在 Oracle Cloud Infrastructure 上導入網路復原解決方案
隨著惡意軟體和勒索軟體攻擊持續發生,網路安全已成為日益重要的主題。對於關鍵任務資料庫而言,導致資料遺失和系統停機的此類攻擊,在整個業務上可能對收入、作業、聲譽甚至罰款造成重大影響。
您可以導入一個解決方案,保護您在 Oracle Cloud Infrastructure (OCI) 上代管的 Oracle 應用系統,避免受到網路攻擊,進而建立及儲存不可變的備份。發生網路攻擊 (例如勒索軟體加密攻擊) 時,不可變的備份可以用來將 Oracle 應用程式回復到先前的狀態,以減少業務作業中斷的情況。
架構
此參考架構說明如何導入部署在 OCI 上的自動化備份與回復解決方案。
Oracle E-Business Suite 應用程式 (EBS) 已用作此解決方案的範例,但您可以輕鬆地將其用於其他 Oracle 應用程式。
下圖說明此參照架構。
oci-cyber-recovery-arch-oracle.zip
- 若要部署此參照架構,請建立新的 OCI 租用戶 (指定的網路復原租用戶),以儲存不可變的備份複本。
- 網路復原租用戶可在發生網路攻擊時,提供安全測試及復原系統的平台。
- 「網路復原租用戶」會從「生產」網路 "air-gapped",只有在「網路復原」呼叫或定期測試期間才允許內送連線。
- 在未與 Active Directory 整合的情況下,OCI 網路復原租用戶在存取管理方面將有所不同。複製到 OCI 網路復原租用戶的所有資料都將從租用戶內起始,並透過 OCI 的網路骨幹複製,確保提供完整的安全性。
- 根據定義的備份排程,將所有生產實體 (資料庫、伺服器、檔案儲存等) 備份至生產租用戶內的一組網路復原物件儲存的儲存桶。
- 網路復原物件儲存的儲存桶必須符合您的需求,設定其保留和生命週期原則 (例如,每日週期儲存桶會有自己的保留原則)。
- 「網路復原物件儲存的儲存桶」必須設定權限,才能透過從「網路復原租用戶」起始的同步命令檔讀取。
- 以必要的額外備份解決方案搬移現有的生產備份。
- 應該在生產租用戶部署不同的儲存技術,每個都有不同的技術解決方案,但必須依照建立網路復原資料集的相同邏輯順序進行部署。
- 「網路復原租用戶」之 CRS 區間的同步化命令檔將會定期執行 (例如,備份時段內每隔 15 分鐘)。
- 套用管理原則,以便能夠存取「生產租用戶」。
- 將生產網路復原物件儲存的儲存桶中識別的任何新物件複製到等效的網路復原租用戶物件儲存的儲存桶。
- 停用管理原則以避免存取「生產租用戶」。
- 資料將會透過 OCI 的網路骨幹複製到網路復原租用戶,而所有內送存取都將受限於 OCI 主控台存取。
- 物件一旦同步至「網路復原租用戶」,其生命週期便不再連結至其「生產」對等項目。例如,在不太可能的事件中 (例如,週期原則中的不相符項目) 會刪除「生產」備份物件,此「不會」會刪除「網路復原租用戶」備份物件。
- 網路復原物件儲存桶將會放在具有安全區域原則的 CRS 區間中,以防止未經授權的變更儲存桶。
- 設定「網路復原租用戶物件」儲存桶的權限,以便只有授權的使用者才能在租用戶內讀取該儲存桶 (必須設定權限,才能夠寫入該物件)。
- 設定網路復原物件儲存桶內的保留原則,以管理刪除的物件週期 (例如,物件在 15 天之後就會被刪除) 和存檔 (例如,10 天的封存物件)。
- 當在網路復原物件儲存桶中建立新物件時,會掃描該物件是否有病毒,並檢查其 sha2/ 數位簽章,以確保備份檔案不會被竄改。請考慮根據解決方案的備份大小和復原點目標 (RPO) / 復原時間目標 (RTO),對資料庫備份執行 sha2/ 數位簽章檢查。
注意:
您可以使用 Terraform 程序檔、Ansible Playbooks、Shell 和 RMAN 程序檔,進行大部分程序自動化,這些程序可在此參考架構的 部署 區段中描述。下圖說明「網路復原租用戶」的範例部署拓樸。
oci_cyber_recovery_deploy.png 圖解描述
oci-cyber-recovery-deploy-oracle.zip
在此範例中,我們使用的 IP 範圍與 EBS_BlueRoom 和 EBS_RedRoom 中的生產環境應用系統 VCN 相同。我們選擇此方法,在 EBS_RedRoom 中進行以最少的變更回復應用系統,自動對備份進行測試。這決定了網路設計,其中 EBS_BlueRoom VCN 和 EBS_RedRoom VCN 無法同時連線至 DRG。
租用戶擁有權聚總可納入考量:
- 支援網路復原租用戶 (無法存取生產租用戶) 的專用團隊。
以及
- 一個生產應用程式支援團隊,在每季的應用程式測試練習時,只能存取紅室區間。此團隊可以從企業內部部署網路存取 CRS 網路。
架構具有下列元件:
- 租用戶
