甲骨文云 云端上的企业架构6 -云端安全架构

在企业转向云服务的过程中，云端安全架构是对云环境中的安全措施进行系统化设计和实施，以保护数字资产、数据、应用程序和资源免受潜在威胁、漏洞和未经授权的访问。

目标

云端安全架构的首要目标是建立一个全面且有弹性的安全框架，保护敏感信息，确保符合法规要求，并在利用云计算优势的同时降低风险。

角色

在云端采用过程中，构建安全架构的责任通常分布在多个角色上。

云安全架构师

负责设计和实施云环境特定的整体安全架构、政策和控制措施。

网络安全分析师

监控和分析安全事件，管理事故，并响应威胁。

合规官员

确保安全实践与行业法规和组织合规要求相一致。

DevSecOps工程师

将安全实践整合到开发和部署流程中，确保应用程序生命周期中的安全性。

网络安全工程师

实施网络安全措施，包括防火墙、入侵检测系统和访问控制。

实施

以下内容描述了在实施云端采用安全架构时的功能和设计考虑。

身份和访问管理

定义并执行强大的认证机制，实施基于角色的访问控制，管理用户身份，并定期审查访问权限。

访问控制与身份管理

身份访问管理（IAM）提供必要的控制手段来管理用户身份和对云资源的访问，确保只有授权个体能够访问敏感数据和应用程序。

由于云端采用引入了新的安全挑战，例如需要跨多个云平台和服务管理访问，需要从不同设备和地点控制访问，以及需要遵守行业和法规标准，因此需要IAM。

以下步骤建议用于实施IAM政策：

• 确定需要保护的关键资产和资源。
• 定义管理对那些资产访问的访问策略和角色。
• 建立用户配置和撤销流程来管理用户访问。
• 实施多因素认证（MFA）来验证用户身份并降低未经授权访问的风险。
• 监控用户活动和访问日志，以检测和应对可疑行为。
• 定期审查和更新访问政策和角色，以确保持续有效性。
  

即时访问

• 即时访问（JIT）与滑动窗口过期管理是一种安全模型，允许用户根据需要知道的基础上临时访问云资源。这种方法最小化了攻击面并有助于防止意外滥用云资源。
• JIT访问允许用户在有限的时间内访问资源，并且权限有限。通过滑动窗口过期管理，访问权限在设定的时间窗口内（例如30分钟）被授予，然后自动过期。这种方法有助于防止未经授权的访问，并降低数据泄露和其他安全事件的风险。
• 以下内容描述了JIT访问与滑动窗口过期管理如何帮助维护良好的安全模型并防止意外滥用：

• 限制曝光：通过仅限制需要它的用户访问云资源，减少攻击面并最小化未经授权访问的风险。
• 降低凭证盗窃风险：使用JIT访问，用户无需长期访问凭证，这些凭证可能被窃取或损坏。相反，他们被给予临时访问，降低了凭证盗窃的风险。
• 强制执行最小权限：通过滑动窗口过期管理，只在有限时间内并限制权限授予访问权限。这种方法有助于执行最小权限原则，限制授予用户的访问级别，并减少数据泄露和其他安全事件的风险。
• 自动化访问管理：JIT访问与滑动窗口过期管理可以自动化，使得跨大量云资源管理和执行访问控制变得更容易。
• 提高可审计性：JIT访问与滑动窗口过期管理提供了谁何时访问云资源的审计轨迹，使得检测和调查安全事件更加容易。
  

最小权限访问

在任何系统中，实施执行操作所需的最低权限级别是维护良好安全姿态的一个重要方面。这一原则，被称为最小权限原则（PoLP），指的是用户只应被授予执行其工作职能所需的最小访问级别。

以下信息描述了为什么实施所需最低权限级别在维护良好安全姿态中很重要：

• 降低数据泄露风险：通过将用户权限限制为仅执行其工作职能所必需的，最小化了数据泄露的风险。如果用户账户被泄露，攻击者将只能访问有限的数据集，而不是整个系统。
• 限制恶意软件和病毒的传播：如果用户账户被泄露，引入系统的任何恶意软件或病毒也将对数据和资源的访问受到限制。
• 确保合规性：许多合规性规定要求组织实施最小权限原则。通过这样做，您的组织可以展示你们正在采取适当措施来保护敏感数据并维护合规性。
• 更易于管理：通过将权限限制为仅必要的，用户账户和访问控制更容易管理。这减少了配置错误和可能导致安全事件的错误的风险。
• 增加问责性：当用户只被授予执行其工作所需的最小权限级别时，更容易跟踪和审计他们的行动。这增加了问责性，并使得更容易检测和调查可能发生的任何安全事件。
  

