários para determinadas atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e ajuda a executar essas ações, com base em receitas do respondedor que você pode definir.

• Zona de segurança

  Uma zona de segurança está associada a um ou mais compartimentos e a uma receita de zona de segurança. Quando você criar e atualizar recursos em uma zona de segurança, o OCI (Oracle Cloud Infrastructure) validará essas operações com a lista de políticas definidas na receita da zona de segurança. Se qualquer política de zona de segurança for violada, a operação será negada.

  As zonas de segurança garantem que seus recursos do OCI estejam em conformidade com suas políticas de segurança, incluindo Oracle Cloud Infrastructure Compute, Oracle Cloud Infrastructure Networking, Oracle Cloud Infrastructure Object Storage, Oracle Cloud Infrastructure Block Volumes e recursos de Banco de Dados.

• Serviço de Verificação de Vulnerabilidades

  O Serviço de Verificação de Vulnerabilidade do Oracle Cloud Infrastructure ajuda a melhorar a postura de segurança no Oracle Cloud verificando regularmente se há vulnerabilidades potenciais nas portas e nos hosts. O serviço gera relatórios com métricas e detalhes sobre essas vulnerabilidades.

• Serviço Bastion

  O serviço Bastion do Oracle Cloud Infrastructure fornece acesso restrito de endereços IP específicos para recursos do OCI de destino que não têm pontos finais públicos usando sessões SSH (Secure Shell) baseadas em Identidade, auditadas e vinculadas a tempo.

• Object Storage

  O armazenamento de objetos fornece acesso rápido a grandes quantidades de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de bancos de dados, dados de análise e conteúdo avançado, como imagens e vídeos. Você pode armazenar de forma segura e depois recuperar dados diretamente da internet ou de dentro da plataforma da nuvem. Você pode dimensionar o armazenamento sem prejudicar o desempenho ou a confiabilidade do serviço. Use o armazenamento padrão para armazenamento de acesso frequente que você precisa para acessar rapidamente, imediatamente e com frequência. Use o armazenamento de arquivos compactados para armazenamento "frio" que você mantém por longos períodos de tempo e raramente acessa.

Recomendações

Use as recomendações a seguir como ponto de partida para projetar e configurar a segurança do seu ambiente de nuvem. Seus requisitos podem ser diferentes da arquitetura descrita aqui.

• Configuração de rede

  Para a VCN, selecione um bloco CIDR que não se sobreponha a nenhuma outra rede (no Oracle Cloud Infrastructure, seu data center local ou outro provedor de nuvem) à qual você pretende configurar conexões privadas.

• Monitorando a segurança

  Use o Oracle Cloud Guard para monitorar e manter a segurança dos seus recursos no Oracle Cloud Infrastructure. O Cloud Guard usa receitas de detector que você pode definir para examinar seus recursos quanto a pontos fracos de segurança e monitorar operadores e usuários em busca de atividades arriscadas. Quando qualquer configuração incorreta ou atividade insegura é detectada, o Cloud Guard recomenda ações corretivas e ajuda a executar essas ações, com base em receitas do respondedor que você pode definir.

• Provisionamento seguro de recursos

  Para recursos que exigem segurança máxima, use zonas de segurança. Uma zona de segurança é um compartimento associado a uma receita definida pela Oracle de políticas de segurança baseadas nas melhores práticas. Por exemplo, os recursos em uma zona de segurança não devem ser acessíveis por meio da internet pública e devem ser criptografados com chaves gerenciadas pelo cliente. Quando você criar e atualizar recursos em uma zona de segurança, o Oracle Cloud Infrastructure validará as operações de acordo com as políticas na receita de zona de segurança e negará as operações que violarem qualquer uma das políticas.

Considerações

Ao implementar essa arquitetura de referência, considere os seguintes fatores:

• Permissões de acesso

  O modelo de Zona de Destino pode provisionar recursos como o administrador da tenancy (qualquer usuário que seja membro do grupo Administradores) ou como um usuário com permissões mais restritas. Consulte Explore mais para "Modos de Implantação para Zona de Destino do CIS OCI".

  O modelo de Zona de Destino provisiona recursos como administrador da tenancy (qualquer usuário que seja membro do grupo Administrators) e inclui políticas para permitir que grupos de administradores separados gerenciem cada compartimento após o provisionamento inicial. As políticas pré-configuradas não abrangem todos os recursos possíveis disponíveis no OCI, ou seja, são aplicáveis aos recursos implantados atualmente pelo modelo. Se você adicionar recursos ao modelo do Terraform, deverá definir as instruções de política adicionais necessárias.

