LogicManager: Enterprise Risk Management (ERM) Platform Deployment on Oracle Cloud
为了帮助公司防止数据安全违规、遵守数据法规以及管理供应商合同,LogicManager 最近在 Oracle Cloud Infrastructure (OCI) 上部署了云原生企业风险管理 (ERM) 平台。
这家总部位于波士顿的公司成立于 2005 年,提供广泛的 ERM 软件即服务产品,包括网络安全、合规管理、政策和治理以及合同管理服务,以及面向全球监管严密部门(例如金融服务、医疗保健、公用事业和能源)的公司。
随着对 ERM 软件的需求在全球范围内向 600 亿美元增长,LogicManager 需要以更快速、更智能、更安全的方式来管理供应商合同、准备审计以及制定业务连续性计划,同时还必须遵守不断变化的区域数据主权法规。自迁移到 OCI 后,LogicManager 不仅将其性能敏感的生产负载部署在欧洲、美国和亚洲的 Oracle Cloud 区域中,而且每个区域都有一个配对区域,公司会将备份复制到该区域以进行灾难恢复。通过使用 Oracle Cloud Infrastructure Data Science ,LogicManager 可以按需构建预测性联系人分析模型,而无需团队在内部构建此功能所需的月份。
体系结构
由于 LogicManager 的许多客户具有数据主权限制,因此该公司在美国、欧洲和亚太地区使用主要 Oracle Cloud Infrastructure (OCI) 区域,每个区域设置都有配对的辅助区域。
LogicManager 使用远程 VCN 对等连接来允许从一个位置管理部署。所有 Oracle Autonomous Transaction Processing (ATP) 实例 (19c) 使用数据泵备份到 Oracle Cloud Infrastructure Object Storage 。对象和块存储卷存储从主区域复制到辅助区域进行备份和灾难恢复。该公司使用 ATP 数据库实例之间的数据库链接,为将服务驱动到其整个客户群的元数据维护单一事实来源。
LogicManager 的客户使用 Oracle Cloud Infrastructure Web Application Firewall (WAF) 访问平台。通过验证后,用户流量将通过一个负载平衡器,该负载平衡器仅接受来自 WAF 的流量。结合使用 WAF,该公司可运行 Cloud Guard 和 Oracle Cloud Infrastructure 漏洞扫描服务。LogicManager 通过在其中一个计算实例中使用 Docker 来容器化其应用服务,并在单独的计算实例中运行其报告门户。使用大型计算配置,其大小范围从 16 至 24 个 OCPU(128 至 256 GB 内存)不等,可以处理负载。LogicManager 的客户根据其服务请求类型和地理位置路由到相应的计算实例。
该公司还为多云集成提供了多个 API,客户可以使用这些 API 来管理第三方应用中的风险管理文档,例如 RiskRecon、SecurityScorecard、ComplianceAi 和 Microsoft Office。
LogicManager 管理员使用 OpenVPN 访问服务器通过安全 shell (SSH) 访问专用计算实例并访问专用 ATP 实例。这允许 LogicManager 对有权访问生产系统的人员进行额外控制。
Oracle Cloud Infrastructure Application Performance Monitoring Cloud (APM) 还在 LogicManager 的 OCI 环境中运行,以确保该公司不断增长且分布在全球的分布式客户群始终能够快速安全地访问其企业风险管理 (ERM) 平台。LogicManager 将其报告应用程序平台的输出摄取到 Oracle Cloud Infrastructure 日志记录中,使该公司能够搜索并识别任何异常活动或潜在问题。预警通过使用内置和定制指标来激活,以帮助检测性能异常并避免中断。
Oracle Cloud Infrastructure 电子邮件传送服务嵌入到 ERM 业务工作流中。用于通知用户完成任务,例如更新条款或续订合同。
LogicManager 解决方案的主要优势包括:
- 多层部署,满足客户数据主权要求
- API 可处理多云应用集成
- 用于处理关键功能的托管服务:
- ATP 和 OCI 电子邮件传送可以处理动态且对性能敏感的工作负载
- Oracle Cloud Infrastructure Data Science 管理机器学习 (ML) 模型开发和部署
- WAF、Oracle Cloud Infrastructure Load Balancing 、Cloud Guard 和 OCI Logging 可管理安全性
