Proporcionar seguridad a las cargas de trabajo empresariales en un entorno de la Solución Bare Metal

Como Solución Bare Metal te permite acercar las cargas de trabajo empresariales tradicionales a Google Cloud, los arquitectos empresariales y de seguridad suelen preguntarnos cómo pueden proteger sus cargas de trabajo. El objetivo de esta guía es proporcionarte los elementos de diseño de seguridad y cumplimiento que debes tener en cuenta al planificar la migración de tus cargas de trabajo empresariales, como las bases de datos de Oracle, a Solución Bare Metal. También hablaremos de los controles y las funciones de seguridad de Google Cloud que protegen los recursos de tu empresa y te indicaremos algunas de las prácticas recomendadas de seguridad de Oracle.

Seguridad en un entorno de la Solución Bare Metal

El entorno de la solución Bare Metal incluye servidores bare metal creados específicamente para este fin y alojados en extensiones regionales. Como se muestra en la figura 1, una extensión regional es una instalación de colocación situada cerca de determinadas regionesGoogle Cloud y conectada a ellas Google Cloud con una conexión gestionada de alto rendimiento y una estructura de red de baja latencia.

Ilustración 1: Solución Bare Metal - Extensión regional conectada aGoogle Cloud

Debido a esta arquitectura, debes tener en cuenta cómo proteger tanto tus servidores de la solución Bare Metal como los componentes incluidos en tu diseño. Google Cloud Afortunadamente, Google Cloud proporciona y gestiona los siguientes componentes de la solución Bare Metal:

• Infraestructura principal, incluidas instalaciones y energía seguras y con entorno controlado
• Seguridad física
• Infraestructura de red y seguridad
• Funciones de monitorización de hardware
• Acceso a los servicios de Google Cloud
• Aprovisionamiento y mantenimiento de hardware de único cliente
• Red de área de almacenamiento (SAN) local
• Asistencia manual inteligente: asistencia in situ para actividades como sustituciones de hardware

En un entorno de la solución Bare Metal, la seguridad es una responsabilidad compartida. Lo bueno es que puedes aplicar tus propias prácticas recomendadas de seguridad y complementarlas con las ofertas integradas que proporciona Solución Bare Metal. En la figura 2 se muestra un resumen de los componentes de seguridad que debes proporcionar y los que proporciona Google Cloud .

Imagen 2: Resumen de las responsabilidades de seguridad del cliente y deGoogle Cloud

Planificar la seguridad de tu entorno de la Solución Bare Metal

Para planificar tu estrategia de seguridad de Solución Bare Metal, debes tener en cuenta los seis pilares de seguridad siguientes:

1. Seguridad física
2. Cumplimiento
3. Seguridad de la red
4. Seguridad de los datos
5. Seguridad operativa
6. Seguridad de la base de datos

Vamos a analizar cada uno de estos pilares de seguridad con más detalle.

Seguridad física

Los componentes físicos de la solución Bare Metal se encuentran en una extensión regional (una instalación de coubicación) gestionada por un proveedor. Una conexión Partner Interconnect de alta velocidad y baja latencia vincula la extensión regional a la región Google Cloudmás cercana.

El proveedor gestiona la extensión regional y sus instalaciones, como la energía, la refrigeración, el montaje en bastidores y el apilamiento, y la gestión del almacenamiento. El proveedor también mantiene funciones de seguridad física y protección estándar del sector, entre las que se incluyen las siguientes:

• Las jaulas tienen paredes de losa a losa o tapas de malla seguras.
• Las cámaras de vídeo de cada centro monitorizan las jaulas, los pasillos y las puertas las 24 horas del día, los 7 días de la semana. Las cámaras tienen una vista clara del interior de cada jaula, de cada pasillo y de cada puerta de entrada y salida.
• Todas las puertas de las instalaciones tienen alarmas para asegurarse de que estén cerradas correctamente.
• Cualquier persona que entre en una jaula debe tener la aprobación previa del equipo de coordinación de la extensión regional y el equipo de seguridad de la extensión regional debe concederle el acceso adecuado.
• El equipo de coordinación de la extensión regional gestiona todo el acceso con entradas individuales por visita.
• Para acceder a las instalaciones, el personal autorizado debe usar una cerradura biométrica, y para salir, una tarjeta.
• Todos los bastidores están cerrados. Un armario electrónico de llaves distribuye las llaves de estanterías específicas al personal autorizado de forma limitada y solo cuando es necesario. La taquilla de llaves también registra el acceso a la estantería.
• Un equipo de seguridad de la colocación gestiona el acceso y mantiene los informes según los requisitos de certificación de cumplimiento de PCI e ISO.
• Otras medidas de seguridad física se ajustan a las prácticas recomendadas del sector y a los requisitos normativos aplicables.

