确保安全网络访问

采用以下优秀实践来保护虚拟云网络、子网、负载平衡器和其他网络资源。

实施网络访问控制

Enterprise Architect、Security Architect、Network Architect

使用访问控制来保护您的网络。
  • 定义适当的 IAM 策略,以将对网络资源的访问限制为仅允许管理网络资源的用户和组。
  • 为 VCN 制定分层子网策略:
    • 用于负载平衡器的 DMZ 子网。
    • 外部可访问的主机的公共子网,例如 Web 应用程序服务器和运行入侵检测系统的实例 (IDS)。
    • 专用子网用于内部主机,例如数据库。
  • 附加到专用子网的计算实例只能具有专用 IP 地址。
  • 将安全敏感主机(例如数据库系统)连接到专用子网。要从此类主机连接到互联网,请使用 NAT 网关。要允许主机访问其他 Oracle Cloud Infrastructure 服务,请使用服务网关。
  • 网络安全组提供对网络安全组控制的 vNICs 之间通信流的细粒度控制。
  • 安全列表可控制流入、流入和流出子网的流量。请务必修改或分离默认安全列表,以防止来自 IP 地址 0.0.0.0/0 的 SSH 通信。
  • 使用所需的最小端口配置安全列表。
  • 使用网络安全组控制对专用子网和公共子网中资源的访问:
    • 通过为应用的每个层创建安全组,仅允许工作负载所需的网络流。
    • 不允许在应用层内或应用层之间进行不必要的横向通信。
    • 除非需要,否则不允许应用程序层与其他层通信。
  • 使用细粒度安全规则来规范 VCN、互联网、通过对等连接网关连接的其他 VCN 以及内部部署主机之间的通信。
  • 要设置入侵检测系统并扫描所有传出流量,请使用 VCN 路由表功能。
  • VCN 子网流日志记录在 VCN 内流动的流量。打开 VCN 子网流日志并定期监视其内容。
  • 使用多个 VCN 时,可使用动态路由网关 (Dynamic Routing Gateway,DRG) 创建 DMZ Hub VCN,以分析东西流量和南北流量。您可以使用 OCI 网络防火墙或第三方网络设备来实现此目的。
  • 为面向公共的 HTTPS 服务启用 Web 应用程序防火墙。
  • 通过 Oracle Cloud Infrastructure Zero Trust Packet Routing ,独立于底层网络架构管理网络安全策略,防止未经授权的数据访问。
  • 实施服务网关以安全访问 OCI 服务。

保护负载平衡器

Enterprise Architect、Security Architect、Network Architect

您可以使用负载平衡器在客户端应用与客户 VCN 之间启用端到端 TLS 连接。
  • 要在负载平衡器上终止 TLS,请使用 HTTP 负载平衡器。要在后端服务器上终止 TLS,请使用 TCP 负载平衡器。
  • 可以使用网络安全组或安全列表配置对负载平衡器的网络访问。
  • 定义 IAM 策略,以将管理负载平衡器的权限限制为一组最少的用户和组。

使用网络源限制访问

Enterprise Architect、Security Architect、Network Architect

网络源是一组定义的 IP 地址。IP 地址可以是来自租户中的 VCN 的公共 IP 地址或 IP 地址。
创建网络源后,您可以在策略或租户的验证设置中引用它,以基于源 IP 地址控制访问。

只能在租户(或根区间)中创建网络资源,并且与其他身份资源一样,只能在主区域中创建网络资源。

您可以通过以下方式使用网络源来帮助保护租户:

  • 在 IAM 策略中指定网络源以限制对资源的访问。在策略中指定时,IAM 将验证访问资源的请求是否来自允许的 IP 地址。例如,您可以仅允许通过公司网络登录到 Oracle Cloud Infrastructure 的用户访问租户中的对象存储存储桶。或者,您只能允许属于特定 VCN 的特定子网的资源通过服务网关发出请求。
  • 在租户的验证设置中指定网络源以限制登录控制台。您可以将租户的验证策略设置为仅允许从网络源中指定的 IP 地址登录到控制台。尝试从网络源中不允许的 IP 地址登录的用户将被拒绝访问。

保护 DNS 区域和记录

Enterprise Architect、Security Architect、Network Architect

不正确的 DNS 区域和记录的更新或未经授权的删除可能会导致服务中断。

定义 IAM 策略以限制可以修改 DNS 区域和记录的用户。

Oracle Cloud Infrastructure 中利用安全区域

Enterprise Architect、Security Architect、Network Architect

Oracle Security Zones 可帮助您尽可能降低安全策略不当风险。

当您启动新项目并构建新解决方案时,有许多来自不同来源的优秀实践指导,例如:

  • 供应商建议
  • 组织标准和政策
  • 外部框架
  • 合规
  • 参考体系结构

这些优秀实践通常涵盖一系列不同的安全主题,包括验证、加密、存储、访问控制等。然而,在许多情况下,最佳做法建议被忽略。我们都见过很多次:项目时间表,预算限制,知识差距,以及从非生产开始的环境,都可能意味着不遵循相关的最佳实践,导致环境不安全,安全状况不佳。

Oracle Security Zones 旨在帮助您降低风险。安全区是一种预防性控制,从本质上讲,它包含敏感数据和资源,在设计上具有限制性。例如,Oracle Security Zones 将在启用最大安全策略的情况下发布。这样做的立场是,不应允许公众访问,并且应尽可能将敏感数据与互联网分开。安全策略通过阻止您实时创建会违反此策略的资源来强制实施此职位。

了解更多信息