確保安全的網路存取
採用下列最佳做法來保護虛擬雲端網路、子網路、負載平衡器及其他網路資源。
實行網路存取控制
企業規劃總監、安全規劃總監、網路規劃總監
使用存取控制來保護您的網路。
- 定義適當的 IAM 原則,將網路資源的存取限制為僅允許管理網路資源的使用者和群組。
- 為 VCN 制定分層子網路策略:
- 負載平衡器的 DMZ 子網路。
- 外部可存取主機的公用子網路,例如執行入侵偵測系統的 Web 應用程式伺服器和執行處理 (IDS)。
- 內部主機 (例如資料庫) 的專用子網路。
- 連附至專用子網路的運算執行處理只能有專用 IP 位址。
- 將安全相關主機 (例如資料庫系統) 連附至專用子網路。若要從這類主機連線至網際網路,請使用 NAT 閘道。若要讓主機能夠存取其他 Oracle Cloud Infrastructure 服務,請使用服務閘道。
- 網路安全群組可讓您精細控制網路安全群組所控制之 vNICs 之間的流量控制。
- 安全清單控制可以流入、流出子網路的流量。
- 使用網路安全群組來控制對專用和公用子網路中資源的存取:
- 只允許工作負載所需的網路流程,方法是為應用程式的每個層建立安全群組。
- 不允許應用程式層內或應用程式層之間不必要的延遲流量。
- 除非必要,否則不允許應用程式層與其他層通訊。
- 您可以使用精細的安全規則來規範 VCN、網際網路、透過對等互連閘道連線的其他 VCN 以及內部部署主機內的通訊。
- 若要設定入侵偵測系統並掃描所有外送流量,請使用 VCN 路由表功能。
- VCN 子網路流程日誌會記錄流入 VCN 的流量。開啟 VCN 子網路流量日誌並定期監督其內容。
- 啟用公用 HTTPS 服務的「Web 應用程式防火牆」。
保護負載平衡器
企業規劃總監、安全規劃總監、網路規劃總監
您可以使用負載平衡器,在從屬端的應用程式與客戶的 VCN 之間啟用端對端 TLS 連線。
- 若要在負載平衡器終止 TLS,請使用 HTTP 負載平衡器。若要在後端伺服器終止 TLS,請使用 TCP 負載平衡器。
- 您可以使用網路安全性群組或安全清單來設定負載平衡器的網路存取。
- 定義 IAM 原則,將管理負載平衡器的權限限制在一組最少的使用者和群組。
使用網路來源限制存取
企業規劃總監、安全規劃總監、網路規劃總監
網路來源是一組定義的 IP 位址。IP 位址可以是您租用戶內 VCN 的公用 IP 位址或 IP 位址。建立網路來源之後,您可以在原則或租用戶的認證設定值中參照網路來源,以根據起始 IP 位址控制存取。
網路資源只能在租用戶 (或根區間) 中建立,也可以像其他識別資源一樣,位於本位目錄區域中。
您可以使用網路來源,以下列方式協助您保護租用戶:
- 指定 IAM 原則中的網路來源,以限制對資源的存取。在原則中指定時,IAM 會驗證從允許的 IP 位址存取資源的要求。例如,您可以限制只有透過公司網路登入 Oracle Cloud Infrastructure 的使用者才能存取您租用戶中的物件儲存的儲存桶。或者,您只能允許屬於特定 VCN 之特定子網路的資源透過「服務閘道」提出要求。
- 指定租用戶認證設定值中的網路來源,以限制登入主控台。您可以設定租用戶的認證原則,只允許從您網路來源中指定的 IP 位址登入主控台。嘗試從不在您網路來源之允許清單中的 IP 位址登入的使用者將被拒絕存取。
在 Oracle Cloud Infrastructure 中充分運用最大安全區域
企業規劃總監、安全規劃總監、網路規劃總監
「最大安全區域」服務可協助您將不當低安全性原則的風險降到最低。
當您啟動新專案並建立新解決方案時,有很多來自許多不同來源的最佳實務導引,例如:
- 廠商建議
- 組織標準與政策
- 外部架構
- 符合規定
- 參考架構
這些最佳作法通常涵蓋許多不同的安全主題,包括認證、加密、儲存體、存取控制等等。不過,在許多情況下,會忽略最佳作法建議。我們已多次看見:從非生產開始的專案時間軸、預算限制條件、知識差距及環境,都表示未遵循相關的最佳作法,導致不安全的環境與弱的安全狀況。
Oracle Cloud Infrastructure 內的最高安全性區域服務可協助您將此風險降到最低。安全區域是預防性的控制,它包含機密資料和資源的事實性質會受到設計的限制。例如,最大安全性區域將會在啟用最高安全性原則的情況下發行。這會採用不應允許公用存取的位置,而且應該儘可能將機密資料與網際網路分隔。安全原則會讓您即時無法建立會中斷此原則的資源,強制實行此位置。