Cumplimiento

Bare Metal Solution cumple los estrictos requisitos de cumplimiento normativo con las certificaciones del sector, como ISO, HIPAA y PCI DSS, así como las certificaciones regionales (si procede). Para obtener más información sobre el cumplimiento, visita el Centro de recursos para el cumplimiento.

Seguridad de la red

La seguridad de la red se ofrece en dos capas, como se muestra en la imagen 3:

1. Las vinculaciones de VLAN de capa 3 conectan tu nube privada virtual de Google a una instancia de enrutamiento y reenvío virtual (VRF) única en los routers perimetrales de Solución Bare Metal.

2. En el entorno de Solución Bare Metal, las VLANs de capa 2 proporcionan la seguridad y el aislamiento necesarios para tus datos. Usas una subred de cliente para conectarte a Google Cloudy una subred privada opcional para alojar tus propios servicios y almacenamiento.

Figura 3: Seguridad de la red en un entorno de la Solución Bare Metal

Si usas APIs desde el entorno de Bare Metal Solution para acceder a servicios de Google Cloud , Google Cloud se cifra de forma predeterminada la transferencia de datos entre Bare Metal Solution y el servicio concreto, de acuerdo con nuestras políticas de cifrado. Google Cloud Por ejemplo, si usas la CLI de Google Cloud o las APIs para crear copias de seguridad de los datos en Cloud Storage, la transferencia de datos de Bare Metal Solution a Cloud Storage usa el cifrado de datos de forma predeterminada.

Aplicar un perímetro seguro con Acceso privado de Google

El acceso privado de Google (también conocido como Controles de Servicio de VPC) te permite definir perímetros de seguridad alrededor de los datos sensibles en los servicios de Google Cloud y ofrece las siguientes ventajas:

• Mitiga los riesgos de filtración externa de datos. La filtración externa de datos se produce cuando una persona autorizada extrae datos de un sistema seguro al que pertenecen y los comparte con un tercero no autorizado o los traslada a un sistema no seguro.
• Accede Google Cloud de forma privada a los servicios desde las instalaciones.
• Aplica el acceso contextual desde Internet.
• Gestiona las políticas de seguridad desde una ubicación central.

Con Solución Bare Metal, puedes aprovechar los servicios nativos de la nube y escalables de Google Clouda través de Partner Interconnect. Habilitar un perímetro basado en Controles de Servicio de VPC asegura aún más que el acceso a todos los servicios, como BigQuery y Cloud Storage, se produzca sin que se produzca ninguna filtración de datos a Internet. Google Cloud

Para configurar el acceso privado a las APIs de Google, consulta el artículo Configurar Acceso privado de Google para hosts on-premise. La imagen 4 muestra un ejemplo de acceso privado a Google:

Imagen 4: Acceso privado a Google en un entorno de Bare Metal Solution

Seguridad de los datos

Cuando planifiques la seguridad de los datos en un entorno de Bare Metal Solution, debes saber cómo se almacenan los datos cifrados y cómo proteger las aplicaciones que se ejecutan en un centro de datos local o en Google Cloud .

Encriptación de almacenamiento

De forma predeterminada, Bare Metal Solution cifra los datos en reposo. A continuación, te mostramos algunos datos sobre el cifrado de datos en reposo en un entorno de la solución Bare Metal:

• Para aprovisionar el almacenamiento, creamos una máquina virtual de almacenamiento (SVM) en un clúster de NetApp para cada cliente y asociamos la SVM a un volumen de datos reservado antes de proporcionársela al cliente.
• Cuando creamos un volumen de datos cifrado, el proceso de cifrado genera una clave de cifrado de datos XTSAES-256 única. Nunca pregeneramos una clave.
• Las SVMs proporcionan aislamiento en un entorno multicliente. Cada SVM aparece como un servidor independiente, lo que permite que varios SVMs coexistan en un clúster y asegura que no haya flujo de datos entre los SVMs.
• No mostramos las claves en texto sin formato. El gestor de claves integrado de NetApp almacena, gestiona y protege las claves.
• Ni Google Cloud ni el proveedor tienen acceso a tus claves.
• El clúster de almacenamiento de NetApp almacena y cifra todos los datos en reposo, incluido el sistema operativo y las particiones de arranque.
• Si decides dejar de usar Bare Metal Solution al finalizar tu contrato, borraremos criptográficamente tus volúmenes de almacenamiento y los pondremos en cuarentena durante 7 días antes de que se puedan reutilizar.

