Memberikan keamanan untuk workload perusahaan di lingkungan Solusi Bare Metal

Karena Solusi Bare Metal memungkinkan Anda menghadirkan workload perusahaan tradisional lebih dekat ke Google Cloud, pertanyaan umum dari arsitek perusahaan dan arsitek keamanan adalah "Bagaimana cara mengamankan workload saya?" Tujuan panduan ini adalah untuk memberi Anda elemen desain keamanan dan kepatuhan yang harus Anda pertimbangkan saat merencanakan untuk menghadirkan workload perusahaan, seperti database Oracle, ke Solusi Bare Metal. Kami juga akan membahas kontrol dan fitur keamanan Google Cloudyang melindungi aset perusahaan Anda, serta mengarahkan Anda ke beberapa praktik terbaik keamanan Oracle.

Keamanan di lingkungan Solusi Bare Metal

Lingkungan Solusi Bare Metal mencakup server bare metal khusus yang dihosting di ekstensi regional. Seperti yang terlihat pada Gambar 1, ekstensi regional adalah fasilitas colocation yang ditempatkan di dekatGoogle Cloud region tertentu dan terhubung ke Google Cloud dengan koneksi berperforma tinggi yang dikelola dan fabric jaringan latensi rendah.

Gambar 1: Solusi Bare Metal - Ekstensi Regional yang terhubung ke Google Cloud

Karena arsitektur ini, Anda perlu mempertimbangkan cara untuk mengamankan server Solusi Bare Metal dan komponen Google Cloud yang disertakan dalam desain Anda. Untungnya, Google Cloud menyediakan dan mengelola komponen berikut untuk Solusi Bare Metal:

• Infrastruktur inti, termasuk fasilitas dan daya yang aman serta berada di lingkungan yang terkontrol
• Keamanan fisik
• Infrastruktur dan keamanan jaringan
• Kemampuan pemantauan hardware
• Akses ke layanan Google Cloud
• Penyediaan dan pemeliharaan hardware tenancy tunggal
• Jaringan area penyimpanan lokal (SAN)
• Dukungan tangan cerdas: Dukungan di lokasi untuk aktivitas seperti penggantian hardware

Di lingkungan Solusi Bare Metal, keamanan adalah tanggung jawab bersama. Kabar baiknya adalah Anda dapat menerapkan praktik terbaik keamanan Anda sendiri dan melengkapinya dengan penawaran bawaan yang disediakan Solusi Bare Metal. Gambar 2 menunjukkan ringkasan komponen keamanan yang perlu Anda sediakan, dan komponen keamanan yang Google Cloud disediakan.

Gambar 2: Ringkasan tanggung jawab keamanan - pelanggan dan Google Cloud

Merencanakan keamanan untuk lingkungan Solusi Bare Metal Anda

Untuk merencanakan strategi keamanan Solusi Bare Metal, Anda perlu mempertimbangkan enam pilar keamanan berikut:

1. Keamanan fisik
2. Kepatuhan
3. Keamanan jaringan
4. Keamanan data
5. Keamanan operasional
6. Keamanan database

Mari kita pelajari setiap pilar keamanan ini secara lebih mendetail.

Keamanan fisik

Komponen fisik Solusi Bare Metal berada di ekstensi regional (fasilitas colocation) yang dijalankan oleh vendor. Koneksi Partner Interconnect berkecepatan tinggi dan latensi rendah menautkan ekstensi regional ke region Google Cloud terdekat.

