使用安全区域保护云中的负载

将计算、网络和存储资源放入 Oracle Cloud Infrastructure 安全区域,充分提高云端计算、网络和存储资源的安全性。

Oracle Cloud Infrastructure (OCI) 提供一流的安全技术和运营流程来保护其企业云服务。客户负责保护工作负载,安全地配置服务和应用,以履行合规义务。Oracle Security Zones 可通过以下方式协助构建云安全共担责任模型:

  • 拒绝公开访问 Oracle Cloud Infrastructure 资源,例如数据库和对象存储存储桶
  • 强制实施策略,要求分离的存储资源驻留在与计算实例相同的安全区间中
  • 使用客户管理的密钥对存储资源(例如块存储卷、对象存储桶和数据库)进行加密

体系结构

此参考架构展示了一个典型的三层架构,可用于安全运行电子商务应用等应用。使用 Oracle Autonomous Transaction Processing 数据库实现数据持久性。应用的媒体和映像文件存储在 Oracle Cloud Infrastructure Object Storage 中。

下图显示了基本区间体系结构。



msz-01-oracle.zip

该体系结构具有以下安全限制:

  • 对象存储:未加密的对象存储直接暴露在互联网上。
  • 数据库:数据库不使用客户管理的密钥进行加密,并且可以通过单个配置更改(公共 IP 地址)向 Internet 公开。
  • 区间:区间不限制数据、资产、卷在环境中移动或移出环境。
  • 虚拟机:VM 不使用加密的引导卷或存储。
  • Internet :不提供 Web 应用程序防火墙 (WAF) 保护。
  • 网络:所有资源都在一个平面上,提供的隔离不足。

下图显示了一种架构,通过提供一个高度安全的环境来解决这些问题,该环境隔离了多个分支网络,每个分支网络代表一个应用层,例如 Web、应用和数据库。此架构适用于特定环境(例如生产、测试和开发环境)以及不同基础设施(例如云区域、内部部署数据中心和多云基础设施)。



msz-02-oracle.zip

该体系结构具有以下组件:

  • 区域

    Oracle Cloud Infrastructure 区域是包含一个或多个数据中心(称为可用性域)的本地化地理区域。地区独立于其他地区,远距离可以把它们分开(跨越国家甚至大陆)。

  • 可用性域

    可用性域是区域中的独立数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离,从而提供容错能力。可用性域不共享电源或冷却设备等基础设施,也不共享内部可用性域网络。因此,一个可用性域出现故障不会影响区域中的其他可用性域。

  • 容错域

    容错域是可用性域内的一组硬件和基础设施。每个可用性域都有三个容错域,它们具有独立的电源和硬件。在多个容错域之间分配资源时,应用可以承受容错域内的物理服务器故障、系统维护和电源故障。

  • 区间

    区间是 Oracle Cloud Infrastructure 租户中的跨区域逻辑分区。使用区间来组织、控制访问并设置 Oracle Cloud 资源的使用限额。在给定的区间中,您可以定义用于控制资源访问和设置权限的策略。

  • 安全区域

    安全区域从一开始就实施加密数据和阻止公共访问整个区间的网络等策略,从而确保 Oracle 的安全优秀实践。安全区域与同名的区间关联,并包括安全区域策略或适用于该区间及其子区间的“配方”。无法将标准区间添加或移动到安全区域区间。

    在此用例中,安全区域强制实施以下策略:

    • 对计算实例和对象存储存储桶的引导卷进行加密
    • 阻止从公共互联网访问计算资源
    • 使用客户管理的密钥对资源进行加密
    • 定期自动备份所有资源
  • 虚拟云网络 (VCN) 和子网

    VCN 是一个可定制的软件定义网络,您可以在 Oracle Cloud Infrastructure 区域中设置。与传统的数据中心网络一样,VCN 允许您控制您的网络环境。VCN 可以具有多个不重叠的 CIDR 块,您可以在创建 VCN 后更改这些块。您可以将 VCN 划分为子网,子网可以限定为区域或可用性域。每个子网都包含一系列不与 VCN 中的其他子网重叠的连续地址。可以在创建后更改子网的大小。子网可以是公共子网,也可以是专用子网。

