Proteger Suas Cargas de Trabalho na Nuvem Usando Zonas de Segurança
Maximize a segurança de seus recursos de computação, rede e armazenamento na nuvem colocando-os em uma Zona de Segurança do Oracle Cloud Infrastructure.
O Oracle Cloud Infrastructure (OCI) oferece os melhores processos operacionais e tecnologia de segurança para proteger seus serviços de nuvem empresarial. Os clientes são responsáveis por proteger suas cargas de trabalho e configurar seus serviços e aplicativos com segurança para atender às suas obrigações de conformidade. O Oracle Security Zones pode ajudar com o modelo de responsabilidade compartilhada de segurança na nuvem das seguintes maneiras:
- Negar acesso público aos recursos do Oracle Cloud Infrastructure, como bancos de dados e buckets de armazenamento de objetos
- Imponha a política que exige que os recursos de armazenamento desanexados residam no mesmo compartimento seguro da instância de computação
- Criptografar recursos de armazenamento, como volumes em blocos, buckets de armazenamento de objetos e bancos de dados, com uma chave gerenciada pelo cliente
Arquitetura
Essa arquitetura de referência mostra uma arquitetura típica de três camadas que você pode usar para executar aplicativos com segurança, como aplicativos de comércio eletrônico. A persistência de dados é obtida usando um banco de dados Oracle Autonomous Transaction Processing. Os arquivos de mídia e imagem do aplicativo são armazenados no Oracle Cloud Infrastructure Object Storage.
O diagrama a seguir mostra uma arquitetura de compartimento básica.
A arquitetura tem as seguintes limitações de segurança:
- Armazenamento de objetos: O armazenamento de objetos não criptografado é exposto diretamente à internet.
- Banco de Dados: O banco de dados não é criptografado com chave gerenciada pelo cliente e pode ser exposto à internet com uma única alteração de configuração (endereço IP público).
- Compartimento: O compartimento não restringe a movimentação de dados, ativos, volumes dentro ou fora do ambiente.
- Máquinas virtuais: as VMs não usam volumes de inicialização ou armazenamento criptografados.
- Internet: As proteções de firewall de aplicativo web (WAF) não são fornecidas.
- Rede: Todos os recursos estão em um único plano e fornecem isolamento insuficiente.
O diagrama a seguir mostra uma arquitetura que aborda essas preocupações fornecendo um ambiente altamente seguro que isola várias redes spoke, cada uma representando uma camada de aplicativos, como web, aplicativo e banco de dados. Essa arquitetura funciona em ambientes específicos, como ambientes de produção, teste e desenvolvimento, e em diferentes infraestruturas, como região de nuvem, data center local e infraestruturas multicloud.
A arquitetura tem os seguintes componentes:
- Região
Região do Oracle Cloud Infrastructure é uma área geográfica localizada que contém um ou mais data centers, denominada domínios de disponibilidade. As regiões são independentes de outras regiões, e grandes distâncias podem separá-las (entre países ou até mesmo continentes).
- Domínio de disponibilidade
Domínios de disponibilidade são data centers stand-alone e independentes dentro de uma região. Os recursos físicos de cada domínio de disponibilidade são isolados dos recursos de outros domínios de disponibilidade, o que oferece tolerância a falhas. Os domínios de disponibilidade não compartilham infraestrutura como energia ou refrigeração ou a rede interna do domínio de disponibilidade. Portanto, uma falha em um domínio de disponibilidade não deve afetar os outros domínios de disponibilidade na região.
- Domínio de falha
Um domínio de falha é um agrupamento de hardware e infraestrutura dentro de um domínio de disponibilidade. Cada domínio de disponibilidade tem três domínios de falha com energia e hardware independentes. Quando você distribui recursos entre vários domínios de falha, seus aplicativos podem tolerar falha no servidor físico, manutenção do sistema e falhas de energia dentro de um domínio de falha.
- Compartimento
Os compartimentos são partições lógicas entre regiões em uma tenancy do Oracle Cloud Infrastructure. Use compartimentos para organizar, controlar o acesso e definir metas de uso para seus recursos do Oracle Cloud. Em um determinado compartimento, você define políticas que controlam o acesso e definem privilégios para recursos.
- Zona de segurança
As zonas de segurança garantem as melhores práticas de segurança da Oracle desde o início, impondo políticas, como criptografar dados e impedir o acesso público a redes de um compartimento inteiro. Uma zona de segurança está associada a um compartimento com o mesmo nome e inclui políticas de zona de segurança ou uma "receita" que se aplica ao compartimento e seus subcompartimentos. Não é possível adicionar ou mover um compartimento padrão para um compartimento de zona de segurança.
Nesse caso de uso, a zona de segurança aplica as seguintes políticas:
- Criptografe volumes de inicialização das instâncias de computação e dos buckets de armazenamento de objetos
- Impedir que os recursos de computação sejam acessados pela internet pública
- Criptografar recursos usando chaves gerenciadas pelo cliente
- Faça backup regular e automaticamente de todos os recursos
- Rede virtual na nuvem (VCN) e sub-redes
Uma VCN é uma rede personalizável definida por software que você configura em uma região do Oracle Cloud Infrastructure. Como as redes tradicionais de data center, as VCNs oferecem controle sobre seu ambiente de rede. Uma VCN pode ter vários blocos CIDR não sobrepostos que você pode alterar após a criação da VCN. Você pode segmentar uma VCN em sub-redes, com escopo definido para uma região ou para um domínio de disponibilidade. Cada sub-rede consiste em um intervalo contíguo de endereços que não se sobrepõem a outras sub-redes da VCN. Você pode alterar o tamanho de uma sub-rede após a criação. Uma sub-rede pode ser pública ou privada.
