1. 瞭解 Oracle 歐盟主權雲端
  2. 關於 OCI 架構與最佳實務

關於 OCI 架構與最佳實務

EU Sovereign Cloud 為 OCI 客戶提供下列獨特功能:

  • 透過服務保護和資料複製提供資料保護
  • 透過虛擬網路存取模型
  • 透過 IAM 的安全模型
  • 稽核規範模型製作與治理

這些模型每一種都提供全面性的特定機制,讓客戶能夠強化雲端環境的主權。

資料保護

在歐盟主權雲端中的資料保護是以多種不同的觀點來看:

  • 存取:限制對資料的存取,以避免未經授權的使用。
  • 歐盟內部資料複製:在兩個不同的實體位置 (區域) 中建立資料複本,同時維持在歐盟的範圍內。
  • 複製路徑不會離開歐盟:歐盟主權雲端區域之間的歐盟資料傳輸完全包含在歐盟主權雲端區域之間的複製連線,會跨針對歐盟主權雲端建立的專用骨幹進行,在傳輸期間不會離開歐盟。
  • 本機加密金鑰:資料儲存與加密是由歐盟主權雲在歐盟內維護的金鑰或客戶提供的金鑰所管理。客戶提供的金鑰儲存在實體位於歐盟內且完全由客戶控制的金鑰管理服務 (KMS) 中。
  • 本機憑證授權機構:使用 OCI 憑證服務時,用戶可以執行與憑證發行及管理有關的所有動作。這包括匯入第三方根憑證授權機構 (CA),此授權機構可以在不周遊網際網路的情況下,內部分配給歐盟主權雲端中的資源。這些憑證之後可套用至 SSL,其他用來在網站之間建立強式、可本機驗證的加密方式。

開始使用資料保護

若要開始使用資料保護方法,請執行下列動作:

  • 使用 Oracle Cloud Stacks 在兩個歐盟主權雲端資料區域中建立標準化基礎架構。
  • 使用動態路由閘道 (DRG) 建置基礎架構的跨區域連結,即可安全地連結區域網路。
  • 使用資料保全、物件儲存跨區域複寫及應用程式型複寫工具等工具,在兩個網站之間建立複寫,以保護歐盟主權雲代管的資料。
  • 在歐盟主權雲內部建置 OCI 保存庫以提供重要加密密碼和金鑰,並將保存庫複寫至第二個資料區域。
  • 將憑證上傳至 OCI 憑證服務,並且使用服務端點進行憑證載入與驗證。

將資料複製到其他位置

確保資料保護的最常見策略之一,就是使用熱 / 暖機網站將資料複寫到另一個位置以進行長期儲存。

理想狀況下,複寫會透過來源直接連結進行,並可用於資料保護和網站間通訊,以最佳化連結的成本。在歐盟的情況下,資料連結本身不應該具有允許資料離開歐盟的路徑。


mad-fra-region.png 說明如下
mad-fra-region.png 圖解描述

mad-fra-region-oracle.zip

歐盟主權雲端提供資料保護機制和 OCI 服務,可協助您滿足資料複製和傳輸需求。Oracle 建立了歐盟主權雲端資料區域並兼顧服務,讓您能夠鏡射儲存與應用系統的導入。儲存和應用系統可透過專屬的骨幹連結複寫到其他歐盟主權雲端資料區域,而且這些功能和可用服務完全相同。這個專屬骨幹還用於歐盟主權雲區域之間的管理流量,而且頻寬有一大部分可供歐盟主權雲內的用戶使用。在所有情況下,在此骨幹上流入的客戶資料流量,會與其他不屬於歐盟主權雲端的領域和區域隔離。

加密資料

資料加密和 (或) 儲存加密金鑰 (用於特定系統內的各種用途) 也是資料保護策略的重要層面。Oracle 提供了一個本地化的 KMS 解決方案,用於維護歐盟主權雲內資料儲存加密的金鑰,並儲存可透過程式設計方式擷取供應用系統內或執行處理層次資料加密機制使用的金鑰。

OCI 保存庫服務提供此功能。保存庫可以作為多用戶軟體型 KMS 或專用的 HSM 模組來實作。無論是哪一種情況,Vault 皆僅位於歐盟主權雲端領域內,且 Oracle 無法存取儲存在軟體保存庫或專屬 HSM 中的金鑰或加密密碼。資料加密活動也僅位於歐盟主權雲端內,每個區域都維護自己的獨立保存庫實作。OCI Vault 支援的金鑰加密演算法包括進階加密標準 (AES)、Rivest-Shamir-Adleman (RSA) 演算法,以及橢圓曲線數位簽章演算法 (ECDSA)。客戶可以建立並使用 AES 對稱金鑰和 RSA 非對稱金鑰來進行加密和解密,或使用 RSA 或 ECDSA 非對稱金鑰來簽署數位訊息。

