Proporciona seguridad para las cargas de trabajo empresariales en un entorno de la solución Bare Metal

Debido a que la solución Bare Metal te permite acercar las cargas de trabajo empresariales tradicionales a Google Cloud, una pregunta común de los arquitectos empresariales y de seguridad es: “¿Cómo protejo mis cargas de trabajo?” El objetivo de esta guía es brindarte los elementos de diseño de seguridad y cumplimiento que debes tener en cuenta cuando planifiques trasladar tus cargas de trabajo empresariales, como las bases de datos de Oracle, a la solución Bare Metal. También analizaremos los controles de seguridad y las funciones de Google Cloud que protegen los recursos empresariales y te indicaremos algunas de las prácticas recomendadas de seguridad de Oracle.

Seguridad en un entorno de solución Bare Metal

El entorno de la solución Bare Metal incluye servidores de equipos físicos diseñados para propósitos específicos que se alojan en extensiones regionales. Como se observa en la Figura 1, una extensión regional es una instalación de colocación ubicada cerca de regiones seleccionadas de Google Cloud y conectada a Google Cloud con una conexión administrada de alto rendimiento y una red baja latencia de latencia baja.

Figura 1: Solución Bare Metal: extensión regional conectada a Google Cloud

Extensión regional conectada a Google Cloud

Debido a esta arquitectura, debes considerar formas de proteger los servidores de la solución Bare Metal y los componentes de Google Cloud incluidos en tu diseño. Por suerte, Google Cloud proporciona y administra los siguientes componentes para la solución Bare Metal:

  • Infraestructura principal, incluidas las instalaciones y la energía segura y en un entorno controlado
  • Seguridad física
  • Infraestructura y seguridad de red
  • Funciones de supervisión de hardware
  • Acceso a los servicios de Google Cloud
  • Aprovisionamiento y mantenimiento de hardware de usuario único
  • Red de área de almacenamiento local (SAN)
  • Asistencia para manos inteligentes: Asistencia en las instalaciones para actividades como el reemplazo de hardware

En un entorno de solución Bare Metal, la seguridad es una responsabilidad compartida. Las buenas noticias son que puedes usar tus propias prácticas recomendadas de seguridad y complementarlas con las ofertas integradas que proporciona la solución Bare Metal. En la Figura 2, se muestra un resumen de los componentes de seguridad que necesitas proporcionar y los que proporciona Google Cloud.

Figura 2: Resumen de las responsabilidades de seguridad de los clientes y Google Cloud

Resumen de responsabilidades de seguridad: clientes y Google Cloud

Planifica la seguridad para el entorno de la solución Bare Metal

Para planificar tu estrategia de seguridad de la solución Bare Metal, debes considerar los siguientes seis pilares de seguridad:

  1. Seguridad física
  2. Cumplimiento
  3. Seguridad de red
  4. Seguridad de los datos
  5. Seguridad operativa
  6. Seguridad de bases de datos

Exploremos cada uno de estos pilares de seguridad con más detalle.

Seguridad física

Los componentes físicos de la solución Bare Metal residen en una extensión regional (una instalación de colocación) que ejecuta un proveedor. Una conexión de interconexión de socio de alta velocidad y baja latencia vincula la extensión regional a la región más cercana de Google Cloud.

El proveedor administra la extensión regional y sus instalaciones, como la energía, el enfriamiento, los bastidores, las pilas y la administración del almacenamiento. El proveedor también mantiene funciones de seguridad y protección física estándar de la industria, incluidas, entre otras, las siguientes opciones:

  • Las jaulas tienen paredes seguras de bloque entre bloques o partes superiores de la malla.
  • Las cámaras de video en cada instalación supervisan las cajas, los pasillos y las puertas las 24 horas del día, los 7 días de la semana. Las cámaras tienen una vista clara dentro de cada jaula, por cada pasillo y por cada puerta de entrada y salida.
  • Todas las puertas de la instalación tienen alarmas para garantizar que se cierren correctamente.
  • Cualquier persona que ingrese a una jaula debe tener la aprobación previa del equipo de coordinación de extensión regional y el acceso adecuado otorgado por el equipo de seguridad de extensión regional.
  • El equipo de coordinación de extensión regional administra todo el acceso con tickets individuales por visita.
  • La instalación requiere que el personal autorizado use un bloqueo biométrico para ingresar a la instalación y una insignia para salir.
  • Todos los bastidores están bloqueados. Un bloqueador de claves electrónico distribuye claves para bastidores específicos al personal autorizado, de manera limitada y según la necesidad de uso. El bloqueador de claves también realiza un seguimiento del acceso a los bastidores.
  • Un equipo de seguridad de colocación administra el acceso y mantiene los informes en función de los requisitos de la certificación de cumplimiento de ISO y PCI.
  • Otras medidas de seguridad física son coherentes con las prácticas recomendadas de la industria y los requisitos regulatorios aplicables.