访问权限审查

在任何系统中，定期评估用户权限是维护良好安全姿态的一个重要方面。这种评估涉及审查授予用户的权限，以确保它们仍然是必要的，并且出于正确的目的。以下信息描述了为什么定期评估用户权限很重要：

• 限制访问：随着时间的推移，用户可能会累积不再必要的权限。通过定期审查和撤销不必要的权限，限制对敏感数据和资源的访问，减少未经授权的访问和数据泄露的风险。
• 减少攻击面：不必要的权限可能会增加系统的攻击面，使其更容易受到攻击。通过定期评估用户权限并撤销不必要的访问，可以减少攻击面，使攻击者更难访问敏感数据。
• 合规性：许多合规性规定要求定期审查用户权限，以确保访问控制被正确管理。通过进行这些审查，您可以确保您符合相关法规。
• 确保权限出于正确目的分配：用户权限应根据工作职能和业务需求分配。通过进行定期评估，您可以确保权限仍被用于其预定目的。
• 检测异常：定期评估用户权限可以帮助检测异常或未经授权的权限变更。这可能是潜在安全事件或违反安全政策的迹象。
  

基础设施安全

配置防火墙、入侵检测和防御系统、Web应用防火墙以及其他安全措施，以保护基础设施。实施基础设施安全对于保护您的数据和系统免受网络威胁至关重要。

• 网络安全将网络分割成不同区域，以限制对敏感系统和数据的暴露，防止不受信任网络的访问。使用防火墙控制网络各分段之间的流量，并执行安全政策。实施入侵检测和防御系统（IDS/IPS）来监控和阻止网络攻击。
• 防火墙配置防火墙规则以默认阻止所有流量，并仅根据源、目的地和端口号允许必要的流量。实施状态检测，以跟踪网络连接的状态并防止未授权访问。使用虚拟云网络（VCNs）加密并保护远程访问网络。
• 身份和访问管理对于IAM，实施最小权限模型，用户仅被授予执行其工作职能所需的最低访问级别。使用多因素认证（MFA）来验证用户身份，并防止未授权访问。实施用户配置和撤销流程，以确保访问权限及时且受控地被授予和撤销。
• 漏洞管理实施补丁管理流程，及时控制地应用软件更新和安全补丁。定期进行漏洞扫描，以识别并修复漏洞，防止它们被利用。使用威胁情报源识别新威胁，并优先考虑修复工作。
• 日志与监控实施集中式日志和监控解决方案，以收集和分析网络设备、服务器和应用程序的安全事件日志。实施安全信息和事件管理（SIEM）以实时关联和分析安全事件，并在潜在安全事件发生时生成警报。定期进行安全审计和渗透测试，以识别和修复安全姿态中的弱点。
  

工作负载隔离

在云计算中，工作负载隔离对于维护安全至关重要，因为它有助于防止安全漏洞或攻击在同一基础设施上运行的不同工作负载之间的传播。工作负载隔离是指将工作负载分隔开来的做法，使它们在计算、存储和网络资源方面彼此隔离。这种分隔确保如果一个工作负载受到影响，损害将限于该工作负载，而其他工作负载将保持安全。

通过分段网络流量、使用虚拟私有云（VPCs）和安全组来隔离工作负载。以下信息描述了实施工作负载隔离最佳实践的步骤：

• 识别关键资产和数据：确定包含关键数据或需要最高安全级别的资产的工作负载。
• 定义工作负载隔离政策：定义工作负载隔离政策，规定如何根据工作负载的敏感性和关键性将其相互分离。
• 选择合适的云服务：选择提供工作负载隔离功能的云服务，如虚拟云网络（VCN）、安全列表或网络安全组（NSGs）和防火墙。
• 使用VCNs或NSGs：根据它们的安全要求使用VCNs或NSGs来分隔工作负载。VCNs提供网络级别的隔离，而NSGs提供对流量流动的更细致控制。
• 实施访问控制：实施访问控制以确保只有授权人员能够访问关键工作负载。
• 监控和审计：定期监控和审计工作负载隔离政策，以确保它们有效，并保持工作负载的安全。
• 实施加密：实施加密以保护在工作负载之间静止和传输中的敏感数据。

关注点分离

关注点分离是一种软件设计原则，它提倡将不同的功能或关注点分离到不同的模块、类或组件中。这种方法使得开发、测试和维护复杂系统变得更加容易，因为每个组件都可以独立开发，并且修改时不会影响其他组件。

