欢迎访问深圳敏捷云计算科技有限公司!
为了在Oracle云中运行工作负载,你需要一个既安全又能高效操作的环境。这个参考架构提供了一个基于Terraform的着陆区模板,符合CIS Oracle云基础设施基准的安全指导。
架构设计
架构从租户的部门设计开始,配合群组和策略分离职责。在着陆区V2中,支持在指定的父部门内配置着陆区部门。每个着陆区部门都被分配了一个具有适当权限的群组,用于管理部门内的资源和访问其他部门所需的资源。
着陆区V2引入了配置多个虚拟云网络(VCN)的能力,无论是独立模式还是作为中心和辐射架构的组成部分。这些VCN可以遵循通用的三层网络拓扑标准,或面向特定拓扑,如支持Oracle Exadata数据库服务部署。它们预配置了必要的路由,其进出接口得到妥善保护。
着陆区包括多种预配置的安全服务,可与整体架构一起部署,以强化安全态势。这些服务包括Oracle Cloud Guard、流日志、Oracle云基础设施服务连接中心、带客户管理密钥的保险库、Oracle云基础设施漏洞扫描服务、Oracle云基础设施堡垒和Oracle安全区。通过主题和事件设置通知,以警告管理员关于部署资源的变更。
以下图表展示了这一参考架构。
架构包含以下组件:
租户
• 当你注册Oracle云基础设施时,Oracle会在Oracle云中为你设置一个安全且隔离的区域,即租户。你可以在你的租户内创建、组织和管理Oracle云中的资源。租户可视为公司或组织的同义词。通常,一家公司将拥有一个单独的租户,并在该租户内反映其组织结构。一个单一的租户通常与一个订阅关联,而一个订阅通常只有一个租户。
策略
• Oracle云基础设施身份与访问管理策略指定谁可以访问哪些资源,以及如何访问。访问权限在群组和部门级别授予,这意味着你可以编写一个策略,为一个群组在特定部门内或对整个租户提供特定类型的访问权限。
部门
• 部门是Oracle云基础设施租户内跨区域的逻辑分区。使用部门来组织Oracle云中的资源,控制对资源的访问,并设置使用配额。为了控制对给定部门中资源的访问,你需要定义策略,指定谁可以访问这些资源以及他们可以执行什么操作。
• 本着陆区模板中的资源被配置在以下部门中:
○ 网络部门,包括所有网络资源和所需的网络网关。
○ 安全部门,用于日志、密钥管理和通知资源。
○ 应用部门,用于应用相关服务,包括计算、存储、函数、流、Kubernetes节点、API网关等。
○ 数据库部门,包括所有数据库资源。
○ 可选的Oracle Exadata数据库服务基础设施部门。
○ 包含上述所有部门的可选外围部门。
• 图表中灰色图标表示模板未提供的服务。
• 这种部门设计反映了不同组织观察到的基本功能结构,其中IT职责通常在网络、安全、应用开发和数据库管理员之间分离。
虚拟云网络(VCN)和子网
• VCN是你在Oracle云基础设施区域内设置的可自定义的软件定义网络。与传统数据中心网络一样,VCN让你完全控制你的网络环境。一个VCN可以有多个不重叠的CIDR块,你可以在创建VCN后更改这些块。你可以将VCN划分为子网,这些子网可以范围到一个区域或可用性域。每个子网由不与VCN中其他子网重叠的连续地址范围组成。你可以在创建后更改子网的大小。子网可以是公共的或私有的。
• 默认情况下,模板部署一个通用的标准三层VCN,包括一个公共子网和两个私有子网。公共子网用于负载均衡器和堡垒服务器。应用层和数据库层分别连接到不同的私有子网。模板还可以创建VCN以支持特定工作负载的部署,如Oracle Exadata数据库服务。
互联网网关
• 互联网网关允许VCN中的公共子网与公共互联网之间的流量通信。
动态路由网关(DRG)
• DRG是一个虚拟路由器,为本地网络与VCN之间的私有网络流量提供路径,并且还可用于在同一区域或跨区域的VCN之间路由流量。