Vendor mengelola ekstensi regional dan fasilitasnya, seperti daya, pendingin, rak dan penumpukan, serta pengelolaan penyimpanan. Vendor juga mempertahankan fitur keamanan dan keselamatan fisik standar industri, termasuk, tetapi tidak terbatas pada hal berikut:

• Kandang memiliki dinding slab-to-slab yang aman atau bagian atas jaring.
• Kamera video di setiap fasilitas memantau kandang, lorong, dan pintu selama 24 jam sehari, 7 hari seminggu. Kamera memiliki pandangan yang jelas di dalam setiap kandang, untuk setiap lorong, dan untuk setiap pintu masuk dan keluar.
• Semua pintu di fasilitas memiliki alarm untuk memastikan pintu ditutup dengan benar.
• Siapa pun yang memasuki penampung harus memiliki persetujuan sebelumnya dari tim koordinasi ekstensi regional, dan akses yang sesuai diberikan melalui tim keamanan ekstensi regional.
• Tim koordinasi ekstensi regional mengelola semua akses dengan tiket individual per kunjungan.
• Fasilitas ini mewajibkan staf yang berwenang untuk menggunakan kunci biometrik guna masuk ke fasilitas dan badge untuk keluar.
• Semua rak terkunci. Kunci lemari elektronik mendistribusikan kunci untuk rak tertentu kepada staf resmi berdasarkan "kebutuhan penggunaan" yang terbatas. Loker kunci juga melacak akses rak.
• Tim keamanan colocation mengelola akses dan mempertahankan pelaporan berdasarkan persyaratan sertifikasi kepatuhan PCI dan ISO.
• Upaya pengamanan fisik lainnya konsisten dengan praktik terbaik industri dan persyaratan peraturan yang berlaku.

Kepatuhan

Solusi Bare Metal memenuhi persyaratan kepatuhan yang menuntut dengan sertifikasi industri seperti ISO, PCI DSS, dan HIPAA, serta sertifikasi regional jika berlaku. Untuk informasi selengkapnya tentang kepatuhan, buka Pusat referensi kepatuhan.

Keamanan jaringan

Keamanan jaringan ditawarkan di dua lapisan, seperti yang ditunjukkan pada Gambar 3:

1. Lampiran VLAN Lapisan 3 menghubungkan Virtual Private Cloud Google Anda ke instance virtual routing and forwarding (VRF) unik di router tepi Solusi Bare Metal.

2. Dalam lingkungan Solusi Bare Metal, VLAN Lapisan 2 memberikan keamanan dan isolasi yang diperlukan untuk data Anda. Anda menggunakan subnet klien untuk terhubung ke Google Cloud, dan subnet pribadi opsional untuk menghosting layanan dan penyimpanan Anda sendiri.

Gambar 3: Keamanan jaringan di lingkungan Solusi Bare Metal

Jika Anda menggunakan Google Cloud API dari dalam lingkungan Solusi Bare Metal untuk mengakses layanan Google Cloud , Google Cloud akan mengenkripsi transfer data secara default antara Solusi Bare Metal dan layanan tertentu sesuai dengan kebijakan enkripsi kami. Misalnya, jika Anda menggunakan Google Cloud CLI atau API untuk mencadangkan data di Cloud Storage, transfer data dari Bare Metal Solution ke Cloud Storage akan menggunakan enkripsi data secara default.

Menerapkan perimeter aman dengan Akses Google Pribadi

Akses Google Pribadi (juga dikenal sebagai kontrol layanan VPC) memungkinkan Anda menentukan perimeter keamanan di sekitar data sensitif dalam Google Cloud layanan dan menawarkan manfaat berikut:

• Memitigasi risiko pemindahan data yang tidak sah. Pemindahan data yang tidak sah terjadi saat seseorang dengan izin mengekstrak data dari sistem yang aman tempat data tersebut berada, lalu membagikannya kepada pihak ketiga yang tidak memiliki izin atau memindahkannya ke sistem yang tidak aman.
• Mengakses layanan Google Cloud secara pribadi dari lokal.
• Menerapkan akses kontekstual dari internet.
• Mengelola kebijakan keamanan dari satu lokasi terpusat.

Dengan Solusi Bare Metal, Anda dapat memanfaatkan layanan native cloud dan skalabel Google Cloudmelalui Partner Interconnect. Mengaktifkan perimeter berbasis Kontrol Layanan VPC lebih lanjut memastikan bahwa akses ke semua Google Cloud layanan, seperti BigQuery dan Cloud Storage, terjadi tanpa pemindahan data yang tidak sah ke internet.

Untuk menyiapkan akses pribadi ke Google API, lihat Mengonfigurasi Akses Google Pribadi untuk host lokal. Gambar 4 menunjukkan contoh Akses Google Pribadi:

Gambar 4: Akses Google Pribadi di lingkungan Solusi Bare Metal

Keamanan data

Saat merencanakan keamanan data di lingkungan Solusi Bare Metal, Anda perlu mengetahui cara data terenkripsi disimpan dan cara mengamankan aplikasi yang berjalan di Google Cloud atau di pusat data lokal.

Enkripsi penyimpanan

Secara default, Solusi Bare Metal mengenkripsi data dalam penyimpanan. Berikut beberapa fakta tentang enkripsi penyimpanan dalam penyimpanan di lingkungan Solusi Bare Metal:

• Untuk menyediakan penyimpanan, kami membuat Virtual Machine (SVM) Penyimpanan di cluster NetApp untuk setiap pelanggan, dan mengaitkan SVM dengan volume data yang dicadangkan sebelum memberikannya kepada pelanggan.
• Saat kita membuat volume data terenkripsi, proses enkripsi akan menghasilkan kunci enkripsi data XTSAES-256 yang unik. Kami tidak pernah membuat kunci secara otomatis.
• SVM menyediakan isolasi di lingkungan multi-tenant. Setiap SVM muncul sebagai satu server independen, yang memungkinkan beberapa SVM bersama-sama dalam cluster dan memastikan tidak ada aliran data di antara SVM.
• Kami tidak menampilkan kunci dalam teks biasa. Pengelola kunci bawaan NetApp menyimpan, mengelola, dan melindungi kunci.
• Google Cloud maupun vendor tidak memiliki akses ke kunci Anda.
• Cluster Penyimpanan Netapp menyimpan dan mengenkripsi semua data dalam penyimpanan, termasuk sistem operasi dan partisi booting.
• Jika Anda memilih untuk berhenti menggunakan Solusi Bare Metal di akhir kontrak, kami akan menghapus dan mengarantina volume penyimpanan Anda secara kriptografis selama 7 hari sebelum dapat digunakan kembali.

Keamanan aplikasi

Saat menggunakan Solusi Bare Metal, Anda dapat mengamankan aplikasi yang berjalan di Google Cloud atau di lingkungan lokal.

Aplikasi yang berjalan di Google Cloud

• Solusi Bare Metal berjalan di ekstensi regional; satu-satunya jalur jaringan ke atau dari ekstensi regional adalah melalui Partner Interconnect ke region Google Cloud terkait melalui lampiran VLAN khusus pelanggan.
• Secara default, server Solusi Bare Metal tidak memiliki akses internet. Jika Anda memerlukan akses internet untuk operasi seperti patch atau update, buat instance NAT. Untuk informasi selengkapnya, lihat Mengakses internet.
• Sesi BGP menyediakan perutean dinamis antara Cloud Router di VPC dan router ekstensi regional. Akibatnya, jika Anda menempatkan resource di VPC yang dilampirkan ke ekstensi regional, resource ini akan memiliki akses langsung ke server Solusi Bare Metal. Demikian pula, resource yang berjalan di subnet yang baru ditambahkan juga memiliki akses ke server Solusi Bare Metal. Jika Anda perlu mengizinkan atau menolak akses ke resource tertentu, gunakan kebijakan firewall untuk membatasi perilaku default yang mengizinkan akses ke semua resource Solusi Bare Metal.

• Seperti yang ditunjukkan pada Gambar 5, gunakan VPC peering untuk mengaktifkan resource yang berjalan di VPC lain dalam project yang sama atau project lain untuk mengakses server Bare Metal Solution. Di Cloud Router redundan, tambahkan iklan kustom yang mengarah ke rentang CIDR jaringan yang di-peering.

  Gambar 5: Peering VPC dan lingkungan Solusi Bare Metal

  

• Seperti yang ditunjukkan pada Gambar 6, gunakan arsitektur VPC bersama untuk mengizinkan resource dari project yang berbeda untuk mengakses server Solusi Bare Metal. Dalam hal ini, Anda harus membuat lampiran VLAN di project host sehingga semua resource dapat mengakses server yang dilampirkan ke VPC bersama.

  Gambar 6: VPC Bersama dan lingkungan Solusi Bare Metal

  

• Anda dapat mencadangkan database dengan Oracle Recovery Manager (RMAN) atau solusi pencadangan seperti Actifio. Untuk mempelajari cara Actifio terintegrasi secara native dengan RMAN, lihat panduan Actifio berikut. Anda dapat menyimpan data cadangan di Cloud Storage dan memilih berbagai tingkat Cloud Storage untuk memenuhi persyaratan Anda terkait Tujuan Waktu Pemulihan (RTO) dan Tujuan Titik Pemulihan (RPO).

Aplikasi yang berjalan secara lokal

• Seperti yang disebutkan sebelumnya, satu-satunya jalur jaringan ke atau dari ekstensi regional Solusi Bare Metal adalah melalui Partner Interconnect ke region Google Cloudterkait. Untuk terhubung ke server Solusi Bare Metal dari lingkungan lokal, Anda harus menghubungkan pusat data lokal keGoogle Cloud menggunakan Dedicated Interconnect, Partner Interconnect, atau Cloud VPN. Untuk mengetahui informasi selengkapnya tentang opsi koneksi ini, lihat Memilih produk Network Connectivity.
• Untuk mengaktifkan rute ke jaringan lokal, Anda harus mengubah Cloud Router redundan dengan iklan kustom yang mengarah ke rentang CIDR subnet lokal. Gunakan aturan firewall untuk mengizinkan atau memblokir akses ke server.

Keamanan operasional

Di bagian Keamanan Fisik dalam panduan ini, Anda telah mempelajari bahwa kami sangat membatasi akses ke infrastruktur Solusi Bare Metal dalam ekstensi regional. Kami memberikan akses kepada staf yang berwenang berdasarkan dasar sementara, terbatas, dan "perlu digunakan". Kami mengaudit log akses, menganalisisnya untuk mendeteksi anomali, dan menggunakan pemantauan dan pemberitahuan 24/7 untuk mencegah akses tidak sah.

Untuk keamanan operasional, ada beberapa opsi. Salah satu solusi yang terintegrasi secara native dengan Google Cloud adalah produk Bindplane dari Blue Medora. Bindplane integrasi dengan agen Google Cloud Observability dan memungkinkan Anda mengambil metrik dan log dari infrastruktur Solusi Bare Metal, termasuk database Oracle dan log aplikasi Oracle.

Prometheus adalah solusi pemantauan open source yang dapat Anda gunakan untuk memantau infrastruktur Solusi Bare Metal dan database Oracle yang berjalan di atasnya. Anda dapat mengarahkan pelacakan audit database dan sistem ke Prometheus, yang berfungsi sebagai satu dasbor untuk memantau dan mengirim pemberitahuan terkait aktivitas yang mencurigakan.

Oracle Enterprise Manager populer di kalangan pengguna yang menggunakannya di lingkungan lokal. Anda dapat menggunakan OEM di lingkungan Solusi Bare Metal untuk melakukan tugas pemantauan dan pemberitahuan dengan cara yang sama seperti di pusat data lokal Anda.

Keamanan database

Kami mendesain Solusi Bare Metal agar sebisa mungkin mirip dengan lingkungan on-premise Anda sehingga Anda dapat menggunakannya dengan sedikit upaya dan pembelajaran. Dengan demikian, Anda dapat dengan mudah menghadirkan fitur database Oracle terkait keamanan, praktik keamanan, dan proses yang ada ke Solusi Bare Metal. Anda dapat melengkapi portofolio keamanan dengan fitur keamanan yang disediakanGoogle Cloud .

