1. 透過 Oracle Cloud VMware Solution 將 OCI 安全服務用於資料保護
  2. 透過 Oracle Cloud VMware Solution 將 OCI 安全服務用於資料保護

透過 Oracle Cloud VMware Solution 將 OCI 安全服務用於資料保護

Oracle Cloud VMware Solution 提供一個客戶託管且原生的 VMware 型雲端環境,安裝在客戶的租用戶內,並使用熟悉的 VMware 工具提供完整的控制。

Oracle Cloud Infrastructure (OCI) 是建構在安全性優先設計原則上的新一代基礎架構即服務 (IaaS)。這些原則包括隔離的網路虛擬化和原始實體主機部署,先前由於使用較早的公有雲設計,所以很難達到此目標。透過這些設計原則,OCI 可協助降低進階持續性威脅的風險。

此參考架構描述 Oracle Cloud VMware Solution 與 OCI 資料保護層及安全服務的整合選項,以處理執行重要和機密工作負載的需求。

架構

此邏輯參照架構主要著重在資料保護層,並說明 OCI Security Services 如何運用 Oracle Cloud VMware Solution 工作負載來保護資料。

下列 OCI 原生安全服務是 OCI 安全 - 資料保護層的一部分。

  • OCI 保存庫服務可協助集中管理保護資料的主要加密金鑰,以及用來存取 OCI 區塊儲存、OCI 檔案儲存或 OCI 物件儲存的加密密碼證明資料。金鑰管理和加密密碼管理也是 OCI 保存庫的一部分。金鑰是用於加密物件儲存和儲存桶的主要加密金鑰。另外,加密密碼也可以受到保護 (例如,資料庫密碼)。兩者都使用 OCI 保存庫服務集中管理
  • Oracle Data Safe 服務可保護儲存在 Oracle 資料庫中「vCenter - 管理層」內執行的機密和受規範資料。Oracle 資料庫已使用資料安全資料庫連線器與 Oracle Data Safe 整合。
  • OCI 憑證服務可協助 TLS/SSL 安全地存取伺服器、Web 應用程式等等。管理員可以建立和管理與 OCI 負載平衡服務整合的專用憑證授權機構 (CA) 階層和 TLS 憑證。

資料加密:OCI 儲存預設會使用進階加密標準 (AES) 演算法搭配 256 位元加密,將靜態和傳輸中的資料加密。在傳輸控制層資料中,會使用傳輸層安全 (TLS) 1.2 或更新版本來加密。

下圖說明此參照架構。


ocvs_data_security_arch.png 的描述如下
說明 ocvs_data_security_arch.png

ocvs-data-security-arch-oracle.zip

架構具有下列元件:

  • OCI 雲端安全服務

    OCI Security 可協助組織降低雲端工作負載的安全威脅風險。此 Oracle Cloud VMware Solution 安全參考架構描述 OCI 資料保護層功能。

    OCI 保存庫服務會集中管理 OCI 儲存層和備份儲存區域的加密金鑰和加密密碼證明資料。這些加密金鑰可保護資料和加密密碼證明資料。啟用「資料安全」服務,以使用連線器監督及評估 VMware 中的資料庫執行處理目標。「憑證」服務提供憑證發行、儲存及管理功能。這些憑證可以部署在負載平衡器上。

  • Oracle Cloud VMware Solution

    Oracle Cloud VMware Solution 會部署 Oracle Cloud 核心基礎架構服務上的 VMware 軟體定義資料中心 (SDDC)。OCI 裸機 DenseIO 伺服器可用來執行提供運算虛擬化的 VMware 虛擬機器管理程式 (亦稱為 ESXi)。在 vCenter 管理層中執行的虛擬機器會使用 vSAN 資料存放區或 OCI 區塊儲存作為主要儲存選項。不過,Oracle Cloud VMware Solution 也可以運用 OCI 區塊磁碟區和 OCI 檔案儲存體作為外部儲存體選項。

    在 Oracle Cloud VMware Solution 中執行的虛擬機器會使用下列儲存體和備份選項。
    • vSAN 儲存體是 Oracle Cloud VMware Solution 環境中提供的立即可用軟體定義儲存體解決方案。vSAN 是企業儲存體,支援使用 vSphere 原生金鑰提供者或外部金鑰管理服務 (KMS) 提供者進行加密。
    • OCI 區塊磁碟區以 iSCSI 目標形式呈現給 VMware ESXi 伺服器,供虛擬機器儲存使用。OCI 安全功能 (例如 KMS、加密和保存庫) 適用於儲存在 OCI 區塊磁碟區中的 VM 資料。
    • 檔案儲存可使用 OCI 檔案儲存服務作為虛擬機器的 NFS 儲存。OCI 安全功能 (例如 KMS、加密及保存庫) 適用於由 OCI 檔案儲存支援的 NFS 儲存中儲存的 VM。
    • 物件儲存體會儲存 Oracle Cloud VMware Solution VM 備份複本。物件儲存無法用來執行 VM。物件儲存的所有 OCI 安全功能都會套用至 VM 備份檔案。

下表描述 OCI Security Services 如何搭配 Oracle Cloud VMware Solution 使用資料保護。

OCI 服務 使用 Oracle Cloud VMware 解決方案保護資料保護
資料安全 Data Safe 是一項 OCI 原生服務,可保護在 OCI 或內部部署環境中執行的 Oracle 資料庫。以虛擬機器形式在 Oracle Cloud VMware Solution SDDC 中執行的 Oracle 資料庫,可以使用「資料安全」連線器與「資料安全」整合。
區塊磁碟區加密 OCI 區塊磁碟區是掛載為 VMware SDDC 的外部資料存放區,提供 OCI 管理的 / 客戶管理的金鑰。
檔案儲存體加密 OCI 檔案儲存服務掛載為 VMware SDDC 的外部 NFS 資料存放區,提供 OCI 管理 / 客戶管理的金鑰。
物件儲存加密
  • OCI Object Storage 無法與 Oracle Cloud VMware Solution SDDC 搭配使用,作為直接連附或外部儲存資料存放區。
  • OCI Object Storage 是用來作為 VMware SDDC VM 的備份和封存儲存區域。
  • Veeam 和 Commvault 等備份解決方案可與 OCI Object Storage 整合,讓您維持加密的封存備份資料。
  • 備份解決方案也會將效能層備份資料保留在 OCI Block Volumes 中,以確保備份資料的加密。
保存庫
  • OCI 保存庫不能與 vSAN 儲存搭配使用。vSAN 資料存放區只支援 vSphere 原生金鑰提供者與外部 KMS 提供者。如需詳細資訊,請參閱「瀏覽更多」一節中的 VMware 第三方 KMS 提供者連結。
  • OCI 儲存體服務若是作為虛擬機器的共用儲存體選項,才能夠與 Oracle Cloud VMware Solution 搭配使用 OCI 保存庫。
憑證
  • Oracle Cloud VMware Solution 是原生 OCI 服務,藉由設計並允許與其他 OCI 服務進行原生整合。
  • Oracle Cloud VMware Solution 的 VM 可使用 OCI LBaaS 進行任何應用程式發布需求。透過整合 OCI 憑證服務的 SSL 憑證,即可完成這些應用程式的 SSL 卸載。
  • 對於 OCI 上的公用應用程式,您必須取得第三方簽署的公用憑證,並將它們匯入 OCI 憑證服務中。這些憑證可匯入至 LBaaS 和後端 Web 伺服器,以進行端對端 SSL。

探索更多

若要深入瞭解此參考架構的功能,請檢閱這些其他資源。

確認

  • Authors: Dev Gawale, Sandeep Khedekar