Fornisci sicurezza per i carichi di lavoro aziendali in un ambiente Bare Metal Solution

Poiché la soluzione Bare Metal ti consente di avvicinare i carichi di lavoro aziendali tradizionali a Google Cloud, una domanda comune degli architetti aziendali e degli architetti della sicurezza è "Come faccio a proteggere i miei carichi di lavoro?" Lo scopo di questa guida è fornirti gli elementi di progettazione per la sicurezza e la conformità che devi prendere in considerazione quando prevedi di trasferire i tuoi carichi di lavoro aziendali, come i database Oracle, a Bare Metal Solution. Parleremo inoltre delle funzionalità i controlli di sicurezza e le funzionalità che salvaguardano le risorse aziendali, alcune delle best practice sulla sicurezza di Oracle.

Sicurezza in un ambiente per la soluzione Bare Metal

L'ambiente Bare Metal Solution include server bare metal appositamente progettati ospitati in estensioni regionali. Come mostrato nella Figura 1, un regionale è una struttura di colocation situata vicino a regioni di Google Cloud e collegato a Google Cloud con un una connessione ad alte prestazioni gestita e un'infrastruttura di rete a bassa latenza.

Figura 1: Bare Metal Solution: estensione regionale collegata a Google Cloud

A causa di questa architettura, devi prendere in considerazione i modi per proteggere sia i server della soluzione Bare Metal sia i componenti di Google Cloud inclusi nel tuo design. Fortunatamente, Google Cloud fornisce e gestisce quanto segue componenti per Bare Metal Solution:

• Infrastruttura di base, tra cui strutture e energia in un ambiente sicuro e controllato
• Sicurezza fisica
• Infrastruttura di rete e sicurezza
• Funzionalità di monitoraggio dell'hardware
• Accesso ai servizi Google Cloud
• Provisioning e manutenzione di hardware single-tenancy
• SAN (Local Storage Area Network)
• Supporto per mani intelligenti: assistenza in loco per attività come l'hardware sostituzioni

In un ambiente Bare Metal Solution, la sicurezza è una responsabilità condivisa. La la buona notizia è che puoi applicare le tue best practice per la sicurezza e integrare con le offerte integrate offerte da Bare Metal Solution. Figura 2 mostra un riepilogo dei componenti di sicurezza da fornire e dei quelle fornite da Google Cloud.

Figura 2: Riepilogo delle responsabilità in materia di sicurezza del cliente e di Google Cloud

Pianifica la sicurezza per il tuo ambiente Bare Metal Solution

Per pianificare la tua strategia di sicurezza per Bare Metal Solution, devi prendere in considerazione i seguenti sei pilastri della sicurezza:

1. Sicurezza fisica
2. Conformità
3. Sicurezza della rete
4. Sicurezza dei dati
5. Sicurezza operativa
6. Sicurezza del database

Analizziamo ciascuno di questi pilastri della sicurezza in modo più dettagliato.

Sicurezza fisica

I componenti fisici di Bare Metal Solution risiedono in un'estensione a livello di regione (una struttura di colocation) gestita da un fornitore. Una connessione Partner Interconnect ad alta velocità e bassa latenza collega l'estensione regionale alla regione Google Cloud più vicina.

Il fornitore gestisce l'estensione regionale e le sue strutture, come alimentazione, sistemi di raffreddamento, rack e stack e gestione dello spazio di archiviazione. Il fornitore gestisce inoltre alle funzionalità di sicurezza fisica e sicurezza standard del settore, incluse, a titolo esemplificativo, limitato a quanto segue:

• Le gabbie sono dotate di pareti da lastra a lastra o di coperture in rete.
• Le videocamere in ogni struttura sorvegliano gabbie, corsie e porte 24 ore al giorno, 7 giorni su 7. Le videocamere hanno una visuale chiara all'interno di ogni gabbia, per ogni corridoio e per ogni porta di ingresso e di uscita.
• Tutte le porte della struttura sono dotate di allarmi per garantire che siano chiuse correttamente.
• Chiunque entri in una gabbia deve avere la previa approvazione regionale team di coordinamento delle estensioni e l'accesso appropriato concesso tramite team di sicurezza delle estensioni regionali.
• Il team di coordinamento delle estensioni regionali gestisce tutto l'accesso con singoli biglietti per visita.
• La struttura richiede al personale autorizzato di utilizzare una serratura biometrica per accedere alla struttura e un badge per uscire.
• Tutti i rack sono bloccati. Un armadietto elettronico distribuisce le chiavi per rack specifici per il personale autorizzato con "necessità di utilizzo" limitate base. La cassetta portachiavi monitora anche l'accesso alla rastrelliera.
• Un team di sicurezza in colocation gestisce l'accesso e mantiene il reporting sui requisiti di certificazione di conformità PCI e ISO.
• Altre misure di sicurezza fisica sono conformi alle best practice del settore e ai requisiti normativi vigenti.