NAT网关
• NAT网关使VCN中的私有资源能够访问互联网上的主机,而不会将这些资源暴露给来自互联网的入站连接。
服务网关
• 服务网关提供从VCN到其他服务(如Oracle云基础设施对象存储)的访问。从VCN到Oracle服务的流量通过Oracle网络基础设施传输,从不经过互联网。
Oracle服务网络
• Oracle服务网络(OSN)是Oracle云基础设施中为Oracle服务保留的概念性网络。这些服务具有可通过互联网访问的公共IP地址。Oracle云外的主机可以通过使用Oracle云基础设施FastConnect或VPN Connect私下访问OSN。你的VCN中的主机可以通过服务网关私下访问OSN。
网络安全组(NSGs)
• 网络安全组(NSG)充当你的云资源的虚拟防火墙。借助Oracle云基础设施的零信任安全模型,所有流量默认被拒绝,你可以控制VCN内的网络流量。NSG由一组仅适用于单个VCN中指定一组VNIC的入站和出站安全规则组成。
事件
• Oracle云基础设施服务产生的事件是描述资源变更的结构化消息。这些事件涵盖创建、读取、更新或删除(CRUD)操作、资源生命周期状态变化,以及影响云资源的系统事件。
通知
• Oracle云基础设施通知服务通过发布-订阅模式向分布式组件广播消息,为托管在Oracle云基础设施上的应用程序提供安全、高可靠、低延迟和持久的消息传递。
保险库
• Oracle云基础设施保险库允许你集中管理保护数据的加密密钥以及用于保护访问云资源的秘密凭证。你可以使用保险库服务来创建和管理保险库、密钥和秘密。
日志
• 日志服务是一个高度可扩展且完全托管的服务,提供对云中资源的以下类型日志的访问:
○ 审计日志:与审计服务发出的事件相关的日志。
○ 服务日志:由单个服务如API网关、事件、函数、负载平衡、对象存储和VCN流日志发出的日志。
○ 自定义日志:包含来自自定义应用程序、其他云提供商或本地环境的诊断信息的日志。
服务连接器
• Oracle云基础设施服务连接器中心是一个云消息总线平台,协调OCI中服务之间的数据移动。你可以使用它在Oracle云基础设施中的服务之间移动数据。数据通过服务连接器移动。服务连接器指定包含要移动数据的源服务、对数据执行的任务,以及在完成指定任务时数据必须交付的目标服务。
• 你可以使用Oracle云基础设施服务连接器中心快速构建适用于SIEM系统的日志聚合框架。
云监控
• Oracle云监控通过监测租户中可能存在安全问题的配置设置和资源操作,帮助你在Oracle云中实现并保持强大的安全态势。
• 你可以使用Oracle云监控来监控和维护Oracle云基础设施中资源的安全。云监控使用你可以定义的检测配方来检查资源的安全弱点,并监测操作者和用户的高风险活动。当检测到任何错误配置或不安全活动时,云监控会推荐纠正措施并协助采取这些措施,基于你可以定义的响应配方。
安全区
• 安全区与一个或多个部门和一个安全区配方相关联。当你在安全区内创建和更新资源时,Oracle云基础设施(OCI)会根据安全区配方中定义的策略列表验证这些操作。如果违反任何安全区策略,则操作被拒绝。
• 安全区确保你的OCI资源符合你的安全政策,包括Oracle云基础设施计算、Oracle云基础设施网络、Oracle云基础设施对象存储、Oracle云基础设施块存储和数据库资源。
漏洞扫描服务
• Oracle云基础设施漏洞扫描服务通过定期检查端口和主机潜在的漏洞,帮助提高Oracle云的安全姿态。该服务生成包含这些漏洞的指标和详细信息的报告。
堡垒服务
• Oracle云基础设施堡垒服务提供从特定IP地址到目标OCI资源的受限访问,这些资源没有公共端点,通过基于身份的、被审计的和时间限定的安全壳(SSH)会话实现。
