Fornire sicurezza per i carichi di lavoro aziendali in un ambiente per la soluzione Bare Metal

Poiché Bare Metal Solution ti consente di avvicinare i carichi di lavoro aziendali tradizionali a Google Cloud, una domanda comune degli architetti aziendali e degli architetti della sicurezza è "Come faccio a proteggere i miei carichi di lavoro?" Lo scopo di questa guida è fornirti gli elementi di progettazione per la sicurezza e la conformità che devi prendere in considerazione quando prevedi di trasferire i carichi di lavoro aziendali, come i database Oracle, a Bare Metal Solution. Discuteremo inoltre dei controlli e delle funzionalità di sicurezza di Google Cloudche proteggono le risorse aziendali e ti indirizzeremo ad alcune best practice di sicurezza di Oracle.

Sicurezza in un ambiente per la soluzione Bare Metal

L'ambiente Bare Metal Solution include server bare metal appositamente progettati ospitati in estensioni regionali. Come mostrato nella Figura 1, un'estensione regionale è una struttura di colocation situata vicino a determinateGoogle Cloud regioni e collegata a Google Cloud con una connessione gestita ad alte prestazioni e un'infrastruttura di rete a bassa latenza.

Figura 1: Bare Metal Solution - Estensione regionale collegata a Google Cloud

Estensione regionale collegata a Google Cloud

A causa di questa architettura, devi prendere in considerazione i modi per proteggere sia i server della soluzione Bare Metal sia i componenti inclusi nel tuo design. Google Cloud Fortunatamente, Google Cloud fornisce e gestisce i seguenti componenti per la soluzione Bare Metal:

  • Infrastruttura di base, tra cui strutture e energia in un ambiente sicuro e controllato
  • Sicurezza fisica
  • Infrastruttura e sicurezza di rete
  • Funzionalità di monitoraggio dell'hardware
  • Accesso ai servizi Google Cloud
  • Provisioning e manutenzione dell'hardware per single-tenancy
  • Storage Area Network (SAN) locale
  • Assistenza da parte di esperti: assistenza in loco per attività come la sostituzione dell'hardware

In un ambiente Bare Metal Solution, la sicurezza è una responsabilità condivisa. La buona notizia è che puoi applicare le tue best practice di sicurezza e integrarle con le offerte integrate fornite da Bare Metal Solution. La Figura 2 mostra un riepilogo dei componenti di sicurezza che devi fornire e di quelli Google Cloud forniti.

Figura 2: Riepilogo delle responsabilità in materia di sicurezza - cliente e Google Cloud

Riepilogo delle responsabilità in materia di sicurezza - cliente e Google Cloud

Pianifica la sicurezza per il tuo ambiente Bare Metal Solution

Per pianificare la tua strategia di sicurezza per Bare Metal Solution, devi prendere in considerazione i seguenti sei pilastri della sicurezza:

  1. Sicurezza fisica
  2. Conformità
  3. Sicurezza della rete
  4. Sicurezza dei dati
  5. Sicurezza operativa
  6. Sicurezza del database

Esaminiamo ciascuno di questi pilastri della sicurezza più nel dettaglio.

Sicurezza fisica

I componenti fisici di Bare Metal Solution si trovano in un'estensione regionale (una sede di co-locazione) gestita da un fornitore. Una connessione Partner Interconnect ad alta velocità e bassa latenza collega l'estensione regionale alla regione Google Cloudpiù vicina.

Il fornitore gestisce l'estensione regionale e le relative strutture, come alimentazione, impianto di raffreddamento, rack e stoccaggio e gestione dello spazio di archiviazione. Il fornitore gestisce inoltre funzionalità di sicurezza fisica e di protezione standard di settore, tra cui, a titolo esemplificativo:

  • Le gabbie sono dotate di pareti da lastra a lastra o di coperture in rete.
  • Le videocamere di ogni struttura monitorano le gabbie, i corridoi e le porte 24 ore su 24, 7 giorni su 7. Le videocamere hanno una visuale chiara all'interno di ogni gabbia, per ogni corridoio e per ogni porta di ingresso e di uscita.
  • Tutte le porte della struttura sono dotate di allarmi per garantire che siano chiuse correttamente.
  • Chiunque entri in una gabbia deve disporre dell'approvazione del team di coordinamento delle estensioni regionali e dell'accesso appropriato concesso dal team di sicurezza delle estensioni regionali.
  • Il team di coordinamento delle estensioni regionali gestisce tutto l'accesso con singoli biglietti per visita.
  • La struttura richiede al personale autorizzato di utilizzare una serratura biometrica per accedere alla struttura e un badge per uscire.
  • Tutti i rack sono bloccati. Una cassetta di sicurezza elettronica distribuisce le chiavi per supporti specifici al personale autorizzato in base al criterio "quanto serve". La cassetta portachiavi monitora anche l'accesso alla rastrelliera.
  • Un team di sicurezza del colocation gestisce l'accesso e mantiene i report in base ai requisiti di certificazione di conformità PCI e ISO.
  • Altre misure di sicurezza fisica sono conformi alle best practice del settore e ai requisiti normativi vigenti.

Conformità

La soluzione Bare Metal soddisfa i requisiti di conformità rigorosi con le certificazioni di settore come ISO, PCI DSS e HIPAA, oltre alle certificazioni regionali, ove applicabili. Per ulteriori informazioni sulla conformità, visita il Centro risorse per la conformità.

Sicurezza della rete

La sicurezza di rete è offerta su due livelli, come mostrato nella Figura 3:

  1. I collegamenti VLAN di livello 3 connettono il tuo Virtual Private Cloud Google a un'istanza VRF (Virtual Routing and Forwarding) unica sui router di edge della soluzione Bare Metal.

  2. Nell'ambiente Bare Metal Solution, le VLAN di livello 2 forniscono la sicurezza e l'isolamento necessari per i tuoi dati. Utilizzi una subnet client per connetterti a Google Cloude una subnet privata facoltativa per ospitare i tuoi servizi e il tuo spazio di archiviazione.

Figura 3: sicurezza di rete in un ambiente Bare Metal Solution

Sicurezza di rete in un ambiente Bare Metal Solution

Se utilizzi Google Cloud API all'interno dell'ambiente Bare Metal Solution per accedere ai Google Cloud servizi, Google Cloud per impostazione predefinita Google Cloud cripta il trasferimento dei dati tra Bare Metal Solution e il servizio specifico in base ai nostri criteri di crittografia. Ad esempio, se utilizzi la CLI o le API Google Cloud per eseguire il backup dei dati in Cloud Storage, il trasferimento dei dati dalla soluzione Bare Metal a Cloud Storage utilizza la crittografia dei dati per impostazione predefinita.

Applicare un perimetro sicuro con l'accesso privato Google

Accesso privato Google (noto anche come Controlli di servizio VPC) ti consente di definire perimetri di sicurezza intorno ai dati sensibili nei Google Cloud servizi e offre i seguenti vantaggi:

  • Riduci i rischi di esfiltrazione di dati. L'esfiltrazione di dati avviene quando una persona autorizzata estrae i dati da un sistema protetto a cui appartengono e li condivide con una terza parte non autorizzata o li sposta in un sistema non sicuro.
  • Accede ai Google Cloud servizi in modo privato dall'on-premise.
  • Applica l'accesso sensibile al contesto da internet.
  • Gestisce i criteri di sicurezza da una posizione centralizzata.

Con la soluzione Bare Metal, puoi sfruttare i servizi scalabili e nativi del cloud di Google Cloudtramite Partner Interconnect. L'attivazione di un perimetro basato su Controlli di servizio VPC garantisce inoltre che l'accesso a tutti i Google Cloud servizi, come BigQuery e Cloud Storage, avvenga senza esfiltrazione di dati su internet.

Per configurare l'accesso privato alle API di Google, consulta Configurazione dell'accesso privato Google per gli host on-premise. La Figura 4 mostra un esempio di accesso privato Google:

Figura 4: accesso privato Google in un ambiente Bare Metal Solution

Accesso privato a Google in un ambiente Bare Metal Solution

Sicurezza dei dati

Quando pianifichi la sicurezza dei dati in un ambiente Bare Metal Solution, devi essere consapevole di come vengono archiviati i dati criptati e di come proteggere le tue applicazioni in esecuzione su Google Cloud o in un data center on-premise.

Crittografia dell'archiviazione

Per impostazione predefinita, Bare Metal Solution cripta i dati at-rest. Ecco alcuni fatti sulla crittografia dello spazio di archiviazione a riposo in un ambiente Bare Metal Solution:

  • Per eseguire il provisioning dello spazio di archiviazione, creiamo una VM (Virtual Machine) per lo spazio di archiviazione su un cluster NetApp per ogni cliente e associamo la VM a un volume di dati riservato prima di consegnarla al cliente.
  • Quando viene creato un volume di dati criptati, il processo di crittografia genera una chiave di crittografia dei dati XTSAES-256 univoca. Non generiamo mai una chiave in anticipo.
  • Le SVM forniscono isolamento in un ambiente multi-tenant. Ogni VM crittografata appare come un singolo server indipendente, il che consente a più VM crittografate di coesistere in un cluster e garantisce che nessun dato fluisca tra le VM crittografate.
  • Le chiavi non vengono visualizzate in testo normale. Il gestore delle chiavi integrato di NetApp archivia, gestisce e protegge le chiavi.
  • Né Google Cloud né il fornitore hanno accesso alle tue chiavi.
  • Il cluster di archiviazione NetApp archivia e cripta tutti i dati a riposo, inclusi il sistema operativo e le partizioni di avvio.
  • Se scegli di interrompere l'utilizzo di Bare Metal Solution al termine del contratto, cancelliamo e mettiamo in quarantena i volumi di archiviazione tramite crittografia per 7 giorni prima che possano essere riutilizzati.

Sicurezza delle applicazioni

Quando utilizzi Bare Metal Solution, puoi proteggere le tue applicazioni in esecuzione Google Cloud o in un ambiente on-premise.

Applicazioni in esecuzione in Google Cloud
  • La soluzione Bare Metal viene eseguita nelle estensioni regionali. L'unico percorso di rete in entrata o in uscita dall'estensione regionale avviene tramite un Partner Interconnect alla regione Google Cloudassociata tramite i collegamenti VLAN specifici del cliente.
  • Per impostazione predefinita, i server Bare Metal Solution non hanno accesso a internet. Se hai bisogno di accedere a internet per operazioni come l'applicazione di patch o gli aggiornamenti, crea un'istanza NAT. Per ulteriori informazioni, consulta la sezione Accedere a internet.
  • Una sessione BGP fornisce il routing dinamico tra i router Cloud nella VPC e i router dell'estensione regionale. Di conseguenza, se inserisci risorse nel VPC collegato all'estensione regionale, queste risorse hanno accesso diretto ai server della soluzione Bare Metal. Analogamente, le risorse in esecuzione nelle sottoreti appena aggiunte hanno accesso anche ai server Bare Metal Solution. Se devi consentire o negare l'accesso a risorse specifiche, utilizza i criteri del firewall per limitare il comportamento predefinito che consente l'accesso a tutte le risorse della soluzione Bare Metal.

  • Come mostrato nella Figura 5, utilizza il peering VPC per consentire alle risorse in esecuzione in un VPC diverso nello stesso progetto o in un progetto diverso di accedere ai server della soluzione Bare Metal. Sui router Cloud ridondanti, aggiungi un annunci personalizzato che rimandi all'intervallo CIDR della rete connessa in peer.

    Figura 5: peering VPC e ambiente Bare Metal Solution

    Il peering VPC e l'ambiente Bare Metal Solution

  • Come mostrato nella Figura 6, utilizza un'architettura VPC condiviso per consentire alle risorse di progetti diversi di accedere ai server della soluzione Bare Metal. In questo caso, devi creare collegamenti VLAN nel progetto host in modo che tutte le risorse possano accedere ai server collegati alla VPC condivisa.

    Figura 6: rete VPC condivisa e ambiente Bare Metal Solution

    VPC condiviso e ambiente Bare Metal Solution

  • Puoi eseguire il backup dei tuoi database con Oracle Recovery Manager (RMAN) o soluzioni di backup come Actifio. Per scoprire come Actifio si integra in modo nativo con RMAN, consulta la seguente guida di Actifio. Puoi archiviare i dati di backup in Cloud Storage e selezionare diversi livelli di Cloud Storage per soddisfare i tuoi requisiti per l'obiettivo di tempo di recupero (RTO) e l'obiettivo di punto di recupero (RPO).

Applicazioni in esecuzione on-premise
  • Come accennato in precedenza, l'unico percorso di rete verso o dalla regione dell'estensione Bare Metal Solution è tramite un'interconnessione partner con la regione Google Cloudassociata. Per connetterti ai server Bare Metal Solution dal tuo ambiente on-premise, devi collegare il tuo data center on-premise aGoogle Cloud utilizzando un interconnessione dedicato, un interconnessione partner o unVPN Cloud. Per ulteriori informazioni su queste opzioni di connessione, consulta Scegliere un prodotto per la connettività di rete.
  • Per attivare le route verso la tua rete on-premise, devi modificare i router Cloud ridondanti con un annuncio personalizzato che indichi l'intervallo CIDR della subnet on-premise. Utilizza le regole del firewall per consentire o bloccare l'accesso ai server.

Sicurezza operativa

Nella sezione Sicurezza fisica di questa guida, hai appreso che limitiamo fortemente l'accesso all'infrastruttura della soluzione Bare Metal all'interno di un'estensione regionale. Forniamo l'accesso al personale autorizzato su base temporanea, limitata e "secondo necessità". Controlliamo i log di accesso, li analizziamo per rilevare eventuali anomalie e utilizziamo il monitoraggio e gli avvisi 24 ore su 24, 7 giorni su 7 per impedire l'accesso non autorizzato.

Per la sicurezza operativa, sono disponibili diverse opzioni. Una soluzione che si integra in modo nativo con Google Cloud è il prodotto Bindplane di Blue Medora. Bindplane si integra con gli agenti di osservabilità di Google Cloud e ti consente di acquisire metriche e log dall'infrastruttura Bare Metal Solution, inclusi i log del database Oracle e delle applicazioni Oracle.

Prometheus è una soluzione di monitoraggio open source che puoi utilizzare per monitorare l'infrastruttura della soluzione Bare Metal e i database Oracle in esecuzione al suo interno. Puoi indirizzare le tracce di controllo del database e del sistema a Prometheus, che funge da singolo punto di accesso per monitorare e inviare avvisi per eventuali attività sospette.

Oracle Enterprise Manager è molto apprezzato da chi lo utilizza in un ambiente on-premise. Puoi utilizzare OEM in un ambiente Bare Metal Solution per eseguire attività di monitoraggio e impostazione di avvisi nello stesso modo in cui faresti nel tuo data center on-premise.

Sicurezza del database

Abbiamo progettato Bare Metal Solution per renderla il più simile possibile al tuo ambiente on-premise, in modo che tu possa utilizzarla con il minimo sforzo e senza dover imparare nulla di nuovo. Di conseguenza, puoi trasferire facilmente le funzionalità, le pratiche e le procedure di sicurezza esistenti del database Oracle in Bare Metal Solution. Puoi integrare il tuo portafoglio di sicurezza con le funzionalità di sicurezza offerte daGoogle Cloud .

Per la sicurezza del database, esaminiamo i controlli di sicurezza di Oracle che devi attivare. Sono inclusi l'autenticazione utente, l'autorizzazione e il controllo dell'accesso, il controllo e la crittografia.

Autenticazione degli utenti

  • Implementa i criteri relativi alle password, ad esempio complessità e lunghezza, se utilizzi l'autenticazione di base.
  • Rafforza il sistema di autenticazione utilizzando certificati TLS, Kerberos o RADIUS.
  • Utilizza l'autenticazione basata su proxy per abilitare l'autenticazione e il controllo a livello di database. Questo metodo è utile se scegli di non mappare gli utenti dell'applicazione agli utenti del database e attivi l'autenticazione a livello di applicazione.

Per altri consigli sull'autenticazione, consulta Configurazione dell'autenticazione nella Guida alla sicurezza di Oracle Database.

Autorizzazione e controllo degli accessi

  • Gestisci l'autorizzazione tramite privilegi dell'oggetto, privilegi di sistema e ruoli identificati all'interno del database. Puoi anche integrare questa pratica con funzionalità più avanzate e sicure come Database Vault.

  • Gestisci utenti e gruppi con gli utenti gestiti centralmente (CMU). Con CMU, puoi sfruttare l'infrastruttura Active Directory esistente per centralizzare la gestione degli utenti e delle autorizzazioni del database su più database Oracle.

    Per ulteriori informazioni su CMU, consulta Configurare gli utenti gestiti centralmente con Microsoft Active Directory nella Guida alla sicurezza di Oracle Database.

  • Utilizza Database Vault per introdurre la separazione dei compiti e il controllo dell'accesso per gli utenti con privilegi elevati.

    Per ulteriori informazioni su Database Vault, consulta la Guida per gli amministratori di Oracle Database Vault.

  • Utilizza strumenti e tecniche aggiuntivi, come l'analisi dei privilegi e l'oscuramento dei dati.

    • Lo strumento di analisi dei privilegi ti aiuta a monitorare attivamente l'utilizzo di privilegi e ruoli da parte degli utenti finali. Per ulteriori informazioni sull'analisi dei privilegi, consulta Eseguire l'analisi dei privilegi per trovare l'utilizzo dei privilegi nella Guida alla sicurezza di Oracle Database.
    • L'oscuramento dei dati rimuove i dati sensibili delle colonne e consente l'accesso solo agli utenti richiesti. Per ulteriori informazioni sull'oscuramento dei dati, consulta Utilizzare l'oscuramento dei dati di Oracle nella Guida alla sicurezza avanzata di Oracle Database.

