1. 了解 Oracle 欧盟主权云
  2. 关于 OCI 体系结构和最佳实践

关于 OCI 体系结构和最佳实践

欧盟主权云为 OCI 客户提供了以下独特功能:

  • 通过服务保护和数据复制提供数据保护
  • 通过虚拟网络访问模型
  • 通过 IAM 实现的安全模型
  • 审计合规性建模和监管

这些模型中的每个模型都提供了彻底提取的特定机制,为客户提供了增强云环境主权的功能。

数据保护

从以下几个不同角度接近欧盟主权云中的数据保护:

  • 访问:限制对数据的访问,以防止未经授权的使用。
  • 欧盟内部数据复制:在两个不同的物理位置(区域)中建立数据的副本,同时保留在欧盟的边界内。
  • 复制路径不会离开欧盟:区域之间的复制连接完全包含在欧盟主权云区域之间的数据传输中 - 欧盟主权云区域之间的复制连接发生在为欧盟主权云建立的专用主干中,并且在运输过程中不会离开欧盟。
  • 本地加密密钥:数据存储和加密由欧盟主权云生成的密钥在欧盟内部维护,或者由客户提供的密钥管理。客户提供的密钥存储在实际位于欧盟内部的密钥管理服务 (Key Management Service,KMS) 中,并且完全由客户控制。
  • 本地证书颁发机构:通过 OCI 证书服务,租户可以执行与证书颁发和管理关联的所有操作。这包括导入第三方根证书颁发机构 (CA),可以在欧盟主权云内内部分配给资源,而无需遍历互联网。然后,这些证书可以应用于 SSL 和用于在站点之间建立强有力的本地可验证的加密。

数据保护入门

要开始使用数据保护方法,请执行以下操作:

  • 使用 Oracle Cloud Stacks 在两个欧盟主权云数据区域构建标准化基础设施。
  • 使用动态路由网关 (Dynamic Routing Gateway,DRG) 为基础设施构建跨区域链路,以便安全地将区域网络连接在一起。
  • 使用数据卫士、对象存储跨区域复制和基于应用的复制工具在两个站点之间建立复制,以保护在欧盟主权云中托管的数据。
  • 在欧盟主权云内构建 OCI Vault,以获得关键密钥和密钥,并将 Vault 复制到第二个数据区域。
  • 将证书上载到 OCI 证书服务并使用服务端点进行证书加载和验证。

将数据复制到其他位置

确保数据保护的最常见策略之一是使用热/热点站点将数据复制到另一个位置以实现长期存储。

理想情况下,复制通过与源尽可能直接的链接进行,并且可用于数据保护和站点间通信以优化链路成本。就欧盟而言,数据链路本身不应有允许数据离开欧盟的路径。


下面是 mad-fra-region.png 的说明
插图 mad-fra-region.png

mad-fra-region-oracle.zip

欧盟主权云提供数据保护机制和 OCI 服务,可帮助您满足数据复制和传输要求。Oracle 已建立具有服务奇偶校验的欧盟主权云数据区域,可用于镜像存储和应用的实施。存储和应用可以通过专用干线链路复制到其他欧盟主权云数据区域,并且可以放心地相信这些功能和可用服务是相同的。此专用干线还用于欧盟主权云区域之间的管理流量,并且大量带宽可用于欧盟主权云中的租户使用。在所有情况下,流经此主干的客户数据流量都与不属于欧盟主权云的其他领域和区域隔离。

加密数据

数据加密和/或用于特定系统中各种用途的加密密钥的存储也是数据保护策略的关键方面。Oracle 提供了本地化的 KMS 解决方案,该解决方案维护可用于欧盟主权云内数据存储加密的密钥,并存储可以以编程方式检索的密钥,以便在应用或实例级数据加密机制中使用。

OCI Vault 服务提供此功能。Vault 可以作为基于多租户软件的 KMS 实施,也可以作为专用 HSM 模块实施。在任一情况下,Vault 都位于欧盟主权云领域内,并且 Oracle 无法访问存储在软件 Vault 或专用 HSM 中的密钥或密钥。数据加密活动也仅位于欧盟主权云内,每个区域都维护自己的独立 Vault 实施。OCI Vault 支持的关键加密算法包括高级加密标准 (Advanced Encryption Standard,AES)、Rivest-Shamir-Adleman (RSA) 算法和椭圆曲线数字签名算法 (ECDSA)。客户可以创建和使用 AES 对称密钥和 RSA 非对称密钥进行加密和解密,或者使用 RSA 或 ECDSA 非对称密钥对数字消息进行签名。

