了解 OCI 中的网络安全支柱

先从 OCI Core Landing Zone 开始,按照推荐的设计和优秀实践快速设置网络安全支柱的核心组件。 要部署与 CIS OCI 基础基准一致的安全 OCI 租户,请参阅部署符合 CIS OCI 基础基准的安全登陆区域解决方案的开始之前部分。此解决方案可指导您使用各种 OCI 服务建立关键机制、结构和保护。

下图展示了 OCI 核心体系框架参考架构。

后面是 oci-core-landingzone.png 的说明
插图 oci-core-landingzone.png 的说明

oci-core-landingzone-oracle.zip

体系框架旨在帮助组织高效部署业务关键型工作负载。包括所有基本技术组件,包括身份、网络、存储、计算和安全性。通过基础设施即代码 (IaC) 自动预配着陆区域,因此只需单击一下即可部署所有内容。

OCI Core Landing Zone 集成了 Oracle Enterprise Landing Zone (OELZ) 和 Internet Security Center (CIS) Landing Zone 方法。此统一着陆区提供了在云中实现敏捷性、可扩展性和安全性的参考架构。它基于模块化的 OCI 体系框架,支持快速、可扩展的部署,并包含 CIS OCI 基础基准推荐的安全优秀实践,可帮助您实现稳健的安全态势并满足合规性要求。

网络安全涵盖了 NIST 网络安全模型的“保护和检测”阶段。

关于预防性控制的建议

首先,您可以利用这些建议在 OCI 租户中建立强大的预防性控制。

预防性控制主要集中在三个方面:逻辑保护、网络保护和基础设施/应用保护。保护租户免受未经授权的访问,并限制网络级访问,以降低勒索软件等风险。保护您的基础设施和应用,以增强抵御风险的弹性。

逻辑保护

租户区间设计

设计您的区间策略以确保免受勒索软件的侵害。Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 为 Oracle Cloud 和非 Oracle 应用提供强大的身份管理(验证、SSO、生命周期管理)。它还支持员工、合作伙伴和客户的安全访问,无论是在云端还是本地。OCI IAM 与现有身份存储库和提供商相集成,可简化云应用和服务的最终用户访问。请遵循以下准则来设计区间策略:
  • 将云资源划分到区间中,并充当租户中的逻辑容器。
  • 构建区间以隔离关键工作负载和数据,并允许进行分布式管理、低权限访问和职责分离。
  • 根据您的运营模式对资源进行分组,以分配、限制基于角色的管理权限,并限制对紧急“紧急情况玻璃”账户的全部租户管理权限。
  • 区间遵循零信任模型,并默认拒绝所有访问—仅通过显式 IAM 策略授予访问。

OCI IAM 策略

默认情况下,资源访问被拒绝;仅允许显式策略访问。请遵循以下准则来创建 OCI IAM 策略:
  • 创建显式策略来向组授予访问权限,并提供对云资源的有限访问权限。
  • 编写细粒度的策略。例如,您可以创建一个策略来允许组创建和管理通常用于存储备份的对象存储存储桶,但禁止删除对象或存储桶。您可以允许 Storage_Admins 管理 {tenancy OCID} 中的存储桶,其中 request.permission != 'DELETE'
  • 将单独的身份域分配给敏感区间(例如 Vault),以防止身份证明重用并增强隔离。例如,您可以创建一个 Vault 区间来存储存储存储桶、块存储卷和手动数据库备份的副本,并分配单独的身份域来控制访问。这会限制有权访问主环境的任何人使用相同的凭证访问 Vault 区间,并为这些资产提供隔离和保护。
  • 独立地将身份域与外部提供者联合起来,以获得额外的安全性。为 Vault 和安全还原空间使用单独的身份提供者,以提供与生产环境使用的身份提供者的卓越隔离。

多重因素验证 (MFA)

通过启用和强制实施 MFA 保护所有本地 OCI 账户。OCI IAM 支持多种支持 MFA 的方法,包括安全问题、移动应用验证码、移动应用通知、短信 (SMS)、电子邮件、绕过码和 Duo Security。

