在甲骨文云OCI 上部署网络安全合作伙伴解决方案，确保CIS着陆区的安全

为了在Oracle云基础设施（OCI）中运行您的工作负载，您需要一个安全的环境，以便高效操作。CIS Oracle云基础设施基础标准提供了您OCI租户内的安全着陆区。

此参考架构提供了一个基于Terraform的着陆区模板，适用于不同的网络安全合作伙伴，您可以使用它在安全的CIS着陆区部署解决方案。

架构

以下图表展示了这一参考架构。

架构包含以下组件：

租户

• 租户是Oracle在您注册OCI时设置的一个安全且隔离的分区。您可以在租户内创建、组织和管理您的OCI资源。

策略

• OCI身份与访问管理（IAM）策略指定谁可以访问哪些资源以及如何访问。访问权限在组和分区级别授予，这意味着您可以编写一个策略，为组在特定分区或整个租户内提供特定类型的访问权限。

分区

• 分区是OCI租户内的跨区域逻辑分隔。使用分区来组织资源、控制对资源的访问和设置使用配额。要控制对给定分区中资源的访问，您需要定义策略，指定谁可以访问资源以及他们可以执行的操作。此着陆区模板中的资源配置在以下分区中：

一个网络分区，包括所有网络资源，包括所需的网络网关。

一个安全分区，用于日志记录、密钥管理和通知资源。

一个应用开发分区，用于应用相关服务，包括计算、存储、函数、流、Kubernetes节点、API网关等。

一个数据库分区，用于所有数据库资源。

图表中的灰色图标表示模板未提供的服务。

这种分区设计反映了不同组织中观察到的基本功能结构，其中IT职责通常在网络、安全、应用开发和数据库管理员之间分离。

虚拟云网络（VCN）和子网

• VCN是您在OCI区域中设置的可自定义的软件定义网络。像传统数据中心网络一样，VCN让您完全控制网络环境。VCN可以有多个不重叠的CIDR块，您可以在创建VCN后更改。您可以将VCN分割成子网，这些子网可以限定在一个区域或一个可用性域。每个子网包括一个连续的地址范围，不与VCN中的其他子网重叠。您可以在创建后更改子网的大小。子网可以是公共的或私有的。
• 此架构中的所有资源都部署在中枢和辐射架构中。非军事区（DMZ）VCN（中枢）具有用于防火墙部署和子网的资源。根据您试图部署的网络安全合作伙伴的防火墙，创建了管理、室内、室外、高可用性和对角线子网。辐射VCN（VCN1和VCN2）有三层应用子网：Web、应用和数据库。

防火墙

• 防火墙是网络安全合作伙伴提供的产品解决方案。本案例使用您可以在DMZ VCN内部署的虚拟机（VM），以保护在OCI租户上运行的工作负载。您可以以主动-被动或主动-主动的高可用模式部署防火墙VM。

互联网网关

• 互联网网关允许VCN中的公共子网与公共互联网之间的流量。

动态路由网关（DRG）

• DRG是一个虚拟路由器，为本地网络和VCN之间的私有网络流量提供路径，也可用于路由同一区域或跨区域VCN之间的流量。

NAT网关

• NAT网关使VCN中的私有资源能够访问互联网上的主机，而不将这些资源暴露给传入的互联网连接。

服务网关

• 服务网关提供从VCN到其他服务（如OCI对象存储）的访问。从VCN到Oracle服务的流量通过Oracle网络基础设施传输，永远不会穿越互联网。

Oracle服务网络

• Oracle服务网络（OSN）是OCI中的一个概念性网络，专门为Oracle服务预留。这些服务拥有可以通过互联网访问的公共IP地址。OCI外部的主机可以通过使用OCI FastConnect或VPN Connect私下访问OSN。您的VCN中的主机可以通过服务网关私下访问OSN。

网络安全组（NSGs）

• NSGs充当您云资源的虚拟防火墙。在OCI的零信任安全模型中，所有流量默认被拒绝，您可以控制VCN内的网络流量。NSG由一组仅适用于单个VCN中指定一组VNIC的入口和出口安全规则组成。

事件

• OCI服务发出事件，这些结构化消息描述了资源的变化。对于创建、读取、更新或删除（CRUD）操作、资源生命周期状态变化以及影响云资源的系统事件，都会发出事件。

通知

• Oracle云基础设施通知服务通过发布-订阅模式向分布式组件广播消息，为托管在OCI上的应用程序提供安全、高可靠、低延迟和持久的消息传递。

保险库

• OCI保险库使您能够集中管理保护数据的加密密钥以及用于保护对云中资源的访问的秘密凭据。

日志

• 日志是一个高度可扩展且完全托管的服务，提供对云中资源的以下类型日志的访问：审计日志：与审计服务发出的事件相关的日志服务日志：由各个服务发出的日志，如API网关、事件、函数、负载平衡、对象存储和VCN流量日志自定义日志：包含来自自定义应用程序、其他云提供商或本地环境的诊断信息的日志。

