Sicherheit für Unternehmensarbeitslasten in einer Bare-Metal-Lösungsumgebung

Da Sie mit der Bare-Metal-Lösung traditionelle Unternehmensarbeitslasten näher zu Google Cloud bringen können, lautet eine häufige Frage von Unternehmensarchitekten und Sicherheitsarchitekten: "Wie sichere ich meine Arbeitslasten?" Das Ziel dieses Leitfadens besteht darin, Ihnen die Design-Elemente für Sicherheit und Compliance bereitzustellen, die Sie berücksichtigen sollten, wenn Sie planen, Ihre Unternehmensarbeitslasten, z. B. Oracle-Datenbanken, in die Bare-Metal-Lösung zu verlegen. Außerdem werden die Sicherheitskontrollen und -features von Google Cloud erläutert, die Ihre Unternehmens-Assets schützen. Außerdem verweisen wir auf einige Best Practices für die Sicherheit von Oracle.

Sicherheit in einer Bare-Metal-Lösungsumgebung

Die Bare-Metal-Lösungsumgebung enthält zweckorientierte Bare-Metal-Server, die in regionalen Erweiterungen gehostet werden. Wie in Abbildung 1 dargestellt, ist eine regionale Erweiterung eine Colocations-Einrichtung in der Nähe ausgewählter Google Cloud-Regionen, die über eine verwaltete Hochleistungsverbindung und eine Netzwerkstruktur mit geringer Latenz mit Google Cloud verbunden ist.

Abbildung 1: Bare-Metal-Lösung – Regionale Erweiterung, die mit Google Cloud verbunden ist

Grafik: Regionale Erweiterung, die mit Google Cloud verbunden ist

Aufgrund dieser Architektur müssen Sie überlegen, wie Sie sowohl Ihre Bare-Metal-Lösungsserver als auch die in Ihrem Design enthaltenen Google Cloud-Komponenten schützen können. Google Cloud bietet und verwaltet die folgenden Komponenten für die Bare-Metal-Lösung:

  • Kerninfrastruktur, einschließlich sicherer Einrichtungen in einer kontrollierten Umgebung sowie die Energieversorgung
  • Physische Sicherheit
  • Netzwerkinfrastruktur und -sicherheit
  • Funktionen für Hardware-Monitoring
  • Zugriff auf Google Cloud-Dienste
  • Bereitstellung und Wartung von Hardware für einzelne Mandanten
  • Lokales Storage Area Network (SAN)
  • Intelligenter Support: Unterstützung vor Ort für Aktivitäten wie Hardwareersetzung

In einer Bare-Metal-Lösungsumgebung ist Sicherheit eine gemeinsame Verantwortung. Die gute Nachricht ist, dass Sie Ihre eigenen Best Practices für die Sicherheit nutzen und sie durch die integrierten Angebote der Bare-Metal-Lösung ergänzen können. Abbildung 2 zeigt eine Zusammenfassung der Sicherheitskomponenten, die Sie bereitstellen müssen, und die Google Cloud bereitstellt.

Abbildung 2: Zusammenfassung der Sicherheitsverantwortlichkeiten – Kunden und Google Cloud

Zusammenfassung der Sicherheitsverantwortlichkeiten – Kunden und Google Cloud

Sicherheit für Ihre Bare-Metal-Lösungsumgebung planen

Bei der Planung Ihrer Sicherheitsstrategie für die Bare-Metal-Lösung müssen Sie die folgenden sechs Sicherheitssäulen berücksichtigen:

  1. Physische Sicherheit
  2. Compliance
  3. Netzwerksicherheit
  4. Datensicherheit
  5. Betriebssicherheit
  6. Datenbanksicherheit

Sehen wir uns die einzelnen Sicherheitssäulen genauer an.

Physische Sicherheit

Die physischen Komponenten der Bare-Metal-Lösung befinden sich in einer regionalen Erweiterung (einer Colocations-Einrichtung), die von einem Anbieter betrieben wird. Eine Partner Interconnect-Verbindung mit hoher Geschwindigkeit und niedriger Latenz verknüpft die regionale Erweiterung mit der nächstgelegenen Google Cloud-Region.