將連線加密至資料用戶

此外,您也必須考量靜態資料的加密,但也能夠加密資料消費者的連線,尤其是透過 HTTPS 之類的協定。

在許多情況下,x.509 憑證是透過外部來源處理,或是透過產生本機憑證供內部使用的專用伺服器來處理。EU Sovereign Cloud 提供 OCI Certificates 服務,讓客戶建立內部和外部應用程式的本機憑證、匯入要配銷的第三方憑證組合,以及管理服務中安裝的憑證 (例如金鑰輪替)。所有與管理憑證 (新增、輪調、刪除等) 相關的作業都可以從完全位於歐盟主權雲端的中央服務完成。

與 OCI 負載平衡器整合

與 OCI 負載平衡器服務整合,可讓客戶將由 OCI 憑證簽發或管理的 TLS 憑證,與需要憑證的資源順暢地建立關聯。未與憑證服務整合的應用程式或伺服器,可提供 API 結構來擷取用戶 IAM 原則視為適當的憑證。將憑證集中在以歐盟為基礎的權威來源,可讓您在本機管理憑證,並確保歐盟主權雲端中的客戶可以在歐盟內部將加密功能化。

存取模型

OCI 架構內建的機制也讓歐盟主權雲能夠為部署的資源和應用系統,提供有效的網路封包篩選、存取控制、直接連線能力,進而讓部署的資源和應用系統僅存取位於歐盟的網路位址達到有效的方式。

開始使用存取模型

若要開始快速導入存取模型,請執行下列作業:

  • 以深度防禦的方式實行虛擬雲端網路 (VCN) 設計。僅在外部存取需要時使用 VCN 中的公用子網路。
  • 建立 DMZ 以使用公用和專用子網路來篩選流量。
  • 使用 OCI 網路防火牆 (NFW) 服務控制和監督對重要子網路 (包括所有公用子網路) 的存取。
  • 建立每個子網路的安全清單,以限制子網路內部存取。
  • 在每個執行處理 / 端點實行網路安全群組 (NSG),以嚴格控制存取來源。
  • 定期啟用 VCN 流量日誌以稽核流量。
  • 實作 OCI 網域名稱系統 (DNS) 可控制位址解析,以及篩選不想要的 DNS 網域,而不會影響接受的網域。
  • 使用點連線 (例如 FastConnect 和 CPE 組態) 來建立不使用公用網際網路的管理回程。

使用安全清單、網路安全群組和網路防火牆

原生 OCI 服務 (例如網路防火牆 (NFW)、安全清單 (SL) 及網路安全群組 (NSG) 的功能,再結合虛擬雲端網路 (VCN) 流程日誌,提供強大的機制,可防止及偵測非歐盟來源點的存取。

其中一個主要方法是使用 SL、NSG 以及 NFW 的組合,確保歐盟特定的公用 IP 位址範圍可以存取資源。透過背景,預設會「拒絕所有」存取連附至 OCI 子網路的執行處理 / 資源。此原則也會防止相同子網路上的執行處理互通。您必須將存取權明確授予,才能依特定子網路中的資源或 VCN 中的所有子網路來起始和回應連線。完成此作業的主要方式是透過 SL。這些是允許連線的子網路層次定義,可以依協定、連接埠以及 CIDR 範圍來指定。落在定義範圍之外的連線會無訊息地捨棄。NSG 可完成部分相同的工作,但會套用至虛擬 NIC (VNIC) 層,而非整個子網路。藉由使用 SL 和 NSG 的組合,歐盟主權雲端客戶可以建立僅接受來自指定歐盟公用 IP 範圍位址之資源的限制存取區域。如果客戶將這些限制延伸至個別資源 (例如負載平衡器、運算執行處理、堡壘主機等),您可以導入目標式存取模式以符合組織的需求。最後,NSG 和 SL 是雙向的,這表示可以單獨建立內部和外部連線規則。使用此功能,即使內送連線是透過設計或透過內送規則的組態設定錯誤,仍然需要允許外部連線建立完整階段作業。

對 VCN 上的資源實施「前門」

EU Sovereign Cloud 還提供以 Palo Alto 為基礎的網路防火牆服務,允許對 VCN 上的資源導入各種服務和限制,例如:

  • 狀態性網路篩選

    狀態性網路篩選會建立狀態性網路篩選規則,根據來源 IP (IPv4 和 IPv6)、目的地 IP (IPv4 和 IPv6)、連接埠及協定允許或拒絕網路流量。

  • 自訂 URL 和 FQDN 篩選

    自訂 URL 和 FQDN 篩選會將輸入和輸出流量限制為指定的完整網域名稱 (FQDN) 清單,包括萬用字元和自訂 URL。

  • 入侵偵測與預防 (IDPS)

    Intrusion Detection and Prevention (IDPS) 會監督您的網路是否有惡意的活動,並封鎖可疑的網路流量免於連線至內部網路。

  • SSL 檢查

    SSL 檢測透過 ESNI 支援安全漏洞,解密並檢查 TLS 加密的流量。加密的伺服器名稱指示 (ESNI) 是 TLS 交握式確認中伺服器名稱指示 (SNI) 的 TLSv1.3 擴充功能。

  • VCN 內部子網路流量檢查

    VCN 內子網路流量檢查會透過網路防火牆遞送兩個 VCN 子網路之間的流量。

  • VCN 間流量檢查

    VCN 間的流量檢查會透過網路防火牆遞送兩個 VCN 之間的流量。


access-model-arch.png 描述如下
Access-model 圖解描述 -arch.png

存取 -model-arch-oracle.zip

在上圖中,有五個案例:
  1. NFW 會根據客戶定義的規則集拒絕連線,並記錄連線嘗試。
  2. NFW 接受連線,並將連線遞送至受保護子網路中適當的執行處理。SL 允許來自此子網路的連線,且執行處理上的 NSG 有允許來自 NFW 連線的規則。
  3. 子網路 A 中的執行處理嘗試連線至執行處理。雖然 SL 允許來自子網路 A 的連線,但執行處理的 NSG 會防止連線。
  4. 子網路 A 中的執行處理嘗試連線至不同的執行處理。此處的 SL 和 NSG 允許連線
  5. 子網路 B 中的執行處理嘗試連線至執行處理。子網路 B 尚未被授予受保護子網路的存取權,因此無論執行處理的 NSG 為何,都不允許連線。

控制並判斷適當名稱解析

此外,控制和確定適當名稱解析來源的功能是一種機制,可用來判斷連線能力並提供名稱解析,以及以確定方式轉送給已定義 DNS 端點。

歐盟主權雲端環境繼承 OCI DNS 服務,可讓您嚴格控制歐盟主權雲內使用的兩個端點,以及要求轉送的來源。OCI DNS 服務透過從轉寄端分割 DNS 監聽器端點來完成此作業,同時將規則引擎內嵌在兩者之間。這可讓您根據要求的網域,定義 DNS 要求方向的設定規則,這有可能是不同的轉送器。判斷在規則集之外的網域查尋要求,或選取指向不同 DNS 來源的多個轉送器 (視規則引擎的結果而定),將會傳回 NX_DOMAIN 回應以進行有用的空值重新導向。客戶對於歐盟內部主權雲和外部歐盟主權雲的 DNS 解析回應非常自主,並且提供篩選機制。


valid-vs-invalid-dns-request.png 描述如下
valid-vs-invalid-dns-request.png 圖解描述

valid-vs-invalid-dns-request-oracle.zip

提供歐盟主權雲端客戶較少限制的環境存取

歐盟主權雲端客戶可能需要比歐盟主權雲端租用戶擁有者所提供服務的公用消費者更少存取環境。此類型的存取是由 OCI 公有雲中的相同直接連線類型所完成。

  • FastConnect

    FastConnect 是歐盟主權雲端網路連接點的直接多重通訊協定標籤切換 (MPLS) 連結。這些連結不會與歐盟主權雲的任何其他消費者共用,並且專用於指定的特定租用戶。

  • 客戶端設備 (CPE)

    CPE 是一種 VPN 連線模型,可讓客戶不需投資專用 MPLS 連結所需的基礎架構,就能將低頻寬、遠端辦公室樣式的專用連線導入歐盟主權雲。

在直接連線時,所有存取控制機制都會保持有效。因此,透過 FastConnect 連結進行的連線仍然受到 SL 和 NSG 所定義的規則集約束,且 NFW 可以受到 NFW 的監控 - 所有不同的規則都是根據連線來源 / 目的地,套用至公用資源的規則。使用上述其中一種或兩種連線類型,讓歐盟主權雲用戶建立不同的連線,而存取控制方法 (SL、NSG) 和 NFW 的組合則提供緊密控制與監督環境資源存取的機制。

這些存取功能可讓歐盟主權雲的使用者建立「廣域花園」的資源,以便用於歐盟境內。如此處所示:


已牆的描述 - garden.png 以下
牆的圖解描述 -garden.png

牆面強化 - oracle.zip

NFW 提供第一層的存取偵測、拒絕及記錄支援,而 SL 可對特定子網路中的資源存取提供第二層限制。NSG 進一步限制資源的存取。SL 和 NSG 兩者都可以有雙向規則集,以限制外送 IP 位址 / 連接埠範圍。不過,在此特定情況下,將會透過 FastConnect 連線將資料、維護及管理提供給用戶資源,而這些連線也受 SL 和 NSG 的限制。兩個功能中定義的規則集也會套用至透過 FastConnect 的連線。針對起始或驗證內送連線網域成員身分,外送連線的解析是透過指向特定 DNS 解析來源的 DNS 監聽器 / 轉送器組合執行。同時,這些功能允許建立公用、受控制的存取服務入口網站,資料管理和維護執行「頻外」且僅限歐盟。

安全模型

OCI 使用身分識別與存取管理 (IAM) 服務,為「雲端」的管理提供安全性。IAM 著重在確保特定範圍內的租用戶運算子可在租用戶內的動作受到限制。

安全模型入門

若要開始使用安全模型,請執行下列動作:

  • 建立「管理雲端」和「在雲端內管理」所需的安全存取模型。在身分識別與存取管理 (IAM) 中建立少量信任使用者,以便管理雲端。
  • 實行識別聯合以統一組織存取。在同盟中使用歐盟主權雲的個別群組,限制對歐盟人員的存取。
  • 歐盟主權雲端與非歐盟主權雲端 IAM 帳戶之間的身分識別是唯一的。這可減少管理環境時的管理員混淆。
  • 根據功能和組織界限,為佈建的資源建立 OCI 區間。
  • 為子組織建立識別網域,以自行管理其本機環境。
  • 建立搭配雲端保全的「子主權雲端 (子 SC)」環境,以監督 IAM 原則。

關於安全模型

OCI 人員不會使用 IAM 服務,也無法在雲端作業的任何階段使用。IAM 限制的所有動作都會套用至租用戶層次。雖然 OCI 人員確實使用身分識別與存取管理系統來操作控制層,但並未直接對客戶租用戶提供任何管理或作業存取。


security_structure_overview.png 的描述如下
security_structure_overview.png 圖解說明

security_structure_overview-oracle.zip

IAM 只會跨租用戶本身所在的範圍。在這種情況下,歐盟主權雲會在目前由實體位於歐盟的區域組成的單一範圍中運作。因此,在歐盟主權雲端租用戶內建立的任何帳戶只能在範圍本身內的資源管理上運作,並且只能在歐盟的資源上運作。使用者帳戶在範圍之外沒有相關資訊環境,即使使用者在另一個範圍中有相同的使用者證明資料,歐盟主權雲端內並無內送相關資訊環境。

歐盟主權雲端作業帳戶完全隔離於範圍中。OCI 的範圍架構、歐盟居民支援與營運以及歐盟合法實體結構的組合,原生強制隔離歐盟主權雲端領域。無需設定其他的一般使用者組態,以確保歐盟主權雲端與其他 OCI 範圍獨立運作。


iam-2-user.png 說明如下
iam-2-user.png 圖解描述

iam-2-user-oracle.zip

IAM 提供在範圍中維護的本機帳戶,以及與 Identity Cloud Service (IDCS) 或其他 SAML2 同盟機制關聯的同盟帳戶。您可以嚴格控制對歐盟主權雲端租用戶的部署和管理元件的存取,而且只允許以歐盟為基礎來管理環境的帳戶。此外,由於這是同盟帳戶管理系統,因此可用於歐盟主權雲的同盟可存取部署在租用戶中的運算資源。這意謂著建立整合的環境,以便將可完全稽核的存取方法部署到「雲端」管理和「雲端」資源中。


idp-vs-iam.png 說明如下
idp-vs-iam.png 圖解描述

idp-vs-iam-oracle.zip

除了同盟帳戶功能之外,歐盟主權雲還提供在租用戶內建立識別網域 (ID)。ID 基本上是 IAM 空間的分割,一組次要的指定管理員無法檢視網域上層,也能建立自己的存取原則集並控制自己的資源。租用戶的上層擁有者仍然可以影響對整體資源和 IAM 管理的控制。若將 ID 與上層 (非根) 區間結合,可讓 ID 的成員建立完整的環境,而此環境對周圍的任何環境都不瞭解。有了這組工具,歐盟的組織可以創造我們所謂的「子 SC」環境。亦即,維護原始租用戶特性的環境,但允許建立次要環境及其對成員身分的政策和限制。

