瞭解 OCI 中的網路韌性支柱

網路抗逆力是傳統備份與復原的演進與延伸。 如果發生網路攻擊,網路抗逆力會預期備份和復原環境也將受到攻擊。資料備份的完整性是可疑的,必須先經過驗證,才能將資料回復至生產環境。

您可以使用 OCI 原生控制功能來保護您的租用戶。或者,您也可以使用第三方備份和復原供應商。Oracle 建議您同時使用作業備份和不可變的備份,以補充您的標準備份和復原執行手冊。

使用 OCI 網路抗逆力參考架構作為範本,確保資料完整性威脅和資料外洩期間的業務連續性,並補充和增強現有或標準的災害復原架構。

以下顯示在 OCI 中導入網路抗逆力的參考架構:


cyber-resilience-mandatory-arch.png 的描述如下
cyber-resilience-mandatory-arch.png 圖解描述

cyber-resilience-mandatory-arch-oracle.zip

此架構展示由網路、應用程式和資料庫區間組成的生產環境涵蓋範圍。Vault enclave 包含單一區間,可代管非結構化資料的不可變備份。在金鑰保存庫內,我們有一個不可變的物件儲存的儲存桶、協調流程伺服器和工作節點。「協調流程」伺服器會尋找應備份的所有資源,然後要求工作者節點執行實際備份作業,以協調備份處理作業。您可以將資料從多個應用程式區間複製到保存庫區間的儲存桶。

OCI Vault enclave 用於儲存非結構化資料,包括虛擬機器內的本機應用程式資料和 (或) 使用 OCI File Storage 儲存在 NFS 共用上的資料。

對於包含 Oracle 資料庫的結構化資料,Oracle Database Zero Data Loss Autonomous Recovery Service 提供不可變的備份和勒索軟體保護。

關於 Enclaves

現代彈性雲端架構使用名為 Enclaves 的概念。

enclave 是 Oracle Cloud Infrastructure (OCI) 租用戶內邏輯隔離的隔離及半隔離區域。使用區間、VCN、OCI IAM 原則以及 Oracle Services Network 分隔 Enclaves,以建立安全和管理的邏輯界限。環境之間的行政空隙可讓您使用單獨的識別網域、隔離 VCN 或單獨的租戶。


prod-vault-safe-restore-enclaves.png 的描述如下
prod-vault-safe-restore-enclaves.png 圖解描述

常用的 enclaves 有三種類型:

  1. 生產環境範圍:生產環境範圍區間包含一或多個代管生產環境工作負載的區間。此結構是以開始之前區段中連結的部署符合 CIS OCI Foundations Benchmark 參考架構的安全登陸區為基礎。您的作業備份應該可以在生產環境存取。對於一般備份和復原作業,這應該符合低延遲的大部分需求,以及利用原生功能的快速復原。可以監視金絲雀偵測資料,以在生產環境中進行觀察。使用 Production enclave:
    • 儲存及存取作業備份
    • 深度實施防禦
    • (選擇性) 監測金絲雀偵測資料集
  2. OCI Vault enclaveOCI Vault enclave 區間會將您所有非結構化物件、區塊及檔案儲存備份儲存為「不可變」狀態,以防止這些備份被更改或刪除。Vault 機櫃網路是隔離的,且與 Production 機櫃沒有直接連線。它受到極受限制的 OCI IAM 原則保護,這些原則衍生自提供生產身分之管理空隙的個別識別網域。

    此處會執行這些備份的所有備份自動化測試和惡意軟體或損毀檢查。所有非結構化物件、區塊及檔案儲存備份的已知良好複本都儲存在等待復原事件的這個 enclave 中。資料庫的資料完整性與惡意軟體偵測內建於 Oracle Database Zero Data Loss Autonomous Recovery Service 中。

    資料庫備份不可變更地儲存在由 OCI 控制的個別租用戶中,且不會直接從生產環境存取 (但回復作業除外)。您可以掛載及測試資料庫備份,以瞭解最終的資料完整性和作業整備度。使用 OCI Vault 環境可用於:

    • 儲存定期備份
    • 不可變保存庫
    • 自動化備份測試
    • 偵測備份中的資料損毀
    • 偵測備份資料中的惡意軟體
  3. 安全回復 enclave (選擇性) :Safe Restore enclave 也與 OCI Vault enclave 分隔,而此 enclave 則使用與生產環境 enclave 不同的識別網域和租用戶,與其他管理空隙隔開。您可以使用基礎架構作為程式碼工具 (例如 Terraform) 建立安全回復機櫃,以快速部署生產等效環境。在這裡,您可以持續還原已知的備份,以驗證作業新功能,由復原時間目標 (RTO) 和復原點目標 (RPO) 值引導。

