甲骨文云OCI -启动即合规：预评估的Web应用程序

大多数公司都需要证明其应用程序符合国际安全标准，如ISO 27001、AICPA SOC-2或PCI-DSS。为了简化在OCI上部署时获取这些认证的过程，我们创建了一个符合这三种标准的参考架构，并由Schellman & Co（一家顶级认证公司）进行了预评估。

如果您有存储、处理或传输信用卡信息的工作负载，则需要以符合支付卡行业（PCI）的方式保护您的系统，并设计数据安全政策。您可以使用Oracle符合PCI标准的云基础设施服务来启动您的Web应用程序。

遵循本参考架构中的建议，您可以在云上使用的应用程序和工作负载方面维护和管理您的支付卡行业数据安全标准（PCI-DSS）合规性。除了PCI外，如果您的工作负载依赖于与处理客户信息的系统的安全性、可用性或处理完整性，或该信息的保密性或隐私性相关的控制措施的有效性；那么您需要以符合ISO 27001和SOC-2的方式保护您的系统，并设计数据安全政策。您可以使用Oracle符合ISO 27001和SOC-2标准的云基础设施服务来启动您的Web应用程序；并且通过遵循本参考架构中的建议，您可以在云上使用的应用程序和工作负载方面维护和管理您的ISO 27001和SOC合规性。

对此参考架构的部署进行的准备性评估由Schellman & Company, LLC执行：一家独立的注册会计师（CPA）公司，全球授权的PCI合格安全评估师和ISO认证机构。

PCI合规性

他们的PCI准备性报告证实，按照配置部署此架构符合PCI-DSS、SOC-2和ISO 27001的要求。GitHub中还提供了一个角色和责任矩阵，概述了额外推荐的步骤。

ISO 27001合规性

他们的ISO准备性报告证实，按照配置部署此架构满足ISO 27001附录A中定义的控制要求，并确定用户实体（客户）负责实施每项控制活动的某些方面以实现与ISO 27001附录A的一致性。

SOC 2合规性

他们的SOC 2准备性报告证实，按照配置部署此架构符合控制设计的适用性，以实现用户实体（客户）的服务承诺和系统要求，基于2017年TSP第100节“安全、可用性、处理完整性、保密性和隐私信任服务标准”（AICPA，信任服务标准）中规定的安全、可用性和保密性类别的标准，以及确定用户实体（客户）负责实施每项控制活动的某些方面以实现与AICPA SOC 2信任服务标准的一致性。

您必须评估和配置您的环境以符合PCI、ISO 27001和SOC合规性，并完成生产系统的认证审核。

架构

此参考架构展示了组织如何通过使用符合PCI、ISO 27001和SOC标准的Chef兼容食谱和Terraform模块，在OCI上建立符合PCI、ISO 27001和SOC标准的Web应用程序，来增强其数据的安全性。

以下图表展示了此参考架构。

此架构包含一个负载均衡器和一个NAT网关，以提供安全的互联网访问。负载均衡器、带有Apache Tomcat的应用层和带有Oracle自治事务处理的数据库层位于不同的子网中。这些子网可以通过堡垒主机访问。互联网与堡垒主机之间的流量通过互联网网关传输。客户可以通过OCI Web应用程序防火墙和负载均衡器通过互联网网关访问私有子网中的实例。网络地址转换（NAT）网关使附加到VCN中的私有子网的应用程序和Wazuh实例能够访问公共互联网。通过NAT网关的连接可以从VCN内的资源发起，而不是从公共互联网发起。该架构包含以下组件：

区域

• Oracle云基础设施区域是一个地理区域，包含一个或多个数据中心，称为可用性域。区域彼此独立，相距遥远（跨国家甚至跨洲）。

可用性域

• 可用性域是区域内独立的数据中心。每个可用性域中的物理资源与其他可用性域中的资源隔离，从而提供容错能力。可用性域不共享基础设施，如电力或冷却，或内部可用性域网络。因此，一个可用性域的故障不太可能影响该地区的其他可用性域。

故障域

• 故障域是一个可用性域内的硬件和基础设施分组。每个可用性域有三个故障域，拥有独立的电源和硬件。当您在多个故障域中分配资源时，您的应用程序可以承受物理服务器故障、系统维护和故障域内的电力故障。

虚拟云网络（VCN）和子网

• VCN是您在Oracle云基础设施区域中设置的可定制的、软件定义的网络。与传统数据中心网络一样，VCN让您完全控制您的网络环境。VCN可以有多个不重叠的CIDR块，您可以在创建VCN后更改它们。您可以将VCN划分为子网，这些子网可以在区域或可用性域内划分。每个子网由不与VCN中其他子网重叠的连续地址范围组成。您可以在创建后更改子网的大小。子网可以是公共的或私有的。

安全列表

• 对于每个子网，您可以创建安全规则，指定必须允许进出子网的源、目的地和流量类型。

堡垒主机

• 堡垒主机是一个计算实例，作为一个安全、受控的入口点，从云外部进入拓扑。堡垒主机通常配置在非军事区（DMZ）。它使您能够通过将敏感资源放置在不能直接从云外部访问的私有网络中来保护它们。拓扑具有一个单一的、已知的入口点，您可以定期监控和审计。因此，您可以避免暴露拓扑中更敏感的组件，同时不妨碍访问它们。