Der Anbieter verwaltet die regionale Erweiterung und deren Einrichtungen wie Strom, Kühlung, Racking und Stacking sowie die Speicherverwaltung. Der Anbieter verwaltet auch die physischen Schutz- und Sicherheitsfeatures, die den Branchenstandards entsprechen, einschließlich, aber nicht beschränkt auf folgende:

  • Cages verfügen über sichere Slab-to-Slab-Wände oder bewehrte Verkleidungen.
  • In jeder Einrichtung überwachen Videokameras die Cages, Gänge und Türen 24 Stunden am Tag, 7 Tage die Woche. Die Kameras haben einen guten Blick auf jeden Cage, jeden Gang und jede Ein- und Ausgangstür.
  • Alle Türen der Einrichtung verfügen über Alarme, die gewährleisten, dass sie ordnungsgemäß geschlossen wurden.
  • Jeder, der einen Cage betritt, muss zuvor die Genehmigung des Koordinationsteams der regionalen Erweiterung eingeholt haben und der entsprechende Zugriff muss durch das Sicherheitsteam der regionalen Erweiterung gewährt werden.
  • Das Koordinationsteam der regionalen Erweiterung verwaltet den gesamten Zugriff mit einzelnen Tickets pro Besuch.
  • Die Einrichtung verlangt von autorisierten Mitarbeitern, dass sie für den Zugang zur Einrichtung ein biometrisches Schloss und für das Verlassen eine Dienstmarke verwenden.
  • Alle Racks sind gesperrt. Eine elektronische Schlüsselsperrung verteilt Schlüssel für bestimmte Racks an autorisierte Mitarbeiter mit eingeschränktem Bedarf. Die Schlüsselsperre verfolgt auch den Rack-Zugriff.
  • Ein Colocations-Sicherheitsteam verwaltet den Zugriff und führt die Berichterstellung basierend auf den Anforderungen der PCI- und ISO-Compliance-Zertifizierung.
  • Andere physischen Sicherheitsmaßnahmen entsprechen den Best Practices der Branche und geltenden gesetzlichen Vorschriften.

Compliance

Die Bare-Metal-Lösung erfüllt anspruchsvolle Compliance-Anforderungen mit Branchenzertifizierungen wie ISO, PCI DSS und HIPAA sowie gegebenenfalls mit regionalen Zertifizierungen. Weitere Informationen zur Compliance finden Sie im Center für Compliance-Ressourcen.

Netzwerksicherheit

Die Netzwerksicherheit wird auf zwei Ebenen angeboten, wie in Abbildung 3 dargestellt:

  1. VLAN-Anhänge der Ebene 3 verbinden Ihre Google Virtual Private Cloud mit einer eindeutigen virtuellen Routing- und Weiterleitungsinstanz (virtual routing and forwarding, VRF) auf den Edge-Routern der Bare-Metal-Lösung.

  2. In der Bare-Metal-Lösungsumgebung bieten VLANs der Ebene 2 die für Ihre Daten erforderliche Sicherheit und Isolation. Sie verwenden ein Clientsubnetz, um eine Verbindung zu Google Cloud herzustellen, und ein optionales privates Subnetz, um Ihre eigenen Dienste und Ihren Speicher zu hosten.

Abbildung 3: Netzwerksicherheit in einer Bare-Metal-Lösungsumgebung

Grafik: Netzwerksicherheit in einer Bare-Metal-Lösungsumgebung

Wenn Sie Google Cloud APIs in der Bare-Metal-Lösungsumgebung verwenden, um auf Google Cloud-Dienste zuzugreifen, verschlüsselt Google Cloud die Datenübertragung standardmäßig zwischen der Bare-Metal-Lösung und dem jeweiligen Dienst gemäß unseren Verschlüsselungsrichtlinien. Wenn Sie beispielsweise das Dienstprogramm gsutil oder APIs verwenden, um Daten in Cloud Storage zu sichern, verwendet die Übertragung der Daten aus der Bare-Metal-Lösung in Cloud Storage standardmäßig die Datenverschlüsselung.