Untuk keamanan database, mari kita tinjau kontrol keamanan Oracle yang harus Andaaktifkan. Hal ini mencakup autentikasi pengguna, otorisasi dan kontrol akses, audit, dan enkripsi.

Autentikasi pengguna

• Terapkan kebijakan sandi, seperti kompleksitas dan panjang, jika menggunakan autentikasi dasar.
• Perkuat sistem autentikasi Anda menggunakan sertifikat TLS, Kerberos, atau RADIUS.
• Gunakan autentikasi berbasis proxy untuk mengaktifkan autentikasi dan audit di tingkat database. Metode ini berguna jika Anda memilih untuk tidak memetakan pengguna aplikasi ke pengguna database dan mengaktifkan autentikasi di tingkat aplikasi.

Untuk rekomendasi autentikasi lainnya, lihat Mengonfigurasi Autentikasi dalam Panduan Keamanan Database Oracle.

Otorisasi dan kontrol akses

• Mengelola otorisasi melalui hak istimewa objek, hak istimewa sistem, dan peran yang diidentifikasi di dalam database. Anda juga dapat melengkapi praktik ini dengan fitur yang lebih canggih dan aman seperti Database Vault.

• Mengelola pengguna dan grup dengan Pengguna yang Dikelola Secara Terpusat (CMU). Dengan CMU, Anda dapat memanfaatkan infrastruktur Active Directory yang ada untuk memusatkan pengelolaan pengguna dan otorisasi database di beberapa database Oracle.

  Untuk informasi selengkapnya tentang CMU, lihat Mengonfigurasi Pengguna yang Dikelola Secara Terpusat dengan Microsoft Active Directory dalam Panduan Keamanan Database Oracle.

• Gunakan Database Vault untuk menerapkan pemisahan tugas dan kontrol akses untuk pengguna dengan hak istimewa tinggi.

  Untuk informasi selengkapnya tentang Database Vault, lihat Panduan Administrator Oracle Database Vault.

• Manfaatkan alat dan teknik tambahan, seperti analisis hak istimewa dan penyanmaran data.

  • Alat analisis hak istimewa membantu Anda memantau penggunaan hak istimewa dan peran secara aktif oleh pengguna akhir. Untuk informasi selengkapnya tentang analisis hak istimewa, lihat Melakukan Analisis Hak Istimewa untuk Menemukan Penggunaan Hak Istimewa dalam Panduan Keamanan Database Oracle.
  • Penyamaran data akan menghapus data kolom sensitif dan hanya mengizinkan akses kepada pengguna yang diperlukan. Untuk informasi selengkapnya tentang penyamaran data, lihat Menggunakan Penyamaran Data Oracle dalam Panduan Keamanan Lanjutan Database Oracle.

• Gunakan Virtual Private Database (VPD) dan Oracle Label Security (OLS) untuk membuat akses terperinci ke data dengan mengubah kueri pengguna secara dinamis. Alat ini mengecualikan baris yang difilter oleh kebijakan VPD, dan mengelola label baris dan pengguna untuk mengidentifikasi apakah pengguna harus memiliki akses ke baris tertentu.

  • Untuk mengetahui detail selengkapnya tentang VPD, lihat Menggunakan Oracle Virtual Private Database untuk Mengontrol Akses Data dalam Panduan Keamanan Database Oracle.
  • Untuk mengetahui detail selengkapnya tentang OLS, lihat Panduan Administrator Oracle Label Security.

• Ikuti prinsip hak istimewa terendah dengan menetapkan hak istimewa peran yang terperinci kepada grup dan pengguna.

Pengauditan

• Manfaatkan audit terpadu, fitur yang mengirim semua data audit ke jejak audit terpadu. Diperkenalkan dalam Rilis 12c untuk menggantikan audit database tradisional, fitur ini membuat file pelacakan terpusat untuk semua peristiwa audit terkait database dan meningkatkan performa laporan audit.
• Aktifkan audit terperinci (FGA) untuk memperluas kemampuan audit tradisional. Fitur ini mengambil data audit hanya saat pengguna mengakses kolom tertentu atau memenuhi kondisi tertentu.

