在 Oracle Cloud 中使用 Cloud Native SCCA LZ 部署符合 SCCA 規範的工作負載
此參考架構為美國國防部 (DoD) 任務擁有者與導入合作夥伴提供指導,協助他們使用與安全雲端運算架構需求相關的 Oracle 雲端原生平台自動化。
使用 Oracle Cloud Native Secure Cloud Computing Architecture Landing Zone (SCCA LZ) 解決方案,只需最少的介入,即可快速將 SCCA 部署到您的租用戶。這麼做會以及時的方式將高度安全的架構部署到您的租用戶。
國防部 (DoD) SCCA 的用途是要在 DoD Information System Network (DISN) 和 DoD 使用的商業雲端服務之間提供防護,同時最佳化網路安全方面的績效成本效益貿易。SCCA 將會主動提供一組整體防護,抵禦在商業雲端營運的 DISN 基礎架構和任務應用系統所遭受的攻擊。
此服務特別針對來自 Cloud Service 環境 (CSE) 內在多租用戶環境中 DISN 基礎架構和鄰近租用戶的任務關鍵應用系統所發動的攻擊。它提供一致的內容安全性政策 (CSP) 獨立等級的安全性,允許使用市售的 Cloud Service 方案 (CSO) 來代管所有 DoD 資訊系統影響等級 (2、4、5 及 6) 操作的 DoD 任務應用程式。核心 SCCA 元件包括 Cloud Access Point (CAP)、Virtual Data Center Managed Services (VDSS)、Virtual Data Center Management Services (VDMS) 以及 Trusted Cloud Credential Manager (TCCM)。
Oracle DoD Cloud 已發布此參考架構,符合 SCCA 標準。
架構
此登錄區域支援 DISA SCCA,並提供保護 Oracle Cloud Infrastructure Government Cloud 範圍金鑰 OC2 與 OC3 政府區域中美國 DoD 影響等級 (IL) 4 和 5 工作負載的架構。其設計目的是為 DoD,但可供希望增強其登錄區域安全性的任何客戶使用。
Oracle Cloud Native SCCA Landing Zone 參考架構
此參照架構圖顯示建構 SCCA 元件和組態的抽象建置區塊,讓您符合 SCCA 規範。您可以根據在此處找到的 Oracle Cloud Infrastructure (OCI) 雲端原生服務來部署此架構。此參考架構以 DISA FRD 為基礎,並具有 CAP/BCAP、VDSS、VDMS 和 TCCM 的元件。
監控架構或 Oracle Cloud 工作部署是否符合 DoD SCCA 規範
作為此雲端原生 SCCA 解決方案的一部分,VDSS、VDMS 和工作負載區間中有一個監督結構可滿足您的初始 SCCA 需求。這可根據管理員的作業模型進行調整。OCI 內的服務會提供可透過度量儀表板監控的度量和事件。您可以根據這些度量和事件的查詢建立警示。您可以使用您建立的主題將這些警示組織成群組。您可以依區間 (VDSS、VDMS 及工作負載) 建立不同的主題,然後指定不同的監督規則給它們。
Oracle Cloud Native SCCA Landing Zone 技術架構
縮寫
| 縮寫 | 定義 |
|---|---|
| 阿瑟伯 | 美國陸軍網路指揮部 |
| BCAP 語言 | 界限 CAP |
| 公司簡介 | 界限 CND |
| CAC | 一般存取卡 |
| CAP | 雲端存取點 |
| CND | 電腦網路防禦 |
| CSE | Cloud Service 環境 |
| CSO | Cloud Service 方案 |
| CSP | Cloud Service 提供者 |
| CSSP | 網路安全服務提供者 |
| DISA | 國防資訊系統局 |
| 磁碟 | 國防資訊系統網路 |
