Offri sicurezza per i carichi di lavoro aziendali in un ambiente con Bare Metal Solution

Poiché Bare Metal Solution ti consente di avvicinare i carichi di lavoro aziendali tradizionali a Google Cloud, una domanda frequente dagli Enterprise Architect e dagli architetti della sicurezza è "Come posso proteggere i miei carichi di lavoro?" L'obiettivo di questa guida è fornirti gli elementi di progettazione per la sicurezza e la conformità da considerare quando pianifichi di portare i tuoi carichi di lavoro aziendali, come i database Oracle, in Bare Metal Solution. Parleremo inoltre dei controlli di sicurezza e delle funzionalità di Google Cloud che salvaguardano i tuoi asset aziendali e ti indirizzeremo ad alcune delle best practice per la sicurezza di Oracle.

Sicurezza in un ambiente Bare Metal Solution

L'ambiente Bare Metal Solution include server bare metal creati appositamente ospitati in estensioni regionali. Come mostrato nella Figura 1, un'estensione a livello di regione è una struttura di colocation situata vicino ad alcune regioni di Google Cloud e connessa a Google Cloud con una connessione gestita ad alte prestazioni e un'infrastruttura di rete a bassa latenza.

Figura 1: Bare Metal Solution - Estensione a livello di regione connessa a Google Cloud

Per via di questa architettura, devi valutare modi per proteggere sia i server Bare Metal Solution che i componenti Google Cloud inclusi nella tua progettazione. Fortunatamente, Google Cloud fornisce e gestisce i seguenti componenti per Bare Metal Solution:

• Infrastruttura principale, che comprende strutture sicuri e controllati in ambiente
• Sicurezza fisica
• Infrastruttura e sicurezza di rete
• Funzionalità di monitoraggio dell'hardware
• Accesso ai servizi Google Cloud
• Provisioning e manutenzione di hardware single-tenancy
• SAN (Local Storage Area Network)
• Supporto smart Hand: assistenza in loco per attività come la sostituzione di hardware

In un ambiente Bare Metal Solution, la sicurezza è una responsabilità condivisa. La buona notizia è che puoi utilizzare le tue best practice per la sicurezza e integrarle con le offerte integrate offerte da Bare Metal Solution. La Figura 2 mostra un riepilogo dei componenti di sicurezza che devi fornire e di quali sono forniti da Google Cloud.

Figura 2: riepilogo delle responsabilità in materia di sicurezza: cliente e Google Cloud

Pianifica la sicurezza per il tuo ambiente Bare Metal Solution

Per pianificare la tua strategia di sicurezza per Bare Metal Solution, devi considerare i seguenti sei pilastri di sicurezza:

1. Sicurezza fisica
2. Conformità
3. Sicurezza della rete
4. Sicurezza dei dati
5. Sicurezza operativa
6. Sicurezza del database

Esaminiamo ciascuno di questi pilastri della sicurezza in modo più dettagliato.

Sicurezza fisica

I componenti fisici di Bare Metal Solution risiedono in un'estensione di regione (una struttura di colocation) gestita da un fornitore. Una connessione Partner Interconnect a bassa velocità e bassa latenza collega l'estensione a livello di regione alla regione Google Cloud più vicina.

Il fornitore gestisce l'estensione di regione e le relative strutture, tra cui alimentazione, raffreddamento, rack e stack e gestione dello spazio di archiviazione. Il fornitore dispone inoltre di funzionalità di sicurezza fisica e di sicurezza standard di settore, tra cui, a titolo esemplificativo:

• Le gabbie hanno pareti sicure da lastre a lastre o piani in rete.
• Le videocamere di ogni struttura monitorano le gabbie, i corridoi e le porte 24 ore su 24, 7 giorni su 7. Le videocamere hanno una visione chiara all'interno di ogni gabbia, per ogni corridoio e per ogni porta di ingresso e uscita.
• Tutte le porte della struttura sono dotate di rilevatori per garantire che siano chiuse correttamente.
• Chiunque entri in una gabbia deve avere l'approvazione preventiva del team di coordinamento delle estensioni regionali e l'accesso appropriato concesso tramite il team di sicurezza delle estensioni regionali.
• Il team di coordinamento delle estensioni regionali gestisce tutto l'accesso con biglietti singoli per visita.
• La struttura richiede che il personale autorizzato utilizzi un blocco biometrico per entrare e un badge per uscire.
• Tutti i rack sono bloccati. Un armadietto elettronico distribuisce le chiavi per specifici rack al personale autorizzato in base alla necessità di utilizzo limitata. L'armadietto delle chiavi monitora anche l'accesso al rack.
• Un team per la sicurezza della colocation gestisce l'accesso e gestisce i report in base ai requisiti di certificazione di conformità PCI e ISO.
• Altre misure di sicurezza fisica sono coerenti con le best practice del settore e i requisiti normativi applicabili.