Seguridad para aplicaciones

Cuando trabajas con la solución Bare Metal, puedes proteger tus aplicaciones que se ejecutan en Google Cloud o en un entorno local.

Aplicaciones que se ejecutan en Google Cloud

• Bare Metal Solution se ejecuta en extensiones regionales. La única ruta de red hacia o desde la extensión regional es a través de una interconexión de partner a la región Google Cloudasociada mediante vinculaciones de VLAN específicas del cliente.
• De forma predeterminada, los servidores de Solución Bare Metal no tienen acceso a Internet. Si necesitas acceso a Internet para realizar operaciones como aplicar parches o actualizaciones, crea una instancia NAT. Para obtener más información, consulta Acceder a Internet.
• Una sesión de BGP proporciona un enrutamiento dinámico entre los routers de Cloud Router de la VPC y los routers de la extensión regional. Por lo tanto, si colocas recursos en la VPC conectada a la extensión regional, estos recursos tendrán acceso directo a los servidores de Bare Metal Solution. Del mismo modo, los recursos que se ejecutan en subredes recién añadidas también tienen acceso a los servidores de Solución Bare Metal. Si necesitas permitir o denegar el acceso a recursos específicos, usa políticas de cortafuegos para restringir el comportamiento predeterminado que permite el acceso a todos los recursos de Bare Metal Solution.

• Como se muestra en la figura 5, use el peering de VPC para permitir que los recursos que se ejecutan en una VPC diferente del mismo proyecto o de otro proyecto accedan a los servidores de Bare Metal Solution. En los routers de Cloud Router redundantes, añada un anuncio personalizado que apunte al intervalo CIDR de la red emparejada.

  Imagen 5: Emparejamiento de VPCs y el entorno de la solución Bare Metal

  

• Como se muestra en la figura 6, utiliza una arquitectura de VPC compartida para permitir que los recursos de diferentes proyectos accedan a los servidores de Solución Bare Metal. En este caso, debes crear vinculaciones de VLAN en el proyecto del host para que todos los recursos puedan acceder a los servidores vinculados a la VPC compartida.

  Figura 6: VPC compartida y el entorno de Bare Metal Solution

  

• Puedes crear copias de seguridad de tus bases de datos con Oracle Recovery Manager (RMAN) o con soluciones de copias de seguridad como Actifio. Para saber cómo se integra Actifio de forma nativa con RMAN, consulta la siguiente guía de Actifio. Puedes almacenar datos de copias de seguridad en Cloud Storage y seleccionar diferentes niveles de Cloud Storage para satisfacer tus requisitos de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO).

Aplicaciones que se ejecutan on-premise

• Como se ha mencionado anteriormente, la única ruta de red hacia o desde la extensión regional de Bare Metal Solution es a través de una interconexión de partner a la región Google Cloudasociada. Para conectarte a tus servidores de Bare Metal Solution desde tu entorno local, debes conectar tu centro de datos local aGoogle Cloud mediante Dedicated Interconnect, Partner Interconnect o Cloud VPN. Para obtener más información sobre estas opciones de conexión, consulta Elegir un producto de conectividad de red.
• Para habilitar las rutas a tu red local, debes modificar los routers de Cloud Router redundantes con un anuncio personalizado que apunte al intervalo CIDR de la subred local. Usa reglas de cortafuegos para permitir o bloquear el acceso a los servidores.

Seguridad operativa

En la sección Seguridad física de esta guía, has visto que restringimos en gran medida el acceso a la infraestructura de la solución Bare Metal en una extensión regional. Proporcionamos acceso al personal autorizado de forma temporal, limitada y según las necesidades. Auditamos los registros de acceso, los analizamos para detectar anomalías y usamos la monitorización y las alertas ininterrumpidas para evitar el acceso no autorizado.