Cumplimiento

La solución Bare Metal cumple con los requisitos de cumplimiento exigentes con certificaciones de la industria, como ISO, PCI DSS y HIPAA, además de certificaciones regionales cuando corresponda. Para obtener más información sobre el cumplimiento, visita el Centro de recursos de cumplimiento.

Seguridad de red

La seguridad de red se ofrece en dos capas, como se muestra en la Figura 3:

  1. Los adjuntos de VLAN de capa 3 conectan tu nube privada virtual de Google a una instancia de reenvío y enrutamiento virtual única (VRF) en los routers perimetrales de la solución Bare Metal.

  2. En el entorno de la solución Bare Metal, las VLAN de capa 2 proporcionan la seguridad y el aislamiento necesarios para tus datos. Usa una subred de cliente para conectarte a Google Cloud y una subred privada opcional a fin de alojar tus propios servicios y almacenamiento.

Figura 3: Seguridad de red en un entorno de la solución Bare Metal

Seguridad de red en un entorno de solución Bare Metal

Si usas las API de Google Cloud desde el entorno de la solución Bare Metal para acceder a los servicios de Google Cloud, Google Cloud encripta la transferencia de datos de forma predeterminada entre la solución Bare Metal y el servicio específico de acuerdo con nuestras políticas de encriptación. Por ejemplo, si usas la utilidad de gsutil o las API para crear copias de seguridad de los datos en Cloud Storage, la transferencia de datos desde la solución Bare Metal a Cloud Storage usa la encriptación de datos de forma predeterminada.

Aplica un perímetro seguro con el Acceso privado a Google

Acceso privado a Google (también conocido como Controles del servicio de VPC) te permite definir perímetros de seguridad en torno a datos sensibles en los servicios de Google Cloud y ofrece los siguientes beneficios:

  • Reduce los riesgos de robo de datos. El robo de datos ocurre cuando una persona autorizada extrae datos de un sistema seguro al que pertenecen los datos y los comparte con un tercero no autorizado o los mueve a un sistema no seguro.
  • Accede a los servicios de Google Cloud de forma privada desde las instalaciones locales.
  • Aplica el acceso adaptado al contexto desde Internet.
  • Administra las políticas de seguridad desde una ubicación central.

Con la solución Bare Metal, puedes aprovechar los servicios escalables y nativos de la nube de Google Cloud mediante la interconexión de socio. Habilitar un perímetro basado en Controles del servicio de VPC garantiza aún más el acceso a todos los servicios de Google Cloud, como BigQuery y Cloud Storage, sin ningún robo de datos a Internet.

Si deseas configurar el acceso privado a las API de Google, consulta Configura el Acceso privado a Google para hosts locales. En la Figura 4, se muestra un ejemplo del Acceso privado a Google:

Figura 4: Acceso privado a Google en un entorno de la solución Bare Metal

Acceso privado a Google en un entorno de la solución Bare Metal

Seguridad de los datos

Cuando planificas la seguridad de datos en un entorno de solución Bare Metal, debes tener en cuenta cómo se almacenan los datos encriptados y cómo proteger tus aplicaciones que se ejecutan en Google Cloud o en un centro de datos local.

Encriptación de almacenamiento

De forma predeterminada, la solución Bare Metal encripta los datos en reposo. Estos son algunos datos sobre la encriptación de almacenamiento en reposo en un entorno de solución Bare Metal:

  • A fin de aprovisionar el almacenamiento, creamos una máquina virtual de almacenamiento (SVM) en un clúster de NetApp para cada cliente y asociamos la SVM con un volumen de datos reservado antes de entregarla al cliente.
  • Cuando creamos un volumen de datos encriptados, el proceso de encriptación genera una clave de encriptación de datos XTSAES-256 única. Nunca generamos por adelantado una clave.
  • Las SVM proporcionan aislamiento en un entorno multiusuario. Cada SVM aparece como un solo servidor independiente, que permite que varias SVM coexistan en un clúster y garantiza que no haya flujos de datos entre las SVM.
  • No mostramos las claves en texto sin formato. El administrador de claves integrado de NetApp almacena, administra y protege las claves.
  • Ni Google Cloud ni el proveedor tienen acceso a tus claves.
  • El clúster de almacenamiento de NetApp almacena y encripta todos los datos en reposo, incluidos el sistema operativo y las particiones de inicio.
  • Si decides dejar de usar la solución Bare Metal al final de tu contrato, borramos y colocamos en cuarentena los volúmenes de almacenamiento de manera criptográfica durante 7 días antes de que se puedan volver a usar.

Seguridad para aplicaciones

Cuando trabajas con la solución Bare Metal, puedes proteger tus aplicaciones que se ejecutan en Google Cloud o en un entorno local.

Aplicaciones que se ejecutan en Google Cloud
  • La solución Bare Metal se ejecuta en extensiones regionales. La única ruta de red hacia o desde la extensión regional es a través de una interconexión de socio a la región de Google Cloud asociada, a través de adjuntos de VLAN específicos del cliente.
  • De forma predeterminada, los servidores de la solución Bare Metal no tienen acceso a Internet. Si necesitas acceso a Internet para operaciones como la aplicación de parches o las actualizaciones, crea una instancia de NAT. Para obtener más información, consulta Acceso a Internet.
  • Una sesión de BGP proporciona enrutamiento dinámico entre los Cloud Routers de la VPC y los routers de la extensión regional. Como resultado, si colocas recursos en la VPC adjunta a la extensión regional, estos recursos tendrán acceso directo a los servidores de la solución Bare Metal. Del mismo modo, los recursos que se ejecutan en subredes recién agregadas también tienen acceso a los servidores de la solución Bare Metal. Si necesitas permitir o denegar el acceso a recursos específicos, usa políticas de firewall para restringir el comportamiento predeterminado que permite el acceso a todos los recursos de la solución Bare Metal.

  • Como se muestra en la Figura 5, usa el intercambio de tráfico de VPC para habilitar los recursos que se ejecutan en una VPC diferente en el mismo proyecto o en un proyecto diferente a fin de acceder a los servidores de la solución Bare Metal. En los Cloud Routers redundantes, agrega un anuncio personalizado que apunte al rango de CIDR de la red de intercambio de tráfico.

    Figura 5: Intercambio de tráfico entre VPC y el entorno de la solución Bare Metal

    Intercambio de tráfico entre VPC y el entorno de la solución Bare Metal

  • Como se muestra en la Figura 6, usa una arquitectura de VPC compartida para permitir que los recursos de diferentes proyectos accedan a los servidores de la solución Bare Metal. En este caso, debes crear adjuntos de VLAN en el proyecto host para que todos los recursos puedan acceder a los servidores conectados a la VPC compartida.

    Figura 6: VPC compartida y el entorno de la solución Bare Metal

    VPC compartida y el entorno de la solución Bare Metal

  • Puedes realizar una copia de seguridad de tus bases de datos con Oracle Recovery Manager (RMAN) o soluciones de copia de seguridad como Actifio. Si deseas obtener información sobre cómo Actifio se integra de forma nativa en RMAN, consulta la siguiente guía de Actifio. Puedes almacenar datos de copia de seguridad en Cloud Storage y seleccionar diferentes niveles de Cloud Storage para satisfacer los requisitos del objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO).

Aplicaciones que se ejecutan de forma local
  • Como se mencionó antes, la única ruta de red hacia o desde la extensión regional de la solución Bare Metal es a través de una interconexión de socio a la región asociada de Google Cloud. Para conectarte a los servidores de la solución Bare Metal desde tu entorno local, debes conectar tu centro de datos local a Google Cloud mediante una Interconexión dedicada, una Interconexión de socio, o mediante Cloud VPN. Para obtener más información sobre estas opciones de conexión, consulta Elige un producto de Conectividad de red.
  • Para habilitar las rutas a tu red local, debes modificar los Cloud Routers redundantes con un anuncio personalizado que apunte al rango de CIDR de la subred local. Usa reglas de firewall para permitir o bloquear el acceso a los servidores.