| DoD 資訊長 | 國防部資訊長 |
| DoD | 國防部 |
| DoDIN | 國防部資訊網路 |
| FRD | 功能需求文件 |
| IaaS | 基礎架構即服務 |
| IL | 影響程度 |
| 紐西蘭 | 登陸區域 |
| MCD | 任務網路防禦 |
| NSG | 網路安全群組 |
| PaaS | 平台即服務 |
| PIV | 個人識別驗證 |
| RoT | 信任根目錄 |
| SaaS | 作為服務的軟體 |
| SCCA | 安全的雲端運算架構 |
| SCCA LZ | 安全雲端運算架構登陸區域 |
| 服務要求群組 | 安全資源指南 |
| 高 | 安全技術導入指南 |
| TCCM | 值得信賴的雲端證明資料管理程式 |
| USCYBERCOM | 美國網路指揮部 |
| VDMS | 虛擬資料中心管理服務 |
| VDSS | 虛擬資料中心安全服務 |
| VTAP | 虛擬測試存取點 |
架構具有下列元件:
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎設施,例如電力或冷卻系統或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 自治式資料庫
Oracle Autonomous Database 是一個完全受管理且預先設定的資料庫環境,可用來處理交易和資料倉儲工作負載。您不需要設定或管理任何硬體,或是安裝任何軟體。Oracle Cloud Infrastructure 可處理建立資料庫,以及備份、打補丁、升級及調整資料庫。
- 雲端保全
您可以使用 Oracle Cloud Guard 來監控及維護 Oracle Cloud Infrastructure 中資源的安全性。雲端保全使用偵測器處方,您可以定義檢查資源是否有安全漏洞,以及監控操作員和使用者是否有風險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方,建議更正動作並協助採取這些動作。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您在 Oracle Cloud 中的資源、控制對資源的存取,以及設定使用配額。若要控制對指定區間中資源的存取,您可以定義原則來指定可存取資源的人員及可執行的動作。
- DRG
可連附 VCN 和 IPSec 通道的虛擬路由器。
- Exadata 資料庫服務
Oracle Exadata Database Service 可以讓您在雲端中使用 Exadata 的強大功能。您可以佈建具有彈性的 X8M 和 X9M 系統,隨著需求成長,將資料庫運算伺服器和儲存伺服器新增至您的系統。X8M 和 X9M 系統提供 RDMA over Converged Ethernet (RoCE) 網路,提供高頻寬和低延遲、永久記憶體 (PMEM) 模組和智慧型 Exadata 軟體。您可以使用相當於四分之一機架 X8 和 X9M 系統的資源配置來佈建 X8M 和 X9M 系統,然後在佈建之後的任何時間新增資料庫和儲存伺服器。
Oracle Exadata Database Service on Dedicated Infrastructure 在 Oracle Cloud Infrastructure (OCI) 資料中心內提供 Oracle Exadata Database Machine 即服務。Oracle Exadata Database Service on Dedicated Infrastructure 執行處理是位於 OCI 區域中 Exadata 機架上的虛擬機器 (VM) 叢集。
Oracle Exadata Database Service on Cloud@Customer provides Oracle Exadata Database Service that is hosted in your data center.