Conformità

La soluzione Bare Metal soddisfa i requisiti di conformità rigorosi con le certificazioni di settore come ISO, PCI DSS e HIPAA, oltre alle certificazioni regionali, ove applicabili. Per ulteriori informazioni sulla conformità, visita il Centro risorse per la conformità.

Sicurezza della rete

La sicurezza di rete viene offerta su due livelli, come mostrato nella Figura 3:

1. I collegamenti VLAN di livello 3 connettono il tuo Virtual Private Cloud Google a un'istanza VRF (Virtual Routing and Forwarding) unica sui router di edge della soluzione Bare Metal.

2. Nell'ambiente Bare Metal Solution, le VLAN di livello 2 forniscono la sicurezza e l'isolamento necessari per i tuoi dati. Utilizzi una subnet client per la connessione a Google Cloud e una subnet privata facoltativa per ospitare per i tuoi servizi e il tuo spazio di archiviazione.

Figura 3: sicurezza di rete in un ambiente Bare Metal Solution

Se utilizzi le API Google Cloud dall'ambiente della soluzione Bare Metal per accedere ai servizi Google Cloud, Google Cloud cripta per impostazione predefinita il trasferimento dei dati tra la soluzione Bare Metal e il servizio specifico in base ai nostri criteri di crittografia. Ad esempio, se utilizzi la CLI o le API Google Cloud per eseguire il backup dei dati in Cloud Storage, il trasferimento dei dati dalla soluzione Bare Metal a Cloud Storage utilizza la crittografia dei dati per impostazione predefinita.

Applicare un perimetro sicuro con l'accesso privato Google

Accesso privato Google (noto anche come Controlli di servizio VPC) ti consente di definire perimetri di sicurezza intorno ai dati sensibili nei servizi Google Cloud e offre i seguenti vantaggi:

• Riduci i rischi di esfiltrazione di dati. L'esfiltrazione di dati avviene quando una persona autorizzata estrae i dati da un sistema protetto a cui appartengono e li condivide con una terza parte non autorizzata o li sposta in un sistema non sicuro.
• Accede ai servizi Google Cloud privatamente da on-premise.
• Applica l'accesso sensibile al contesto da internet.
• Gestisce i criteri di sicurezza da una posizione centralizzata.

Con Bare Metal Solution, puoi sfruttare il cloud-native di Google Cloud e scalabili dai servizi offerti tramite Partner Interconnect. L'abilitazione di un perimetro basato sui controlli di servizio VPC garantisce ulteriormente che l'accesso a tutti i servizi Google Cloud, come BigQuery Cloud Storage, avviene senza esfiltrazione di dati su internet.

Per configurare l'accesso privato alle API di Google, consulta Configurazione dell'accesso privato Google per gli host on-premise. La Figura 4 mostra un esempio di accesso privato Google:

Figura 4: accesso privato Google in un ambiente Bare Metal Solution

Sicurezza dei dati

Quando pianifichi la sicurezza dei dati in un ambiente Bare Metal Solution, devi essere consapevole di come vengono archiviati i dati criptati e di come proteggere le tue applicazioni in esecuzione su Google Cloud o in un data center on-premise.

Crittografia dell'archiviazione

Per impostazione predefinita, Bare Metal Solution cripta i dati at-rest. Ecco alcuni dati sulla crittografia at-rest dell'archiviazione in un ambiente Bare Metal Solution:

• Per eseguire il provisioning dello spazio di archiviazione, creiamo una VM (Virtual Machine) per lo spazio di archiviazione su un cluster NetApp per ogni cliente e associamo la VM a un volume di dati riservato prima di consegnarla al cliente.
• Quando viene creato un volume di dati criptati, il processo di crittografia genera una chiave di crittografia dei dati XTSAES-256 univoca. Non generiamo mai una chiave in anticipo.
• Le SVM forniscono l'isolamento in un ambiente multitenant. Ogni SVM appare come un singolo server indipendente, il che consente a più SVM di coesistere in un cluster e garantisce che nessun dato fluisca tra le SVM.
• Le chiavi non vengono visualizzate in testo normale. Il gestore delle chiavi integrato di NetApp archivia, gestisce e protegge le chiavi.
• Né Google Cloud né il fornitore hanno accesso alle tue chiavi.
• Il cluster Netapp Storage archivia e cripta tutti i dati at-rest, incluse le partizioni di avvio e del sistema operativo.
• Se decidi di interrompere l'utilizzo di Bare Metal Solution al termine del contratto, cancelliamo e mettiamo in quarantena il tuo spazio di archiviazione per 7 giorni prima di poter essere riutilizzati.

Sicurezza delle applicazioni

Utilizzando Bare Metal Solution, puoi proteggere le applicazioni in esecuzione in Google Cloud o in un ambiente on-premise.

Applicazioni in esecuzione su Google Cloud

• La soluzione Bare Metal viene eseguita nelle estensioni regionali. L'unico percorso di rete verso o dall'estensione regionale passa tramite un Partner Interconnect alla regione Google Cloud associata tramite i collegamenti VLAN specifici del cliente.
• Per impostazione predefinita, i server Bare Metal Solution non hanno accesso a internet. Se hai bisogno dell'accesso a internet per operazioni come l'applicazione di patch o gli aggiornamenti, NAT. Per ulteriori informazioni, consulta la sezione Accedere a internet.
• Una sessione BGP fornisce il routing dinamico tra i router Cloud il VPC e i router dell'estensione a livello di regione. Di conseguenza, se inserisci risorse nel VPC collegato all'estensione regionale, queste risorse avranno accesso diretto ai server della soluzione Bare Metal. Analogamente, le risorse in esecuzione nelle subnet appena aggiunte hanno anche accesso alla soluzione Bare Metal Solution server web. Se devi consentire o negare l'accesso a risorse specifiche, utilizza i criteri di firewall per limitare il comportamento predefinito che consente l'accesso a tutte le risorse della soluzione Bare Metal.

• Come mostrato nella Figura 5, utilizza il peering VPC per consentire alle risorse in esecuzione in un VPC diverso nello stesso progetto o in un progetto diverso di accedere ai server della soluzione Bare Metal. Sui router Cloud ridondanti, aggiungi un annunci personalizzato che indichi l'intervallo CIDR della rete connessa in peer.

  Figura 5: peering VPC e ambiente Bare Metal Solution

  

• Come mostrato nella Figura 6, utilizza un'architettura VPC condivisa per consentire alle risorse di progetti diversi di accedere ai server Bare Metal Solution. In questo devi creare collegamenti VLAN nel progetto host in modo che possono accedere ai server collegati al VPC condiviso.

  Figura 6: VPC condiviso e ambiente Bare Metal Solution

  

• Puoi eseguire il backup dei tuoi database con Oracle Recovery Manager (RMAN) o soluzioni di backup come Actifio. Per scoprire come Actifio si integra in modo nativo con RMAN, consulta le Guida di Actifio. Puoi archiviare i dati di backup in Cloud Storage e selezionare diversi livelli di Cloud Storage per soddisfare Requisiti per il Recovery Time Objective (RTO) e il Recovery Point Objective (RTO) Obiettivo (RPO).

Applicazioni in esecuzione on-premise

• Come detto in precedenza, l'unico percorso di rete da o verso L'estensione a livello di regione di Bare Metal Solution è tramite un Partner Interconnect al Google Cloud associato regione. Per connetterti ai server Bare Metal Solution dall'ambiente on-premise devi connettere il tuo data center on-premise di Google Cloud utilizzando Dedicated Interconnect Partner Interconnect, o Cloud VPN. Per ulteriori informazioni su queste opzioni di connessione, vedi Scelta di un prodotto per la connettività di rete.
• Per abilitare le route alla rete on-premise, devi modificare il router Cloud ridondanti con un annuncio personalizzato che punta a l'intervallo CIDR della subnet on-premise. Utilizza le regole del firewall per consentire o bloccare l'accesso ai server.

Sicurezza operativa

Nella sezione Sicurezza fisica di questa guida, hai appreso che abbiamo limita l'accesso all'infrastruttura Bare Metal Solution all'interno di una regione . Forniamo l'accesso al personale autorizzato su base temporanea, limitata e "secondo necessità". Controlliamo i log di accesso, li analizziamo per rilevare eventuali anomalie e utilizziamo il monitoraggio e gli avvisi 24 ore su 24, 7 giorni su 7 per impedire l'accesso non autorizzato.