Conformità

Bare Metal Solution soddisfa i severi requisiti di conformità con certificazioni di settore come ISO, PCI DSS e HIPAA, oltre a certificazioni regionali, ove applicabili. Per ulteriori informazioni sulla conformità, visita il Centro risorse per la conformità.

Sicurezza della rete

La sicurezza della rete è offerta a due livelli, come mostrato nella Figura 3:

1. Gli collegamenti VLAN di livello 3 collegano il tuo virtual private cloud di Google a un'istanza di routing e forwarding (VRF) virtuale unica sui router perimetrali di Bare Metal Solution.

2. All'interno dell'ambiente Bare Metal Solution, le VLAN di livello 2 forniscono la sicurezza e l'isolamento necessari per i dati. Puoi utilizzare una subnet client per la connessione a Google Cloud e una subnet privata facoltativa per ospitare i tuoi servizi e lo spazio di archiviazione.

Figura 3: sicurezza della rete in un ambiente Bare Metal Solution

Se utilizzi le API Google Cloud dall'ambiente Bare Metal Solution per accedere ai servizi Google Cloud, per impostazione predefinita Google Cloud cripta il trasferimento di dati tra Bare Metal Solution e il servizio specifico in base ai nostri criteri di crittografia. Ad esempio, se utilizzi l'utilità gsutil o le API per eseguire il backup dei dati in Cloud Storage, il trasferimento dei dati da Bare Metal Solution a Cloud Storage utilizza la crittografia dei dati per impostazione predefinita.

Applica un perimetro sicuro con l'accesso privato Google

L'accesso privato Google (noto anche come Controlli di servizio VPC) consente di definire i perimetri di sicurezza intorno ai dati sensibili nei servizi Google Cloud e offre i seguenti vantaggi:

• Mitiga i rischi di esfiltrazione di dati. L'esfiltrazione di dati si verifica quando una persona autorizzata estrae i dati da un sistema protetto a cui appartengono i dati e li condivide con una terza parte non autorizzata o li sposta in un sistema non sicuro.
• Accede ai servizi Google Cloud privatamente da on-premise.
• Applica l'accesso sensibile al contesto da internet.
• Gestisce i criteri di sicurezza da una posizione centralizzata.

Con Bare Metal Solution, puoi sfruttare i servizi cloud-native e scalabili di Google Cloud tramite Partner Interconnect. L'abilitazione di un perimetro basato su Controlli di servizio VPC assicura inoltre che l'accesso a tutti i servizi Google Cloud, come BigQuery e Cloud Storage, avvenga senza esfiltrazione di dati verso internet.

Per impostare l'accesso privato alle API di Google, consulta Configurazione dell'accesso privato Google per gli host on-premise. La Figura 4 mostra un esempio di accesso privato Google:

Figura 4: accesso privato Google in un ambiente Bare Metal Solution

Protezione dei dati

Quando pianifichi la sicurezza dei dati in un ambiente Bare Metal Solution, devi sapere come vengono archiviati i dati criptati e come proteggere le applicazioni in esecuzione su Google Cloud o in un data center on-premise.

Crittografia dell'archiviazione

Per impostazione predefinita, Bare Metal Solution cripta i dati at-rest. Di seguito sono riportate alcune informazioni sulla crittografia dello spazio di archiviazione at-rest in un ambiente Bare Metal Solution:

• Per eseguire il provisioning dello spazio di archiviazione, creiamo una macchina virtuale di archiviazione (SVM) su un cluster NetApp per ogni cliente e associamo la SVM a un volume di dati riservato prima di fornirlo al cliente.
• Quando creiamo un volume di dati criptato, il processo di crittografia genera una chiave di crittografia dei dati XTSAES-256 univoca. Non pregeneriamo mai una chiave.
• Le SVM forniscono l'isolamento in un ambiente multitenant. Ogni SVM appare come un singolo server indipendente, il che consente a più SVM di coesistere in un cluster e di assicurare che nessun flusso di dati tra le SVM.
• I tasti non vengono visualizzati in testo normale. Il gestore delle chiavi integrato di NetApp archivia, gestisce e protegge le chiavi.
• Né Google Cloud né il fornitore hanno accesso alle tue chiavi.
• Il cluster di archiviazione Netapp archivia e cripta tutti i dati at-rest, inclusi il sistema operativo e le partizioni di avvio.
• Se scegli di interrompere l'utilizzo di Bare Metal Solution alla scadenza del contratto, cancelleremo crittograficamente e metteremo in quarantena i tuoi volumi di archiviazione per 7 giorni prima di poter essere riutilizzati.