    發生重大事件時,您可以暫時使用 Safe Restore enclave 作為新的生產環境,直到威脅從原始生產環境移除為止。使用安全回復 enclave:

    • 備份資料持續進行增量回復
    • 測試備份以符合 RTO 和 RPO 目標
    • 視需要快速切換至新的生產環境
    • 使用 Terraform 將環境從最小擴展到完整生產
    • 在鑑識分析和恢復後切回原來的生產環境

    警示:

    Safe Restore enclave 不適用於傳統的冷災復原網站。相反地,它可以持續測試您的復原策略,並在主要生產環境受到危害時,提供立即建立新的生產環境的功能。如果您的生產環境受到勒索軟體攻擊,執法人員可能需要調查並收集鑑識,以致意外停機,進而延誤您的復原工作。如果您的組織無法負擔關鍵應用程式的停機時間,請考慮實施安全恢復包圍。

備份與復原作業的建議

規劃推出技術解決方案時,請記住,有多個團隊必須協同合作才能協調備份與復原流程。雖然大多數備份動作通常是自動化的,但復原可能較為繁瑣且需要人為介入。組織可能會開發包含標準作業程序 (SOP) 的 Runbook,以便在需要特定動作時遵循這些程序。在此解決方案手冊中,「備份與復原」的範圍僅限於主要工作負載所在的目前區域。災難復原可解決可用性,並將焦點放在從已知的良好未受阻的原始複本復原備份。

對於 OCI 原生虛擬機器,Oracle 建議您定期建立自訂映像檔,並將其匯出至不可變物件儲存的儲存桶。這可讓您重建和還原開機磁碟區。如果發生虛擬機器總計失敗,請考慮開發 Runbook。如果您的作業備份無法回復虛擬機器,您應該測試如何從不可變的儲存桶重建自訂映像檔。檢閱 OCI 文件中的匯入及匯出自訂影像頁面。

透過作業備份,您通常可以安全地還原回生產環境。如果您懷疑網路安全事故,則必須還原至 OCI Vault 區間或安全還原區域,您可在該區域中實作零信任網域中的控制項。在檢查還原的資料後,您必須掃描並減輕虛擬機器或原始資料 (例如惡意軟體、病毒等) 上任何剩餘的安全風險。

在您驗證網路安全風險是否仍然存在後,請將未受保護的原始副本還原回生產環境。每年至少對此處理程序進行兩次文件、測試與驗證。在 OCI 中,您將有許多開機、區塊、檔案及其他非結構化資料。將所有關聯的資源對應編入目錄,例如磁碟機對應、掛載點、運算執行處理,以及 OCI 中的其他原始物件。使用第三方備份產品、開放原始碼工具和 (或) OCI CLI,協助您在指定時間點和時間建立關聯快照。記錄此資料可協助您回答重要問題,並決定採取動作。例如,如果區塊磁碟區回復失敗,請識別處於降級狀態的虛擬機器。

備份與復原作業控制總結

  • BR- 1:將 OCI 自訂映像檔備份至不可變的儲存桶。
  • BR- 2:在 OCI 保存庫或安全回復區域實行備份與回復作業。
  • BR- 3:目錄相關的資源對應 (例如磁碟機對應、掛載、運算執行處理等等)。
  • BR- 4:建立 OCI 保存庫 enclave 和 (或) 安全回復區域環境。

不可變性的建議

在客戶定義的保留期間內,無法修改或刪除不可變的備份資料。若要實作網路抗逆力架構,Oracle 建議您同時擁有作業備份和不可變的備份。使用作業備份進行一般備份與復原作業。如果發生資料損毀、惡意軟體或其他網路風險,不可變的備份就是您的原始複本,即使沒有資料損毀或遭到竄改。

即使您的備份不可變更,備份來源資料也可能包含惡意程式碼或惡意軟體。從作業備份或不可變備份回復資料時,請考慮使用 OCI Vault 或安全回復環境來驗證備份是否存在任何網路威脅,並防止對生產環境造成任何進一步的損害。

對於大多數 OCI 資料庫 (例如 Oracle Base Database ServiceOracle Exadata Database Service on Dedicated InfrastructureOracle Autonomous Database on Dedicated Exadata Infrastructure),Oracle 建議使用 Oracle Database Zero Data Loss Autonomous Recovery Service ,該服務提供在 OCI 上執行的完全受管理資料保護。復原服務具備自動化功能,可即時保護 Oracle Database 變更、驗證備份而不產生生產環境資料庫負荷,以及快速且可預測地復原至任何時間點。當您啟用即時資料保護時,可以在發生停機或勒索軟體攻擊時不到一秒內復原受保護的資料庫。此復原服務包含平台內建的「不可變更」和「異常偵測」,可供您檢視備份的狀態,並且可設定為傳送警示給您,以通知您可能影響您復原能力的問題。

