1. 使用 OCI 安全服务通过 Oracle Cloud VMware Solution 进行数据保护
  2. 使用 OCI 安全服务通过 Oracle Cloud VMware Solution 进行数据保护

使用 OCI 安全服务通过 Oracle Cloud VMware Solution 进行数据保护

Oracle Cloud VMware Solution 提供了一个基于 VMware 的客户托管云环境,该环境安装在客户的租户中,并使用熟悉的 VMware 工具提供全面控制。

Oracle Cloud Infrastructure (OCI) 是新一代基础设施即服务 (IaaS),提供基于安全优先设计原则的架构。这些原则包括隔离的网络虚拟化和原始的物理主机部署,这些部署以前难以通过早期的公有云设计实现。借助这些设计原则,OCI 可帮助降低来自高级持久性威胁的风险。

此参考体系结构介绍了 Oracle Cloud VMware Solution 与 OCI 数据保护层和安全服务的集成选项,以满足运行关键和敏感工作负载的要求。

体系结构

此逻辑参考架构主要侧重于数据保护层,并介绍了 OCI 安全服务如何用于 Oracle Cloud VMware Solution 负载的数据保护。

以下 OCI 本机安全服务是 OCI 安全 - 数据保护层的一部分。

  • OCI Vault 服务有助于集中管理保护数据和可用于访问 OCI 块存储、OCI 文件存储或 OCI 对象存储的密钥凭证的主加密密钥。密钥管理和密钥管理也是 OCI Vault 的一部分。密钥是用于加密对象存储和存储桶的主加密密钥。此外,可以保护密钥(例如数据库密码)。两者都使用 OCI Vault 服务进行集中管理
  • Oracle Data Safe 服务可保护存储在 vCenter - 管理层内运行的 Oracle 数据库中的敏感和受监管数据。Oracle 数据库使用数据安全数据库连接器与 Oracle Data Safe 集成。
  • OCI 证书服务有助于提供对服务器、Web 应用程序等的 TLS/SSL 安全访问。管理员可以创建和管理与 OCI 负载平衡服务集成的专用证书颁发机构 (CA) 层次和 TLS 证书。

数据加密:OCI 存储使用高级加密标准 (Advanced Encryption Standard,AES) 算法进行 256 位加密,从而默认加密静态和传输中的数据。传输控制层数据使用传输层安全性 (Transport Layer Security,TLS) 1.2 或更高版本进行加密。

下图说明了此参考体系结构。


后面是 ocvs_data_security_arch.png 的说明
插图 ocvs_data_security_arch.png 的说明

ocvs-data-security-arch-oracle.zip

该体系结构包含以下组件:

  • OCI 云安全服务

    OCI 安全可帮助组织降低云负载的安全威胁风险。此 Oracle Cloud VMware Solution 安全参考体系结构介绍了 OCI 数据保护层功能。

    OCI Vault 服务集中管理 OCI 存储层和备份系统信息库的加密密钥和密钥凭证。这些加密密钥可保护数据和密钥凭证。启用数据安全服务以使用连接器在 VMware 中监视和评估数据库实例目标。证书服务提供证书颁发、存储和管理功能。这些证书可以部署在负载平衡器上。

  • Oracle Cloud VMware Solution

    Oracle Cloud VMware Solution 在 Oracle Cloud 核心基础设施服务上部署 VMware 软件定义的数据中心 (SDDC)。OCI 裸金属 DenseIO 服务器用于运行 VMware 虚拟机管理程序,也称为提供计算虚拟化的 ESXi。在 vCenter 管理层中运行的虚拟机使用 vSAN 数据存储或 OCI 块存储作为主存储选项。但是,Oracle Cloud VMware Solution 还可以利用 OCI 块存储卷和 OCI 文件存储作为外部存储选件。

    在 Oracle Cloud VMware Solution 中运行的虚拟机使用以下存储和备份选项。
    • vSAN 存储是 Oracle Cloud VMware Solution 环境中提供的现成软件定义的存储解决方案。vSAN 是企业存储,支持使用 vSphere 本机密钥提供程序或外部密钥管理服务 (Key Management Service,KMS) 提供程序进行加密。
    • OCI 块存储卷作为虚拟机存储的 iSCSI 目标提供给 VMware ESXi 服务器。OCI 安全功能(例如 KMS、加密和 Vault)适用于存储在 OCI 块存储卷中的 VM 数据。
    • 文件存储允许将 OCI 文件存储服务用作虚拟机的 NFS 存储。OCI 安全功能(例如 KMS、加密和 Vault)适用于存储在由 OCI 文件存储支持的 NFS 存储中的 VM。
    • 对象存储存储存储 Oracle Cloud VMware Solution VM 备份副本。对象存储不能用于运行 VM。对象存储的所有 OCI 安全功能都适用于 VM 备份文件。

下表介绍了如何使用 OCI 安全服务通过 Oracle Cloud VMware Solution 进行数据保护。

OCI 服务 使用 Oracle Cloud VMware 解决方案保护数据
数据安全 数据安全是一种 OCI 本机服务,用于保护在 OCI 或内部部署环境中运行的 Oracle 数据库。在 Oracle Cloud VMware Solution SDDC 中作为虚拟机运行的 Oracle 数据库可以使用数据安全连接器与数据安全集成。
块存储卷加密 OCI 块存储卷作为 VMware SDDC 的外部数据存储挂载,提供 OCI 托管/客户管理的密钥。
文件存储加密 OCI 文件存储服务作为 VMware SDDC 的外部 NFS 数据存储库挂载,提供 OCI 托管/客户托管密钥。
对象存储加密
  • OCI 对象存储不能与 Oracle Cloud VMware Solution SDDC 一起用作直接连接存储或外部存储数据存储。
  • OCI 对象存储用作 VMware SDDC VM 的备份和归档存储库。
  • Veeam 和 Commvault 等备份解决方案可以与 OCI 对象存储集成,从而使归档备份数据保持加密。
  • 备份解决方案还将在 OCI 块存储卷中保留性能层备份数据,以确保备份数据加密。
Vault
  • OCI Vault 不能与 vSAN 存储一起使用。vSAN 数据存储仅支持 vSphere 本机密钥提供程序和外部 KMS 提供程序。有关详细信息,请参阅浏览更多部分中的 VMware 第三方 KMS 提供商链接。
  • 仅当 OCI 存储服务用作虚拟机的共享存储选项时,OCI Vault 才能与 Oracle Cloud VMware Solution 一起使用。
证书
  • Oracle Cloud VMware Solution 是一种原生 OCI 服务,通过设计实现与其他 OCI 服务的原生集成。
  • Oracle Cloud VMware Solution 的 VM 可以使用 OCI LBaaS 来满足任何应用程序发布要求。可以通过从 OCI 证书服务集成 SSL 证书来完成这些应用的 SSL 负载转移。
  • 对于 OCI 上的面向公众的应用程序,您必须获取第三方签名的公共证书并将其导入 OCI 证书服务。这些证书可以导入到 LBaaS 和后端 Web 服务器以获得端到端 SSL。

浏览更多

要了解有关此引用体系结构功能的更多信息,请查看这些其他资源。

确认

  • Authors: Dev Gawale, Sandeep Khedekar