使用堡壘主機服務存取專用子網路中的資源
Oracle Cloud Infrastructure Bastion 提供對沒有公用端點之資源的專用、具時限的 SSH 存取。
堡壘主機是閘道或代理主機。它們是提供雲端資源安全存取的邏輯實體,無法以其他方式從網際網路連線。堡壘主機位於公用子網路中,並建立將使用者連線至專用子網路中資源所需的網路基礎架構。OCI Bastion 是一項基礎架構服務,可取代您在 Oracle Cloud Infrastructure (OCI) 中自行建立的堡壘主機伺服器。
透過與 Oracle Cloud Infrastructure Identity and Access Management (IAM) 整合,您可以控制誰可以管理堡壘主機或堡壘主機服務內的階段作業。與 Oracle Cloud Infrastructure Audit 整合,可讓您監控與堡壘主機服務及堡壘主機階段作業相關的管理動作。
架構
此架構顯示連線至專用子網路的兩種方式:一種方式是透過中介目標子網路連線,另一種方式是直接連線至包含受保護資源的子網路。
當您使用 OCI 堡壘主機時,可以指定無類別網域間路由 (CIDR) 區塊允許清單和階段作業存留時間上限 (TTL)。OCI 堡壘主機會透過反向連線,在堡壘主機 VCN 與客戶 VCN 之間建立網路路徑。階段作業通常是由使用者或運算子所建立。
下圖說明此參照架構。
architecture-use-bastion-service.png 圖解描述
此架構具有下列元件:
- OCI 地區
OCI 區域是本地化的地理區域,包含一或多個代管可用性網域的資料中心。區域獨立於其他地區,且遠距離能夠分離它們 (跨國家,甚至是大陸)。
- 可用性網域
可用性網域是區域內獨立的資料中心。每個可用性網域中的實體資源會與其他可用性網域中的資源隔離,以提供容錯能力。可用性網域不會共用基礎架構,例如電源或冷卻系統,或內部可用性網域網路。因此,一個可用性網域發生故障不應影響該區域中的其他可用性網域。
- 容錯域
容錯域是將硬體和基礎架構群組在可用性網域內。每個可用性網域都具有三個獨立電源和硬體的容錯域。當您將資源分散到多個容錯域時,您的應用程式就可以容忍容錯域內的實體伺服器故障、系統維護,以及電源故障。
- 虛擬雲端網絡 (VCN) 與子網路
虛擬雲端網路 (VCN) 是您在 OCI 區域中設定的可自訂軟體定義網路。與傳統資料中心網路一樣,VCN 可讓您控制網路環境。VCN 可以有多個非重疊的無類別網域間路由 (CIDR) 區塊,您可以在建立 VCN 之後變更這些區塊。您可以將 VCN 分隔到子網路中,而子網路的作用領域可以調整到某個區域或可用性網域。每個子網路都是由連續的位址範圍所組成,這些位址不會與 VCN 中的其他子網路重疊。您可以在建立子網路後變更其大小。子網路可以是公用網路或專用網路。
- OCI 堡壘主機
Oracle Cloud Infrastructure Bastion 為沒有公用端點且需要嚴格資源存取控制 (例如裸機和虛擬機器、Oracle MySQL Database Service 、Autonomous Transaction Processing (ATP)、Oracle Cloud Infrastructure Kubernetes Engine ( OKE) 的資源,以及允許安全 Shell 通訊協定 (SSH) 存取的任何其他資源,提供受限且受時間限制的安全存取。您可以使用 OCI 堡壘主機服務,啟用對專用主機的存取,無須部署及維護跳躍主機。此外,您還可以藉由識別型權限以及集中式、稽核且時間導向的 SSH 階段作業來改善安全狀況。OCI 堡壘主機可免除存取堡壘主機所需的公用 IP,免除提供遠端存取時的麻煩和潛在攻擊面。
- 堡壘主機服務後端
Oracle Cloud Infrastructure Bastion 後端會儲存階段作業組態,以及用來授予目標系統存取權的 SSH 公用金鑰。目標系統 (如有需要) 可使用服務閘道存取 OCI 堡壘主機後端。
- 專用端點
專用端點會將 OCI 堡壘主機連線至目標子網路。目標子網路可以是個別的子網路,以進行更精細的控制,也可以是想要存取之執行處理的相同子網路。
建議
您的需求可能與此處說明的架構不同。使用下列建議作為起點。
- VCN
建立 VCN 時,請根據計畫要連附至 VCN 中子網路的資源數目,決定所需的 CIDR 區塊數目以及每個區塊的大小。使用標準專用 IP 位址空間內的 CIDR 區塊。