租用戶是指註冊 Oracle Cloud Infrastructure 時,Oracle 在 Oracle Cloud 內設定的安全獨立分割區。您可以在租用戶的 Oracle Cloud 中建立、組織及管理您的資源。租用戶與公司或組織同義。通常,公司會有單一租用戶,並反映其在該租用戶內的組織結構。單一租用戶通常與單一訂閱關聯,而單一訂閱通常只有一個租用戶。
- 區域
Oracle Cloud Infrastructure 區域是一個本地化的地理區域,包含一或多個資料中心 (稱為可用性網域)。區域與其他區域無關,因此廣大的距離可加以區隔 (跨國家或甚至洲)。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間組織您的 Oracle Cloud 資源、控制對資源的存取,以及設定使用量配額。若要控制對指定區間中資源的存取,您可以定義原則來指定可存取資源的人員及可執行的動作。
使用者 (本機和同盟) 會新增至一或多個群組,而這些群組又會連附至管控每個區間之 OCI 資產存取的 IAM 原則。
區間提供組織及隔離 Oracle Cloud Infrastructure 租用戶資源的功能。他們在設定將新工作負載部署到租用戶的基礎上扮演著重要的角色。雖然它們似乎具有 OCI 資源的邏輯分組性質,但它們可作為原則強制執行點,因此對於租用戶的安全性至關重要。
您可以根據功能、作業或專案階層部署區間。這可讓不同角色、函數和組織階層的資源之間保持獨立。根據需求,區間階層最多可有 6 個層次。存取控制是由原則定義。
每個區間都應該被指派特定的權限給相關群組。一般而言,使用者無法提升對其他區間的權限。「網路復原租用戶」中將使用下列區間階層,提供應用程式與環境之間的關聯。
- 可用性網域
可用性網域是區域內的獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域並不共用基礎設施,例如電力或冷卻系統或內部可用性網域網路。因此,一個可用性網域發生失敗並不會影響區域中的其他可用性網域。
- 容錯域
容錯域是可用性網域內的一組硬體和基礎設施。每個可用性網域都有三個容錯域,具備獨立電源和硬體。當您將資源分散到多個容錯域時,您的應用系統就可容忍容錯域中的實體伺服器故障、系統維護以及電源故障。
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。就像傳統的資料中心網路,VCN 可讓您完全控制網路環境。VCN 可以有多個非重疊 CIDR 區塊,而您可以在建立 VCN 之後進行變更。您可以將 VCN 區隔成子網路,然後對區域或可用性網域進行調整。每個子網路都是由不與 VCN 中其他子網路重疊的連續位址範圍所組成。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用子網路。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動化流量分配。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 雲端保全
您可以使用 Oracle Cloud Guard 來監控及維護 Oracle Cloud Infrastructure 中資源的安全性。雲端保全使用偵測器處方,您可以定義檢查資源是否有安全漏洞,以及監控操作員和使用者是否有風險活動。偵測到任何組態錯誤或不安全活動時,雲端保全會根據您可以定義的回應器處方,建議更正動作並協助採取這些動作。
- 物件儲存
物件儲存可快速存取任何內容類型的大量結構化與非結構化資料,包括資料庫備份、分析資料,以及豐富內容 (例如影像和影片)。您可以安全地儲存,然後直接從網際網路或雲端平台內擷取資料。您可以無縫擴充儲存,而不會發生任何效能或服務可靠性的降低。針對快速、立即和經常存取的「熱」儲存,使用標準儲存。將封存儲存用於長時間且鮮少存取的「冷」儲存。
- FastConnect
Oracle Cloud Infrastructure FastConnect 可讓您在資料中心與 Oracle Cloud Infrastructure 之間建立專屬的專用連線。FastConnect 與網際網路連線相比,提供更高的頻寬選項和更可靠的網路體驗。
- 本機執行處理閘道 (LPG)
LPG 可讓您將一個 VCN 與同一個區域中的另一個 VCN 對等互連。對等互連表示 VCN 使用專用 IP 位址進行通訊,而沒有流量會透過您的內部部署網路周遊網際網路或路由。
- Exadata 資料庫系統
Oracle Exadata Database Service 可以讓您在雲端中使用 Exadata 的強大功能。您可以佈建靈活的 X8M 系統,讓您在需要的時候,新增資料庫運算伺服器和儲存伺服器到系統中。X8M 系統提供 RoCE (RDMA over Converged Ethernet) 網路,提供高頻寬和低延遲、永久記憶體 (PMEM) 模組和智慧型 Exadata 軟體。您可以使用相當於四分之一機架 X8 系統的資源配置來佈建 X8M 系統,然後在佈建之後隨時新增資料庫和儲存伺服器。
