使用安全區域保護您的雲端工作負載
將運算、網路和儲存資源放置在 Oracle Cloud Infrastructure 安全區域中,以最大程度地提高雲端中的安全性。
Oracle Cloud Infrastructure (OCI) 提供一流的安全技術和作業流程,以保護其企業雲端服務安全。客戶應負責保護工作負載及安全地設定服務和應用程式,以履行合規義務。Oracle Security Zones 可透過下列方式協助雲端安全共用責任模型:
- 拒絕對 Oracle Cloud Infrastructure 資源 (例如資料庫和物件儲存的儲存桶) 的公用存取
- 強制實行需要已取消連附儲存資源與運算執行處理位於相同安全區間的原則
- 使用客戶管理的金鑰加密儲存資源,例如區塊磁碟區、物件儲存的儲存桶和資料庫
架構
此參考架構顯示典型的三層式架構,可用來安全地執行電子商務應用程式等應用程式。使用 Oracle Autonomous Transaction Processing 資料庫實現資料持續性。應用程式的媒體和影像檔儲存在 Oracle Cloud Infrastructure Object Storage 中。
下圖會顯示基本區間架構。
架構有下列安全限制:
- 物件儲存:未加密的物件儲存會直接暴露在網際網路上。
- 資料庫:資料庫不是使用客戶管理的金鑰加密,而且可以使用單一組態變更 (公用 IP 位址) 對網際網路公開。
- 區間:區間不會限制將資料、資產、磁碟區移入或移出環境。
- 虛擬機器:VM 不使用加密的開機磁碟區或儲存體。
- 網際網路:不提供 Web 應用程式防火牆 (WAF) 保護。
- 網路:所有資源都位於單一平面上,因此沒有足夠的隔離能力。
下圖顯示一個架構,透過提供隔離多個網輻網路的高安全性環境來解決這些問題,每個網輻網路代表一個應用程式層,例如 Web、應用程式及資料庫。此架構適用於特定環境,例如生產、測試和開發環境,以及在不同的基礎架構上運作,例如雲端區域、內部部署資料中心和多雲端基礎架構。
架構具有下列元件:
- 地區
Oracle Cloud Infrastructure 區域是一個本地化地理區域,其中包含一或多個稱為可用性網域的資料中心。區域獨立於其他區域,而廣大的距離可以將其分開 (跨國家或大陸)。
- 可用性網域
可用性網域是區域內的獨立獨立資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構 (例如電源或冷卻系統) 或內部可用性網域網路。因此,一個可用性網域的故障不應影響該區域中的其他可用性網域。
- 容錯域
容錯網域是可用性網域內的一組硬體和基礎架構。每個可用性網域都有三個具有獨立電源和硬體的容錯域。當您將資源分散到多個容錯域時,您的應用程式可以容忍容錯域內的實體伺服器故障、系統維護和電源故障。
- 區間
區間是 Oracle Cloud Infrastructure 租用戶內的跨區域邏輯分割區。使用區間來組織、控制存取,以及為您的 Oracle Cloud 資源設定使用配額。在指定的區間中,您可以定義控制存取及設定資源權限的原則。
- 安全區域
安全區域會強制實行加密資料等原則,並防止對整個區間的網路進行公用存取,以確保 Oracle 的安全最佳做法。安全區域會與相同名稱的區間關聯,並且包括套用至區間及其子區間的安全區域原則或處方。您無法新增或移動標準區間至安全區域區間。
在此使用案例中,安全區域強制執行下列原則:
- 加密運算執行處理和物件儲存的儲存桶開機磁碟區
- 防止從公用網際網路存取運算資源
- 使用客戶管理的金鑰加密資源
- 定期自動備份所有資源
- 虛擬雲端網路 (VCN) 和子網路
VCN 是您在 Oracle Cloud Infrastructure 區域中設定的可自訂軟體定義網路。與傳統的資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的 CIDR 區塊,您可以在建立 VCN 之後變更。您可以將 VCN 區隔成子網路,此子網路可以設定區域範圍或可用性網域。每個子網路都是由連續的位址範圍組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用或專用。
- 安全清單
您可以為每個子網路建立安全規則,以指定必須允許進出子網路的來源、目的地和流量類型。
- 負載平衡器