Sicurezza delle applicazioni

Quando lavori con Bare Metal Solution, puoi proteggere le applicazioni in esecuzione in Google Cloud o in un ambiente on-premise.

Applicazioni in esecuzione su Google Cloud

• Bare Metal Solution viene eseguita in estensioni di regione; l'unico percorso di rete da o verso l'estensione di regione avviene tramite un'Partner Interconnect alla regione Google Cloud associata tramite collegamenti VLAN specifici del cliente.
• Per impostazione predefinita, i server Bare Metal Solution non hanno accesso a internet. Se hai bisogno dell'accesso a internet per operazioni come l'applicazione di patch o gli aggiornamenti, crea un'istanza NAT. Per ulteriori informazioni, consulta la sezione Accesso a internet.
• Una sessione BGP fornisce il routing dinamico tra i router Cloud nel VPC e i router dell'estensione di regione. Di conseguenza, se inserisci risorse nel VPC collegato all'estensione di regione, queste risorse avranno accesso diretto ai server Bare Metal Solution. Allo stesso modo, anche le risorse in esecuzione nelle subnet appena aggiunte hanno accesso ai server Bare Metal Solution. Se devi consentire o negare l'accesso a risorse specifiche, utilizza i criteri firewall per limitare il comportamento predefinito che consente l'accesso a tutte le risorse Bare Metal Solution.

• Come mostrato nella Figura 5, utilizza il peering VPC per consentire alle risorse in esecuzione in un VPC diverso nello stesso progetto o in un altro progetto di accedere ai server Bare Metal Solution. Nei router Cloud ridondanti, aggiungi un annuncio personalizzato che punta all'intervallo CIDR della rete in peering.

  Figura 5: peering VPC e ambiente Bare Metal Solution

  

• Come mostrato nella Figura 6, utilizza un'architettura VPC condiviso per consentire alle risorse di diversi progetti di accedere ai server Bare Metal Solution. In questo caso, devi creare collegamenti VLAN nel progetto host in modo che tutte le risorse possano accedere ai server collegati al VPC condiviso.

  Figura 6: VPC condiviso e ambiente Bare Metal Solution

  

• Puoi eseguire il backup dei tuoi database con Oracle Recovery Manager (RMAN) o soluzioni di backup come Actifio. Per scoprire come Actifio si integra in modo nativo con RMAN, consulta la seguente guida di Actifio. Puoi archiviare i dati di backup in Cloud Storage e selezionare diversi livelli di Cloud Storage per soddisfare i tuoi requisiti di RTO (Recovery Time Objective) e RPO (Recovery Point Objective).

Applicazioni in esecuzione on-premise

• Come accennato in precedenza, l'unico percorso di rete da o verso l'estensione di regione Bare Metal Solution è tramite un'Partner Interconnect alla regione Google Cloud associata. Per connetterti ai server Bare Metal Solution dal tuo ambiente on-premise, devi connettere il data center on-premise a Google Cloud utilizzando Dedicated Interconnect, Partner Interconnect o Cloud VPN. Per saperne di più su queste opzioni di connessione, consulta la sezione Scegliere un prodotto per la connettività di rete.
• Per abilitare le route alla tua rete on-premise, devi modificare i router Cloud ridondanti con un annuncio personalizzato che punti all'intervallo CIDR della subnet on-premise. Utilizza le regole firewall per consentire o bloccare l'accesso ai server.

Sicurezza operativa

Nella sezione Sicurezza fisica di questa guida hai appreso che abbiamo limitato molto l'accesso all'infrastruttura Bare Metal Solution all'interno di un'estensione a livello di regione. Forniamo l'accesso al personale autorizzato su base temporanea, limitata e per necessità d'uso. Controlliamo i log degli accessi, li analizziamo per rilevare eventuali anomalie e utilizziamo monitoraggio e avvisi 24 ore su 24, 7 giorni su 7, per impedire accessi non autorizzati.