Hay varias opciones para la seguridad operativa. Una solución que se integra de forma nativa con Google Cloud es el producto Bindplane de Blue Medora. Bindplane se integra con los agentes de observabilidad de Google Cloud y te permite capturar métricas y registros de la infraestructura de Bare Metal Solution, incluidos los registros de bases de datos y aplicaciones de Oracle.

Prometheus es una solución de monitorización de código abierto que puedes usar para monitorizar la infraestructura de Bare Metal Solution y las bases de datos de Oracle que se ejecutan en ella. Puede dirigir las pistas de auditoría de la base de datos y del sistema a Prometheus, que actúa como un panel único para monitorizar y enviar alertas sobre cualquier actividad sospechosa.

Oracle Enterprise Manager es una opción popular para quienes lo usan en un entorno local. Puedes usar OEM en un entorno de Bare Metal Solution para realizar tareas de monitorización y alertas de la misma forma que en tu centro de datos local.

Seguridad de la base de datos

Hemos diseñado Bare Metal Solution para que sea lo más parecido posible a tu entorno local, de forma que puedas usarlo con el mínimo esfuerzo y aprendizaje. Por lo tanto, puedes trasladar fácilmente a Bare Metal Solution las funciones, las prácticas y los procesos de seguridad de tu base de datos de Oracle. Puedes complementar tu cartera de seguridad con las funciones de seguridad que ofreceGoogle Cloud .

En cuanto a la seguridad de la base de datos, vamos a revisar los controles de seguridad de Oracle que deberías habilitar. Esto incluye la autenticación, la autorización y el control de acceso de los usuarios, así como la auditoría y el cifrado.

Autenticación de usuarios

• Implementa políticas de contraseñas, como la complejidad y la longitud, si usas la autenticación básica.
• Refuerza tu sistema de autenticación con certificados TLS, Kerberos o RADIUS.
• Usa la autenticación basada en proxy para habilitar la autenticación y la auditoría a nivel de base de datos. Este método es útil si decides no asignar usuarios de la aplicación a usuarios de la base de datos y habilitas la autenticación a nivel de aplicación.

Para obtener más recomendaciones sobre la autenticación, consulta la sección Configurar la autenticación de la guía de seguridad de Oracle Database.

Autorización y control de acceso

• Gestionar la autorización mediante privilegios de objeto, privilegios del sistema y roles identificados en la base de datos. También puedes complementar esta práctica con funciones más avanzadas y seguras, como Database Vault.

• Gestionar usuarios y grupos con Usuarios gestionados de forma centralizada (CMU). Con CMU, puedes aprovechar tu infraestructura de Active Directory para centralizar la gestión de usuarios de bases de datos y la autorización en varias bases de datos de Oracle.

  Para obtener más información sobre CMU, consulta el artículo Configurar usuarios gestionados de forma centralizada con Microsoft Active Directory de la guía de seguridad de Oracle Database.

• Usa Database Vault para introducir la separación de funciones y el control de acceso para usuarios con privilegios elevados.

  Para obtener más información sobre Database Vault, consulte la guía del administrador de Oracle Database Vault.

• Aprovecha herramientas y técnicas adicionales, como el análisis de privilegios y la ocultación de datos.

  • La herramienta de análisis de privilegios le ayuda a monitorizar activamente el uso de privilegios y roles por parte de los usuarios finales. Para obtener más información sobre el análisis de privilegios, consulta Realizar un análisis de privilegios para encontrar el uso de privilegios en la guía de seguridad de Oracle Database.
  • La ocultación de datos elimina los datos sensibles de las columnas y permite el acceso solo a los usuarios necesarios. Para obtener más información sobre la ocultación de datos, consulta el artículo Using Oracle Data Redaction (Usar la ocultación de datos de Oracle) de la guía Oracle Database Advanced Security Guide.

• Usa Virtual Private Database (VPD) y Oracle Label Security (OLS) para crear un acceso pormenorizado a los datos modificando las consultas de los usuarios de forma dinámica. Estas herramientas excluyen las filas que se filtran por la política de VPD y gestionan las etiquetas de filas y usuarios para identificar si un usuario debe tener acceso a una fila específica.

  • Para obtener más información sobre VPD, consulta el artículo Using Oracle Virtual Private Database to Control Data Access (Usar la base de datos privada virtual de Oracle para controlar el acceso a los datos) de la guía de seguridad de la base de datos de Oracle.
  • Para obtener más información sobre OLS, consulta la guía del administrador de Oracle Label Security.