- FastConnect
Oracle Cloud Infrastructure FastConnect 提供一個簡單的方式,在您的資料中心與 Oracle Cloud Infrastructure 之間建立專屬的專用連線。FastConnect 提供與網際網路型連線比較的高頻寬選項,以及更可靠的網路體驗。
- 容錯域
容錯網域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個容錯域,具備獨立電源和硬體。當您將資源分散到多個容錯域時,您的應用系統就可容忍容錯域中的實體伺服器故障、系統維護以及電源故障。
- 防火牆
提供入侵偵測和防禦服務,並根據規則篩選外送流量。
- ID
SCCA LZ 會假設識別網域功能在部署所在的範圍中可用。將在此佈署登陸區域中啟用 X.509 功能旗標。DoD 客戶需要提供自己的 X.509 身分識別提供者 (IdP),這也應該支援「SAML 金鑰持有者 (HOK)」設定檔。設定此項目之後,同盟使用者就能夠使用其「通用存取卡 (CAC)」或「個人身分驗證 (PIV)」卡登入 OCI 主控台。為了支援使用以上區間組態的 SCCA 存取需求,將會部署下列 IAM 群組:VDSSAAdmin 群組、VDMS 管理群組以及工作負載管理群組。
- 獨立服務
這些是將啟用的全租用戶服務,可與 LZ、雲端保全及 VSS 搭配使用。
- 負載平衡程式
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動化流量分配。
- 本地端點 (LPG)
LPG 可讓您將一個 VCN 與同一個區域中的另一個 VCN 對等互連。對等互連表示 VCN 使用專用 IP 位址進行通訊,而沒有流量會透過您的內部部署網路周遊網際網路或路由。
- 記錄日誌
您的租用戶可使用此服務進行稽核,並且包含一個區間,其中所有稽核日誌都會傾印至含有保留規則的共用位置,因此無法修改日誌。DoD 要求儲存桶可供外部使用者、稽核者等存取,而不需修改其餘環境的權限。
- 登入分析
Oracle Logging Analytics 是 OCI 中的雲端解決方案,可讓您從企業內部部署或雲端的應用系統和系統基礎架構,對應用系統和系統基礎架構的所有日誌資料進行索引、強化、聚總、探索、搜尋、分析、關聯、視覺化以及監控。
- 監督
OCI 和著陸區域提供多項服務,可共同運作以提供整個租戶的監控功能。它們會在 VDSS、VDMS 與工作負載元件中建立監督結構,此元件是針對初始監督需求所設定。
他們提供了一個起點,讓管理員能夠根據自己的營運模型調整。為了避免成本過多與許多訊息,登錄區域部署預設會停用所有這些警示。您可以根據作業模型,從 OCI 主控台啟用相關警示。
- 網路位址轉譯 (NAT) 閘道
NAT 閘道可讓 VCN 中的專用資源存取網際網路上的主機,而不需將這些資源暴露給內送網際網路連線。
- 網路
為了保護所有流量 (北部和西部),OCI 建議您使用中樞和軸輻拓樸來區隔網路,讓流量透過稱為虛擬資料中心安全堆疊 (VDSS) VCN 的中央中心遞送,並連線至多個稱為虛擬資料中心管理服務 (VDMS) VCN 和工作負載 VCN 的不同網路 (呼叫)。
VDMS 和工作負載之間的所有流量 (不論是網際網路、企業內部部署環境,或 Oracle Services Network 之間,或兩者之間) 都會透過 VDSS 進行路由,並會透過網路防火牆的多層威脅防護技術進行檢查。網路防火牆的角色很重要,也就是 PaaS 服務,效能由 OCI 管理。VDSS VCN 包含以 Palo Alto Technologies、Oracle 網際網路閘道、DRG 及 Oracle Service 閘道為基礎的網路防火牆。VDSS VCN 透過 DRG 連線至支點 (VDMS 和工作負載) VCN。每個 VCN 都有一個 DRG 的連附項,可供它們彼此通訊。如需有關 DRG 和 VCN 連附項的詳細資訊,請參閱「深入瞭解」。所有支點 (來自 VDMS 和工作負載) 流量都使用路由表規則,將流量透過 DRG 遞送至 VDSS,供網路防火牆進行檢查。
此架構也提供在 OCI 中使用新封包擷取服務的選項,稱為虛擬測試存取點 (VTAP)。架構的另一個主要元件是負載平衡器 (在 VDMS 和工作負載中部署) 與 Web 應用程式防火牆 (WAF) 之間的整合。
- 物件儲存
物件儲存可快速存取任何內容類型的大量結構化與非結構化資料,包括資料庫備份、分析資料,以及豐富內容 (例如影像和影片)。您可以安全地儲存,然後直接從網際網路或雲端平台內擷取資料。您可以無縫擴充儲存,而不會發生任何效能或服務可靠性的降低。針對快速、立即和經常存取的「熱」儲存,使用標準儲存。將封存儲存用於長時間且鮮少存取的「冷」儲存。