您也可以使用原生支援不可變備份保留的 Oracle Autonomous Database Serverless 。請確定已開啟該功能。

OCI Object Storage 可以實作與 WORM 相容 (寫入、讀取 - 多) 的不可變控制,以防止資料被修改或刪除。物件儲存保留規則等功能會定義資料在被允許刪除之前必須保留多久的時間。在保留期間之後,您可以使用物件儲存生命週期原則來封存或刪除您的資料。Oracle 建議您測試備份處理作業。在您確信保留期間符合您的業務需求之後,您必須鎖定保留規則,以防止租用戶管理員進一步修改。規則被鎖定之前,必須延遲 14 天。此延遲可讓您在永久鎖定規則之前,完整測試、修改或刪除規則或規則鎖定。

警示:

鎖定保留規則是無法回復的作業。即使是租用戶管理員或 Oracle Support,也無法刪除鎖定的規則。

虛擬機器結合了開機磁碟區和 OCI 中的區塊磁碟區。若要保護您的 OCI 開機磁碟區,請建立虛擬機器的自訂映像檔,然後將自訂映像檔 (.oci 為預設格式,但支援 .qcow2 或其他格式) 匯出至 OCI Object Storage 儲存桶。

區塊磁碟區上的任何重要資料都應該使用自訂命令檔備份到不可變物件儲存的儲存桶。

OCI File Storage 可讓使用者建立快照,但由於任何具備 IAM 權限的 OCI 管理員都可以刪除快照,因此預設無法變更這些快照。為了保護 OCI File Storage ,Oracle 建議您定期將資料直接複製到不可變的儲存桶。

不可變性控制摘要

  • IM- 1:為非結構化資料設定不可變的儲存桶。
  • IM- 2:使用適用於 OCI 資料庫的 Oracle Database Zero Data Loss Autonomous Recovery Service 保護您的資料。
  • IM- 3:如果使用 OCI File Storage ,請將 OCI File Storage 複製到不可變 Object Storage 貯體中。

零信任安全控制的建議

若要實行零信任安全性,Oracle 建議您評估下列各項的租用戶控制:
  • 限制識別和權限:限制可存取備份的識別 (IAM 網域、群組、使用者和原則) 及其權限
  • 加強網路區隔:重新評估網路區隔,並導入不可變備份的虛擬空隙。

結合這兩個概念,讓威脅行為者更難存取您的資料。

區間設計對於在網路抗逆力架構中實作零信任安全性至關重要。建立具有最上層備份區間的巢狀區間架構,並至少包含兩個子區間 — 例如,一個用於不可變保存庫備份,另一個用於安全回復。此設定可讓您將 IAM 原則更貼近個別資源並強制執行職責區分。

為了加強存取控制,請建立特定的使用者和群組,以存取不可變的 Object Storage 貯體。根據您的安全需求,您可以依識別網域、區間、使用者、群組和 IAM 原則進一步區隔存取,以限制可存取特定儲存桶的人員。在多個群組可以存取儲存桶的現有租用戶中,複查並減少存取,讓只有備份儲存管理員能夠管理備份。

Oracle Access Governance 提供誰可以存取企業級瀏覽器頁面,該頁面可追蹤和監控有權存取不同系統、資料和應用程式、其權限等級和存取目的的使用者,以做出明智的決策並偵測潛在的安全風險,以有效治理。使用此資訊可確保您的 IAM 原則符合權責區分原則和最低權限原則。

如果您操作虛擬機器或其他重要備份的 IaaS 基礎架構,請考慮將它們新增至 OCI 動態群組。這可讓您使用授予備份儲存層必要存取權的 IAM 原則來鎖定這些節點。

強化零信任環境中的網路存取。請依照下列建議來防止回復的虛擬機器重整生產環境、重新開啟安全後門,或防止攻擊者的命令與控制存取點:

  • 在不信任的環境中,儘可能限制網路存取。例如,在 OCI Vault 或 Safe Restore enclave 中,請避免使用 DRG,這可能會允許惡意軟體洩漏到其他 OCI 環境。請考慮改用 OCI 管理的堡壘主機服務 (或客戶管理的跳板主機)、專用端點或服務閘道,以允許存取 OCI 控制層。
  • 不允許在各種備份網路之間路由。如果您需要備份基礎架構之間的網路連線,請實作 OCI Network Firewall 和 NSG,以便僅允許嚴格控制的流量模式。這會在您的生產環境網路與備份區間之間建立虛擬網路空隙,並防止還原的虛擬機器重整生產環境或重新開啟環境中的漏洞。