- APM 和预警管理应用性能
下图说明了此引用体系结构。
logical-manager-oci-arch-oracle.zip
LogicManager 的旗舰服务之一是其合同分析器应用程序。LogicManager 的机器学习工程师使用 JupyterLab 笔记本在 OCI 数据科学模型目录中开发和测试模型,然后将模型作为模型部署发布到 Docker 容器中。在 Contract Analyzer 应用程序的合同管理区间中,LogicManager 的客户可以上载其合同并提交请求来分析其合同。然后,将客户的请求发送到合同分析器,其中提取客户的合同文档文本并将其提交到模型部署。OCI 数据科学可预测应该纳入客户最终合同的必要条款。这些子句关联并存储在 ATP 数据库中。然后,LogicManager 的客户可以查看建议的合同条款,并使用这些条款通知业务决策。例如,如果合同续订日期即将到期,客户可以创建一个自动化,让客户或其供应商或两者都知道在到期日之前 30 天准备合同。
下表显示了合同分析器数据流。
logical-manager-contract-flow-oracle.zip
- 最终用户将合同上载到 Web 应用程序的 LogicManager 合同管理区域。
- 用户请求分析合同并提取文档文本。
- 提取的文本已提交到模型部署进行分析。
- 模型部署预测合同条款并将以下条款存储在 ATP 中:
- 原始文档
- 这些文档的原始二进制内容
- 预测结果
- 用户可以在报表门户中按照业务用例(例如在合同续订日期临近时获得提醒)查看预测的合同条款。
LogicManager 的未来部署计划包括:
- 使用 Oracle Cloud Infrastructure Container Engine for Kubernetes (OKE) 将高可用性 (HA) 添加到应用层
- 使用 Autonomous Data Guard 备用实例将 HA 添加到数据库层
- 使用 Autonomous Data Guard 在配对区域中设置活动/备用地理灾难恢复
该体系结构具有以下组成部分:
- 租户
租户是您注册 Oracle Cloud Infrastructure 时 Oracle 在 Oracle Cloud 中设置的安全隔离分区。您可以在租户内的 Oracle Cloud 中创建、组织和管理资源。租户与公司或组织同义。通常,公司有一个租户,并反映公司在该租户中的组织结构。一个租户通常与一个订阅关联,一个订阅通常只有一个租户。
- 区域
Oracle Cloud Infrastructure 区域是一个局部地理区域,其中包含一个或多个数据中心,称为可用性域。区域独立于其他区域,而广阔的距离可以分离它们(跨国家甚至大陆)。
- 可用性域
可用性域是一个区域中的独立数据中心。每个可用性域中的物理资源都与其他可用性域中的资源隔离,因而具备容错能力。可用性域不共享电源、冷却设备或内部可用性域网络等基础设施。因此,一个可用性域出现故障不会影响区域中的其他可用性域。
- 容错域
故障域是可用性域内一组硬件和基础设施。每个可用性域都有三个具有独立电源和硬件的容错域。在多个容错域之间分配资源时,您的应用可以承受容错域中的物理服务器故障、系统维护和电源故障。
- Web Application Firewall (WAF)
Oracle Cloud Infrastructure Web Application Firewall (WAF) 是符合支付卡行业 (PCI) 标准的、基于区域和边缘强制服务,它们附加到实施点,例如负载平衡器或 Web 应用程序域名。WAF 可保护应用免受恶意和不需要的互联网流量干扰。WAF 可以保护任何面向互联网的端点,并在客户应用之间提供一致的规则实施。
- 虚拟云网络 (VCN) 和子网
VCN 是可在 Oracle Cloud Infrastructure 区域中设置的可定制的软件定义网络。与传统的数据中心网络一样,VCN 允许您完全控制您的网络环境。VCN 可以具有多个不可重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 分段到子网,这些子网可以限定到区域或可用性域。每个子网包含一个连续的地址范围,这些地址与 VCN 中的其他子网不重叠。您可以在创建子网后更改其大小。子网可以是公共子网,也可以是专用子网。
- 安全列表
对于每个子网,您可以创建安全规则来指定必须允许传入和传出子网的通信的源、目标和类型。
- 路由表
虚拟路由表包含将流量从子网路由到 VCN 之外的目的地(通常通过网关)的规则。
- Internet 网关
互联网网关允许 VCN 中的公共子网与公共互联网之间的通信。
- 动态路由网关 (DRG)
DRG 是一个虚拟路由器,它提供同一区域、同一 VCN 与区域之外的网络(例如另一个 Oracle Cloud Infrastructure 区域中的 VCN、内部部署网络或其他云提供商中的网络)之间的专用网络通信路径。
