Offri la sicurezza dei carichi di lavoro aziendali in un ambiente soluzione Bare Metal

Poiché la soluzione Bare Metal ti consente di avvicinare a Google Cloud i carichi di lavoro aziendali tradizionali, è una domanda comune da parte degli architetti e degli architetti di sicurezza aziendali: "Come faccio a proteggere i miei carichi di lavoro?" L'obiettivo di questa guida è fornire gli elementi di progettazione di sicurezza e conformità che dovresti tenere in considerazione quando pianifichi di portare i tuoi carichi di lavoro aziendali, come i database Oracle, nella soluzione Bare Metal. Parleremo anche dei controlli e delle funzionalità di sicurezza di Google Cloud che salvaguardano le tue risorse aziendali e ti inviteremo ad alcune best practice per la sicurezza di Oracle.

Sicurezza in un ambiente soluzione Bare Metal

L'ambiente della soluzione Bare Metal include server bare metal creati appositamente per le estensioni a livello di area geografica. Come illustrato nella Figura 1, un'estensione a livello di area geografica è una struttura di collocamento collocata vicino a determinate aree geografiche di Google Cloud e connessa a Google Cloud con una connessione gestita ad alte prestazioni e un tessuto di rete a bassa latenza.

Figura 1: soluzione Bare Metal - Estensione a livello di area geografica connessa a Google Cloud

Estensione a livello di area geografica connessa a Google Cloud

Grazie a questa architettura, devi prendere in considerazione modi per proteggere sia i server delle soluzioni Bare Metal che i componenti di Google Cloud inclusi nel progetto. Per fortuna, Google Cloud fornisce e gestisce i seguenti componenti per la soluzione Bare Metal:

  • Infrastruttura di base, incluse strutture e sistemi di sicurezza, ambienti controllati e ambientali
  • Sicurezza fisica
  • Infrastruttura e sicurezza della rete
  • Funzionalità di monitoraggio dell'hardware
  • Accesso ai servizi Google Cloud
  • Provisioning e manutenzione di hardware single-tenant
  • SAN (Local Storage Area Network)
  • Supporto intelligente delle mani: supporto in loco per attività come la sostituzione dell'hardware

In un ambiente Bare Metal Solution, la sicurezza è una responsabilità condivisa. La buona notizia è che puoi portare le tue best practice per la sicurezza e integrarle con le offerte integrate fornite dalla soluzione Bare Metal. La Figura 2 mostra un riepilogo dei componenti di sicurezza che devi fornire e dei componenti forniti da Google Cloud.

Figura 2: riepilogo delle responsabilità di sicurezza - Cliente e Google Cloud

Riepilogo delle responsabilità di sicurezza - Cliente e Google Cloud

Pianifica la sicurezza per il tuo ambiente di soluzioni Bare Metal

Per pianificare la tua strategia di sicurezza per la soluzione Bare Metal, devi considerare i seguenti sei pilastri di sicurezza:

  1. Sicurezza fisica
  2. Conformità
  3. Sicurezza della rete
  4. Sicurezza dei dati
  5. Sicurezza operativa
  6. Sicurezza dei database

Analizziamo in dettaglio ognuno di questi pilastri della sicurezza.

Sicurezza fisica

I componenti fisici della soluzione Bare Metal si trovano in un'estensione regionale (una struttura di collocamento) gestita da un fornitore. Una connessione Partner Interconnect ad alta velocità e bassa latenza collega l'estensione a livello di area geografica all'area geografica Google Cloud più vicina.

Il fornitore gestisce l'estensione a livello di area geografica e le relative strutture, come la gestione di energia, raffreddamento, racking e stacking e archiviazione. Inoltre, il fornitore mantiene le funzionalità di sicurezza fisica e di sicurezza standard del settore, tra cui, a titolo esemplificativo:

  • Le gabbie sono dotate di fissaggio a lastre a lastre o top in rete mesh.
  • Le videocamere di ogni struttura monitorano gabbie, corsie e porte 24 ore su 24, 7 giorni su 7. Le telecamere hanno una visuale chiara all'interno di ogni gabbia, per ogni corsia, e per ogni porta d'ingresso e di uscita.
  • Tutte le porte della struttura dispongono di allarmi per garantire la corretta chiusura.
  • Chiunque entri in una gabbia deve avere previa approvazione da parte del team di coordinamento dell'estensione a livello di area geografica e l'accesso appropriato concesso tramite il team di sicurezza delle estensioni a livello di area geografica.
  • Il team di coordinamento delle estensioni a livello di area geografica gestisce ogni accesso con singoli biglietti per visita.
  • La struttura richiede al personale autorizzato di utilizzare un blocco biometrico per entrare nella struttura e un badge per uscire.
  • Tutti i rack sono bloccati. Un archivio di chiavi elettroniche distribuisce le chiavi per rack specifici a personale autorizzato in base all'uso limitato. L'archivio chiavi tiene traccia anche dell'accesso al rack.
  • Un team addetto alla sicurezza della collocazione gestisce l'accesso e gestisce i rapporti in base ai requisiti di certificazione di conformità PCI e ISO.
  • Altre misure di sicurezza fisiche sono conformi alle best practice del settore e ai requisiti normativi applicabili.

Conformità

La soluzione Bare Metal soddisfa i severi requisiti di conformità con certificazioni di settore come ISO, PCI DSS e HIPAA, oltre a certificazioni regionali ove applicabili. Per ulteriori informazioni sulla conformità, visita il Centro risorse per la conformità.

Sicurezza della rete

La sicurezza di rete è offerta su due livelli, come mostrato nella Figura 3:

  1. I collegamenti VLAN di livello 3 collegano Google Virtual Private Cloud a un'istanza di routing e forwarding (VRF) virtuale univoco sui router perimetrali della soluzione Bare Metal.

  2. Nell'ambiente della soluzione Bare Metal, le VLAN di livello 2 forniscono la sicurezza e l'isolamento necessari per i dati. Utilizzi una subnet client per la connessione a Google Cloud e una subnet privata facoltativa per ospitare i tuoi servizi e archiviazione.

Figura 3: sicurezza della rete in un ambiente soluzione Bare Metal

Sicurezza della rete in un ambiente soluzione Bare Metal

Se utilizzi le API Google Cloud dall'interno dell'ambiente della soluzione Bare Metal per accedere ai servizi Google Cloud, Google Cloud cripta il trasferimento di dati per impostazione predefinita tra la soluzione Bare Metal e il servizio specifico in base ai nostri criteri di crittografia. Ad esempio, se utilizzi l'utilità gsutil o le API per eseguire il backup dei dati in Cloud Storage, il trasferimento dei dati dalla soluzione Bare Metal a Cloud Storage utilizza la crittografia dei dati per impostazione predefinita.

Applicare un perimetro sicuro con l'accesso privato Google

L'accesso privato Google (noto anche come controlli di servizio VPC) consente di definire perimetri di sicurezza per i dati sensibili nei servizi Google Cloud e offre i seguenti vantaggi:

  • Riduci i rischi di esfiltrazione di dati. L'esfiltrazione di dati si verifica quando una persona autorizzata estrae i dati da un sistema protetto in cui appartengono e li condivide con terze parti non autorizzate o li sposta in un sistema non sicuro.
  • Accede privatamente ai servizi Google Cloud da on-premise.
  • Applica l'accesso sensibile al contesto da Internet.
  • Gestisce i criteri di sicurezza da una posizione centralizzata.

Con la soluzione Bare Metal, puoi sfruttare i servizi cloud-native e scalabili di Google Cloud tramite Partner Interconnect. L'attivazione di un perimetro basato su controlli di un servizio VPC garantisce inoltre che l'accesso a tutti i servizi Google Cloud, come BigQuery e Cloud Storage, avvenga senza alcuna esfiltrazione di dati su Internet.

Per configurare l'accesso privato alle API di Google, vedi Configurare l'accesso privato Google per gli host on-premise. La Figura 4 mostra un esempio di accesso privato Google:

Figura 4: accesso privato Google in un ambiente soluzione Bare Metal

Accesso privato Google in un ambiente soluzione Bare Metal

Protezione dei dati

Quando pianifichi la sicurezza dei dati in un ambiente Bare Metal Solution, devi sapere in che modo vengono archiviati i dati criptati e come proteggere le tue applicazioni in esecuzione su Google Cloud o in un data center on-premise.