Sicheren Perimeter mit privatem Google-Zugriff erzwingen

Der private Google-Zugriff (auch bekannt als VPC Service Controls) ermöglicht Ihnen, Sicherheitsbereiche für sensible Daten in Google Cloud-Diensten zu definieren. Dies bietet folgende Vorteile:

  • Reduziert das Risiko der Daten-Exfiltration. Eine Daten-Exfiltration erfolgt, wenn eine autorisierte Person Daten aus einem gesicherten System, in das die Daten gehören, extrahiert und entweder an einen nicht autorisierten Dritten weitergibt oder in ein unsicheres System verschiebt.
  • Auf Google Cloud-Dienste wird privat über einen lokalen Standort zugegriffen.
  • Aus dem Internet wird ein kontextsensitiver Zugriff erzwungen.
  • Sicherheitsrichtlinien werden von einem zentralen Ort aus verwaltet.

Mit der Bare-Metal-Lösung können Sie die cloudnativen und skalierbaren Dienste von Google Cloud über die Partner Interconnect-Verbindung nutzen. Durch Aktivieren eines VPC Service Controls-basierten Perimeters wird außerdem sichergestellt, dass der Zugriff auf alle Google Cloud-Dienste wie BigQuery und Cloud Storage ohne Daten-Exfiltration in das Internet erfolgt.

Informationen zum Einrichten des privaten Zugriffs auf Google APIs finden Sie unter Privaten Google-Zugriff für lokale Hosts konfigurieren. Abbildung 4 zeigt ein Beispiel für den privaten Google-Zugriff:

Abbildung 4: Privater Google-Zugriff in einer Bare-Metal-Lösungsumgebung

Grafik: Privater Google-Zugriff in einer Bare-Metal-Lösungsumgebung

Datensicherheit

Wenn Sie die Datensicherheit in einer Bare-Metal-Lösungsumgebung planen, müssen Sie wissen, wie verschlüsselte Daten gespeichert werden und wie Sie Ihre Anwendungen schützen, die in Google Cloud oder in einem lokalen Rechenzentrum ausgeführt werden.

Speicherverschlüsselung

Standardmäßig verschlüsselt die Bare-Metal-Lösung inaktive Daten. Im Folgenden finden Sie einige Fakten zur Speicherverschlüsselung in einer Bare-Metal-Lösungsumgebung:

  • Um Speicher bereitzustellen, erstellen wir für jeden Kunden eine virtuelle Storage-Maschine (Storage Virtual Machine, SVM) in einem NetApp-Cluster und verknüpfen die SVM mit einem reservierten Datenvolumen, bevor sie dem Kunden zur Verfügung gestellt wird.
  • Wenn wir ein verschlüsseltes Daten-Volume erstellen, generiert der Verschlüsselungsprozess einen eindeutigen XTSAES-256-Datenverschlüsselungsschlüssel. Wir generieren keinen Schlüssel vorab.
  • SVMs bieten Isolation in einer mehrinstanzenfähigen Umgebung. Jede SVM wird als ein einzelner unabhängiger Server angezeigt, wodurch mehrere SVMs in einem Cluster nebeneinander bestehen können und sichergestellt wird, dass keine Daten zwischen den SVMs fließen.
  • Die Schlüssel werden nicht im Nur-Text-Format angezeigt. Der NetApp Onboard-Schlüsselmanager speichert, verwaltet und schützt die Schlüssel.
  • Weder Google Cloud noch der Anbieter haben Zugriff auf Ihre Schlüssel.
  • Der Netapp Storage-Cluster speichert und verschlüsselt alle inaktiven Daten, einschließlich Betriebssystem- und Boot-Partitionen.
  • Wenn Sie die Verwendung der Bare-Metal-Lösung am Ende Ihres Vertrags beenden möchten, löschen wir Ihre Speicher-Volumes kryptografisch und stellen sie sieben Tage lang unter Quarantäne, bevor sie wiederverwendet werden können.