零信任安全控制摘要

  • ZT-1:設定專用、安全的物件儲存的儲存桶,其 IAM 權限僅限於專用復原帳戶。選擇性地利用 Oracle Access Governance 來判斷不可變儲存桶的有效權限。
  • ZT-2:套用健全的網路區隔。使用堡壘主機、專用端點、服務閘道、NSG 以及網路防火牆。
  • ZT-3:使用動態群組成員身分和 IAM 原則來增強 IAM,以進行不可變的保存庫活動。
  • ZT-4:設計 OCI 網路抗逆力參考架構中概述的區間結構。使用巢狀區間將接近資源的 IAM 原則套用,並強制執行權責區分。

威脅偵測控制建議

網路安全面臨的最大挑戰之一是偵測威脅演員何時侵入您的環境。即使您已實行基本安全控制 (例如事件記錄日誌與鑑識分析),還是很難判斷您的雲端資源是否已遭到入侵。

請考慮使用雲端安全態勢管理 (CSPM) 工具來強化雲端保護。Oracle Cloud Guard 是 OCI 中的內建 CSPM 工具,可用來實作您的網路抗逆力架構。此外,還提供第三方解決方案,提供入侵偵測、異常偵測及警示等功能。例如,透過 OCI Cloud Guard,您可以設定原則以防止 OCI Object Storage 在網際網路上顯示為公用儲存桶。此外,您的 CSPM 工具應監控關鍵服務 (例如 Oracle Database Zero Data Loss Autonomous Recovery Service),並確保其不會停用,且備份和備份原則保持安全。設定您的 CSPM 工具,以驗證服務 (例如 Oracle Database Zero Data Loss Autonomous Recovery Service) 是否已停用,或是否嘗試停用備份、修改備份原則等等。

將 CSPM 與端點安全解決方案配對,以處理 IaaS 安全原則和端點漏洞。當您將稽核日誌、事件日誌、VCN 流量日誌和其他資料傳送到第三方 SIEM 或 XDR (Extended Detection and Response) 平台時,雲端管理員將可取得事件關聯與進階鑑識的寶貴見解。

如需詳細資訊,請參閱探索更多區段中連結的 OCI 上的 SIEM 整合設計指南,以及開始之前區段中連結的 OCI 租用戶中的安全性最佳實務概要部落格。

內部蜜蜂

另一個有價值的威脅偵測策略正在部署「內部蜜蜂」—設計用來吸引惡意動作者的十進位運算執行處理。這些蜜蜂通常會執行容易偵測或攻擊的服務,讓它們使用常見的網路掃描工具 (例如 NMAP) 來顯示。在專用網路上,任何人都不應存取這些十字架,因此任何互動都具有強烈的可疑行為指標,例如威脅行為者搜尋「檔案伺服器」或其他目標。同時提供商用和開放原始碼的蜜蜂解決方案。在安全良好的環境中,蜜蜂應該偵測到最少的可疑活動,使它們成為可靠的早期警告系統,以及驗證您現有控制的方法。

附註:

請勿在使用公用 IP 位址的執行處理上部署 Honeypots。暴露在網際網路的蜜蜂很可能遭受攻擊,並可能會帶來額外的風險。

金絲雀偵測資料

適用於結構化資料 (例如資料庫表格) 和非結構化資料 (例如檔案伺服器) 的威脅偵測技術。就像蜜蜂一樣,金絲雀偵測資料會作為目標陷阱。例如,您可以建立專用表格,或將特定金絲雀偵測記錄插入生產資料庫中。如果這些記錄發生未預期的存取、修改或刪除,則可能表示未授權或惡意的活動,例如嘗試存取或竄改機密資料 (例如客戶資訊或訂單詳細資訊)。

對於檔案系統,金絲雀偵測資料可能牽涉到 NFS 共用內的受監督檔案或資料夾。任何未經授權的變更都可能表示安全漏洞。使用金絲雀偵測資料通常需要商業或開放原始碼的第三方工具。

威脅偵測控制摘要

  • TD- 1:使用 Oracle Cloud Guard 儲存桶原則來控制公用和專用存取、啟用儲存桶記錄,以及啟用威脅偵測規則。
  • TD- 2:在結構化 (例如資料庫) 和非結構化 (例如檔案儲存) 資料集內實行金絲雀偵測資料,以偵測未經授權的存取或竄改。
  • TD- 3:透過靠近備份和生產系統的監控感測器部署內部蜜蜂,以吸引和識別潛在威脅。
  • TD- 4:將環境的遙測資料與 XDR/SIEM 整合,以啟用全方位的鑑識和進階威脅分析。