Tomcat服务器

• Apache Tomcat®是一个开源的Java应用服务器。它实现了Java Servlet、JavaServer Pages、Java表达式语言和Java WebSocket技术。Web应用程序存在于此层。

自治事务处理

• Oracle自治事务处理是一种自驾、自保护、自修复的数据库服务，专为事务处理工作负载优化。您无需配置或管理任何硬件，也无需安装任何软件。Oracle云基础设施负责创建数据库，以及备份、打补丁、升级和调优数据库。

Wazuh服务器

• Wazuh是一个免费、开源且企业级就绪的安全监控解决方案，用于威胁检测、完整性监控、事件响应和合规性提供。

￮ 基于主机的入侵检测

￮ Wazuh代理在主机级别运行，结合异常和基于签名的技术来检测入侵或软件滥用。它还可用于监控用户活动、评估系统配置和检测漏洞。

￮ 综合SIEM解决方案

￮ Wazuh用于收集、分析和关联数据，具备威胁检测、合规管理和事件响应能力。它可以在本地、混合和云环境中部署。

对象存储

• 对象存储提供对大量结构化和非结构化数据的快速访问，包括数据库备份、分析数据和丰富内容，如图像和视频。使用标准存储用于您需要快速、立即和频繁访问的“热”存储。使用归档存储用于您长时间保留且很少或极少访问的“冷”存储。

保险库

• Oracle云基础设施保险库使您能够集中管理保护数据的加密密钥和用于保护云中资源访问的秘密凭据。

Web应用程序防火墙

• Oracle云基础设施Web应用程序防火墙（WAF）是一种基于云的、符合支付卡行业（PCI）合规性的全球安全服务，可保护应用程序免受恶意和不必要的互联网流量。WAF可以保护任何面向互联网的端点，为客户的应用程序提供一致的规则执行。

DNS

• Oracle云基础设施域名系统（DNS）服务允许您创建和管理DNS区域。您可以创建区域、向区域添加记录，并允许Oracle云基础设施边缘网络处理您域的DNS查询。

SSL证书

• SSL证书使用Let’s Encrypt创建，并部署到Web应用程序防火墙。

建议

您的需求可能与此处描述的架构不同。使用以下建议作为起点。

VCN

• 当您创建VCN时，根据您计划附加到VCN子网中的资源数量确定所需的CIDR块数量和每个块的大小。使用标准私有IP地址空间内的CIDR块。

• 选择与您打算建立私有连接的任何其他网络（在Oracle云基础设施、您的本地数据中心或其他云提供商）不重叠的CIDR块。

• 创建VCN后，您可以更改、添加和移除其CIDR块。

• 当您设计子网时，考虑您的流量和安全需求。将特定层或角色内的所有资源附加到同一个子网，这可以作为一个安全边界。

网络连接性

• 为了使您的管理员能够管理环境，您可以通过使用站点到站点的IPSec VPN连接或专用的FastConnect电路，将云拓扑连接到现有的本地基础设施。

• 如果云拓扑需要与本地基础设施隔离，您可以部署堡垒主机以安全地管理对私有子网中资源的访问。

考虑因素

部署此参考架构时，请考虑以下几点。

性能

• 这个参考架构最初部署了一台运行Apache Tomcat的虚拟机。根据您的应用程序要求，您应该根据适当的负载指标修改自动扩展规则以启动额外的主机。

安全

• 使用策略限制谁可以访问您公司的Oracle云基础设施资源以及如何访问。对于对象存储，加密默认启用，且不能关闭。

• 除了堡垒主机（如果您的架构中有）和负载均衡器外，所有组件都应放置在私有子网中。

可管理性

• Terraform脚本部署了一个预配置的租户。您可以将其作为模板，以代码形式在您自己的代码仓库中管理此基础设施。

• 可用性

• 这个参考架构可能利用了在政府云领域内的区域中不可用的服务和配置。

部署

此参考架构的Terraform代码可在GitHub上获得。您可以从GitHub将代码下载到您的计算机，自定义代码，并使用Terraform命令行界面部署架构。

1. 访问GitHub。

2. 克隆或下载仓库到您的本地计算机。

3. 遵循README文档中的说明。

开启您的Oracle云之旅：Agilewing - 您的智能云服务伙伴

作为Oracle的高级合作伙伴，Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持，Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务，您可以迅速开启并享受Oracle云的全方位服务，从而无缝融入云端世界。

Agilewing的AgileCDN服务，结合了OCI的云基础服务，提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络，确保了无论您的业务扩展到全球哪个角落，都能保持高效稳定的运行。

利用Oracle云的先进技术，Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案，使他们能够更加专注于核心业务，同时享受Oracle云的高性能和安全保障。

Oracle云服务，作为一个充满潜力的领域，以其高性能、安全性和全球统一的服务标准，为各类企业开启了新的机遇之门。通过Agilewing的专业服务，无论是个人用户还是企业，都能轻松步入这个充满技术革新和高效能的新时代。现在，就让Agilewing引领您开始探索Oracle云服务，打开一个全新的世界大门