- 區域
Oracle Cloud Infrastructure 區域是一個本地化的地理區域,包含一或多個資料中心 (稱為可用性網域)。區域與其他區域無關,因此廣大的距離可加以區隔 (跨國家或甚至洲)。
- 安全
SCCA 登陸區域將實行下列 OCI 雲端原生服務,以協助您的組織符合 SCCA VDMS 安全需求。
- 保存庫 (金鑰管理)
- 日誌存檔儲存的儲存桶
- 串流與事件
- 預設日誌群組
- 服務連線器
- 漏洞掃描服務 (VSS)
- 雲端保全
- 堡壘主機
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 安全區域
安全區域會強制執行加密資料等原則,並防止對整個區間的網路進行公用存取,以確保 Oracle 的安全最佳做法。安全區域會與相同名稱的區間關聯,並包含適用於區間與其子區間的安全區域原則或「處方」。您不能將標準區間新增或移動到安全區域區間。
- 服務連線器中心
在服務之間傳輸資料的服務。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。VCN 到 Oracle 服務的流量會透過 Oracle 網路光纖通道,而一律不會周遊網際網路。
- 串流處理
此功能會即時擷取及使用大量資料串流。
- 租用戶
租用戶是指註冊 Oracle Cloud Infrastructure 時,Oracle 在 Oracle Cloud 內設定的安全獨立分割區。您可以在租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會有單一租用戶,並反映其在該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。
- 租用戶端服務
這些服務包括識別網域、IAM、原則、稽核以及雲端保全。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路,VCN 可讓您完全控制網路環境。VCN 可以有多個非重疊 CIDR 區塊,而您可以在建立 VCN 之後進行變更。您可以將 VCN 區隔成子網路,然後對區域或可用性網域進行調整。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用子網路。
- 虛擬資料中心受管理服務 (VDMS)
對應至管理環境作業 (例如保存庫、VSS 及物件儲存) 所需的所有核心服務。
- 虛擬資料中心安全服務 (VDSS)
VCN 是進出您環境內流量的單一存取點,而您的流量會被隔離並受網路控制來進行路由。
- 虛擬專用保存庫 (VPV)
儲存及管理加密金鑰和加密密碼以安全地存取資源的加密管理服務。在發生災害時,會將 VPV 複製到災害復原區域以進行備援和金鑰管理。
- 漏洞掃描服務 (VSS)
您必須使用此命令來持續監控雲端提供者環境內的所有實體。
- 工作負載區間
每個工作負載都會透過 VDSS 和網路防火牆設定專用的區間和 VCN 路由,與企業內部部署系統通訊。
聲明
本文件僅供參考,且僅用於協助您計畫所述產品功能導入與升級。本文件不承諾提供任何資料、程式碼或功能,並且不得作為採購決策的依據。本文件中所述之任何特性或功能的開發、發行和時機,Oracle 全權更改。本文件可能參照目前正在取得 DISA Impact Level 5 暫時授權的產品 / 服務或安全控制。
建議
- VCN
建立 VCN 時,請根據您計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與欲設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
您可以在建立 VCN 之後,變更、新增及移除其 CIDR 區塊。
設計子網路時,請考慮您的流量與安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。
- 雲端保全
複製並自訂 Oracle 提供的預設處方,以建立自訂偵測器與回應器處方。這些處方可讓您指定哪些類型的安全違規會產生警告,以及允許對其執行哪些動作。例如,您可以偵測可見性設為公用的物件儲存的儲存桶。
在租用戶層次套用雲端保全以涵蓋最廣的範圍,並減少維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 安全區域