加密与数据使用者的连接

同样重要的是,不仅要考虑对静态数据进行加密,还要考虑对数据使用者的连接进行加密,特别是通过 HTTPS 等协议进行加密。

在许多情况下,x.509 证书通过外部源或通过生成本地证书供内部使用的专用服务器进行处理。欧盟主权云提供 OCI 证书服务,支持客户为内部和外部应用创建本地证书,导入第三方认证包进行分发,以及管理服务中安装的认证,例如密钥轮换。可以从完全位于欧盟主权云中的中心服务执行与证书管理(添加、轮换、删除等)关联的所有任务。

与 OCI 负载平衡器集成

通过与 OCI 负载平衡器服务集成,客户可以将 OCI 证书颁发或管理的 TLS 证书与需要证书的资源无缝关联。未与证书服务集成的应用程序或服务器可以提供 API 结构来检索租户 IAM 策略认为合适的证书。通过将证书集中于基于欧盟的权威来源,可以在本地管理证书并确保欧盟主权云中的客户可以在欧盟内部实现加密本地化。

访问模型

已内置到 OCI 体系结构中的机制还使欧盟主权云能够提供有效的网络数据包过滤、访问控制、定向连接,并最终有效限制对已部署资源和应用程序的访问,仅限于位于欧盟的网络地址。

访问模型入门

要快速开始实施访问模型,请执行以下操作:

  • 使用深度防御方法实施虚拟云网络 (VCN) 设计。仅当需要外部访问时才使用 VCN 中的公共子网。
  • 构建 DMZ 以使用公共和专用子网过滤流量。
  • 使用 OCI 网络防火墙 (Network Firewalls,NFW) 服务控制和监视对关键子网(包括所有公共子网)的访问。
  • 为每个子网构建安全列表以限制子网内部访问。
  • 在每个实例/端点实施网络安全组 (NSG),以严格控制访问源。
  • 定期启用 VCN 流日志以审计流量。
  • 实施 OCI 域名系统 (Domain Name System,DNS),以控制地址解析并过滤不希望出现的 DNS 域,而不影响接受的域。
  • 使用点连接(例如 FastConnect 和 CPE 配置)建立不使用公共 Internet 的管理回程。

使用安全列表、网络安全组和网络防火墙

网络防火墙 (Network Firewall,NFW)、安全列表 (Security Lists,SL) 和网络安全组 (Network Security Groups,NSG) 等原生 OCI 服务的功能与虚拟云网络 (Virtual Cloud Network,VCN) 流日志结合使用,提供了强大的机制来防止和检测来自非欧盟源点的访问。

确保特定于欧盟的公共 IP 地址范围可以访问资源的主要方法之一是结合使用 SL、NSG 和 NFW。在后台,对连接到 OCI 子网的实例/资源的所有访问默认情况下都是“全部拒绝”。此策略还可防止同一子网上的实例相互通信。必须明确授予访问权限,才能按特定子网中的资源或 VCN 中的子网之间的资源启动和响应连接。完成此操作的主要方法是通过 SL。这些是允许的连接的子网级定义,可以按协议、端口和 CIDR 范围指定。超出所定义范围的连接将被无提示地删除。NSG 完成了一些相同的任务,但在虚拟 NIC (virtual NIC,VNIC) 层应用,而不是整个子网。通过组合使用 SL 和 NSG,欧盟主权云客户可以创建限制资源访问区域,仅接受来自指定欧盟公共 IP 范围的地址。如果客户将这些限制扩展到单个资源(例如负载平衡器、计算实例、堡垒等),则可以实施有针对性的访问模式来满足组织的需求。最后,NSG 和 SL 是双向的,这意味着内部和外部连接规则可以彼此独立建立。使用此功能,即使通过设计或因入站规则配置错误而建立入站连接,仍需要允许外部连接才能建立完整会话。

向 VCN 上的资源实施“前门”

欧盟主权云还提供基于 Palo Alto 的网络防火墙服务,允许实施各种服务和限制,作为 VCN 上找到资源的“前门”,例如:

  • 有状态网络过滤

    有状态网络过滤会创建有状态网络过滤规则,这些规则允许或拒绝基于源 IP(IPv4 和 IPv6)、目标 IP(IPv4 和 IPv6)、端口和协议的网络通信。

  • 定制 URL 和 FQDN 筛选

    定制 URL 和 FQDN 过滤将入站和出站流量限制在指定的全限定域名 (Fully Qualified Domain Name,FQDN) 列表中,包括通配符和定制 URL。

  • 入侵检测和预防 (IDPS)

    入侵检测和预防 (Intrusion Detection and Protection,IDPS) 可监视您的网络中是否有恶意活动,并阻止可疑网络流量到达内部网络。

  • SSL 检查

    SSL 检查对 TLS 加密的通信进行解密并检查是否存在 ESNI 支持的安全漏洞。加密的服务器名称指示 (ESNI) 是 TLSv1.3 扩展,用于加密 TLS 握手中的服务器名称指示 (SNI)。

  • VCN 子网内流量检查

    VCN 子网流量检查通过网络防火墙在两个 VCN 子网之间路由流量。

  • VCN 流量检查

    VCN 流量检查通过网络防火墙在两个 VCN 之间路由流量。


下面是 access-model-arch.png 的说明
插图 access-model-arch.png

access-model-arch-oracle.zip

在上图中,有五个方案:
  1. NFW 根据客户定义的规则集拒绝连接,并记录连接尝试。
  2. NFW 接受连接并将连接路由到受保护子网中的相应实例。SL 允许来自此子网的此连接,并且实例上的 NSG 有一个允许来自 NFW 的连接的规则。
  3. 子网 A 中的实例尝试连接到实例。尽管 SL 允许来自子网 A 的连接,但实例的 NSG 会阻止连接。
  4. 子网 A 中的实例尝试与另一个实例建立另一个连接。此处,SL 和 NSG 都允许连接
  5. 子网 B 中的实例尝试连接到实例。子网 B 尚未被授予对受保护子网的访问权限,因此无论实例的 NSG 是什么,都不允许连接。

控制并确定适当的名称解析

此外,控制和确定适当名称解析源的功能是一种机制,可以确定连接并提供名称解析,并确定性地向定义的 DNS 端点中继。

欧盟主权云环境继承 OCI DNS 服务,允许您严格控制在欧盟主权云中使用的端点以及请求转发到的源。OCI DNS 服务通过将 DNS 监听程序端点从转发器拆分来实现这一点,并在两者之间嵌入规则引擎。这样,您可以根据 DNS 请求的方向定义一组规则,并可能根据请求的域对不同的转发器定义这些规则。确定在规则集外部的域查找请求或选择指向不同 DNS 源的多个转发器的请求,具体取决于规则引擎的结果,将返回 NX_DOMAIN 响应以实现有目的的空重定向。客户可以非常认真地考虑欧盟内部主权云和外部欧盟主权云的 DNS 解析响应,并提供过滤机制。


下面是 valid-vs-invalid-dns-request.png 的说明
插图 valid-vs-invalid-dns-request.png 的说明

valid-vs-invalid-dns-request-oracle.zip

为欧盟主权云客户提供不受限制的环境访问

与欧盟主权云租户所有者提供的服务的公共使用者相比,欧盟主权云客户对环境的访问可能需要更少的限制。此类型的访问由 OCI 公有云中的相同直接连接类型完成。

  • FastConnect

    FastConnect 是指向欧盟主权云存在点的直接多协议标签切换 (MPLS) 链接。这些链接不与欧盟主权云的任何其他使用者共享,并且专用于分配它们的特定租户

  • 客户终端设备 (CPE)

    CPE 是一种 VPN 连接模型,可供客户实施到欧盟主权云的较低带宽、远程办公模式的专用连接,无需投资专用 MPLS 链路所需的基础设施。

虽然连接是直接的,但所有访问控制机制仍然有效。因此,通过 FastConnect 链路的连接仍受 SL 和 NSG 定义的规则集约束,并且可以由 NFW 监视,所有这些规则都根据连接源/目标,而不是应用于面向公众的资源。通过使用上述一种或两种连接类型,欧盟主权云租户可以建立不同的连接,并且访问控制方法(SL、NSG)和 NFW 的组合提供了一种机制来严格控制和监视对环境资源的访问。

通过这些访问功能,欧盟主权云的用户可以创建资源“封闭式花园”,供仅用于欧盟内部,如下所示:


下面是 walled-garden.png 的说明
插图的说明 -garden.png

围墙花园 -oracle.zip

NFW 提供第一级访问检测、拒绝和日志记录支持,SL 对特定子网内资源的访问提供第二级限制。NSG 进一步限制资源访问。SL 和 NSG 都可以具有双向规则集,以限制出站 IP 地址/端口范围。但是,在此特定情况下,将通过 FastConnect 连接向租户资源提供数据、维护和管理,该连接也受 SL 和 NSG 的限制。两个功能中定义的规则集也适用于通过 FastConnect 的连接。通过指向特定 DNS 解析源的 DNS 监听程序/转发器的组合来解析出站连接(用于启动或验证入站连接的域成员身份)。这些功能一起允许创建面向公众、受控的访问服务门户,数据管理和维护在“带外”执行,仅限于欧盟。

安全模型

OCI 使用身份和访问管理 (Identity and Access Management,IAM) 服务围绕“云”的管理提供安全性。IAM 侧重于确保特定领域内租户的操作受到限制。

安全模型入门

要开始使用安全模型,请执行以下操作:

  • 构建安全访问模型来“管理云”,而非“在云中管理”所需的模型。在身份和访问管理 (Identity and Access Management,IAM) 中创建少数可信用户来管理云。
  • 实施身份联盟以统一组织访问。在联盟内为欧盟主权云使用单独的组来限制对基于欧盟的人员的访问。
  • 在欧盟主权云和非欧盟主权云 IAM 账户之间保持唯一性。这有助于减少管理环境时的管理员混乱。
  • 根据功能和组织边界为预配的资源创建 OCI 区间。
  • 为子组织构建身份域以自我管理其本地环境。
  • 使用 Cloud Guard 创建“子主权云”(sub-sovereign Cloud,子 SC)环境以监视 IAM 策略。

关于安全模型

IAM 服务不由 OCI 人员使用,在云操作的任何阶段都无法使用。IAM 限制的所有操作都将在租户级别应用。虽然 OCI 人员确实使用身份和访问管理系统来操作控制层,但它不直接向客户租户提供任何管理或操作访问。


后面是 security_structure_overview.png 的说明
插图 security_structure_overview.png 的说明

security_structure_overview-oracle.zip

IAM 仅跨越租户本身所在的领域。在这种情况下,欧盟主权云在一个领域内运行,目前由实际位于欧盟内部的区域组成。因此,在欧盟主权云租户内创建的任何账户只能对领域内的资源管理进行操作,并且只能对欧盟内部的资源进行操作。用户帐户在领域之外没有上下文,即使用户在另一个领域中具有相同的用户凭证,在欧盟主权云内也没有入站上下文。

欧盟主权云运营账户在领域内完全隔离。OCI 的领域架构、欧盟驻地支持和运营以及欧盟法人实体结构的结合本机强制隔离欧盟主权云领域。不需要其他最终用户配置,以确保 EU 主管云独立于其他 OCI 领域运行。


下面是 iam-2-user.png 的说明
插图 iam-2-user.png 的说明

iam-2-user-oracle.zip

IAM 提供在领域内维护的本地账户以及与 Identity Cloud Service (IDCS) 或其他 SAML2 联盟机制关联的联合账户。可以严格控制对欧盟主权云租户的部署和管理组件的访问,并且仅允许审查为基于欧盟的账户来管理环境。此外,由于这是联合账户管理系统,因此用于欧盟主权云的同一联盟可用于访问租户中部署的计算资源。这意味着创建一个统一的环境,在其中可以将完全可审计的访问方法部署到“云”管理层和“云”资源。


下面是 idp-vs-iam.png 的说明
插图 idp-vs-iam.png 的说明

idp-vs-iam-oracle.zip

除了联合账户功能之外,欧盟主权云还支持在租户中创建身份域 (ID)。ID 实质上是 IAM 空间的分区,由辅助一组指定的管理员组成,这些管理员无法查看域的上层,并且可以创建自己的访问策略集并控制自己的资源。租户的上级所有者仍可以影响对整体资源和 IAM 管理的控制。通过将 ID 与上级(非根)区间组合,ID 的成员可以创建一个完整的环境,而该环境不知道 ID 周围的任何环境。借助这套工具,欧盟内部的组织可以创造我们称之为“子销售顾问”的环境。也就是说,这种环境维护原始租户的属性,但允许创建具有自己的策略和成员资格限制的辅助环境。