网络防护

传统边界驱动的网络安全是网络安全支柱的基础,它使用防火墙、堡垒主机、边界新一代防火墙、WAF 以及基本的身份和访问管理实践。传统的网络安全是赌注,但如果没有标准阻塞和解决这个空间边界安全机制,就会受到损害。

OCI 提供多种功能来帮助您实施控制,以实现安全网络。VCN 为 OCI 中的所有网络奠定了基础。默认情况下,您的租户没有网络访问权限。您必须实施服务以允许入站和出站,指定允许的方向、端口和协议。

设计您的网络以防止攻击者访问您的网络,并防止攻击者碰巧获得访问权限时横向移动。按照以下建议配置网络保护:

  • 细分:将敏感工作负载(例如数据库)放置在专用 VCN 中。使用防火墙、SL 和 NSG 进行控制。您可以细粒度控制 VCN 之间和之间的访问,并实现第一层分段。通过将敏感负载放在自己的专用 VCN 中,您可以利用防火墙、安全列表和网络安全组 (NSG) 来筛选和控制访问。
  • 零信任和最小特权:应用零信任和最小特权原则,使用安全列表 (Security Lists,SL)、网络安全组 (Network Security Groups,NSG) 和零信任包路由 (Zero Trust Packet Routing,ZPR) 在子网和云资源之间实现进一步的细分和隔离。使用 SL、NSG 和 ZPR 进行子网和资源隔离。OCI ZPR 策略使用基于意图的可读语言,易于审计、理解和管理。
  • SL :SL 在子网级别运行,并控制子网的入站和出站。
  • NSG :使用 NSG 定义一组适用于特定 VNIC 的入站和出站规则。NSG 在 VNIC 层提供隔离,并允许您在配备 VNIC 的各个资源之间实施微分段。
  • 基于 SL 的 NSG:首选基于 SL 的 NSG,因为 NSG 支持 VNIC 级别的微分段,并且独立于网络设计的安全性。
  • 限制流量:仅将入站和出站流量限制为给定应用程序行使最小特权原则所需的源端口和目标端口。严格限制对敏感端口(如 RDP 和 SSH)的全球访问。
  • OCI IAM 策略:使用 OCI IAM 策略为 SL 授予权限,并确保只有负责根据职责分离维护列表的各方才能管理这些列表。
  • 网络防火墙:通过 DRG 部署具有中心辐射型架构的 OCI 网络防火墙,以监管跨 VCN 和内部部署流量。OCI 支持许多第三方防火墙(例如 Fortinet、Palo Alto 或 Cisco)。
  • 使用 OCI 网关实现安全、受控的互联网访问,并私下将资源连接到 OCI 服务。
    • Internet 网关:控制入站和出站(安全性受到限制)。
    • NAT 网关:允许受控的出站而不公开内部 IP。
    • 服务网关:在 OCI 网络中保持资源通信。
  • 专用连接:使用 OCI FastConnect 在租户和内部网络之间建立高速、低延迟的专用连接。请考虑使用 MacSEC 和/或 IPSEC 来提供加密。
  • 堡垒主机:使用 OCI 托管堡垒服务对资源进行安全、临时的管理访问。
  • Zero Trust Packet Routing:使网络安全策略更轻松、更易于审计。

基础设施和应用保护

OCI 提供多种功能来保护租户中的基础设施资源,包括:

  • OCI IAM 策略:甚至从管理员中删除敏感权限。将完全的管理员权限限制为安全保管的非法帐户。例如,您可以删除存储(对象、块和文件)和备份的功能,并将租户管理权限限制为可以保管的非法帐户。
  • DDoS Protection(保护):OCI 提供默认网络保护,以防卷攻击,Oracle 还提供解决方案来在租户级别提供第 3 层和第 4 层保护。
  • Web 应用防火墙 (Web Application Firewall,WAF) :将 OCI WAF 与负载平衡器结合使用,以保护公共应用免受威胁,包括 Open Web 应用安全项目 (Open Web Application Security Project,OWASP) 前 10 个漏洞。如果需要,按国家/地区限制访问。应使用 OCI Load Balancing 部署 OCI WAF,以检查和保护基于 Web 的流量免受 SQL 注入等 OWASP 攻击。还应考虑根据使用情况和访问要求,按国家/地区限制流量。
  • 漏洞和补丁程序管理:结合使用 OCI 漏洞扫描服务Oracle OS Management Hub 服务。
    • 使用 OCI Vulnerability Scanning Service 获取计算节点和注册表映像。扫描所有计算节点和容器,了解开放端口和基于 CVSS 的漏洞。
    • 使用 Oracle OS Management Hub 自动执行和监视 OS 打补丁。识别缺少的 OS 和安全补丁程序,并在 Oracle Linux 和 Windows 计算节点之间自动打补丁。
  • 实例安全性:实例安全性可为计算、虚拟和裸金属主机中的工作负载提供运行时安全性。实例安全性将 Cloud Guard 的范围从云安全态势管理扩展到云工作负载保护。它可确保在一个位置满足安全需求,并具有一致的可见性和对基础设施安全状态的全面了解。
  • OCI Vault:如果您要管理自己的加密密钥和其他关键凭证,Vault 可为密钥和密钥提供由 HSM 支持的完整生命周期管理服务。Vault 服务有多种选项可满足您的需求。
  • 安全区域:为在租户中创建和移动云资源提供保护。安全区域应用于区间并在控制层运行,以防止发生某些操作。例如,您可以阻止创建公共存储桶、分配公共 IP 地址,并要求使用客户管理的加密密钥来保护所有存储。定义自定义安全区域以满足特定的安全态势和法规合规性要求。选择与您的需求和目标区间相关的策略语句。

OCI 提供多种服务和功能,可帮助您正确保护租户免受勒索软件类型威胁。虽然这些控制措施可显著增强您的 OCI 租户,但没有任何系统是完全安全的。随着网络威胁的发展,保持警惕并持续调整您的安全状况。

检测控制的建议

尽管您尽了最大努力来保护您的环境,但坚定的攻击者最终可能会找到方法。因此,必须建立检测性控制,帮助您识别可疑活动,并在环境受损时向您发出警报。

您可以使用 OCI 服务来帮助您识别和应对租户中的潜在勒索软件威胁。设置安全 OCI 租户的最快方法是部署 OCI Core Landing Zone,该区域遵循 OCI CIS 安全基准并采用网络安全优秀实践。

日志和分析

OCI Logging 是一项高度可扩展且完全托管的服务,可为您提供所有日志的集中视图。它从 OCI 资源收集日志,并提供有关如何访问和执行这些资源的关键诊断详细信息。您可以使用以下三种主要类型的日志:

  1. 审计日志

    审计日志会捕获租户中的每个操作,无论是控制台、命令行还是 API。审计日志内容不可变地存储,无法更改或删除。您可以从控制台搜索审计日志并将条目转换为事件,然后使用 OCI Notifications 服务向安全团队发送这些事件。

  2. 服务日志

    服务日志由 OCI 本机服务生成,例如 API Gateway、Load Balancer、Object Storage、Functions 和 VCN 流日志。每个服务都提供了预定义的日志类别,您可以根据需要启用或禁用这些日志类别。

  3. 定制日志

    通过定制日志,您可以监视和记录来自定制应用、其他云提供商或内部部署环境的诊断信息。使用 API 摄取这些日志,或者配置 OCI Compute 实例或资源,以使用统一监视代理直接从计算资源上载定制日志。虚拟机和裸金属都支持定制日志。

所有日志数据都经过传输和静态加密,并在归档或传输到对象存储等存储时保持加密。OCI 日志记录与连接器中心集成,以便您可以轻松地将日志转发到对象存储来进行归档存储,或者通过 OCI 流处理服务来获取安全信息和事件管理 (Security Information and Event Management,SIEM) 以及其他安全分析工具的信息。

OCI Log Analytics

如果您没有 SIEM,请考虑使用 OCI Log Analytics 服务来分析日志。OCI Log Analytics 服务是一个 OCI 本机解决方案,支持您从云或内部部署应用和系统基础设施编制日志数据索引、扩充、聚合、探索、搜索、分析、关联、可视化和监视。该服务提供了多种从日志中获得运营洞察的方法。使用 Log Analytics,您可以:

  • 使用交互式日志浏览器 UI
  • 将日志信息聚合到仪表盘中
  • 使用 API 摄取和分析数据
  • 将日志数据与其他 OCI 服务集成

交互式可视化提供了多种对数据进行切片和切块的方法。您可以使用群集功能将数百万个日志条目减少到最有趣的模式、分组功能以发现异常并跟踪事务处理。使用链接功能分析事务处理中的日志或使用分组视图标识异常模式。

OCI Log Analytics 中的安全监视解决方案是一组精心策划的仪表盘,可帮助您监视和了解云安全状况。这些仪表盘将复杂的日志数据转化为切实可行的安全洞察,并帮助您解决安全问题。此视图可为您节省时间、降低风险并改善云安全状况。

Oracle 定义的三个视图 VCN、 OCI ComputeOCI Audit 均显示在安全监视解决方案页中。

安全态势管理

虽然 OCI Logging 可让您直观地了解环境中正在发生的事情,但它仅提供有关其内部活动的不同数据点。通过收集上下文信息,您可以发现潜在威胁并保护环境免受勒索软件等威胁。传统的 SIEM 平台提供了相关性和高级分析功能。但是,它们可能难以使用,并且实施和维护成本很高。OCI 提供云原生服务,具有许多相同的优势:

Cloud Guard

该云原生服务可帮助您监视 OCI 环境、检测有风险的配置或活动,并保持强有力的安全状态。使用 Cloud Guard,您可以:

  • 检查您的资源是否存在与配置相关的安全漏洞,以及您的用户和操作员是否存在风险活动。
  • 根据您的配置进行检测、建议、协助或采取纠正措施。
  • 自动将审计日志信息转换为切实可行的安全相关事件,并减少必须筛选的原始事件数。
  • 对 Cloud Guard 控制台中的事件执行操作,并将其转发到 OCI Streaming 服务,然后转发到 SIEM 系统。
  • 克隆和定制 Oracle 提供的检测器和响应器配方,以定制要接收预警的安全违规以及允许对它们执行哪些操作。例如,您可能希望检测可见性设置为公共的对象存储桶。
  • 在租户级别应用 Cloud Guard 以实现广泛覆盖,减轻维护多个配置的管理负担。
  • 使用托管列表可从安全扫描检测器中包括或排除特定配置。

Cloud Guard 威胁检测器

应用数据科学快速发现受损环境。使用机器学习、数据科学和威胁情报自动对用户行为进行分类,以降低警报噪音。使用 Oracle 的威胁情报数据,监视与 MITRE ATT&CK 技术一致的有针对性的行为模型。这使用已知的攻击者行为和动机来识别威胁标记,并将这些标记组合成基于攻击进展的评分算法。

威胁检测器还使用机器学习和其他技术分析 OCI 管理员的操作,以帮助向恶意用户的安全操作员发出警报,这些用户的凭据被盗或忠诚度受到损害。确保此检测器已启用,并设置“流氓用户”警报以通知您的团队中的授权人员。

Cloud Guard 实例安全性

实例安全性可为 OCI Compute 虚拟和裸金属主机中的负载提供运行时安全性。它确保在一个位置满足安全需求,并具有一致的可见性。实例安全性可全面了解基础设施的安全状态,并帮助您:

  • 在操作系统级别检测可疑进程、开放端口和脚本执行
  • 接收有关漏洞和异常活动的可操作警报
  • 使用 Oracle 管理的检测器配方或创建自己的配方来捕获威胁
  • 使用原生集成 OCI 日志记录将日志导出到第三方安全工具

数据库安全

数据库是勒索软件的主要目标,因为它们包含组织的关键、敏感和受监管运营数据。这就是为什么对您的数据库安全状况进行实时洞察并保护您的云基础设施免受勒索软件和其他攻击至关重要。

默认情况下,OCI 数据库使用透明数据加密 (Transparent Data Encryption,TDE) 保护表和备份中的敏感数据。TDE 对所有静态数据进行加密,并在授权用户或应用程序访问这些数据时透明地对其进行解密。TDE 在存储介质或数据文件被盗时保护存储在介质上的数据。

Oracle Data Safe 提供了一个统一的 Oracle Database 控制台,可帮助您了解数据的敏感性、评估数据风险、屏蔽敏感信息、配置和监视安全控制、评估用户以及监视数据库活动。使用数据安全,您可以执行以下操作:

  • 安全风险评估
  • 用户评估
  • 活动审核
  • 数据搜索
  • 数据屏蔽

提示:

在 Data Safe 中注册所有 Oracle Database ,以识别风险、对风险进行分类和确定优先级,并生成有关安全参数、安全控制以及用户角色和权限的全面使用情况报告。

Oracle Database Vault

Oracle Database VaultOracle Database 中实施数据安全控制,以限制特权用户对敏感应用数据的访问。降低内部和外部威胁的风险,并满足合规要求和职责分离。

保护新的和现有的 Oracle Database 环境,而无需进行昂贵且耗时的应用更改。Database Vault 与企业架构(包括 Oracle Real Application Clusters (Oracle RAC)Oracle GoldenGateOracle Data Guard )兼容,无需部署其他服务器和代理。

Oracle Database Vault 提供以下功能:

  • 领域:通过在 Oracle DatabaseOracle Database Vault 安全控制中创建受限制的应用环境来阻止对敏感数据的未经授权的访问。帮助组织遵守数据隐私法律和标准,例如欧盟通用数据保护条例 (EU GDPR)、支付卡行业数据安全标准 (PCI-DSS) 和许多其他法规,这些法规要求对敏感信息的访问、披露或修改实施强有力的内部控制。
  • 命令规则:防止恶意或意外更改中断特权用户帐户的操作。命令控制可防止在特定维护窗口之外执行未经授权的命令(如 DROP TABLE ALTER SYSTEM)。
  • 可信路径:基于 IP、应用程序、用户和一天中的时间强制实施零信任访问,因此攻击者无法轻松使用被盗凭证。Oracle Database Vault 可以阻止对敏感数据的未经授权访问,并生成高价值警报,通知管理员可疑的数据访问活动,并防止数据被盗。
  • 职责分离:对特权用户强制执行检查和平衡,防止攻击者禁用安全控制、创建流氓用户以及使用特权账户中的凭证访问敏感数据。

提示:

为所有 OCI 数据库实施 Database Vault。

事件和通知

您可以选择在 OCI 租户中发生的未被描述的服务覆盖的其他事件时收到预警。OCI 事件和通知服务允许您识别这些事件,并在事件发生时向您的团队发送通知。

OCI 事件

使用 OCI 事件可创建规则,以根据租户中的状态更改发送自动通知。规则包括您定义的筛选器,以指定租户中资源生成的事件。规则还必须指定在筛选器找到匹配事件时将触发的操作。

操作是您为事件匹配定义的回应。当规则中的筛选器找到匹配项时, OCI 事件服务会将匹配事件传送到您在规则中标识的一个或多个目标。事件的目标服务包括 Notifications、Streaming 和 Functions。

OCI 通知

当具有 OCI 资源的事件触发时,使用 OCI Notifications 发送警报。您可以配置警报、事件规则和服务连接器,通过支持的端点(包括电子邮件和文本消息 (SMS))向您发送可读消息。您还可以通过定制 HTTPS 端点和 OCI 函数自动执行任务。您还可以直接发布消息。

OCI 审计、日志记录、Cloud Guard 和数据安全服务都与 OCI 事件和通知服务集成,使您能够向运营和安全团队通知租户中存在与安全相关的问题。