Seguridad operativa

En la sección Seguridad física de esta guía, aprendiste que restringimos rigurosamente el acceso a la infraestructura de la solución Bare Metal dentro de una extensión regional. Proporcionamos acceso al personal autorizado de manera temporal y limitada según la necesidad de uso. Auditamos los registros de acceso, los analizamos para detectar cualquier anomalía y usamos las supervisión y alertas las 24 horas, todos los días, para evitar el acceso no autorizado.

Existen varias opciones para la seguridad operativa. Una solución que se integra de forma nativa en Google Cloud es el producto Bindplane de Blue Medora. Bindplane se integra en los agentes de observabilidad de Google Cloud y te permite capturar métricas y registros de la infraestructura de la solución Bare Metal, incluida la base de datos de Oracle y los registros de aplicaciones de Oracle.

Prometheus es una solución de supervisión de código abierto que puedes usar para supervisar la infraestructura de la solución Bare Metal y las bases de datos de Oracle que se ejecutan en ella. Puedes dirigir los registros de auditoría del sistema y la base de datos a Prometheus, que actúa como un panel único para supervisar y enviar alertas de cualquier actividad sospechosa.

Oracle Enterprise Manager es popular entre quienes lo usan en un entorno local. Puedes usar el OEM en un entorno de la solución Bare Metal para realizar tareas de supervisión y alertas de la misma manera que tu centro de datos local.

Seguridad de bases de datos

Diseñamos la solución Bare Metal para que sea lo más similar posible a tu entorno local, de modo que puedas usarla con el menor esfuerzo y esfuerzo. Como resultado, puedes usar con facilidad las funciones de bases de datos de Oracle relacionadas con la seguridad, las prácticas de seguridad y los procesos existentes en la solución Bare Metal. Puedes complementar tu cartera de seguridad con las funciones de seguridad que proporciona Google Cloud.

Para la seguridad de la base de datos, revisemos los controles de seguridad de Oracle que debes habilitar. Esto incluye la autorización, el control de acceso y la autenticación de usuarios, la auditoría y la encriptación.

Autenticar usuarios

  • Implementa políticas de contraseñas, como la complejidad y la extensión, si usas la autenticación básica.
  • Fortalece tu sistema de autenticación mediante certificados TLS, Kerberos o RADIUS.
  • Usa la autenticación basada en proxy para habilitar la autenticación y la auditoría a nivel de base de datos. Este método es útil si eliges no asignar usuarios de aplicación a usuarios de bases de datos y habilitas la autenticación en el nivel de la aplicación.

Para obtener más recomendaciones de autenticación, consulta Configura la autenticación en la guía de seguridad de la base de datos de Oracle.

Autorización y control de acceso

  • Administra la autorización con privilegios de objeto, privilegios del sistema y roles identificados dentro de la base de datos. También puedes complementar esta práctica con funciones más avanzadas y seguras, como Database Vault.

  • Administra usuarios y grupos con Usuarios administrados de forma central (CMU). Con CMU, puedes aprovechar tu infraestructura de Active Directory existente para centralizar la administración de usuarios de bases de datos y la autorización en varias bases de datos de Oracle.

    Para obtener más información sobre CMU, consulta Configura usuarios administrados de forma central con Microsoft Active Directory en la Guía de seguridad de Oracle Database.

  • Usa Database Vault a fin de ingresar la separación de obligaciones y el control de acceso para usuarios con muchos privilegios.

    Para obtener más información sobre Database Vault, consulta la Guía para administradores de Database Vault de Oracle.

  • Aprovecha herramientas y técnicas adicionales, como el análisis de privilegios y el ocultamiento de datos.

    • La herramienta de análisis de privilegios te ayuda a supervisar de forma activa el uso de privilegios y roles por parte de los usuarios finales. Si deseas obtener más información sobre el análisis de privilegios, consulta Realiza un análisis de privilegios para encontrar el uso de privilegios en la guía de seguridad de la base de datos de Oracle.
    • El ocultamiento de datos quita los datos sensibles de las columnas y permite el acceso solo a los usuarios necesarios. Para obtener más información sobre el ocultamiento de datos, consulta Usa el ocultamiento de datos de Oracle en la Guía de seguridad avanzada de la base de datos de Oracle.

  • Usa la base de datos privada virtual (VPD) y la seguridad de etiquetas de Oracle (OLS) a fin de crear acceso detallado a los datos mediante la modificación dinámica de las consultas de los usuarios. Estas herramientas excluyen las filas que filtra la política de VPD y administran las etiquetas de fila y usuario para identificar si un usuario debe tener acceso a una fila específica.