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是一個與以最佳做法為基礎之 Oracle 定義的安全原則處方關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰進行加密。當您建立和更新安全區域中的資源時,Oracle Cloud Infrastructure 會根據安全區域處方中的原則驗證作業,並且拒絕違反任何原則的作業。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組套用至特定 VNIC 的輸入和輸出規則。我們建議您使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用程式的安全需求分開。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取提供固定頻寬的預先定義資源配置,或是指定自行設定頻寬範圍的客製化 (彈性) 資源配置,然後讓服務根據流量模式自動調整頻寬。無論是哪一種方式,您都可以在建立負載平衡器之後,隨時變更資源配置。
注意事項
部署此 SCCA LZ 架構時,請考量以下幾點。
- 效能
在區域內,效能不受 VCN 的數量影響。當您在不同區域對等 VCN 時,請考慮延遲。決定將部署在 VDMS 和 MO 工作負載區間 (支點 VCN) 中的哪些元件和應用程式時,您必須仔細考慮需要在您的 VPN 或 OCI FastConnect 上與內部部署環境在連線層級實行的傳輸量。
- 安全
使用適當的安全機制保護拓樸。使用提供的 Terraform 程式碼部署的拓樸包含下列安全特性:
- VDSS VCN 的預設安全清單允許來自 0.0.0.0/0 的 SSH 流量。請調整安全清單,只允許存取 SSH 的主機和網路 (或其他需要的服務連接埠)。
- 支點 VCN (VDMS 和 MO 工作負載) 無法從網際網路存取。
- 管理
由於大多數路由將會位於 DRG,因此路線管理會簡化。使用 DRG 作為 VDSS,最多可以有 300 個連附項。
- 營運成本
雲端消耗應密切監控,以確保營運成本在設計預算內。已為 VDSS 和 VDMS 區間設定基本區間層次標記功能。某些雲端資源 (例如虛擬專用保存庫 (專用 HSM) 和網路防火牆) 皆為 SCCA 需求。這些服務在非生產環境中具有更高的營運成本和替代服務 (例如,可以在非生產環境中改用共用軟體保存庫)。
部署
- 使用 Oracle Cloud Infrastructure Resource Manager 中的範例堆疊進行部署:
- 前往 Oracle Cloud Infrastructure Resource Manager 。
- 登入 (如果您尚未登入),輸入租用戶和使用者證明資料。
- 選取您想要部署此堆疊的區域。
- 依照螢幕上的提示和指示建立堆疊:按一下建立堆疊,按一下樣板,按一下選取樣板,按一下架構,按一下 OCI SCCA 著陸區域樣板,然後按一下選取樣板。
- 建立堆疊之後,按一下 Terraform 動作,然後選取計畫 (Plan) 。
- 等待工作完成,並複查計畫。
- 如果需要變更,請返回堆疊詳細資訊頁面,按一下編輯堆疊,然後進行必要的變更;然後再次執行計畫動作。
- 如果不需要進一步變更,請返回堆疊詳細資訊頁面,按一下 Terraform 動作,然後選取套用。
- 使用 GitHub 中的 Terraform 程式碼部署:
- 請前往 GitHub。
- 複製或下載儲存區域到您的本機電腦。
- 遵循
README文件中的說明。
探索更多
深入瞭解 Oracle Cloud for Government、DoD realm 以及 SCCA。
- 如需取得 DISA 影響等級 5 授權之 OCI 美國聯邦雲的其他資訊,請參閱 Oracle Cloud Infrastructure US Federal Cloud with DISA Impact Level 5 Authorization
- SCAA 管理員手冊
- SCAA 角色與職責
- 國防部 (DoD) 安全雲端運算架構 (SCCA) 功能要求
- 使用動態路由閘道設定軸輻式網路拓樸
- 動態路由閘道 (DRG)
- 宣布推出適用於 Oracle Cloud Infrastructure 的 VTAP
- Web 應用程式防火牆總覽
- 如需此 Oracle 雲端原生 SCCA 解決方案的其他特定資訊,請洽詢 Oracle Cloud DoD 產品管理團隊。