- Listas de segurança
Para cada sub-rede, você pode criar regras de segurança que especifiquem a origem, o destino e o tipo de tráfego que deve ser permitido dentro e fora da sub-rede.
- Balanceadores de carga
O serviço Oracle Cloud Infrastructure Load Balancing fornece distribuição automatizada de tráfego de um único ponto de entrada para vários servidores no back-end.
Essa arquitetura usa balanceadores de carga separados para os aplicativos do administrador e os aplicativos de autoatendimento, para maior segurança e separação de tráfego. Você pode fazer upgrade da forma do balanceador de carga, se necessário.
- Gateway de serviço
O gateway de serviço fornece acesso de uma VCN a outros serviços, como o Oracle Cloud Infrastructure Object Storage. O tráfego da VCN para o serviço Oracle percorre a malha da rede Oracle e não passa pela internet.
- LPG (Local peering gateway)
Um LPG permite parear uma VCN com outra VCN na mesma região. Pareamento significa que as VCNs se comunicam usando endereços IP privados, sem o tráfego que passa pela internet ou que é roteado pela sua rede local.
- Armazenamento de objetos
O serviço Oracle Cloud Infrastructure Object Storage oferece acesso rápido a grandes quantidades de dados estruturados e não estruturados de qualquer tipo de conteúdo, incluindo backups de bancos de dados, dados de análise e conteúdo avançado, como imagens e vídeos. Você pode armazenar de forma segura e depois recuperar dados diretamente da internet ou de dentro da plataforma da nuvem. Você pode dimensionar o armazenamento sem prejudicar o desempenho ou a confiabilidade do serviço. Use o armazenamento padrão para armazenamento de acesso frequente que você precisa para acessar de forma rápida, imediata e com frequência. Use o armazenamento de arquivos compactados para armazenamento "frio" que você mantém por longos períodos de tempo e raramente acessa.
- Computação
Com o Oracle Cloud Infrastructure Compute, você pode provisionar e gerenciar hosts de computação na nuvem. Você pode iniciar instâncias de computação com formas que atendam aos seus requisitos de recursos para CPU, memória, largura de banda de rede e armazenamento. Depois de criar uma instância de computação, você pode acessá-la com segurança, reiniciá-la, anexar e desconectar volumes e encerrá-la quando não precisar mais dela.
-
Firewall do Aplicativo Web
O Oracle Cloud Infrastructure Web Application Firewall (WAF) é um serviço de segurança global baseado na nuvem e compatível com o setor de cartões de pagamento (PCI) que protege aplicativos do tráfego malicioso e indesejado na internet. O WAF pode proteger qualquer ponto final voltado para a internet, fornecendo aplicação de regras consistente entre os aplicativos de um cliente.
Recomendações
Seus requisitos podem ser diferentes da arquitetura descrita aqui. Use as recomendações a seguir como ponto de partida.
- VCN
Ao criar uma VCN, determine o número de blocos CIDR necessários e o tamanho de cada bloco com base no número de recursos que você planeja anexar a sub-redes na VCN. Use blocos CIDR que estejam dentro do espaço de endereço IP privado padrão.
Selecione blocos CIDR que não se sobreponham a nenhuma outra rede (no Oracle Cloud Infrastructure, em seu data center local ou em outro provedor de nuvem) para a qual você pretende configurar conexões privadas.
Depois de criar uma VCN, você poderá alterar, adicionar e remover seus blocos CIDR.
Ao projetar as sub-redes, considere seus requisitos de fluxo de tráfego e segurança. Anexe todos os recursos dentro de uma camada ou atribuição específica à mesma sub-rede, que pode servir como um limite de segurança.
Usar sub-redes regionais.
- Zonas de Segurança
Para recursos que exigem segurança máxima, a Oracle recomenda o uso de zonas de segurança. Uma zona de segurança é um compartimento associado a uma receita de políticas de segurança definida pela Oracle baseada nas melhores práticas. Por exemplo, os recursos de uma zona de segurança não devem ser acessíveis por meio da internet pública e devem ser criptografados usando chaves gerenciadas pelo cliente. Quando você criar e atualizar recursos em uma zona de segurança, o Oracle Cloud Infrastructure validará as operações de acordo com as políticas na receita de zona de segurança e negará as operações que violam qualquer uma das políticas.
- Object Storage
Use o Oracle Cloud Infrastructure Object Storage para armazenar backups do banco de dados e outros dados.
Crie o armazenamento de objetos em um compartimento com Zonas de Segurança ativadas e defina sua visibilidade somente para privado. Essa configuração garante que o bucket do Object Storage siga as rígidas políticas de segurança das Zonas de Segurança.
Considerações
-
Disponibilidade
Algumas regiões oferecem vários domínios de disponibilidade, o que permite maior disponibilidade com maior redundância. Considere implementar sua solução de comércio eletrônico em vários domínios de disponibilidade para aproveitar essa redundância. Além disso, considere ter um plano de recuperação de desastres em outra região com a redundância apropriada.
- Custo
Use formas flexíveis para selecionar o número de CPUs e a quantidade de memória necessária para as cargas de trabalho executadas na instância. Essa flexibilidade permite que você crie VMs que correspondam à sua carga de trabalho, permitindo otimizar o desempenho e minimizar custos.
-
Monitoramento e Log
Configure o serviço Logging, o monitoramento e os alertas sobre o uso de CPU e memória para seus nós, para que você possa ampliar ou reduzir a forma conforme necessário.
Implante
O código do Terraform para implantar o aplicativo de amostra básica MuShop no Oracle Cloud Infrastructure usando zonas de segurança está disponível em GitHub.
- Vá para GitHub.
- Clone ou faça download do repositório para seu computador local.
- Siga as instruções no documento
README_MSZ.md
.