在实施云安全时，关注点分离可以用来将安全关注点与系统的其他关注点隔离开来。这种分离使得安全策略和程序可以独立于其他系统组件实施和维护。

例如，在云环境中，关注点分离可能涉及实施一个与其他系统组件分离的安全策略管理系统。这个系统将负责定义和执行安全策略，如访问控制和数据保护，并独立于其他系统组件，如应用服务器或数据库。

审计权限和访问日志

审查审计权限日志和访问日志是维护任何系统良好安全姿态的重要方面。这些日志可以提供关于用户活动、系统性能和潜在安全事件的宝贵信息。将这些日志转移到安全信息和事件管理（SIEM）系统中，可以生成洞察力强的信息以应对潜在的安全威胁。

以下信息描述了审查审计权限和访问日志的重要原因：

• 检测安全事件：审计权限日志和访问日志有助于检测安全事件，如未经授权的访问尝试或系统配置的更改。通过审查这些日志，组织可以快速识别潜在的安全事件，并采取适当措施进行缓解。
• 调查事件：如果发生安全事件，审计权限日志和访问日志可以提供调查事件的宝贵信息。这些日志可以帮助识别事件的源头、损害的程度以及采取的缓解措施。
• 改进政策：审查审计权限日志和访问日志有助于改进安全政策和程序。通过分析这些日志中的数据，您可以识别出可能需要更新或改进的安全政策区域，以更好地保护敏感数据和资源。
• 监控用户活动：审计权限日志和访问日志可用于监控用户活动，确保用户遵守安全政策和程序。通过审查这些日志，您可以识别任何异常活动或可能表明潜在安全事件或违反安全政策的模式。
• 合规性：许多合规性法规要求组织维护和审查审计权限日志和访问日志，以确保访问控制得到适当管理。通过进行这些审查，您可以确保符合相关法规。
  

数据敏感性和合规性

理解数据敏感性和针对诸如支付卡行业（PCI）、健康保险携带和责任法案（HIPAA）、通用数据保护条例（GDPR）等标准的合规性问题对于维护良好的安全姿态和确保敏感数据免受未授权访问至关重要。以下信息描述了理解数据敏感性和合规性问题的重要性：

• 保护敏感数据：必须保护信用卡信息或个人健康信息等敏感数据，防止未授权访问和盗窃。通过了解数据敏感性和合规性问题，您可以实施适当的安全控制来保护这些数据。
• 避免法律和财务处罚：不遵守PCI、HIPAA和GDPR等法规可能导致法律和财务处罚。通过了解合规性问题，您可以确保符合相关法规，避免这些处罚。
• 维护客户信任：数据泄露可能损害组织的声誉并侵蚀客户信任。通过实施适当的安全控制并遵守相关法规，您可以展示您对保护敏感数据和维护客户信任的承诺。
• 以下信息描述了在不影响安全的情况下维护PCI、HIPAA、GDPR和其他类似标准的一些最佳实践：

• 识别敏感数据：识别所有敏感数据，包括个人健康信息、财务数据和其他个人身份信息，并实施适当的安全控制来保护这些数据。
• 实施访问控制：敏感数据的访问应仅限于授权人员，并应实施访问控制，以确保只有具有合法访问需求的人员能够访问。
• 使用加密：敏感数据在传输和静止时都应加密，以保护其免受未授权访问。
• 监控和审计访问：对敏感数据的访问应进行监控和审计，以便检测未授权访问和潜在的安全事件。
• 定期进行安全评估：定期进行的安全评估有助于识别系统中的漏洞，并确保适当的安全控制措施到位。
• 培训员工：员工应接受有关安全最佳实践和合规性要求的培训，以确保他们理解保护敏感数据和遵守相关法规的重要性。
  
  

本地法律与共享安全模型

理解并遵守本地数据保护法律和法规。考虑共享安全模型以确定云提供商和客户之间的责任分配。

本地法律

对于安全最佳实践，不仅要考虑全球法律和法规，还要考虑本地法律。不同国家、地区甚至市政当局的本地法律差异很大，违反这些法律可能会对个人和组织产生严重后果。以下信息描述了考虑本地法律对改善安全最佳实践的重要性：

• 合规性：遵守本地法律对于避免法律处罚和其他后果至关重要。违反本地法律可能导致罚款、法律诉讼和声誉损害。
• 文化和社会规范：本地法律可能反映了文化和社会规范，这可能会影响安全最佳实践。例如，在某些国家，与其他国家相比，共享个人信息可能更可接受。了解这些规范对于实施有效且文化敏感的安全最佳实践至关重要。
• 新兴威胁：本地法律可能旨在解决特定地区或国家特有的新兴安全威胁。通过了解这些威胁并遵守相关法律，您可以抢在潜在安全风险之前保护您的数据和系统。
• 合作：遵守本地法律可以帮助促进组织和政府之间的合作。通过共同应对安全威胁，您可以建立信任并创建更有效的安全措施。