Anwendungssicherheit

Wenn Sie mit der Bare-Metal-Lösung arbeiten, können Sie Ihre Anwendungen schützen, die entweder in Google Cloud oder in einer lokalen Umgebung ausgeführt werden.

In Google Cloud ausgeführte Anwendungen
  • Die Bare-Metal-Lösung wird in regionalen Erweiterungen ausgeführt; der einzige Netzwerkpfad zur oder von der regionalen Erweiterung verläuft über eine Partner Interconnect-Verbindung zur zugeordneten Google Cloud-Region über kundenspezifische VLAN-Anhänge.
  • Standardmäßig haben Bare-Metal-Lösungsserver keinen Internetzugang. Wenn Sie Internetzugang für Vorgänge wie Patchen oder Updates benötigen, erstellen Sie eine NAT-Instanz. Weitere Informationen finden Sie unter Zugriff auf das Internet.
  • Eine BGP-Sitzung bietet dynamisches Routing zwischen den Cloud Routern in der VPC und den Routern der regionalen Erweiterung. Wenn Sie Ressourcen in der VPC platzieren, die mit der regionalen Erweiterung verknüpft ist, haben diese Ressourcen direkten Zugriff auf die Bare-Metal-Lösungsserver. Ebenso haben Ressourcen, die in neu hinzugefügten Subnetzen ausgeführt werden, Zugriff auf die Bare-Metal-Lösungsserver. Wenn Sie den Zugriff auf bestimmte Ressourcen zulassen oder ablehnen müssen, verwenden Sie Firewallrichtlinien, um das Standardverhalten einzuschränken, das den Zugriff auf alle Bare-Metal-Lösungsressourcen zulässt.
  • Wie in Abbildung 5 gezeigt, verwenden Sie VPC-Peering, um Ressourcen, die in einer anderen VPC im selben Projekt oder in einem anderen Projekt ausgeführt werden, den Zugriff auf die Bare-Metal-Lösungsserver zu ermöglichen. Fügen Sie auf den redundanten Cloud Routern ein benutzerdefiniertes Advertising hinzu, das auf den CIDR-Bereich des Peering-Netzwerks verweist.

    Abbildung 5: VPC-Peering und die Bare-Metal-Lösungsumgebung

    Grafik: VPC-Peering und die Bare-Metal-Lösungsumgebung

  • Wie in Abbildung 6 gezeigt, verwenden Sie eine freigegebene VPC-Architektur, um Ressourcen aus verschiedenen Projekten den Zugriff auf die Bare-Metal-Lösungsserver zu ermöglichen. In diesem Fall müssen Sie VLAN-Anhänge im Hostprojekt erstellen, damit alle Ressourcen auf die Server zugreifen können, die mit der freigegebenen VPC verknüpft sind.

    Abbildung 6: Freigegebene VPC und die Bare-Metal-Lösungsumgebung

    Grafik: Freigegebene VPC und die Bare-Metal-Lösungsumgebung

  • Sie können Ihre Datenbanken entweder mit Oracle Recovery Manager (RMAN) oder Sicherungslösungen wie Actifio sichern. Informationen zur nativen Einbindung von Actifio in RMAN finden Sie im Actifio-Leitfaden. Sie können Sicherungsdaten in Cloud Storage speichern und verschiedene Cloud Storage-Stufen auswählen, um Ihre Anforderungen an das Recovery Time Objective (RTO) und das Recovery Point Objective (RPO) zu erfüllen.