下文说明性案例研究进一步阐述了次级安全委员会的概念。还可以通过在租户中实施 Cloud Guard 来限制、控制和审计子 SCS 环境。在这种情况下应用时,Cloud Guard 可以阻止分配给特定子 SC 的区间,并阻止身份域中定义的一组用户控制这些区间执行操作,这些操作要么与确保持续保护托管数据和/或执行违反环境中的安全策略的操作相反。除了 Cloud Guard 之外,EU Sovereign Cloud 还提供安全区域,该区域还提供可统一应用的模板化区间目标策略集。可以并且经常实施安全区域来增强 Cloud Guard 配置。

在领域之外,不会以任何方式告知状态、内容和欧盟主权云服务清单。

审计和监管

欧盟主权云的特性和功能提供了积极措施,以确保基于欧盟的人员管理环境,并保护数据并保留在欧盟内部。然而,没有机制审查这些措施和文件遵守情况,难以向外部实体提供保证。

审计和监管入门

要开始进行审计和监管活动,请执行以下操作:

  • 使用 OCI 审计服务监视和生成监管和合规性模型的实施操作。
  • 实施 OCI 日志分析服务以对 OCI 审计服务生成的数据执行高级分析。
  • 使用威胁情报和 Cloud Guard 构建策略,主动防止不需要的行为者执行操作和访问。
  • 使用 OCI 标记服务创建与组织结构和/或成本模型对应的标记名称空间。使用名称空间中的键/值对标记所有资源以进行审计和/或计费。
  • 在租户和区间内设置限额,以防止失控资源消耗。
  • 使用 OCI 预算和成本分析服务可以预测、监视和控制成本。

关于用于监视数据主权要求遵守情况的服务和功能

OCI 提供了其他服务和功能,客户可以使用这些服务来监视对组织数据主权要求的遵守情况。成本控制和管理可用作审计资源支出合规性、检测威胁并确保租户保留在既定规范内的工具。

欧盟主权云中可以使用以下 OCI 服务来实施审计和治理策略:
  • 审计

    OCI 审计会记录欧盟主权云中提供的 OCI 服务的时间、来源、目标和操作类型。将记录计算实例创建、VCN 操作和其他活动,供指定人员监视和审计您在欧盟主权云中设置的环境。

  • 日志分析

    此功能允许客户使用审计服务收集日志,并创建不同的视图和可视化图形以满足组织需求。还可以摄取来自其他源的日志来提供环境的完整视图,从而实现完全审计和分析。

  • 威胁情报(使用 Cloud Guard)

    威胁情报从各种来源收集信息,并管理数据,为 Cloud Guard 和其他 OCI 服务中的威胁检测和预防提供具体可行的指导。Cloud Guard 允许您实施可以主动应对潜在威胁的标准化操作 ("recipes")。

  • 标记

    虽然前面的条目是防止、检测和应对有效威胁的有效机制,但审计和合规性的其他要素侧重于跟踪利用率和成本。欧盟主权云提供了在预配时为资源分配标记的机制,并可在分配之前修复标记的值和格式。可以通过 API 查询这些标记,并在成本跟踪和计费中报告这些标记,并使用与特定资源和实例关联的 IAM 策略进行操作。使用标记功能可以为同一资源分配多个标记,并从多个角度查看资源消耗情况。例如,计算资源可能具有指示资源一般用途的标记、使用资源的组(例如开发)、资源的成本中心或可能感兴趣的任何其他维。

  • 区间限额

    您可以根据资源所在的区间设置资源配额。配额可以将限额定义中定义的资源的数量和/或范围限制为特定区间、区域或 AD。

  • 预算

    预算是一种工具,允许客户根据警报的意图基于当前支出限制、预测支出上限或二者设置警报。将预算警报基于成本跟踪标记、区间和/或资源。

  • 成本分析

    成本分析工具可帮助您跨维细分当前消耗成本。通过多种向量(例如租户、欧盟主权云区域、区间和资源标记)以及使用的特定资源、服务和 SKU 组合查看成本。如果适用,可以将报告筛选为单个资源。您还可以使用此工具根据过去的消耗模式预测未来使用量。数据可扩展到仪表盘,并且可通过 API 访问。您还可以计划成本报表按常规节奏运行并将结果传送到对象存储桶。可以存储这些报表以供历史参考,并导出至数据仓库以进行长期趋势分析和处理。