選取未與您要設定專用連線的任何其他網路 (在 Oracle Cloud Infrastructure 、內部部署資料中心或其他雲端提供者中) 重疊的 CIDR 區塊。
建立 VCN 之後,您可以變更、新增及移除其 CIDR 區塊。
設計子網路時,請考量您的流量和安全需求。將特定層或角色內的所有資源連附至相同的子網路,以作為安全界限。
使用區域子網路。
請注意,每個佈建的堡壘主機都取自目標子網路的兩個 IP 位址。根據要對特定子網路佈建的堡壘主機數目,選擇 CIDR 區塊。例如,如果您的子網路含有 /30 CIDR,表示您有兩個可用的位址;如果在該 CIDR 中,您有目標資源,則您沒有足夠的位址來佈建堡壘主機。在此情況下,堡壘主機佈建將會失敗。建議目標子網路的寬度大於 /29。
- 雲端保全
複製並自訂 Oracle 提供的預設處方,以建立自訂偵測器和回應器處方。這些處方可讓您指定哪些類型的安全違規會產生警告,以及允許對它們執行哪些動作。例如,您可能想要偵測將可見性設為公開的 OCI Object Storage 儲存桶。
在租用戶層級套用 Oracle Cloud Guard ,以涵蓋範圍最廣,並降低維護多個組態的管理負擔。
您也可以使用「受管理清單」功能,將特定組態套用至偵測器。
- 安全區域
對於需要最高安全性的資源,Oracle 建議您使用安全區域。安全區域是與 Oracle 定義的安全原則處方關聯的區間,以最佳做法為基礎。例如,安全區域中的資源不能從公用網際網路存取,而且必須使用客戶管理的金鑰加密。當您在安全區域中建立及更新資源時,OCI 會根據處方中的原則驗證作業,並防止違反任何原則的作業。
- OCI 堡壘主機
在堡壘主機層次指定存留時間 (TTL),可確保在該堡壘主機相關資訊環境中建立的階段作業都不會比堡壘主機本身更長 TTL。將 TTL 設為使用案例的下限。最小值為 30 分鐘,最大值為 3 小時。您也可以在階段作業層次設定 TTL。
針對允許清單所使用的 CIDR 區塊應儘可能縮小。這可讓您限制 SSH 連線的 IP 位址範圍,以存取專用目標資源。
請考量與 OCI 堡壘主機關聯的目標子網路大小,以及您想要的堡壘主機執行處理數目。每個 OCI 堡壘主機執行處理都採用 2 個 IP 位址。因此,最好使用 /29 範圍 (至少),讓它有 6 個可用的 IP 位址。/30 會有 2 個 IP 位址,但如果您希望第二個堡壘主機執行處理指向相同的子網路,您將無法加以建立。目標子網路可以是目標資源所在的子網路,或是目標 VCN 中的其他子網路。
安全原則建議:
- 子網路上若有目標資源的傳入規則,只允許來自一個 IP 位址 (即堡壘主機的專用端點 IP) 的傳入 TCP 流量。
- 指定目的地上確切的連接埠,例如 22 代表 Linux、3389 代表 Windows、33060 代表 MySql,等等。不再對連接埠使用 ALL。
針對管理和操作人員案例使用特定的 IAM 原則。
注意事項
- 地區
Oracle Cloud Infrastructure Bastion 是一項區域服務。例如,必須在 PHX 區域中建立堡壘主機,以存取 PHX 區域中的資源。一個區域內的堡壘主機無法用來存取另一個區域中的資源。
- 效能
建立 OCI 堡壘主機必須在 SLO 內 (建立要求後的 2 分鐘內)。階段作業建立 / 終止應在 SLO 內。連接埠轉送為 1 分鐘 (緊急中斷情況) 且受管理 SSH 階段作業為 3 分鐘 (正常使用)。
- 安全
OCI 堡壘主機的流量源自子網路上的專用端點。為了允許來自堡壘主機的流量,請允許從此專用端點到需要使用堡壘主機存取之 IP 的傳入和傳出流量。微點原則:限制對實例子集的存取,有助於確保存取的等級正確。
- 使用狀態
此服務應提供高可用性來建立 / 終止堡壘主機和階段作業 (根據 API 錯誤率)。目標可用性為 99.9%。
- 成本
使用 OCI 堡壘主機無須付費。每個租用戶每個區域最多可建立 5 個堡壘主機。每個堡壘主機均為 VCN 中的目標資源提供服務。
- 使用案例
若要存取執行 OCI 原生映像檔或以 Linux 為基礎並執行 OCA v2 代理程式 (其中已啟用堡壘主機 Plugin) 的專用目標主機,您可以使用受管理的 SSH 階段作業。如果您要存取未執行代理程式、以 Windows 為基礎或需要存取資料庫 (ATP 或 MySQL) 的專用目標資源,可以使用連接埠轉送 SSH 階段作業。