Lokal ausgeführte Anwendungen
  • Wie bereits erwähnt, verläuft der einzige Netzwerkpfad zur oder von der regionalen Erweiterung der Bare-Metal-Lösung über eine Partner Interconnect-Verbindung zur zugehörigen Google Cloud-Region. Wenn Sie von Ihrer lokalen Umgebung eine Verbindung zu Ihren Bare-Metal-Lösungsservern herstellen möchten, müssen Sie Ihr lokales Rechenzentrum mithilfe von Dedicated Interconnect, Partner Interconnect oder Cloud VPN verbinden. Weitere Informationen zu diesen Verbindungsoptionen finden Sie unter Netzwerkverbindungsprodukt auswählen.
  • Zum Aktivieren von Routen zu Ihrem lokalen Netzwerk müssen Sie die redundanten Cloud Router mit einem benutzerdefinierten Advertising ändern, das auf den CIDR-Bereich des lokalen Subnetzes verweist. Verwenden Sie Firewallregeln, um den Zugriff auf die Server zuzulassen oder zu blockieren.

Betriebssicherheit

Im Abschnitt "Physische Sicherheit" in diesem Leitfaden haben Sie gelernt, dass wir den Zugriff auf die Bare-Metal-Lösungsinfrastruktur innerhalb einer regionalen Erweiterung stark einschränken. Wir bieten autorisierten Mitarbeitern vorübergehend Zugriff auf Basis eingeschränkter Verfügbarkeit. Wir prüfen die Zugriffslogs, analysieren sie, um Anomalien zu erkennen, und verwenden 24/7-Monitoring und -Benachrichtigungen, um nicht autorisierten Zugriff zu verhindern.

Für die betriebliche Sicherheit gibt es mehrere Optionen. Eine Lösung, die nativ in Google Cloud eingebunden ist, ist das Bindplane-Produkt von Blue Medora. Bindplane ist in die Operations-Suite von Google Cloud eingebunden und ermöglicht die Erfassung von Messwerten und Logs aus der Bare-Metal-Lösungsinfrastruktur, einschließlich Oracle-Datenbank- und Oracle-Anwendungslogs.

Prometheus ist eine Open-Source-Monitoring-Lösung, mit der Sie die Infrastruktur der Bare-Metal-Lösung und die darüber ausgeführten Oracle-Datenbanken überwachen können. Sie können Datenbank- und System-Audit-Trails an Prometheus weiterleiten, das als eine Einzelkonsole dazu dient, Warnungen zu verdächtigen Aktivitäten zu überwachen und zu senden.

Oracle Enterprise Manager ist bei Nutzern beliebt, die das Tool in einer lokalen Umgebung verwenden. Sie können OEM in einer Bare-Metal-Lösungsumgebung verwenden, um Monitoring- und Benachrichtigungsaufgaben auf die gleiche Weise wie in Ihrem lokalen Rechenzentrum auszuführen.

Datenbanksicherheit

Wir haben die Bare-Metal-Lösung so entwickelt, dass sie Ihrer lokalen Umgebung möglichst ähnlich ist, sodass Sie sie mit minimalem Arbeits- und Lernaufwand verwenden können. Daher können Sie Ihre vorhandenen sicherheitsbezogenen Oracle-Datenbankfeatures, Sicherheitspraktiken und Prozesse einfach in die Bare-Metal-Lösung übertragen. Sie können Ihr Sicherheitsportfolio durch die von Google Cloud bereitgestellten Sicherheitsfeatures ergänzen.

Sehen Sie sich zur Sicherheit der Datenbank die Sicherheitskontrollen von Oracle an, die Sie aktivieren sollten. Dazu gehören Nutzerauthentifizierung, -autorisierung und -zugriffssteuerung, Auditing und Verschlüsselung.

Nutzerauthentifizierung

  • Implementieren Sie Passwortrichtlinien wie Komplexität und Länge, wenn Sie die Basisauthentifizierung verwenden.
  • Verstärken Sie Ihr Authentifizierungssystem durch Verwendung von TLS-Zertifikaten, Kerberos oder RADIUS.
  • Verwenden Sie die proxybasierte Authentifizierung, um die Authentifizierung und Prüfung auf Datenbankebene zu aktivieren. Diese Methode ist nützlich, wenn Sie Anwendungsnutzer nicht Datenbanknutzern zuordnen und die Authentifizierung auf Anwendungsebene aktivieren möchten.