建議
- VCN
建立 VCN 時,請根據您計畫連附至 VCN 中子網路的資源數目,判斷所需的 CIDR 區塊數目和每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與欲設定專用連線之任何其他網路 (在 Oracle Cloud Infrastructure 、您的內部部署資料中心或其他雲端提供者) 重疊的 CIDR 區塊。
您可以在建立 VCN 之後,變更、新增及移除其 CIDR 區塊。
設計子網路時,請考慮您的流量與安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。
- 安全
生產環境 EBS 和 SOA 系統會在客戶管理的 OCI 區間內代管,並由客戶共用安全狀態。打算在「網路復原用戶」中複製環境的安全狀態,包括安全清單和網路拓樸。「網路復原用戶」中的存取管理會與生產環境租用戶不同,不會與客戶的 Active Directory 解決方案進行 IAM 整合。
系統將會限制對乾淨房間的存取,而所有傳入項目都會透過專屬於該角色的堡壘主機 / 跳躍伺服器來遞送。此存取權只會在測試期間啟用,而且在「紅色房間」測試完成後將移除,而「藍色房間」每日可存取。只有指定的 Cyber Recovery 管理式服務合作夥伴,才能存取 Blue 聊天室,而 Red 聊天室的存取權限則僅限於指定的管理式服務合作夥伴和主要員工。
透過 IPsec/VPN 通道進入網路恢復租用期的入埠存取將每日開放給藍房使用,而紅房的存取將會在正常操作期間完全封鎖,而且在紅房測試事件期間只會在預先定義的 IP 位址開啟。
將會完全封鎖透過網路復原租用戶的 IPsec/VPN 通道進行輸出存取。從「網路復原租用戶」存取「生產租用戶」時,將只會在同步備份檔案時進行,在此期間之外,移除此原則會防止此存取。沒有對網路復原租用戶的輸入或輸出網際網路存取。
- 雲端保全
複製並自訂 Oracle 提供的預設處方,以建立自訂偵測器與回應器處方。這些處方可讓您指定哪些類型的安全違規會產生警告,以及允許對其執行哪些動作。例如,您可以偵測可見性設為公用的物件儲存的儲存桶。
在租用戶層次套用雲端保全以涵蓋最廣的範圍,並減少維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 網路安全群組 (NSG)
您可以使用 NSG 定義一組套用至特定 VNIC 的輸入和輸出規則。我們建議您使用 NSG 而非安全清單,因為 NSG 可讓您將 VCN 的子網路架構與應用程式的安全需求分開。
- 負載平衡器頻寬
建立負載平衡器時,您可以選取提供固定頻寬的預先定義資源配置,或是指定自行設定頻寬範圍的客製化 (彈性) 資源配置,然後讓服務根據流量模式自動調整頻寬。無論是哪一種方式,您都可以在建立負載平衡器之後,隨時變更資源配置。
注意事項
部署此參照架構時,請考量以下各點。
- 效能
物件儲存傳輸:生產環境資料庫和運算備份可以有顯著的大小。測試在租用戶之間傳輸每日備份需要多久的時間。請考慮在與生產租用戶相同的 OCI 區域中部署 CRS 租用戶,以獲得最佳的資料傳輸效能。
CRS 租用戶中的防毒和簽章掃描:作為 CRS 處理作業的一部分,可包括備份檔案的防毒和簽章掃描。協調伺服器上應提供足夠的資源,以及時完成掃描。
- 安全
設定 Oracle Cloud Guard / 最大安全區域來監督物件儲存原則是否已就緒,以及是否符合網路復原安全態勢,以確保不會嘗試更改此原則。
若要保護雲端環境和備份解決方案免於潛在攻擊,應採取額外的安全措施。
- 使用狀態
此解決方案可部署在任何 OCI 區域中。部署備援協調流程和堡壘主機伺服器可達到高可用性。
- 成本
估算成本時,請考慮下列元素:
- 物件儲存:此解決方案會假設生產環境的每日資料庫與區塊磁碟區備份儲存多天。
- 運算成本:測試備份需要啟動運算和資料庫資源。
- 軟體授權費用:如果包含應用程式測試,則必須取得測試期間將啟動之應用程式服務的適當軟體授權。
部署
您可以從 GitHub 下載程式碼,並根據您的特定需求自訂程式碼,以部署此參考架構。
- 設定 OCI CIS 著陸區域。如需詳細資訊,請參閱 探索更多 一節中的部署符合 Oracle Cloud CIS Foundations Benchmark for Oracle Cloud 的安全登錄區域連結。
- 在「生產租用戶」和「網路復原租用戶」中佈建兩個 VM 作為協調流程伺服器,以執行命令檔。
- 前往 GitHub 。
- 將「生產」指令碼 (Ansible 指令碼) 從儲存庫複製到「生產」協調流程伺服器。
- 將「網路復原」命令檔 (Ansible、Terraform 以及 Shell 命令檔) 從儲存區域複製到「網路復原租用戶」協調流程伺服器。
- 依照
README文件中的指示執行備份命令檔 (生產租用戶)、同步及回復 (Cyber 復原租用戶)。