1. 建立基本的 Oracle Cloud Infrastructure 监管模型
  2. 工作负载监管生命周期

工作负载监管生命周期

工作量监管涉及到使用治理模型设计监管的工作量和与工作量关联的各种特征。工作量监管在以下四个阶段取得进展:

  • 工作量范围和评估:确定特定于相关工作量的资源、流程、预算和安全要求的范围。
  • 工作负载监管设计和部署:跨特定于安全、监管和预算的学科确定特定于工作负载的保护范围。
  • 入门工作负载:工作负载已进入环境中,并且实施了相应的监管范围
  • 工作量监管监视和离职:根据工作量定义的生命周期对资产进行离职

范围和评估工作量

首先,对于将新工作负载部署到 OCI 的团队,您必须在关口和审查流程中确定工作负载范围。

范围确保有足够的业务驱动因素和赞助,并保证适当的护栏可以安全地适应新的工作负载。根据工作负载的敏感性和业务关键程度,评估工作负载以确定它是否需要监管以及它需要多少监管。

设计工作负载监管

使用在初始评估中获得的数据设计租户以进行负载监管。

您可以评估工作量,并根据特定问题的答案制定决策,并确定所需的组织成果。首先是您在基线治理期间设置的区间结构。

工作量监管的设计过程遵循类似于基线治理的治理模型。下面是设计工作负载监管所涉及的一些思考过程示例。

下面是 oci-resource-organization-workflow.png 的说明
插图 oci-resource-organization-workflow.png 的说明

组织工作量资源

您最初需要根据区间结构、地理位置和网络隔离的要求来组织资源负载。

为设计区间结构,请考虑这些问题答案。

  1. 工作负载是否需要管理隔离?
    • 是:为您的工作负载资源创建新区间
    • 否:将工作负载区间与现有区间共享
  2. 您的工作负载是否具有 HIPAA 或 FedRamp 等特殊合规性要求?
    • 是:创建安全区域区间
  3. 工作负载是否具有生命周期环境?
    • 是:创建单独的产品区间和非产品区间

选择工作量地理位置时,请考虑这些问题答案。

  1. 您的目标受众位于何处?
    • 选择靠近目标受众的区域
  2. 如何分离生产和灾难恢复的工作负载?
    • 在指定的生产和灾难恢复区域中拆分生产和灾难恢复工作负荷
  3. 工作负载是否需要与其他工作负载的连接?
    • 是:在同一区域中创建工作负载

为确定工作负载网络隔离,请考虑这些问题答案。

  1. 工作负载是否具有任何相关服务或负载?
    • 是:在其他子网中共享 VCN
  2. 工作负载是否具有高度敏感的数据?
    • 是:创建单独的 VCN 并将相关服务 VCN 配对
  3. 工作负载是否需要与内部部署负载的连接?
    • 是:创建 Fastconnect 设置或者与设置了 FastConnect 的 VCN 共享动态路由网关 (DRG)
  4. 工作负载是否使用原生 OCI 服务?
    • 是:在负载 VCN 中创建服务网关

管理工作量成本

管理工作负载成本包括跟踪和控制成本,以避免因资源使用量不佳而超支。您可以制定决策,在设置负载时节省成本,并根据预算跟踪使用情况,并根据在区间中组织工作负载的方式来控制成本。

下面是 oci-cost-management-workflow.png 的说明
插图 oci-cost-management-workflow.png 的说明

成本跟踪包括设置预算并根据资源使用情况分析成本。通过在 OCI 控制台的“监管”部分设置限制、限额和使用情况,创建预算并设置预警规则,以便在支出接近预算时通知管理人员或管理员。

当提醒您预算接近的支出时,您可以根据以下问题的答案设置成本控制措施:

  1. 工作负载是否共享现有区间?
    • 是:更新区间限额以容纳任何其他资源
  2. 工作负载是否在新区间中创建?
    • 是:在新区间中创建资源限额
  3. 您当前的服务是否限制了公司的业务需求?
    • 是:重新评估现有服务限制并更新限制以适应其他资源

监管访问

管理访问需要以下步骤:

  • 身份设置
  • 身份联盟
  • 管理组和 IAM 策略
  • 特权账户管理 (PAM)
下面是 oci-access-governance-workflow.png 的说明
插图 oci-access-governance-workflow.png 的说明

您可以通过创建特定于工作负载的管理组,然后为工作负载管理员创建 IAM 策略来实施访问监管。您还可以为工作量特权用户实施 PAM 验证。

如果您具有特定于工作负载的身份要求,请执行以下操作:

  • 预配任何特定于工作负载的用户
  • 实施特定于工作负载的身份联盟
  • 实施特定于工作负载的 MFA 要求

保护工作负载

保护您的负载对于防止关键客户数据发生恶意活动和可疑事件至关重要。您可以执行以下步骤来实施工作量安全性:

  • 启用 Cloud Guard
  • 启用漏洞扫描服务
  • 设置通知以监控可疑事件并创建通知规则

安全数据

下面是 oci-data-security-workflow.png 的说明
插图 oci-data-security-workflow.png 的说明

要保护关键客户数据,需要在实施过程中采取安全措施,确保客户数据安全并在数据丢失时可恢复。您可以执行以下步骤来保护客户数据:

  • 对不同类型的数据进行分类
    • 创建定义的标记以基于敏感性对数据进行分类
    • 监视对敏感数据的创建、读取、更新和删除 (CRUD) 操作
  • 确定静态数据和传输中数据的数据加密要求
    • 对于静态数据,请创建并使用客户管理的密钥来加密负载数据
    • 对于传输中的数据,请执行以下操作:
      1. 为面向外部的工作负载配置 WAF 策略
      2. 为每个工作负载接口创建和配置 CA 签名证书
    • 设置数据备份和归档生命周期策略
  • 制定数据备份和存档策略计划

部署负载

确定特定于新工作负载的监管控制后,您可以执行以下操作之一:

  • 使用 Terraform 进行编码
  • 使用 OCI 命令行界面
  • 使用 OCI 控制台实施更改

监视、支持和离职工作负载

为审计目的设置监视和日志记录的工作负载是实施云实施可观察性的关键。按照以下步骤在云实施中实施可观察性。

  • 启用工作负载监视和预警
  • 将审计日志与 SIEM 解决方案集成
  • 启用服务和定制日志以设置日志记录分析或 SIEM

您可以继续利用 Cloud Guard 和其他安全控制来监视与负载相关的 OCI 控制层的风险配置。

利用偏差检测确保在工作负载的区间中部署的内容与在 DevSecOps 管道中定义的内容保持一致。使用 DevSecOps 管道停用工作负载时离线资源。

您可以从浏览更多部分中链接的 Oracle Cloud Marketplace 安装和使用 OCI 成本监管和绩效洞察解决方案应用程序。