Oracle Cloud Infrastructure Load Balancing 服務提供從單一進入點到後端多部伺服器的自動流量分配。
此架構為管理員的應用程式和自助服務應用程式使用不同的負載平衡器,以加強安全性和流量分離。您可以視需要升級負載平衡器資源配置。
- 服務閘道
服務閘道可讓您從 VCN 存取其他服務,例如 Oracle Cloud Infrastructure Object Storage 。從 VCN 到 Oracle 服務的流量會透過 Oracle 網路結構傳送,不會周遊網際網路。
- 本地對等互連閘道 (LPG)
LPG 可讓您將一個 VCN 與同一個區域中的另一個 VCN 對等。對等互連表示 VCN 使用私有 IP 位址進行通訊,而無需流量會周遊網際網路或透過內部部署網路進行路由。
- 物件儲存
Oracle Cloud Infrastructure Object Storage 可讓您快速存取任何內容類型的大量結構化和非結構化資料,包括資料庫備份、分析資料,以及影像和影片等豐富內容。您可以安全地儲存資料,然後直接從網際網路或雲端平台內擷取資料。您可以擴展儲存體,而不會發生任何效能或服務可靠性的降低問題。針對您需要快速、立即和經常存取的「熱」儲存,使用標準儲存。針對長時間保留且極少或極少存取的「冷」儲存,使用封存儲存。
- 計算
透過 Oracle Cloud Infrastructure Compute ,您可以在雲端中佈建及管理運算主機。您可以使用資源配置啟動運算執行處理,以滿足 CPU、記憶體、網路頻寬及儲存的資源需求。建立運算執行處理之後,您可以安全地存取、重新啟動、連附及取消連附磁碟區,以及在不再需要時將其終止。
-
Web 應用程式防火牆
Oracle Cloud Infrastructure Web Application Firewall (WAF) 是符合雲端的付款卡產業 (PCI) 規範的全球安全性服務,可保護應用程式免於惡意和非必要網際網路流量的危害。WAF 可以保護任何對網際網路公開的端點,為客戶的所有應用系統強制實施一致的規則。
建議
您的需求可能與此處所述的架構不同。使用下列建議作為起點。
- VCN
建立 VCN 時,請根據您計畫附加到 VCN 子網路的資源數量,決定所需的 CIDR 區塊數量和每個區塊的大小。請使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路重疊的 CIDR 區塊 (在 Oracle Cloud Infrastructure 中、您的內部部署資料中心或其他雲端提供者)。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
當您設計子網路時,請考慮流量和安全需求。將特定層或角色中的所有資源附加至相同的子網路,作為安全界限。
使用區域子網路。
- 安全區域
對於需要最高安全性資源,Oracle 建議您使用安全區域。安全區域是與以最佳做法為基礎之 Oracle 定義的安全原則處方關聯的區間。例如,安全區域中的資源不得從公用網際網路存取,且必須使用客戶管理的金鑰來加密。當您在安全區域中建立及更新資源時,Oracle Cloud Infrastructure 會根據安全區域處方中的原則驗證作業,並拒絕違反任何原則的作業。
- 物件儲存
您可以使用 Oracle Cloud Infrastructure Object Storage 來儲存資料庫和其他資料的備份。
在已啟用安全區域的區間中建立物件儲存,並且只將其可見性設為專用。此組態可確保物件儲存的儲存桶遵守安全區域的嚴格安全原則。
注意事項
-
使用狀態
某些區域提供多個可用性網域,以提供更高的可用性和備援。請考慮在多個可用性網域上部署電子商務解決方案,以充分利用此備援。此外,請考慮在不同區域使用適當的備援來制定災害復原計畫。
- 成本
使用彈性資源配置,您可以為執行處理上執行的工作負載選取 CPU 數目和所需的記憶體大小。此彈性可讓您建置符合工作負載的 VM,讓您將效能最佳化並降低成本。
-
監督與記錄日誌
設定節點的 CPU 和記憶體使用狀況日誌記錄服務、監控以及警示,以便視需要縱向擴展或縮減資源配置。
部署
GitHub 中提供使用安全區域在 Oracle Cloud Infrastructure 上部署 MuShop 基本範例應用程式的 Terraform 程式碼。
- 移至 GitHub 。
- 複製或下載儲存區域至您的本機電腦。
- 遵循
README_MSZ.md文件中的指示。