服务连接器

• OCI服务连接器中心是一个云消息总线平台。您可以使用它在OCI中的服务之间移动数据。数据通过服务连接器移动。服务连接器指定包含要移动数据的源服务、对数据执行的任务以及在指定任务完成时接收数据的目标服务。您可以使用OCI服务连接器中心快速构建用于SIEM系统的日志聚合框架。

云卫士

• Oracle云卫士帮助您在OCI中实现并保持强大的安全态势，通过监控租户配置设置和可能构成安全问题的资源操作。
• 您可以使用Oracle云卫士监控和维护OCI中资源的安全。云卫士使用您可以定义的检测器配方来检查资源的安全弱点，并监控操作者和用户的风险活动。当检测到任何错误配置或不安全活动时，云卫士推荐纠正措施，并根据您可以定义的响应器配方协助执行这些措施。

漏洞扫描服务

• Oracle云基础设施漏洞扫描服务通过定期检查端口和主机上的潜在漏洞，帮助提高OCI的安全态势。该服务生成包含指标和有关这些漏洞详情的报告。

对象存储

• OCI对象存储提供对大量结构化和非结构化数据的快速访问，包括数据库备份、分析数据和丰富内容，如图像和视频。您可以安全地存储数据，然后直接从互联网或云平台内检索数据。您可以无缝扩展存储，而不会经历性能或服务可靠性的降低。对于需要快速、立即和频繁访问的热存储，使用标准存储。对于长期保留且很少或极少访问的冷存储，使用归档存储。

建议

• 在实施此参考架构时，可将以下建议作为起点。您的需求可能与这里描述的架构有所不同。

访问权限

• 着陆区模板可以作为租户管理员（管理员组的任何成员）或具有更窄权限的用户配置资源。着陆区包括策略，允许不同的管理员组在最初配置后管理每个分区。预配置的策略并不详尽。当您向Terraform模板添加资源时，您必须定义所需的其他策略声明。

网络配置

• 您可以以不同方式部署着陆区网络：使用一个或多个独立的VCN，或者使用OCI DRG V2服务的中枢和辐射架构。您还可以配置没有互联网连接的网络。尽管着陆区允许在独立和中枢辐射之间切换，但规划特定设计很重要，因为在切换时可能需要手动操作。

自定义着陆区模板

• Terraform配置有一个单一根模块和用于配置资源的各个模块。这种模块化模式实现了高效且一致的代码复用。要向Terraform配置添加资源，如分区或VCN，重用现有模块，并添加类似于根模块中现有的必要模块调用。大多数模块接受资源对象的映射，这些对象通常以资源名称为键。要向现有容器对象添加对象，例如向VCN添加子网，请将子网资源添加到现有的子网映射中。

防火墙配置

• 您可以根据网络安全合作伙伴的能力以不同的高可用性模式部署防火墙。我们建议使用每个合作伙伴的防火墙管理器管理配置。同时遵循每个合作伙伴的官方文档进行所需端口和安全策略配置。

考虑因素

在实施此参考架构时，请考虑以下因素：

访问权限

• 着陆区模板可以作为租户管理员（管理员组的任何成员）或具有更窄权限的用户配置资源。着陆区包括策略，允许不同的管理员组在最初配置后管理每个分区。预配置的策略并不详尽。当您向Terraform模板添加资源时，您必须定义所需的额外策略声明。

网络配置

• 您可以以不同方式部署着陆区网络：使用一个或多个独立的VCN，或者使用OCI DRG V2服务的中枢和辐射架构。您还可以配置没有互联网连接的网络。尽管着陆区允许在独立和中枢辐射之间切换，但规划特定设计很重要，因为在切换时可能需要手动操作。

自定义着陆区模板

• Terraform配置有一个单一根模块和用于配置资源的各个模块。这种模块化模式实现了高效且一致的代码复用。要向Terraform配置添加资源，如分区或VCN，重用现有模块，并添加类似于根模块中现有的必要模块调用。大多数模块接受资源对象的映射，这些对象通常以资源名称为键。要向现有容器对象添加对象，例如向VCN添加子网，请将子网资源添加到现有的子网映射中。

部署

部署此参考架构的Terraform代码可在GitHub上获取。

注意：

如果您的环境中已经部署了支持防火墙用例的安全着陆区，您可以跳过第一步。

1. 首先使用GitHub部署您的安全着陆区：克隆或下载仓库到您的本地计算机。如Terraform.md中所述，使用Terraform部署基础设施。
2. 克隆或下载网络安全合作伙伴堆栈到您的本地计算机：
3. 使用Oracle资源管理器或Terraform CLI将合作伙伴解决方案部署到您的安全CIS着陆区。按照每个合作伙伴堆栈的README.MD文件中所述，使用Terraform部署基础设施。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门。