对象存储
• 对象存储提供对大量结构化和非结构化数据的快速访问,包括数据库备份、分析数据和丰富内容,如图像和视频。你可以安全地存储数据,然后直接从互联网或云平台内部检索数据。你可以无缝扩展存储,而不会经历性能或服务可靠性的下降。使用标准存储用于你需要快速、立即和频繁访问的“热”存储。使用归档存储用于你长时间保留并很少或极少访问的“冷”存储。
推荐配置
以下建议可作为设计和配置云环境安全的起点。你的需求可能与此处描述的架构不同。
网络配置
• 对于虚拟云网络(VCN),选择一个与你打算建立私有连接的任何其他网络(在Oracle云基础设施、你的本地数据中心或其他云提供商中)不重叠的CIDR块。
监控安全
• 使用Oracle云监控来监测和维护Oracle云基础设施中资源的安全。云监控使用你可以定义的检测配方来审查资源的安全弱点,并监控操作者和用户的高风险活动。当检测到任何配置错误或不安全活动时,云监控推荐纠正措施,并协助采取这些措施,基于你可以定义的响应配方。
安全资源配置
• 对于需要最大安全保护的资源,使用安全区。安全区是一个与基于最佳实践的Oracle定义的安全策略配方相关联的部门。例如,安全区内的资源必须不能从公共互联网访问,并且必须使用客户管理的密钥进行加密。当你在安全区内创建和更新资源时,Oracle云基础设施根据安全区配方中的政策验证操作,并拒绝违反任何政策的操作。
部署
这个解决方案的Terraform代码可在GitHub上获取。你可以一键将代码拉取到Oracle云基础设施资源管理器中,创建堆栈并部署。或者,从GitHub下载代码到你的电脑,自定义代码,然后使用Terraform命令行界面部署架构。
• 使用Oracle云基础设施资源管理器部署:
a. 点击,如果你还未登录,请输入租户和用户凭证。
b. 查看并接受条款和条件。
c. 选择你想要部署堆栈的区域。
d. 按照屏幕上的提示和指示创建堆栈。
e. 创建堆栈后,点击Terraform操作,并选择计划。
f. 等待作业完成,并审查计划。
g. 如需进行任何更改,返回到堆栈详情页面,点击编辑堆栈,并进行所需更改。然后,再次运行计划操作。
h. 如果不需要进一步更改,返回到堆栈详情页面,点击Terraform操作,并选择应用。
• 使用Terraform命令行界面部署:
a. 访问GitHub。
b. 下载或克隆代码到你的本地电脑。
c. 按照README中的指示操作。
开启您的Oracle云之旅:Agilewing - 您的智能云服务伙伴
作为Oracle的高级合作伙伴,Agilewing正重新定义企业体验Oracle云服务的方式。借助于其简化的开户流程和一流的技术支持,Agilewing将复杂的开户和操作流程转化为一种轻松、直观的体验。通过我们的一站式服务,您可以迅速开启并享受Oracle云的全方位服务,从而无缝融入云端世界。
Agilewing的AgileCDN服务,结合了OCI的云基础服务,提供了一流的全球内容加速解决方案。超过2800个全球POP节点和7000个直连点的强大网络,确保了无论您的业务扩展到全球哪个角落,都能保持高效稳定的运行。
利用Oracle云的先进技术,Agilewing致力于简化云服务搭建、云迁移和业务出海的过程。我们的合作模式为客户带来经济高效的解决方案,使他们能够更加专注于核心业务,同时享受Oracle云的高性能和安全保障。
Oracle云服务,作为一个充满潜力的领域,以其高性能、安全性和全球统一的服务标准,为各类企业开启了新的机遇之门。通过Agilewing的专业服务,无论是个人用户还是企业,都能轻松步入这个充满技术革新和高效能的新时代。现在,就让Agilewing引领您开始探索Oracle云服务,打开一个全新的世界大门