Per la sicurezza operativa, ci sono diverse opzioni. Una soluzione che si integra in modo nativo con Google Cloud è il prodotto Bindplane di Blue Medora. Bindplane si integra con Agenti di osservabilità di Google Cloud e consente di acquisire metriche e log Infrastruttura Bare Metal Solution, inclusi il database Oracle e Oracle dei log delle applicazioni.

Prometheus è una soluzione di monitoraggio open source che puoi usare per monitorare l'infrastruttura Bare Metal Solution e i database Oracle in esecuzione su di essa. Puoi indirizzare gli audit trail di database e sistemi in Prometheus, che agisce come pannello centralizzato per monitorare e inviare avvisi in caso di attività sospetta.

Oracle Enterprise Manager è molto popolare tra chi la usa in un ambiente on-premise. Puoi usare l'OEM in un ambiente Bare Metal Solution per eseguire il monitoraggio di attività di avviso come il tuo data center on-premise.

Sicurezza del database

Abbiamo progettato Bare Metal Solution in modo che sia il più simile possibile al tuo ambiente on-premise, in modo da poterla utilizzare con il minimo sforzo e apprendimento. Di conseguenza, puoi trasferire facilmente il tuo database Oracle relativo alla sicurezza esistente pratiche, procedure di sicurezza e procedure per la soluzione Bare Metal Solution. Puoi integrare il tuo portafoglio di sicurezza con le funzionalità di sicurezza fornite da Google Cloud.

Per la sicurezza dei database, esaminiamo i controlli di sicurezza di Oracle attivare. Sono inclusi l'autenticazione, l'autorizzazione e l'accesso degli utenti il controllo, l'auditing e la crittografia.

Autenticazione degli utenti

• Implementa i criteri delle password, ad esempio complessità e lunghezza, se utilizzi l'autenticazione di base.
• Rafforza il sistema di autenticazione utilizzando certificati TLS, Kerberos o RADIUS.
• Utilizza l'autenticazione basata su proxy per attivare l'autenticazione e il controllo in a livello di database. Questo metodo è utile se scegli di non mappare dagli utenti dell'applicazione agli utenti del database e tu abiliti l'autenticazione a livello di applicazione.

Per altri suggerimenti sull'autenticazione, vedi Configurazione dell'autenticazione nella Guida alla sicurezza del database Oracle.

Autorizzazione e controllo dell'accesso

• Gestisci l'autorizzazione tramite privilegi dell'oggetto, privilegi di sistema e ruoli identificati all'interno del database. Puoi anche integrare questo esercitarsi con funzionalità più avanzate e sicure come Database Vault.

• Gestisci utenti e gruppi con gli utenti gestiti centralmente (CMU). Con il CMU, puoi sfruttare la tua infrastruttura Active Directory esistente centralizzare la gestione degli utenti e dell'autorizzazione dei database in più database Oracle.

  Per ulteriori informazioni sul CMU, vedi Configurazione di utenti gestiti centralmente con Microsoft Active Directory nella Guida alla sicurezza del database Oracle.

• Utilizza Database Vault per introdurre la separazione dei compiti e il controllo dell'accesso per gli utenti con privilegi elevati.

  Per ulteriori informazioni su Database Vault, consulta Guida per l'amministratore di Oracle Database Vault.

• Utilizza strumenti e tecniche aggiuntivi, come l'analisi dei privilegi e l'oscuramento dei dati.

  • Lo strumento di analisi dei privilegi consente di monitorare attivamente l'utilizzo di privilegi e ruoli da parte degli utenti finali. Per ulteriori informazioni sull'analisi dei privilegi, consulta Eseguire l'analisi dei privilegi per trovare l'utilizzo dei privilegi nella Guida alla sicurezza di Oracle Database.
  • L'oscuramento dei dati rimuove i dati sensibili delle colonne e consente l'accesso solo agli utenti obbligatori. Per ulteriori informazioni sull'oscuramento dei dati, consulta Utilizzare l'oscuramento dei dati di Oracle nella Guida alla sicurezza avanzata di Oracle Database.

• Utilizza Virtual Private Database (VPD) e Oracle Label Security (OLS) per creare un accesso granulare ai dati modificando dinamicamente le query degli utenti. Questi strumenti escludono le righe filtrate dal criterio VPD e gestiscono le etichette delle righe e degli utenti per identificare se un utente deve avere accesso a una riga specifica.