子 SSC 的概念在下面的圖解案例研究中進一步描述。子 SSC 環境也可以在租用戶中實行雲端保全,進行限制、控制及稽核。在這種情況下,雲端保全可以防止指定給特定子 SSC 的區間,並由識別網域中定義的一組使用者控制,避免執行可避免的動作,以確保持續保護代管資料和 (或) 執行會違反環境內安全原則的動作。除了雲端保全之外,歐盟主權雲端還提供安全區域,此安全區域提供可統一套用的臨時區間目標原則集。您可以並經常實作安全區域來增強雲端保全組態。

州別、內容和歐盟主權雲端服務庫存在範圍外的任何方式都不會被宣告。

稽核與治理

歐盟主權雲端功能提供積極的措施,確保歐盟人員能夠管理環境,並在歐盟內部保護資料。然而,若無機制可檢閱這些措施並記錄合規性,則難以向外部實體提供保證。

開始使用稽核與治理

若要開始使用稽核和治理活動,請執行下列動作:

  • 您可以使用 OCI 稽核服務來監督及產生治理和法規遵循模型的強制實行動作。
  • 實行 OCI 日誌記錄分析服務,對 OCI 稽核服務產生的資料執行進階分析。
  • 使用威脅情報和雲端保全建立原則,主動防止動作者進行動作和存取。
  • 使用 OCI 標記服務建立與組織結構和 (或) 成本模型對應的標記命名空間。將命名空間中索引鍵 / 值組的所有資源都標記為要稽核和 (或) 計費。
  • 在租用戶和區間內設定配額,以避免失控的資源用量。
  • 使用 OCI 預算和成本分析服務來預測、監控和控制成本。

關於監視遵守資料主權需求的服務和功能

OCI 提供其他服務與功能,客戶可用來監控組織的資料主權需求。您可以使用成本控制與管理作為稽核資源支出規範、偵測威脅的工具,以及確保租用戶保留在已建立的規格內。

下列 OCI 服務可用於歐盟主權雲,以導入稽核與治理策略:
  • 稽核

    OCI Audit 會記錄歐盟主權雲端所提供 OCI 服務的時間、來源、目標以及動作類型。系統會記錄運算執行處理的建立作業、VCN 作業以及其他作業,供指定人員監督和稽核您在歐盟主權雲中設定的環境。

  • 日誌記錄分析

    此功能可讓客戶使用稽核服務收集日誌,並根據組織需求建立不同的檢視和視覺化項目。其他來源的日誌也可以進行擷取,以提供環境的完整稽核與分析。

  • 威脅情報 (透過雲端保全)

    威脅情報會從各種來源進行輸入並管理資料,為雲端保全和其他 OCI 服務的威脅偵測和預防提供可行的指引。雲端保全可讓您導入可主動回應潛在威脅的標準化動作 (以下稱「處方」)。

  • 標記

    以上項目為作用中的機制,可防止、偵測及對作用中威脅採取動作,而稽核的其他元素和規範則著重於追蹤使用量和成本。歐盟主權雲提供的機制可以在佈建時將標記指定給資源,並在指定之前修正標記的值與格式。您可以透過 API 查詢這些標記,這些標記以進行成本追蹤與計費報告,並使用與特定資源和執行處理關聯的 IAM 原則採取行動。使用「標記」為相同的資源指定多個標記,並從多個角度查看資源的使用情況。例如,運算資源可能會有標記,指出資源的一般使用、使用資源的群組 (例如開發)、資源的成本中心或可能感興趣的任何其他維度。

  • 區間配額

    您可以根據資源所在的區間來設定資源配額。配額可以將配額定義中定義的資源數目和 (或) 範圍限制在特定的區間、區域或 AD。

  • 預算

    預算是一項工具,可讓客戶依據警示的目的,根據目前的支出限制、預測支出上限或兩者來設定警示。根據成本追蹤標記、區間、資源或二者發出預算警示。

  • 費用分析

    「成本分析」工具可協助您細分各個維度的目前消耗成本。透過租用、歐盟主權雲端區域、區間和資源標記等向量和使用的特定資源、服務和 SKU 的組合來檢視成本。報表可以在適用時篩選至個別資源。您也可以使用此工具,根據過去的使用模式預測未來使用量。資料可延伸至儀表板,可透過 API 存取。您也可以排定成本報表定期執行,並將結果傳遞至物件存放區儲存桶。這些報表可以儲存供歷史參考使用,並匯出至資料倉儲以進行長期趨勢分析與處理。