  • 安全列表

    对于每个子网,可以创建安全规则来指定必须允许进出子网的通信的源、目标和类型。

  • 负载平衡器

    Oracle Cloud Infrastructure Load Balancing 服务提供从单个入口点到后端多个服务器的自动流量分配。

    此架构对管理员的应用程序和自助应用程序使用单独的负载平衡器,以实现更严格的安全性和流量分离。您可以根据需要升级负载平衡器配置。

  • 服务网关

    通过服务网关,您可以从 VCN 访问其他服务,例如 Oracle Cloud Infrastructure Object Storage 。从 VCN 到 Oracle 服务的流量通过 Oracle 网络结构传输,不会通过互联网传输。

  • 本地连接网关 (LPG)

    通过 LPG,您可以在同一区域中将一个 VCN 与另一个 VCN 对等。对等连接意味着 VCN 使用专用 IP 地址进行通信,而流量不会通过互联网或内部部署网络进行路由。

  • 对象存储

    Oracle Cloud Infrastructure Object Storage 支持您快速访问任意内容类型的大量结构化和非结构化数据,包括数据库备份、分析数据以及图像和视频等丰富内容。您可以安全地存储数据,然后直接从互联网或云平台检索数据。您可以在不降低性能或服务可靠性的情况下扩展存储。将标准存储用于需要快速、立即和频繁访问的“热”存储。将归档存储用于长期保留、很少访问或很少访问的“冷”存储。

  • 计算服务

    借助 Oracle Cloud Infrastructure Compute ,您可以在云中预配和管理计算主机。您可以通过配置启动计算实例,以满足对 CPU、内存、网络带宽和存储的资源要求。创建计算实例后,可以安全地访问该实例,重新启动该实例,附加和分离卷,并在不再需要时终止该实例。

  • Web 应用程序防火墙

    Oracle Cloud Infrastructure Web Application Firewall (WAF) 是基于云的、符合支付卡行业 (Payment Card Industry,PCI) 的全球安全服务,它可保护应用程序免受恶意和不需要的互联网流量影响。WAF 可以保护任何面向互联网的端点,并在客户应用之间实施一致的规则。

推荐

您的要求可能与此处描述的体系结构不同。使用以下建议作为起点。

  • VCN

    创建 VCN 时,请根据您计划附加到 VCN 中子网的资源数量,确定所需的 CIDR 块数和每个块的大小。使用标准专用 IP 地址空间内的 CIDR 块。

    选择不与要设置专用连接的任何其他网络(在 Oracle Cloud Infrastructure 、您的内部部署数据中心或其他云提供商中)重叠的 CIDR 块。

    创建 VCN 后,您可以更改、添加和删除其 CIDR 块。

    设计子网时,请考虑流量和安全要求。将特定层或角色中的所有资源附加到可以用作安全边界的同一子网。

    使用区域子网。

  • 安全区域

    对于需要最高安全性的资源,Oracle 建议您使用安全区域。安全区域是与 Oracle 定义的基于优秀实践的安全策略配方关联的区间。例如,安全区域中的资源必须无法从公共 Internet 访问,并且必须使用客户管理的密钥对它们进行加密。在安全区域中创建和更新资源时,Oracle Cloud Infrastructure 会根据安全区域配方中的策略验证操作,并拒绝违反任何策略的操作。

  • 对象存储

    使用 Oracle Cloud Infrastructure Object Storage 存储数据库和其他数据的备份。

    在启用了“Security Zones(安全区域)”的区间中创建对象存储,并将其可见性设置为“private(专用)”。此配置可确保对象存储桶遵循安全区域的严格安全策略。

注意事项

  • 可用性

    某些区域提供多个可用性域,以便通过更高的冗余实现更高的可用性。请考虑在多个可用性域上部署电子商务解决方案,以利用此冗余。此外,请考虑在具有相应冗余的其他区域中制定灾难恢复计划。

  • 成本

    使用灵活的配置,您可以选择在实例上运行的工作负载所需的 CPU 数量和内存量。这种灵活性使您能够构建与工作负载匹配的 VM,从而优化性能并尽可能降低成本。

  • 监视和日志记录

    针对节点的 CPU 和内存使用情况设置日志记录服务、监视和预警,以便您可以根据需要纵向扩展或收缩配置。

部署

GitHub 中提供了用于在 Oracle Cloud Infrastructure 上使用安全区域部署 MuShop 基本示例应用程序的 Terraform 代码。

  1. 转至 GitHub
  2. 将资料档案库克隆或下载到本地计算机。
  3. 按照 README_MSZ.md 文档中的说明进行操作。

更改日志

此日志列出了重大更改: