物件儲存的低成本防毒
建置低成本病毒掃描程式,在 Oracle Cloud Infrastructure Object Storage 中建立檔案物件時掃描檔案物件,以提升安全性並維護規範。此架構使用單一 Oracle Cloud Infrastructure Compute 執行處理和 ClamAV (開放原始碼防毒引擎)。
架構
此架構顯示在物件儲存體的檔案上執行掃描作業的兩種方法。
其中一個方法依賴 Oracle Cloud Infrastructure 事件服務和 Oracle Cloud Infrastructure 串流服務,在掃描器上通知命令檔或程式已將一或多個新檔案新增至檔案儲存桶。另一種方法會根據您設定的排程掃描檔案儲存桶。
下圖說明此參考架構。
architecture-antivirus.png 圖解描述
架構包含下列元件:
- 區域
Oracle Cloud Infrastructure 區域是包含一或多個資料中心 (稱為可用性網域) 的本地化地理區域。區域與其他區域無關,而且大型距離可以區隔 (跨國家或甚至洲)。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。VCN 就像傳統資料中心網路一樣,可讓您完全控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,供您在建立 VCN 之後變更。您可以將 VCN 區隔為子網路,子網路範圍可為區域或可用性網域。每個子網路均包含一個未與 VCN 中其他子網路重疊的連續位址範圍。您可以在建立子網路之後變更子網路的大小。子網路可以是公用或專用。
- 區間
區間是相關資源的集合。區間是 Oracle Cloud Infrastructure 的一個基本元件,用於組織及隔離雲端資源。區間是整個租用戶且跨所有區域。
您可以為每個子網路建立安全規則,以指定子網路中允許的來源、目的地以及流量類型。
- 執行處理主要項目
「執行處理主要項目」是一項 IAM 服務功能,可讓授權的執行處理 (或主要項目) 對服務資源執行動作。每個運算執行處理都有自己的識別,並使用新增至運算執行處理的憑證進行認證。
- 動態群組
動態群組可讓您將 Oracle Cloud Infrastructure 電腦執行處理群組為「主要項目」動作項目,類似於使用者群組。接著,您可以建立原則來允許執行處理針對 Oracle Cloud Infrastructure 服務進行 API 呼叫。
- 原則
原則是指定誰可以存取您公司擁有的 Oracle Cloud Infrastructure 資源和存取方式的文件。原則只允許群組以特定區間或租用戶中特定類型資源的特定方式運作。
- 物件儲存服務
Oracle Cloud Infrastructure Object Storage 服務是網際網路級的高效能儲存平台,提供可靠且高效能的資料持久性。您可以儲存不限數量的任何內容類型的非結構化資料。包括資料庫備份、分析資料以及豐富的內容,例如影像和視訊。
- 運算執行處理
Oracle Cloud Infrastructure Compute 可讓您佈建及管理運算主機。您可以啟動資源配置符合資源需求 (CPU、記憶體、網路頻寬以及儲存體) 的運算執行處理。建立運算執行處理之後,您可以安全地存取運算執行處理、重新啟動運算執行處理、連附及切離磁碟區,以及在不需要時終止運算執行處理。
架構有一個運算執行處理。它代管 ClamAV 防毒引擎和其他管理掃描處理作業的工具。
- 事件
Oracle Cloud Infrastructure 服務會發出事件,這是描述資源變更的結構化訊息。系統會發出事件來進行建立、讀取、更新或刪除 (CRUD) 作業、資源週期狀態變更,以及影響雲端資源的系統事件。
在此架構中,「事件」服務是用來追蹤在物件儲存的儲存桶上建立物件。
- 串流處理
「Oracle Cloud Infrastructure 串流」提供完整管理、可擴展且持久的儲存解決方案,可擷取連續、大量的資料串流,供您即時使用及處理。您可以使用「串流處理」來擷取大量資料,例如應用程式日誌、作業遙測、Web 點選串流資料,或用於在發布/循序訊息模型中產生及處理資料的其他使用案例。
推薦
您的需求可能會與此處描述的架構不同。使用下列建議作為起點。
- VCN 和子網路
建立 VCN 時,請根據計畫連附至 VCN 中子網路的資源數目,決定所需的 CIDR 區塊數目和各個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與想要設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure、內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至可作為安全界限的相同子網路。
- 區間
依照預設,所有 Oracle Cloud 租用戶都有一個以租用戶本身命名的預設根區間。租用戶管理員 (預設根區間管理員) 是屬於預設管理員群組成員的任何使用者。
針對此架構,建立包含所有資源的區間以隔離它們並改善安全性。
- 執行處理主要項目
建立動態群組和原則,讓 VM 無須將它們設為公用即可存取物件儲存的儲存桶。
- Oracle 影像
使用 Oracle Cloud Developer Image (隨附已安裝並可供使用的 OCI-CLI、Python 和 Git) 建立 VM。
考量
建置此參照架構時,請注意下列幾點:
- 頻率
執行掃描的頻率取決於內送物件的磁碟區和頻率。一般準則是從每週掃描開始,並根據處理儲存桶中所有物件所花費的時間進行調整。
- 效能
數個因素會影響效能,但最重要的是需要處理的檔案數目和執行處理資源配置。
- 安全性
您可以使用執行處理主要項目和動態群組來限制對物件儲存的儲存桶的存取。您可以使用 Oracle Cloud Infrastructure Identity and Access Management (IAM) 原則將權限指派給特定動態群組,以避免將儲存桶設為公用。
Oracle Cloud Infrastructure Object Storage 預設會啟用加密,而且無法關閉。
- 成本
Oracle Cloud Infrastructure 執行處理及其區塊儲存體是每次使用付費,因此只有在您於儲存桶中執行防毒時才需付費。若要掃描內送物件,您將保留執行處理執行 24x7,並視您可以使用的物件磁碟區而定,與其他服務共用執行處理或啟動專用執行處理。您不需要支付輸出資料傳輸和開放原始碼防毒費用。
建置
此參照架構的 Terraform 程式碼可作為 Oracle Cloud Infrastructure Resource Manager 中的範例堆疊。您也可以從 GitHub 下載程式碼,然後自訂程式碼以符合您的特定需求。
- 使用 Oracle Cloud Infrastructure Resource Manager 中的範例堆疊進行部署:
- 移至
。
如果您尚未登入,請輸入租用戶和使用者證明資料。
- 選取要建置堆疊的區域。
- 依照畫面上的提示和指示建立堆疊。
- 建立堆疊之後,請按一下 Terraform 動作,然後選取計畫。
- 等待工作完成,然後複查計劃。
若要進行任何變更,請返回「堆疊詳細資訊」頁面,按一下「編輯堆疊」,然後進行必要的變更。然後,再次執行「計劃」動作。
- 如果不需要進一步的變更,請返回「堆疊詳細資訊」頁面,按一下 Terraform 動作,然後選取套用。
- 移至
- 使用 GitHub 中的 Terraform 程式碼進行部署:
- 前往 GitHub。
- 將儲存區域複製或下載到您的本機電腦。
- 依照
README文件中的指示進行。