確定安全的網路存取

採用下列最佳做法來保護您的虛擬雲端網路、子網路、負載平衡器及其他網路資源。

實作網路存取控制

Network Architect、Security Architect

使用存取控制來保護您的網路。
  • 定義適當的 IAM 原則,限制只有允許管理網路資源的使用者和群組才能存取網路資源。
  • 制定 VCN 的分層子網路策略:
    • 負載平衡器的 DMZ 子網路。
    • 外部可存取主機的公用子網路,例如執行入侵偵測系統 (IDS) 的 Web 應用程式伺服器和執行處理。
    • 內部主機 (例如資料庫) 的專用子網路。
  • 連附至專用子網路的運算執行處理只能有專用 IP 位址。
  • 將安全敏感的主機 (舉例來說,資料庫系統) 附加到私有子網路。若要從這類主機連線至網際網路,請使用 NAT 閘道。若要讓主機存取其他 Oracle Cloud Infrastructure 服務,請使用服務閘道。
  • 網路安全群組提供對由網路安全群組控制之 vNICs 之間流量的微點控制。
  • 安全清單控制可以流入、流入、流出子網路的流量。請務必修改或取消連附預設安全清單,以避免來自 IP 位址 0.0.0.0/0 的 SSH 流量。
  • 使用最低需求的連接埠設定安全清單。
  • 使用網路安全群組控制對專用和公用子網路中資源的存取:
    • 透過為應用程式的每個層建立安全群組,只允許工作負載所需的網路流程。
    • 不允許在應用程式層內或之間進行不必要的橫向流量。
    • 除非必要,否則不允許應用程式層與其他層通訊。
  • 使用精細的安全規則來規範 VCN 內與網際網路的通訊、透過對等互連閘道連線的其他 VCN,以及與內部部署主機的通訊。
  • 若要設定入侵偵測系統並掃描所有外送流量,請使用 VCN 路由表功能。
  • VCN 子網路流量日誌會記錄 VCN 內流動的流量。開啟 VCN 子網路流量日誌並定期監控其內容。
  • 使用多個 VCN 時,請使用動態路由閘道 (DRG) 建立 DMZ Hub VCN,以分析東部 / 西部和北部 / 南部流量。您可以使用 OCI 網路防火牆或第三方網路設備來執行此操作。
  • 對公用 HTTPS 服務啟用 Web 應用程式防火牆。
  • 使用 Oracle Cloud Infrastructure Zero Trust Packet Routing ,從基礎網路架構分開管理網路安全原則,避免對資料進行未經授權的存取。
  • 導入服務閘道以安全地存取 OCI 服務。

保護負載平衡器

Network Architect、Security Architect

您可以使用負載平衡器,在從屬端的應用程式與客戶 VCN 之間啟用端對端 TLS 連線。
  • 若要在負載平衡器終止 TLS,請使用 HTTP 負載平衡器。若要終止後端伺服器的 TLS,請使用 TCP 負載平衡器。
  • 您可以使用網路安全群組或安全清單來設定負載平衡器的網路存取。
  • 定義 IAM 原則,將管理負載平衡器的權限限制在最少的一組使用者和群組。

使用網路來源限制存取

安全性架構人員企業規劃總監

網路來源是一組定義的 IP 位址。IP 位址可以是您租用戶內 VCN 的公用 IP 位址或 IP 位址。
建立網路來源之後,您可以在原則或租用戶的認證設定值中參照此來源,以根據原始 IP 位址控制存取。

只能在租用戶 (或根區間) 中建立網路資源,而且就像其他身分識別資源一樣,位於原建立區域中。

您可以使用網路來源,透過下列方式保護您的租用戶:

  • 指定 IAM 原則中的網路來源,以限制對資源的存取。在原則中指定時,IAM 會驗證存取資源的要求是否源自允許的 IP 位址。例如,您可以將租用戶中物件儲存的儲存桶存取權限制為只有透過公司網路登入 Oracle Cloud Infrastructure 的使用者。或者,您只能允許屬於特定 VCN 特定子網路的資源透過服務閘道發出要求。
  • 在租用戶的認證設定值中指定網路來源,以限制登入主控台。您可以將租用戶的認證原則設定為只允許從您網路來源中指定的 IP 位址登入主控台。嘗試從 IP 位址登入的使用者 (不在您網路來源中允許的清單上) 將會被拒絕存取。

保護 DNS 區域和記錄

安全性架構人員企業規劃總監

更新不正確或未經授權刪除 DNS 區域和記錄可能會導致服務中斷。

定義 IAM 原則,以限制可修改 DNS 區域和記錄的使用者。

充分運用 Oracle Cloud Infrastructure 中的安全區域

安全性架構人員企業規劃總監

Oracle Security Zones 可協助您將安全原則不當的風險降至最低。

當您開始新專案並建立新解決方案時,有許多不同來源提供的最佳實務指導,例如:

  • 廠商建議
  • 組織標準和政策
  • 外部架構
  • 符合監管規範
  • 參照架構

這些最佳做法通常涵蓋一系列不同的安全主題,包括認證、加密、儲存體、存取控制等。不過,在許多情況下,會忽略最佳做法建議。我們見過許多時間:從非生產環境開始,專案時間表、預算限制、知識差距和環境都可能都不遵守相關的最佳做法,導致不安全的環境和安全性狀態。

Oracle Security Zones 旨在協助您降低此風險。安全區域是一種預防性控制,依據其包含機密資料和資源的本質,由設計限制。例如,Oracle Security Zones 會在啟用最大安全原則的情況下發行。這會使得不允許公用存取的位置,而且應儘可能將機密資料與網際網路分開。安全原則會阻止您即時建立會中斷此原則的資源,以強制執行此位置。

進一步瞭解