确保安全网络访问
采用以下最佳实践保护虚拟云网络、子网、负载平衡器和其他网络资源。
实施网络访问控制
企业架构师、安全架构师、网络架构师
使用访问控制保护您的网络。
- 定义适当的 IAM 策略,以将对网络资源的访问权限仅限于允许管理网络资源的用户和组。
- 为 VCN 制定分层子网策略:
- 负载平衡器的 DMZ 子网。
- 外部可访问主机的公共子网,例如 Web 应用程序服务器和运行入侵检测系统 (IDS) 的实例。
- 内部主机(例如数据库)的专用子网。
- 附加到专用子网的计算实例只能具有专用 IP 地址。
- 将安全敏感主机(例如数据库系统)附加到专用子网。对于从此类主机到 Internet 的连接,请使用 NAT 网关。要使主机能够访问其他 Oracle Cloud Infrastructure 服务,请使用服务网关。
- 网络安全组对网络安全组控制的 vNICs 之间的通信流量提供微粒控制。
- 安全性列表控制流入、流出和流出子网的流量。
- 使用网络安全组控制对专用子网和公共子网中资源的访问:
- 通过为应用程序的每个层创建安全组,只允许工作量所需的网络流。
- 不允许在应用程序层内部或之间进行不必要的横向通信。
- 除非需要,否则不允许应用程序层与其他层通信。
- 使用粒度安全规则可以规范 VCN 内部的通信、与 Internet 的通信、与通过对等网关连接的其他 VCN 的通信以及与内部部署主机的通信。
- 要设置入侵检测系统并扫描所有传出流量,请使用 VCN 路由表功能。
- VCN 子网流日志流量在 VCN 中流量。启用 VCN 子网流日志并定期监视其内容。
- 为面向公共 HTTPS 服务启用 Web 应用程序防火墙。
保护负载平衡器
企业架构师、安全架构师、网络架构师
您可以使用负载平衡器在客户机的应用程序和客户的 VCN 之间启用端到端 TLS 连接。
- 要在负载平衡器中终止 TLS,请使用 HTTP 负载平衡器。要在后端服务器上终止 TLS,请使用 TCP 负载平衡器。
- 您可以使用网络安全组或安全列表配置对负载平衡器的网络访问。
- 定义 IAM 策略以将管理负载平衡器的权限限制为最少的一组用户和组。
使用网络源限制访问
企业架构师、安全架构师、网络架构师
网络源是一组定义的 IP 地址。IP 地址可以是租户内 VCN 的公共 IP 地址或 IP 地址。创建网络源后,可以在策略或租户的验证设置中引用它以根据源 IP 地址控制访问。
网络资源只能在租户(或根区间)中创建,并且与其他身份资源一样,驻留在主区域。
您可以使用网络源通过以下方式帮助保护租户安全:
- 在 IAM 策略中指定网络源以限制对资源的访问。在策略中指定时,IAM 将验证访问资源的请求是否源自允许的 IP 地址。例如,您可以将租户中对象存储桶的访问权限限制为仅通过公司网络登录到 Oracle Cloud Infrastructure 的用户。或者,您只能允许属于特定 VCN 的特定子网的资源通过服务网关发出请求。
- 在租户的验证设置中指定网络源以限制登录控制台。可以将租户的验证策略设置为仅允许从网络源中指定的那些 IP 地址登录控制台。尝试从不在网络源中允许的列表中的 IP 地址登录的用户将被拒绝访问。
利用 Oracle Cloud Infrastructure 中的最大安全区
企业架构师、安全架构师、网络架构师
"Maximum Security Zones"(最大安全区)服务可帮助您最大限度地降低安全策略不适当的风险。
当您启动新项目并构建新的解决方案时,可以从许多不同来源获得大量最佳实践指导,例如:
- 供应商建议
- 组织标准和政策
- 外部框架
- 合规性
- 参考体系结构
这些最佳实践通常涵盖一系列不同的安全主题,包括验证、加密、存储、访问控制等。然而,在许多情况下,最佳做法建议被忽略。我们都多次看到这一点:项目时间表、预算限制、知识差距和从非生产开始的环境,都可能意味着没有遵循相关的最佳做法,导致环境不安全,安全态势薄弱。
Oracle Cloud Infrastructure 中的“最高安全区”服务旨在帮助您最大限度地减少此风险。安全区是一种预防性控制,从其含有敏感数据和资源的性质来看,它具有设计上的限制性。例如,最大安全区将在启用了最大安全策略的情况下释放。这采取的立场是,不应允许公众进入,敏感数据应尽可能与因特网分开。安全策略通过实时阻止您创建将破坏此策略的资源来强制执行此职位。