Per la sicurezza operativa, sono disponibili diverse opzioni. Una soluzione che si integra in modo nativo con Google Cloud è il prodotto Bindplane di Blue Medora. Bindplane si integra con gli agenti di osservabilità di Google Cloud e ti consente di acquisire metriche e log dall'infrastruttura Bare Metal Solution, inclusi i log delle applicazioni Oracle e del database Oracle.

Prometheus è una soluzione di monitoraggio open source che puoi utilizzare per monitorare l'infrastruttura Bare Metal Solution e i database Oracle in esecuzione su quest'ultima. Puoi indirizzare gli audit trail di database e sistemi in Prometheus, che funge da pannello centralizzato per monitorare e inviare avvisi per qualsiasi attività sospetta.

Oracle Enterprise Manager è popolare tra chi lo utilizza in un ambiente on-premise. Puoi utilizzare l'OEM in un ambiente Bare Metal Solution per eseguire attività di monitoraggio e avviso allo stesso modo del tuo data center on-premise.

Sicurezza del database

Abbiamo progettato Bare Metal Solution per essere il più simile possibile al tuo ambiente on-premise, in modo che tu possa utilizzarlo con il minimo sforzo e apprendimento. Di conseguenza, puoi integrare facilmente in Bare Metal Solution le funzionalità, le pratiche di sicurezza e i processi del database Oracle esistenti relativi alla sicurezza. Puoi integrare il tuo portafoglio di sicurezza con le funzionalità di sicurezza fornite da Google Cloud.

Per la sicurezza dei database, esaminiamo i controlli di sicurezza di Oracle che dovresti attivare. Ciò include autenticazione degli utenti, autorizzazione e controllo dell'accesso, controllo e crittografia.

Autenticazione degli utenti

• Implementa criteri relativi alle password, ad esempio complessità e lunghezza, se utilizzi l'autenticazione di base.
• Rafforza il tuo sistema di autenticazione utilizzando i certificati TLS, Kerberos o RADIUS.
• Utilizza l'autenticazione basata su proxy per abilitare l'autenticazione e il controllo a livello di database. Questo metodo è utile se scegli di non mappare gli utenti dell'applicazione agli utenti del database e se abiliti l'autenticazione a livello di applicazione.

Per altri suggerimenti sull'autenticazione, consulta la sezione Configurazione dell'autenticazione nella Guida alla sicurezza del database Oracle.

Autorizzazione e controllo dell'accesso

• Gestisci l'autorizzazione tramite privilegi per gli oggetti, privilegi di sistema e ruoli identificati all'interno del database. Puoi anche integrare questa procedura con funzionalità più avanzate e sicure come Database Vault.

• Gestisci utenti e gruppi con la funzionalità Utenti gestiti centralmente (CMU). Con CMU, puoi sfruttare l'infrastruttura Active Directory esistente per centralizzare la gestione degli utenti del database e l'autorizzazione in più database Oracle.

  Per saperne di più su CMU, consulta Configurazione degli utenti gestiti centralmente con Microsoft Active Directory nella Guida alla sicurezza del database Oracle.

• Utilizza Database Vault per introdurre la separazione dei compiti e controllo dell'accesso per gli utenti con privilegi elevati.

  Per ulteriori informazioni su Database Vault, consulta la Guida per l'amministratore di Oracle Database Vault.

• Utilizzare strumenti e tecniche aggiuntivi, come l'analisi dei privilegi e l'oscuramento dei dati.

  • Lo strumento di analisi dei privilegi consente di monitorare attivamente l'utilizzo di privilegi e ruoli da parte degli utenti finali. Per ulteriori informazioni sull'analisi dei privilegi, consulta Esecuzione dell'analisi dei privilegi per trovare l'utilizzo dei privilegi nella guida alla sicurezza del database Oracle.
  • L'oscuramento dei dati rimuove i dati sensibili delle colonne e consente l'accesso solo agli utenti richiesti. Per ulteriori informazioni sull'oscuramento dei dati, consulta la pagina relativa all'utilizzo dell'oscuramento dei dati Oracle nella guida avanzata alla sicurezza dei database Oracle.

• Utilizza Virtual Private Database (VPD) e Oracle Label Security (OLS) per creare un accesso granulare ai dati modificando dinamicamente le query degli utenti. Questi strumenti escludono le righe filtrate dal criterio VPD e gestiscono le etichette delle righe e degli utenti per identificare se un utente deve avere accesso a una riga specifica.