  • Per maggiori dettagli sui VPD, consulta Utilizzo di Oracle Virtual Private Database per controllare l'accesso ai dati nella Guida alla sicurezza del database Oracle.
  • Per maggiori dettagli su OLS, consulta Guida per l'amministratore di Oracle Label Security.

• Segui il principio del privilegio minimo assegnando un ruolo granulare a gruppi e utenti.

Controllo

• Utilizzare il controllo unificato, una funzionalità che invia tutti i dati di controllo a un e un audit trail unificato. Introdotta nella release 12c per sostituire il controllo tradizionale del database, questa funzionalità crea un file di traccia centrale per tutti gli eventi di controllo relativi al database e migliora le prestazioni dei report di controllo.
• Abilita il controllo granulare (FGA) per estendere i controlli tradizionali le funzionalità di machine learning. Questa funzionalità acquisisce i dati di controllo solo quando un utente accede a una colonna specifica o soddisfa una condizione specifica.

• Utilizza il firewall di database dell'audit vault (AVDF) per gestire i criteri di controllo e eventi acquisiti. Uno dei casi d'uso principali di ADVF è la prevenzione degli attacchi di SQL injection. Configura la firewall del database per monitorare tutte le istruzioni SQL emesse contro il database per l'intero ciclo di vita dell'applicazione. Il database crea un insieme attendibili, blocca qualsiasi istruzione SQL non nota al database firewall.

  Per ulteriori informazioni, consulta la sezione Monitorare l'attività del database con il controllo nella Guida alla sicurezza di Oracle Database e la Guida ad Audit Vault e alla firewall del database.

Crittografia dei dati at-rest e in transito

• Sebbene la soluzione Bare Metal cripta automaticamente i dati inattivi degli utenti utilizzando una chiave AES a 256 bit univoca per volume di dati, puoi anche attivare la crittografia dei dati trasparenti (TDE) per avere un maggiore controllo sul ciclo di vita della chiave di crittografia.
• Utilizza la crittografia di rete nativa o Transport Layer Security. Crittografia basata su (TLS) per proteggere i dati tra il client e il database.

• Quando utilizzi le chiavi di crittografia gestite dal cliente (CMEK) per i dati del database Oracle, utilizza l'opzione di sicurezza avanzata (ASO) per attivare la crittografia, i checksum di rete crittografici (diversi dal checksum del log durante le letture e le scritture) e i servizi di autenticazione tra i sistemi principali e di standby in Data Guard.

  Per ulteriori dettagli sulle opzioni di crittografia, consulta Utilizzare la crittografia trasparente dei dati nella Guida alla sicurezza avanzata di Oracle Database.

I suggerimenti che abbiamo menzionato per la sicurezza del database Oracle su Bare Metal Solution non sono intesi come un elenco esaustivo. Ti consigliamo vivamente di seguire le best practice e i consigli forniti da Oracle e di implementare controlli appropriati in base alle tue specifiche esigenze aziendali e di sicurezza.

Riepilogo

Bare Metal Solution è la tua porta d'accesso al mondo di Google Cloud. it consente di eseguire la migrazione e i carichi di lavoro critici così come sono e più vicini cloud, mentre tu decidi, progetti e pianifichi il futuro del cloud. Insieme alle best practice, agli strumenti e alle tecniche condivisi in questa guida, Bare Metal Solution offre una piattaforma sicura, solida ed efficace per eseguire i carichi di lavoro critici.

Soprattutto, questo impegno non deve andare a scapito della sicurezza. Quando ti abboni a Bare Metal Solution, ricevi server bare metal supportati da più livelli di sicurezza integrata, tra cui il livello fisico, il livello di archiviazione e il livello di rete. Di conseguenza, il servizio Bare Metal Solution integra la sicurezza in ogni fase all'interno dell'infrastruttura per essenziali per la sicurezza delle prestazioni su larga scala.

Concetti chiave:

1. La sicurezza è una responsabilità condivisa.
2. Segui le principio del privilegio minimo.
3. Seguire il principio della separazione dei compiti.
4. Impedisci l'esfiltrazione di dati accedendo ai servizi Google Cloud attraverso restricted.googleapis.com.
5. Abilita l'accesso privato Google nel tuo progetto per ridurre la quantità di dati l'esfiltrazione, l'accesso non autorizzato e il controllo centralizzato delle politiche di sicurezza.
6. Segui le best practice indicate da Oracle per la sicurezza del database Oracle.