• Gunakan audit vault database firewall (AVDF) untuk mengelola kebijakan audit dan peristiwa yang direkam. Salah satu kasus penggunaan utama untuk ADVF adalah mencegah serangan injeksi SQL. Anda menyiapkan firewall database untuk memantau semua pernyataan SQL yang dikeluarkan terhadap database untuk siklus proses aplikasi lengkap. Database membuat kumpulan cluster tepercaya, lalu memblokir pernyataan SQL apa pun yang tidak diketahui oleh firewall database.

  Untuk mengetahui informasi selengkapnya, lihat Memantau Aktivitas Database dengan Audit dalam Panduan Keamanan Database Oracle dan Panduan Audit Vault dan Firewall Database.

Enkripsi untuk data dalam penyimpanan dan saat transit

• Meskipun Solusi Bare Metal otomatis mengenkripsi data pengguna dalam penyimpanan menggunakan kunci AES 256-bit unik per volume data , Anda juga dapat mengaktifkan Transparent Data Encryption (TDE) untuk mendapatkan lebih banyak kontrol atas siklus proses kunci enkripsi.
• Gunakan enkripsi jaringan native atau enkripsi berbasis Transport Layer Security (TLS) untuk mengamankan data antara klien dan database.

• Saat menggunakan kunci enkripsi yang dikelola pelanggan (CMEK) untuk data database Oracle, gunakan opsi keamanan lanjutan (ASO) untuk mengaktifkan enkripsi, checksum jaringan kriptografis (berbeda dengan checksum log selama operasi baca dan tulis), serta layanan autentikasi antara sistem utama dan cadangan di Data Guard.

  Untuk mengetahui detail selengkapnya tentang opsi enkripsi, lihat Menggunakan Transparent Data Encryption dalam Panduan Keamanan Lanjutan Oracle Database.

Saran yang telah kami sebutkan untuk keamanan Database Oracle di Solusi Bare Metal tidak dimaksudkan sebagai daftar lengkap. Sebaiknya ikuti praktik terbaik dan rekomendasi yang diberikan oleh Oracle, serta terapkan kontrol yang sesuai dengan kebutuhan bisnis dan keamanan Anda.

Ringkasan

Solusi Bare Metal adalah gateway Anda ke dunia Google Cloud. Hal ini memungkinkan Anda memigrasikan dan menjalankan beban kerja kritis apa adanya dan lebih dekat ke cloud, sambil memutuskan, mendesain, dan merencanakan masa depan cloud Anda. Bersama dengan praktik terbaik, alat, dan teknik yang dibagikan dalam panduan ini, Solusi Bare Metal memberikan platform yang aman, andal, dan canggih untuk menjalankan workload penting Anda.

Yang terpenting, upaya ini tidak perlu mengorbankan keamanan. Saat berlangganan Solusi Bare Metal, Anda akan menerima server bare metal yang didukung oleh beberapa lapisan keamanan bawaan, termasuk lapisan fisik, lapisan penyimpanan, dan lapisan jaringan. Dengan demikian, layanan Solusi Bare Metal mengintegrasikan keamanan di setiap tahap dalam infrastruktur untuk memenuhi kebutuhan penting Anda guna mendapatkan performa yang aman dalam skala besar.

Poin-poin penting:

1. Keamanan adalah tanggung jawab bersama.
2. Ikuti prinsip hak istimewa terendah.
3. Ikuti prinsip pemisahan tugas.
4. Mencegah pemindahan data yang tidak sah dengan mengakses layanan Google Cloud melalui restricted.googleapis.com.
5. Aktifkan Akses Google Pribadi di project Anda untuk mengurangi eksfiltrasi data, akses tidak sah, dan mengontrol kebijakan keamanan secara terpusat.
6. Ikuti praktik terbaik yang ditetapkan oleh Oracle untuk keamanan database Oracle.