Weitere Authentifizierungsempfehlungen finden Sie unter Authentifizierung konfigurieren im Oracle-Leitfaden zur Datenbanksicherheit.

Autorisierung und Zugriffssteuerung

  • Verwalten Sie die Autorisierung über Objektberechtigungen, Systemberechtigungen und Rollen, die in der Datenbank ermittelt werden. Sie können diese Vorgehensweise auch mit erweiterten und sicheren Features wie Database Vault ergänzen.
  • Verwalten Sie Nutzer und Gruppen mit Centrally Managed Users (CMU). Mit CMU können Sie Ihre vorhandene Active Directory-Infrastruktur nutzen, um die Verwaltung von Datenbanknutzern und die Autorisierung für mehrere Oracle-Datenbanken zu zentralisieren.

    Weitere Informationen zu CMU finden Sie unter Zentrale verwaltete Nutzer mit Microsoft Active Directory konfigurieren im Oracle-Leitfaden zur Datenbanksicherheit.

  • Führen Sie mit Database Vault eine Aufgabentrennung und Zugriffssteuerung für Nutzer mit umfassenden Berechtigungen ein.

    Weitere Informationen zu Database Vault finden Sie im Administratorhandbuch für Oracle Database Vault.

  • Nutzen Sie zusätzliche Tools und Techniken wie die Berechtigungsanalyse und Datenentfernung.

    • Mit dem Tool zur Berechtigungsanalyse können Sie die Nutzung von Berechtigungen und Rollen durch Endnutzer aktiv überwachen. Weitere Informationen zur Berechtigungsanalyse finden Sie im Oracle-Leitfaden zur Datenbanksicherheit unter Berechtigungsanalyse zum Suchen von Rechtenutzung ausführen.
    • Durch die Datenentfernung werden sensible Spaltendaten entfernt und nur den erforderlichen Nutzern Zugriff gewährt. Weitere Informationen zur Datenentfernung finden Sie unter Oracle-Datenentfernung verwenden im Oracle-Leitfaden zur erweiterten Datenbanksicherheit.
  • Verwenden Sie Virtuelle Private Database (VPD) und Oracle Label Security (OLS) für einen differenzierten Zugriff auf Daten durch dynamisches Ändern von Nutzerabfragen. Diese Tools schließen Zeilen aus, die von der VPD-Richtlinie gefiltert werden, und verwalten Zeilen- und Nutzerlabels, um anzugeben, ob ein Nutzer Zugriff auf eine bestimmte Zeile haben soll.

  • Folgen Sie dem Prinzip der geringsten Berechtigung, indem Sie Gruppen und Nutzern detaillierte Rollenberechtigungen zuweisen.

Audit

  • Nutzen Sie Unified Auditing, ein Feature, das alle Auditdaten an einen einheitlichen Audit-Trail sendet. Dieses Feature wurde in Version 12c eingeführt, um das herkömmliche Datenbank-Auditing zu ersetzen, und erstellt eine zentrale Pfaddatei für alle datenbankbezogenen Auditereignisse. Außerdem wird die Leistung von Prüfberichten verbessert.
  • Aktivieren Sie fein abgestimmtes Auditing (FGA), um herkömmliche Prüffunktionen zu erweitern. Mit diesem Feature werden Audit-Daten nur erfasst, wenn ein Nutzer auf eine bestimmte Spalte zugreift oder eine bestimmte Bedingung erfüllt.
  • Verwenden Sie Audit Vault Database Firewall (AVDF), um Audit-Richtlinien und erfasste Ereignisse zu verwalten. Einer der wichtigsten Anwendungsfälle für ADVF ist die Verhinderung von SQL-Injection-Angriffen. Sie richten die Datenbankfirewall ein, um alle SQL-Anweisungen zu überwachen, die für die Datenbank für einen vollständigen Anwendungslebenszyklus ausgegeben werden. Die Datenbank erstellt eine Reihe vertrauenswürdiger Cluster und blockiert dann alle SQL-Anweisungen, die der Datenbankfirewall nicht bekannt sind.