  • Sigue el principio de privilegio mínimo y asigna privilegios de rol detallados a los grupos y los usuarios.

En auditoría

  • Aprovecha la auditoría unificada, una función que envía todos los datos de auditoría a un registro de auditoría unificado. Presentada en la versión 12c para reemplazar la auditoría de la base de datos tradicional, esta función crea un archivo de registro central para todos los eventos de auditoría relacionados con la base de datos y mejora el rendimiento de los informes de auditoría.
  • Habilita la auditoría detallada (FGA) para extender las capacidades de auditoría tradicionales. Esta función captura los datos de auditoría solo cuando un usuario accede a una columna específica o cumple con una condición específica.

  • Usa el firewall de base de datos de Vault de auditoría (AVDF) para administrar las políticas de auditoría y los eventos capturados. Uno de los casos de uso principales de ADVF es evitar los ataques de inyección de SQL. Configura el firewall de la base de datos para supervisar todas las instrucciones de SQL emitidas en la base de datos durante un ciclo de vida completo de la aplicación. La base de datos compila un conjunto de clústeres de confianza y, luego, bloquea cualquier instrucción de SQL que el firewall de la base de datos no conozca.

    Para obtener más información, consulta Supervisa la actividad de la base de datos con auditorías en la Guía de seguridad de base de datos de Oracle y la Guía de Audit Vault y firewall de bases de datos.

Encriptación de datos en reposo y en tránsito

  • Si bien la solución Bare Metal encripta de forma automática los datos en reposo del usuario mediante una clave única de AES de 256 bits por volumen de datos, también puedes habilitar la encriptación de datos transparente (TDE) para obtener más control sobre el ciclo de vida de la clave de encriptación.
  • Usa la encriptación de red nativa o la encriptación basada en seguridad de la capa de transporte (TLS) para proteger los datos entre el cliente y la base de datos.

  • Cuando uses claves de encriptación administradas por el cliente (CMEK) para los datos de la base de datos de Oracle, usa la opción de seguridad avanzada (ASO) a fin de habilitar la encriptación, las sumas de verificación de redes criptográficas (diferentes de la suma de verificación del registro durante las lecturas y escrituras), y servicios de autenticación entre el sistema principal y en espera en Data Guard.

    Para obtener más detalles sobre las opciones de encriptación, consulta Usa la encriptación de datos transparente en la guía de seguridad avanzada de la base de datos de Oracle.

Las sugerencias que mencionamos para la seguridad de la base de datos de Oracle en la solución Bare Metal no son una lista exhaustiva. Recomendamos encarecidamente que sigas las prácticas recomendadas proporcionadas por Oracle para implementar los controles adecuados que se adapten a tus necesidades comerciales y de seguridad específicas.

Resumen

La solución Bare Metal es tu puerta de enlace al mundo de Google Cloud. Te permite migrar y ejecutar tus cargas de trabajo críticas tal como están y más cerca de la nube, mientras decides, diseñas y planificas tu nube futura. Junto con las prácticas recomendadas, las herramientas y las técnicas que se comparten en esta guía, la solución Bare Metal proporciona una plataforma segura, sólida y potente para ejecutar cargas de trabajo críticas.

Lo más importante es que esta tarea no tiene que ser a expensas de la seguridad. Cuando te suscribes a la solución Bare Metal, recibes servidores físicos respaldados por varias capas de seguridad integrada, incluidas la capa física, la de almacenamiento y la de red. Como tal, el servicio de la solución Bare Metal integra la seguridad en cada etapa de la infraestructura para satisfacer tus necesidades esenciales del servicio para un rendimiento seguro a gran escala.

Conclusiones principales:

  1. La seguridad es una responsabilidad compartida.
  2. Sigue el principio de privilegio mínimo.
  3. Sigue el principio de separación de obligaciones.
  4. Evita los robos de datos mediante el acceso a los servicios de Google Cloud a través de restricted.googleapis.com.
  5. Habilita el Acceso privado a Google en tu proyecto para mitigar el robo de datos y el acceso no autorizado, así como para controlar las políticas de seguridad de forma centralizada.
  6. Sigue las prácticas recomendadas que establece Oracle para la seguridad de la base de datos de Oracle.