  • Per maggiori dettagli su VPD, consulta la pagina relativa all'utilizzo di Oracle Virtual Private Database per controllare l'accesso ai dati nella guida alla sicurezza del database Oracle.
  • Per maggiori dettagli su OLS, consulta Oracle Label Security Administrator's Guide.

• Segui il principio del privilegio minimo assegnando privilegi granulari ai gruppi e agli utenti.

Controllo

• Sfruttare il controllo unificato, una funzionalità che invia tutti i dati di controllo a un audit trail unificato. Introdotta nella release 12c per sostituire il controllo tradizionale dei database, questa funzionalità crea un file di trail centrale per tutti gli eventi di audit relativi al database e migliora le prestazioni dei report di audit.
• Abilita il controllo granulare (FGA) per estendere le funzionalità di controllo tradizionali. Questa funzionalità acquisisce i dati di controllo solo quando un utente accede a una colonna specifica o soddisfa una condizione specifica.

• Utilizza il firewall di database di audit vault (AVDF) per gestire i criteri di controllo e gli eventi acquisiti. Uno dei principali casi d'uso di ADVF è la prevenzione degli attacchi di SQL injection. Hai configurato il firewall del database per monitorare tutte le istruzioni SQL inviate sul database per un ciclo di vita completo dell'applicazione. Il database crea un insieme di cluster attendibili, quindi blocca qualsiasi istruzione SQL non nota al firewall del database.

  Per ulteriori informazioni, consulta la sezione sul monitoraggio dell'attività di database con audit nella guida alla sicurezza dei database Oracle e la guida per audit Vault e firewall di database.

Crittografia dei dati at-rest e in transito

• Mentre Bare Metal Solution cripta automaticamente i dati at-rest dell'utente utilizzando una chiave AES univoca a 256 bit per volume di dati , puoi anche abilitare la crittografia di dati trasparente (TDE) per ottenere un maggiore controllo sul ciclo di vita delle chiavi di crittografia.
• Utilizza la crittografia di rete nativa o la crittografia basata su Transport Layer Security (TLS) per proteggere i dati tra il client e il database.

• Se utilizzi chiavi di crittografia gestite dal cliente (CMEK) per i dati dei database Oracle, utilizza l'opzione di sicurezza avanzata (ASO) per abilitare la crittografia, i checksum crittografici di rete (diverso dal checksum dei log durante le operazioni di lettura e scrittura) e i servizi di autenticazione tra il sistema primario e quello di standby in Data Guard.

  Per ulteriori dettagli sulle opzioni di crittografia, consulta la pagina relativa all'utilizzo della crittografia dei dati trasparenti nella guida alla sicurezza avanzata dei database Oracle.

I suggerimenti che abbiamo menzionato per la sicurezza dei database Oracle su Bare Metal Solution non intendono essere un elenco esaustivo. Ti consigliamo vivamente di seguire le best practice e i suggerimenti forniti da Oracle e di implementare controlli appropriati adatti alle tue esigenze aziendali e di sicurezza specifiche.

Riepilogo

Bare Metal Solution è la tua porta di accesso al mondo di Google Cloud. Consente di eseguire la migrazione e l'esecuzione dei carichi di lavoro critici così come sono e più vicini al cloud, mentre decidi, progetta e pianifichi il tuo futuro cloud. Insieme alle best practice, agli strumenti e alle tecniche condivisi in questa guida, Bare Metal Solution fornisce una piattaforma sicura, solida e potente per eseguire i carichi di lavoro critici.

Ma soprattutto, questa iniziativa non deve andare a scapito della sicurezza. Quando sottoscrivi un abbonamento a Bare Metal Solution, ricevi server bare metal supportati da più livelli di sicurezza integrata, tra cui quello fisico, quello di archiviazione e quello di rete. Pertanto, il servizio Bare Metal Solution integra la sicurezza in ogni fase all'interno dell'infrastruttura per soddisfare le tue esigenze mission critical per prestazioni sicure su vasta scala.

Concetti principali:

1. La sicurezza è una responsabilità condivisa.
2. Segui il principio del privilegio minimo.
3. Seguire il principio della separazione dei doveri.
4. Impedisci l'esfiltrazione di dati accedendo ai servizi Google Cloud tramite restricted.googleapis.com.
5. Abilita l'accesso privato Google nel progetto per ridurre l'esfiltrazione di dati, gli accessi non autorizzati e per controllare centralmente i criteri di sicurezza.
6. Segui le best practice stabilite da Oracle per la sicurezza dei database Oracle.