  • Utilizza Virtual Private Database (VPD) e Oracle Label Security (OLS) per creare un accesso granulare ai dati modificando dinamicamente le query degli utenti. Questi strumenti escludono le righe filtrate dal criterio VPD e gestiscono le etichette delle righe e degli utenti per identificare se un utente deve avere accesso a una riga specifica.

  • Segui il principio del privilegio minimo assegnando i privilegi dei ruoli granulari a gruppi e utenti.

Controllo

  • Utilizza il controllo unificato, una funzionalità che invia tutti i dati di controllo a un audit trail unificato. Introdotta nella release 12c per sostituire il controllo tradizionale del database, questa funzionalità crea un file di traccia centrale per tutti gli eventi di controllo relativi al database e migliora le prestazioni dei report di controllo.
  • Attiva il controllo granulare (FGA) per estendere le funzionalità di controllo tradizionali. Questa funzionalità acquisisce i dati di controllo solo quando un utente accede a una colonna specifica o soddisfa una condizione specifica.

  • Utilizza la firewall del database dell'archivio protetto per i controlli (AVDF) per gestire i criteri di controllo e gli eventi acquisiti. Uno dei principali casi d'uso di ADVF è la prevenzione degli attacchi di SQL injection. Configura la firewall del database per monitorare tutte le istruzioni SQL emesse contro il database per un ciclo di vita completo dell'applicazione. Il database crea un insieme di cluster attendibili, quindi blocca qualsiasi istruzione SQL non nota alla firewall del database.

    Per ulteriori informazioni, consulta la sezione Monitorare l'attività del database con i controlli nella Guida alla sicurezza di Oracle Database e la Guida ad Audit Vault e alla firewall del database.

Crittografia dei dati at-rest e in transito

  • Sebbene la soluzione Bare Metal cripta automaticamente i dati at-rest degli utenti utilizzando una chiave AES a 256 bit univoca per volume di dati , puoi anche attivare la crittografia dei dati trasparenti (TDE) per avere un maggiore controllo sul ciclo di vita della chiave di crittografia.
  • Utilizza la crittografia di rete nativa o la crittografia basata su Transport Layer Security (TLS) per proteggere i dati tra il client e il database.

  • Quando utilizzi le chiavi di crittografia gestite dal cliente (CMEK) per i dati del database Oracle, utilizza l'opzione di sicurezza avanzata (ASO) per attivare la crittografia, i checksum di rete crittografici (diversi dal checksum del log durante le letture e le scritture) e i servizi di autenticazione tra i sistemi principali e di standby in Data Guard.

    Per ulteriori dettagli sulle opzioni di crittografia, consulta Utilizzare la crittografia trasparente dei dati nella Guida alla sicurezza avanzata di Oracle Database.

I suggerimenti che abbiamo menzionato per la sicurezza del database Oracle su Bare Metal Solution non sono intesi come un elenco esaustivo. Ti consigliamo vivamente di seguire le best practice e i consigli forniti da Oracle e di implementare i controlli appropriati in base alle tue specifiche esigenze aziendali e di sicurezza.

Riepilogo

Bare Metal Solution è la tua porta di accesso al mondo di Google Cloud. Ti consente di eseguire la migrazione ed eseguire i tuoi carichi di lavoro critici così come sono e più vicino al cloud, mentre decidi, progetti e pianifichi il tuo futuro nel cloud. Insieme alle best practice, agli strumenti e alle tecniche condivisi in questa guida, Bare Metal Solution offre una piattaforma sicura, solida ed efficace per eseguire i carichi di lavoro critici.

Soprattutto, questo impegno non deve essere a scapito della sicurezza. Quando ti abboni a Bare Metal Solution, ricevi server bare metal supportati da più livelli di sicurezza integrata, tra cui il livello fisico, il livello di archiviazione e il livello di rete. Di conseguenza, il servizio Bare Metal Solution integra la sicurezza in ogni fase dell'infrastruttura per soddisfare le tue esigenze mission-critical per prestazioni sicure su larga scala.

Concetti chiave:

  1. La sicurezza è una responsabilità condivisa.
  2. Segui il principio del privilegio minimo.
  3. Rispetta il principio di separazione dei compiti.
  4. Evita l'esfiltrazione di dati accedendo ai Google Cloud servizi tramite restricted.googleapis.com.
  5. Attiva l'accesso privato a Google nel tuo progetto per mitigare l'esfiltrazione dei dati, l'accesso non autorizzato e per controllare i criteri di sicurezza in modo centralizzato.
  6. Segui le best practice descritte da Oracle per la sicurezza del database Oracle.