    Weitere Informationen finden Sie unter Datenbankaktivität mit Auditing überwachen im Oracle-Leitfaden zur Datenbanksicherheit und im Audit Vault and Database Firewall-Leitfaden.

Verschlüsselung für inaktive Daten und Daten während der Übertragung

  • Während die Bare-Metal-Lösung inaktive Nutzerdaten automatisch mit einem eindeutigen AES-256-Bit-Schlüssel pro Datenvolumen verschlüsselt, können Sie auch die Transparente Datenverschlüsselung (TDE) aktivieren, um mehr Kontrolle über den Lebenszyklus des Verschlüsselungsschlüssels zu erhalten.
  • Verwenden Sie die native Netzwerkverschlüsselung oder die Transport Layer Security (TLS)-basierte Verschlüsselung, um Daten zwischen dem Client und der Datenbank zu schützen.
  • Wenn Sie vom Kunden verwaltete Verschlüsselungsschlüssel (customer managed encryption keys, CMEK) für Oracle-Datenbankdaten nutzen, verwenden Sie die erweiterte Sicherheitsoption (advanced security option, ASO) zum Aktivieren der Verschlüsselung, der kryptografischen Netzwerkprüfsummen (anders als Log-Prüfsummen während Lese- und Schreibvorgängen) und Authentifizierungsdienste zwischen dem primären und dem Standby-System in Data Guard.

    Weitere Informationen zu Verschlüsselungsoptionen finden Sie unter Transparente Datenverschlüsselung verwenden im Oracle-Leitfaden zur erweiterten Datenbanksicherheit.

Die Vorschläge, die wir für die Sicherheit von Oracle-Datenbanken in Bare-Metal-Lösungen erwähnt haben, sind keine vollständige Liste. Wir empfehlen dringend, die von Oracle bereitgestellten Best Practices und Empfehlungen zu befolgen und geeignete Kontrollen zu implementieren, die Ihren spezifischen Geschäfts- und Sicherheitsanforderungen entsprechen.

Fazit

Die Bare-Metal-Lösung ist Ihr Gateway zur Welt von Google Cloud. Damit können Sie Ihre kritischen Arbeitslasten unverändert und in der Nähe der Cloud migrieren und ausführen, während Sie sich entscheiden, gestalten und planen. In Kombination mit den in diesem Leitfaden beschriebenen Best Practices, Tools und Techniken bietet die Bare-Metal-Lösung eine sichere, robuste und leistungsstarke Plattform zum Ausführen Ihrer kritischen Arbeitslasten.

Das Wichtigste ist jedoch, dass dies nicht auf Kosten der Sicherheit geht. Wenn Sie die Bare-Metal-Lösung abonnieren, erhalten Sie Bare-Metal-Server, die von mehreren Ebenen integrierter Sicherheit unterstützt werden, darunter die physische Ebene, die Speicherebene und die Netzwerkebene. Der Bare-Metal-Dienst bindet Sicherheit in jeder Phase der Infrastruktur ein, um Ihre geschäftskritischen Anforderungen an eine sichere Leistung im großen Maßstab zu erfüllen.

Wichtige Kernpunkte:

  1. Sicherheit ist eine geteilte Verantwortung.
  2. Folgen Sie dem Prinzip der geringsten Berechtigung.
  3. Folgen Sie dem Prinzip der Aufgabentrennung.
  4. Verhindern Sie die Daten-Exfiltration, indem Sie über restricted.googleapis.com auf Google Cloud-Dienste zugreifen.
  5. Aktivieren Sie den privaten Google-Zugriff in Ihrem Projekt, um die Möglichkeiten der Daten-Exfiltration und nicht autorisierten Zugriffe zu minimieren und die Sicherheitsrichtlinien zentral zu steuern.
  6. Folgen Sie den Best Practices von Oracle für die Oracle-Datenbanksicherheit.