• Configuração de Rede

  A rede da Zona de Destino pode ser implantada de diferentes maneiras: com uma ou várias VCNs independentes ou em uma arquitetura Hub & Spoke com o serviço V2 do Oracle Cloud Infrastructure DRG. Também é possível configurar a rede sem conectividade com a Internet. Embora a Zona de Destino permita alternar entre autônomo e Hub & Spoke, é importante planejar um design específico, pois ações manuais podem ser necessárias ao alternar.

• Personalizando o Modelo de Zona de Destino

  A configuração do Terraform tem um único módulo raiz e módulos individuais para provisionar os recursos. Esse padrão modular permite uma reutilização de código eficiente e consistente. Para adicionar recursos à configuração do Terraform, reutilize os módulos existentes, mas substitua a variável específica pela configuração necessária usando arquivos de substituição do Terraform. Por exemplo, para adicionar um novo compartimento, defina um novo mapa de objetos de compartimento no arquivo override.tf com o mesmo nome do mapa original de compartimentos. Para obter mais detalhes, consulte Personalizando a Zona de Destino.

• Guia de Implantação

  O OCI CIS Landing Zone Quick Start Deployment Guide em GitHub fornece orientação detalhada sobre como configurar a Zona de Destino do OCI CIS. Ele inclui cenários de implantação e etapas sobre como personalizar a Zona de Destino.

Implante

O código do Terraform para esta solução está disponível em GitHub. Você pode extrair o código para o Oracle Cloud Infrastructure Resource Manager com um único clique, criar a pilha e implantá-la. Como alternativa, faça download do código de GitHub para seu computador, personalize o código e implante a arquitetura usando a CLI do Terraform.

• Implante usando a pilha de amostra no Oracle Cloud Infrastructure Resource Manager:
  1. Vá para

     Se você ainda não tiver acessado, informe as credenciais da tenancy e do usuário.

  2. Selecione a região na qual deseja implantar a pilha.
  3. Siga os prompts na tela e as instruções para criar a pilha.
  4. Depois de criar a pilha, clique em Ações do Terraform e selecione Planejar.
  5. Aguarde a conclusão do job e revise o plano.

     Para fazer alterações, retorne à página Detalhes da Pilha, clique em Editar Pilha e faça as alterações necessárias. Em seguida, execute a ação Planejar novamente.

  6. Se nenhuma outra alteração for necessária, retorne à página Detalhes da Pilha, clique em Ações do Terraform e selecione Aplicar.
• Implante usando o código do Terraform em GitHub:
  1. Vá para GitHub.
  2. Faça download ou clone o código no seu computador local.
  3. Siga as instruções no LEIAME.

Explorar Mais

Saiba mais sobre como configurar e operar um ambiente seguro no Oracle Cloud.

• Framework de melhores práticas do Oracle Cloud Infrastructure
• Lista de verificação de segurança do Oracle Cloud Infrastructure
• Benchmark do CIS Oracle Cloud Infrastructure Foundations
• Guia de Implantação do OCI CIS Landing Zone Quick Start

Veja os seguintes posts no blog:

• Criando uma Zona de Destino Segura de Várias Regiões
• Modelo de Início Rápido da Zona de Destino Segura do OCI, Versão 2
• Modos de Implantação da Zona de Destino Segura do OCI
• Como Implantar a Zona de Destino Segura do OCI para o Exadata Cloud Service

Alterar Log

Este log lista alterações significativas:

16 de maio de 2024	Arquitetura atualizada para recomendar o uso de um compartimento delimitador para os outros compartimentos. Considerações Atualizadas para incluir o OCI CIS Landing Zone Quick Start Deployment Guide. Adicionado um link para o Centro de Segurança da Internet (CIS).
2 de maio de 2023	Revisou o diagrama de arquitetura e o texto correspondente. As seções a seguir foram revisadas em Considerações: "Permissões de acesso" e "Personalizando o Modelo de Zona de Destino". Implantar atualizado. Você também pode implantar diretamente de GitHub usando o botão Implantar no Oracle Cloud.
19 de outubro de 2021	Revisou o diagrama e o texto da arquitetura para incluir o compartimento e o administrador opcionais do Oracle Exadata. Melhorou o conteúdo nas seções Arquitetura, Considerações e Implantação.