- 服务网关
通过服务网关,可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,永远不会经过互联网。
- 远程对等连接
通过远程对等连接,VCN 的资源无需通过互联网或内部部署网络路由流量,即可使用专用 IP 地址进行通信。远程对等连接可消除需要与其他区域中的其他 VCN 通信的实例的互联网网关和公共 IP 地址需求。
- 计算
通过 Oracle Cloud Infrastructure Compute 服务,您可以在云中设置和管理计算主机。您可以通过配置启动计算实例,以满足 CPU、内存、网络带宽和存储的资源需求。创建计算实例后,您可以安全地访问实例、重新启动实例、连接和分离卷,然后在不再需要时终止实例。
- 负载平衡器
Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。
- 对象存储
通过对象存储,可以快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及丰富的内容(例如图像和视频)。您可以安全可靠地存储数据,然后直接从互联网或云平台检索数据。您可以在不降低性能或服务可靠性的情况下无缝扩展存储。将标准存储用于需要快速、立即和频繁访问的“热”存储。将归档存储用于长时间保留的“冷”存储,很少或很少访问。
- 块存储卷
通过块存储卷,您可以创建、附加、连接和移动存储卷,并更改卷性能,从而满足您的存储、性能和应用要求。将卷连接到实例后,您可以像常规硬盘驱动器那样使用该卷。您还可以断开卷并将其附加到其他实例而不会丢失数据。
- Autonomous Transaction Processing
Oracle Autonomous Transaction Processing 是自治驱动、自治安全、自治修复的数据库服务,针对事务处理工作负载进行了优化。您不需要配置和管理任何硬件,也不需要安装任何软件。Oracle Cloud Infrastructure 可处理数据库创建以及备份、打补丁、升级和优化数据库。
- 应用程序性能监视
通过 Oracle Cloud Infrastructure Application Performance Monitoring,可以深入了解应用的性能,并且能够快速诊断问题,从而提供一致的服务级别。这包括监视分散在客户端、第三方服务和后端计算层、内部部署或云中的多个组件和应用逻辑。
- 日志记录日志记录是一项高度可扩展且完全托管的服务,您可以从云中的资源访问以下类型的日志:
- 审计日志:与审计服务发出的事件相关的日志。
- 服务日志:各个服务发出的日志,例如 API 网关、事件、事件、函数、负载平衡、对象存储和 VCN 流日志。
- 定制日志:包含来自定制应用程序、其他云提供商或内部部署环境的诊断信息的日志。
- Cloud Guard
您可以使用 Oracle Cloud Guard 监视和维护 Oracle Cloud Infrastructure 中资源的安全。Cloud Guard 使用检测器配方,您可以定义这些配方来检查资源是否存在安全缺陷,以及监视操作员和用户是否有风险活动。检测到任何错误配置或不安全活动时,Cloud Guard 将根据您可以定义的响应器配方建议更正操作并协助执行这些操作。
- 数据科学
Oracle Cloud Infrastructure Data Science 是一个完全托管的无服务器平台,数据科学团队可以使用它来构建、训练和管理 Oracle Cloud Infrastructure (OCI) 上的机器学习 (ML) 模型。它可以轻松地与其他 OCI 服务集成,例如 Oracle Autonomous Data Warehouse 、Oracle Cloud Infrastructure Object Storage 等。您可以构建和评估高质量的机器学习模型,通过将企业可信的数据快速处理来提高业务灵活性,并通过更轻松地部署机器学习模型来支持数据驱动的业务目标。
- 电子邮件传送
Oracle Cloud Infrastructure 电子邮件传送是一项高度可扩展、经济高效且可靠的电子邮件传送服务,用于发送大量应用生成的电子邮件,以实现关键任务营销、通知和事务处理通信,例如接收、欺诈检测预警、多因素身份验证和密码重置。
获得内置和部署的特色功能
想展示您在 Oracle Cloud Infrastructure 上构建的内容?我们愿意与全球云架构社区分享您学到的经验、优秀实践和参考架构?让我们帮助您开始。
- 下载模板 (PPTX)
将图标拖放到示例线框中,说明您自己的参考体系结构。
- 观看体系结构教程
获取有关如何创建引用体系结构的逐步说明。
- 提交您的图表
请向我们发送一封包含您的图表的电子邮件。我们的云架构师将查看您的图表,并与您联系以讨论您的架构。