违反本地法律的后果可能非常严重。根据违规行为的性质，组织可能面临罚款、法律诉讼和声誉损害。在某些情况下，违反本地法律还可能导致刑事指控和监禁。理解并遵守相关本地法律对于避免这些后果和维护良好的安全姿态至关重要。

共享安全模型

共享安全模型是一个框架，用于理解云提供商和客户在安全方面的责任分工。作为客户，您必须理解自己实施安全和治理的责任，以满足组织的愿景。在共享安全模型中，云提供商和客户对安全的不同方面负有责任，如下所述：

• 云提供商责任：数据中心的物理安全网络基础设施安全虚拟机管理程序和主机服务器安全基于云的服务和平台的安全底层系统的补丁管理遵守特定行业的安全标准和法规
• 客户责任：数据和应用程序安全身份和访问管理（IAM）安全控制配置安全监控和事件管理遵守适用的监管要求在云中运行的任何自定义代码或应用程序的安全

通常，云提供商负责底层云基础设施的安全，而客户负责托管在云中的应用程序和数据的安全。具体责任可能根据使用的云部署模型类型（如基础设施即服务（IaaS）、平台即服务（PaaS）和软件即服务（SaaS））而有所不同。

安全监控和事件响应

在云环境中，建立连续的安全事件、异常和潜在入侵的监控，以及建立事件响应程序，对于维护积极有效的安全姿态至关重要。

以下信息描述了如何实施这些做法：

连续监控

1. 选择监控工具：选择适当的安全监控工具和服务，这些工具和服务能够从各种云资源收集和分析日志、事件和指标。
2. 定义关键指标和事件：识别需要监控的关键安全指标、事件和异常。示例包括登录失败、异常网络流量、未经授权的访问尝试和资源使用异常。
3. 实施日志记录和审计：为云服务和应用程序配置日志记录和审计。从各种来源（如虚拟机、容器、数据库和应用程序）收集日志。
4. 使用集中式日志管理：使用集中式日志管理系统或安全信息和事件管理（SIEM）平台来汇总、关联和分析来自不同来源的日志数据。
5. 设置实时警报：根据预定义的阈值或表明潜在安全事件的模式设置实时警报和通知。
6. 使用异常检测：使用机器学习和行为分析技术来检测异常模式或与基线行为的偏差。

事件响应程序

1. 使用事件分类：根据严重性和影响定义安全事件的类别。将事件分类为低、中或高优先级。
2. 建立事件响应团队：建立一个由安全、云技术、法律和沟通方面的专家组成的专门事件响应团队。
3. 使用事件检测和分级：监控警报和日志以识别潜在的安全事件。快速评估每个事件的范围、影响和严重性。
4. 开发响应手册：开发描述不同类型事件的逐步程序的事件响应手册。这些手册应包括隔离、根除和恢复的明确指示。
5. 实践隔离和缓解：采取立即行动隔离事件并防止进一步损害。这可能包括隔离受影响的系统、禁用受损账户或阻止恶意活动。
6. 进行取证分析：进行取证分析以了解根本原因、入口点和事件范围。为法律和调查目的保留证据。
7. 提供沟通和报告：向相关利益相关者（包括管理层、法律和受影响的用户）通报事件。提供定期更新并保持沟通渠道畅通。
8. 执行补救和恢复：补救导致事件发生的漏洞或弱点。恢复受影响的系统，验证其完整性，并确保恢复正常运营。
9. 进行事后事件审查：进行事后事件审查，以评估响应的有效性，识别改进领域，并更新事件响应手册。

额外考虑

• 数据隐私：确保遵守数据保护法规并为用户数据实施隐私控制。
• 第三方集成：评估并保护第三方集成，以防止外部服务引入的漏洞。
• 地理考虑：在选择云区域时，注意数据主权和本地化要求。
• 持续监控：随着新威胁的出现和环境的演变，定期评估和更新安全措施。

约束和障碍

• 共享责任模型：理解云提供商和客户之间的共享责任模型，并相应地实施适当的安全措施。
• 遗留系统：集成遗留系统可能因兼容性问题而引入安全挑战。
• 缺乏意识：对云安全实践和风险的了解不足可能导致实施不当。
• 资源限制：预算限制和资源可用性可能影响安全措施的范围和深度。
  

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。

如您想咨询 Oracle 的相关业务，可联系搜索微信号：lhh1843812463 或 woshiwhw123

或者可以进入以下群组进行咨询：

微信公众号

微信技术交流社群：