網路安全
Oracle Cloud Infrastructure 網路服務支援啟動設定虛擬雲端網路 (vcn) 和子網路,可供您在網路層次將資源隔離雲端中。
Vcn 可以設定網際網路連線,或者使用 Oracle Cloud Infrastructure FastConnect 迴路或 IPSec VPN 連線至您的內部部署資料中心。您可以使用雙向狀態性和無狀態防火牆規則、通訊閘道和路由表,從您建立的網路控制流量的流量流量。為 VCN 指定的防火牆和存取控制清單 (acl) 會在整個網路拓樸和控制層中傳輸,以確保多階層和全方位實行。如需有關 Oracle Cloud Infrastructure 中網路的詳細資訊,請參閱網路簡介。
下列架構說明如何使用子網路、路由表以及安全清單來保護網路界限。
此架構顯示使用安全清單的虛擬防火牆實行。安全清單中指定的規則會套用至子網路中您附加安全清單的所有 Vnic。如果需要較精細層次的防火牆,請使用網路安全群組 (Nsg)。NSG 中的規則只會套用至您指定的 vnic。Oracle 建議您使用 nsg,因為它們可讓您將子網路架構與工作負載的安全需求分開。
下列範例比較安全清單和 NSGs:
使用下列檢查清單來保護您的網路界限:
| 完成? | 安全控制和建議 |
|---|---|
 |
將 VCN 分割為專用子網路和公用子網路。 |
|
定義防火牆規則以控制對執行處理的存取。 |
|
建立和設定網路連線的虛擬路由器。 |
|
使用 IAM 原則可限制只有可管理網路資源的群組才能存取網路資源。 |
|
若要控制網路存取,請使用 VCN 的分層子網路策略。使用故障區域 (DMZ) 子網路來負載平衡器;外部可存取主機 (例如 Web 伺服器) 的公用子網路,以及內部主機 (例如資料庫) 的專用子網路。 |
|
使用 NAT 閘道連線至來自專用運算執行處理的網際網路。 |
|
使用服務閘道連線至 Oracle Services Network。 |
|
細微安全規則可在 VCN 內進行存取、與網際網路通訊、透過對等互連閘道與其他 VCN 存取,以及透過 IPSec VPN 和 FastConnect 存取內部部署網路。 |
|
設定入侵偵測與保護系統 (IDS/IPS)。 |
|
建立和設定負載平衡器以提供高可用性和傳輸層安全性 (TLS)。 |
|
使用 Web 應用程式防火牆 (WAF)。 |
|
建立 DNS 區域和對應。負載平衡器中的重要安全考量將使用客戶 TLS 憑證設定 TLS 連線至客戶的 VCN。 |
|
依照外部雲端連線的安全最佳做法。 |
下圖顯示 Oracle Cloud Infrastructure 的網路連線選項。