• Sigue el principio de mínimos accesos asignando privilegios de rol detallados a grupos y usuarios.

Auditoría

• Aprovecha la auditoría unificada, una función que envía todos los datos de auditoría a un registro de auditoría unificado. Esta función, introducida en la versión 12c para sustituir la auditoría de bases de datos tradicional, crea un archivo de registro central para todos los eventos de auditoría relacionados con la base de datos y mejora el rendimiento de los informes de auditoría.
• Habilita la auditoría detallada (FGA) para ampliar las funciones de auditoría tradicionales. Esta función solo registra datos de auditoría cuando un usuario accede a una columna específica o cumple una condición específica.

• Usa Auditoría de cortafuegos de bases de datos de Vault (AVDF) para gestionar las políticas de auditoría y los eventos registrados. Uno de los principales casos prácticos de ADVF es evitar ataques de inyección de SQL. Configura el cortafuegos de la base de datos para monitorizar todas las instrucciones SQL emitidas en la base de datos durante todo el ciclo de vida de la aplicación. La base de datos crea un conjunto de clústeres de confianza y, a continuación, bloquea cualquier instrucción SQL que no conozca el cortafuegos de la base de datos.

  Para obtener más información, consulta el artículo Monitoring Database Activity with Auditing (Monitorizar la actividad de la base de datos con auditoría) de la guía de seguridad de Oracle Database y la guía de Audit Vault and Database Firewall.

Encriptado de datos en reposo y en tránsito

• Aunque Bare Metal Solution encripta automáticamente los datos de los usuarios en reposo con una clave AES de 256 bits única por volumen de datos , también puedes habilitar el encriptado de datos transparente (TDE) para tener más control sobre el ciclo de vida de la clave de encriptado.
• Usa el cifrado de red nativo o el cifrado basado en Seguridad en la capa de transporte (TLS) para proteger los datos entre el cliente y la base de datos.

• Cuando utilices claves de cifrado gestionadas por el cliente (CMEK) para los datos de la base de datos de Oracle, usa la opción de seguridad avanzada (ASO) para habilitar el cifrado, las sumas de comprobación criptográficas de la red (que son diferentes de las sumas de comprobación de los registros durante las lecturas y escrituras) y los servicios de autenticación entre los sistemas principal y de espera de Data Guard.

  Para obtener más información sobre las opciones de cifrado, consulta el artículo Using Transparent Data Encryption (Usar el cifrado de datos transparente) de la guía Oracle Database Advanced Security Guide.

Las sugerencias que hemos mencionado para la seguridad de Oracle Database en la solución Bare Metal no pretenden ser una lista exhaustiva. Te recomendamos encarecidamente que sigas las prácticas recomendadas y las recomendaciones de Oracle, e implementes los controles adecuados para satisfacer las necesidades específicas de tu empresa y de seguridad.

Resumen

Bare Metal Solution es tu puerta de acceso al mundo de Google Cloud. Te permite migrar y ejecutar tus cargas de trabajo críticas tal cual y más cerca de la nube, mientras decides, diseñas y planificas tu futuro en la nube. Junto con las prácticas recomendadas, las herramientas y las técnicas que se comparten en esta guía, la solución Bare Metal proporciona una plataforma segura, sólida y potente para ejecutar tus cargas de trabajo críticas.

Lo más importante es que este esfuerzo no tiene por qué ir en detrimento de la seguridad. Cuando te suscribes a Bare Metal Solution, recibes servidores Bare Metal respaldados por varias capas de seguridad integrada, como la capa física, la capa de almacenamiento y la capa de red. Por este motivo, el servicio Solución Bare Metal integra la seguridad en todas las fases de la infraestructura para satisfacer tus necesidades críticas de rendimiento seguro a gran escala.

Conclusiones principales:

1. La seguridad es una responsabilidad compartida.
2. Sigue el principio de mínimos accesos.
3. Sigue el principio de separación de funciones.
4. Evita la filtración externa de datos accediendo a los Google Cloud servicios a través de restricted.googleapis.com.
5. Habilita el acceso privado a Google en tu proyecto para mitigar la filtración externa de datos y el acceso no autorizado, así como para controlar las políticas de seguridad de forma centralizada.
6. Sigue las prácticas recomendadas que ha establecido Oracle para la seguridad de las bases de datos de Oracle.