Crittografia dell'archiviazione

Per impostazione predefinita, la soluzione Bare Metal cripta i dati inattivi. Ecco alcune informazioni sulla crittografia dei dati inattivi in un ambiente Bare Metal Solution:

  • Per eseguire il provisioning dello spazio di archiviazione, creiamo una macchina virtuale di archiviazione (SVM) su un cluster NetApp per ciascun cliente e associamo la SVM a un volume di dati riservato prima di fornirla al cliente.
  • Quando creiamo un volume di dati criptato, il processo di crittografia genera una chiave di crittografia dei dati XTSAES-256 univoca. Non possiamo mai pregenerare una chiave.
  • Le SVM forniscono isolamento in un ambiente multi-tenant. Ogni SVM appare come un singolo server indipendente, il che consente a più SVM di coesistere in un cluster e garantisce che nessun flusso di dati tra le SVM.
  • Le chiavi non sono visualizzate in testo normale. Il gestore delle chiavi integrato di NetApp archivia, gestisce e protegge le chiavi.
  • Né Google Cloud né il fornitore hanno accesso alle tue chiavi.
  • Il cluster di archiviazione Netapp archivia e cripta tutti i dati inattivi, inclusi il sistema operativo e le partizioni di avvio.
  • Se scegli di interrompere l'utilizzo della soluzione Bare Metal alla scadenza del contratto, prima di poter riutilizzare i dati il tuo spazio di archiviazione viene cancellato e messo in quarantena in modo crittografico.

Sicurezza delle applicazioni

Quando lavori con la soluzione Bare Metal, puoi proteggere le tue applicazioni in esecuzione su Google Cloud o in un ambiente on-premise.

Applicazioni in esecuzione in Google Cloud
  • La soluzione Bare Metal viene eseguita in estensioni a livello di area geografica. L'unico percorso di rete da o verso l'estensione a livello di area geografica avviene tramite Partner Interconnect nell'area geografica di Google Cloud associata tramite collegamenti VLAN specifici del cliente.
  • Per impostazione predefinita, i server di soluzione Bare Metal non hanno accesso a Internet. Se hai bisogno di accedere a Internet per operazioni come l'applicazione di patch o gli aggiornamenti, crea un'istanza NAT. Per ulteriori informazioni, consulta Accesso a Internet.
  • Una sessione BGP fornisce il routing dinamico tra i router Cloud nel VPC e i router con estensione a livello di area geografica. Di conseguenza, se inserisci risorse nel VPC collegato all'estensione a livello di area geografica, queste risorse avranno accesso diretto ai server della soluzione Bare Metal. Allo stesso modo, le risorse in esecuzione nelle subnet appena aggiunte hanno anche accesso ai server della soluzione Bare Metal. Se devi consentire o negare l'accesso a risorse specifiche, utilizza i criteri firewall per limitare il comportamento predefinito che consente l'accesso a tutte le risorse della soluzione Bare Metal.
  • Come mostrato nella Figura 5, utilizza il peering VPC per abilitare le risorse in esecuzione in un altro VPC nello stesso progetto o in un progetto diverso per accedere ai server Bare Metal Solution. Sui router Cloud ridondanti, aggiungi un annuncio personalizzato che rimandi all'intervallo CIDR della rete in peering.

    Figura 5: peering VPC e ambiente Bare Metal Solution

    Peering VPC e ambiente Bare Metal Solution

  • Come mostrato nella Figura 6, utilizza un'architettura di VPC condivisa per consentire alle risorse di progetti diversi di accedere ai server di Bare Metal Solution. In questo caso, devi creare collegamenti VLAN nel progetto host in modo che tutte le risorse possano accedere ai server collegati al VPC condiviso.

    Figura 6: VPC condiviso e ambiente Bare Metal Solution

    VPC condiviso e ambiente Bare Metal Solution

  • Puoi effettuare il backup dei tuoi database con Oracle Recovery Manager (RMAN) o con soluzioni di backup come Actifio. Per scoprire in che modo Actifio si integra in modo nativo con RMAN, consulta la seguente guida di Actifio. Puoi archiviare i dati di backup in Cloud Storage e selezionare diversi livelli di Cloud Storage per soddisfare i tuoi requisiti dell'obiettivo RTO (Recovery Time Objective) e di RPO (Recovery Point Objective).

Applicazioni in esecuzione on-premise
  • Come accennato in precedenza, l'unico percorso di rete da o verso l'estensione a livello di area geografica Bare Metal Solution è attraverso un'interconnessione partner per l'area geografica Google Cloud associata. Per connetterti ai server Bare Metal Solution dall'ambiente on-premise, devi connettere il data center on-premise a Google Cloud tramite interconnessione dedicata, partner Interconnect o Cloud VPN. Per ulteriori informazioni su queste opzioni di connessione, consulta la pagina sulla scelta di un prodotto per la connettività di rete.
  • Per abilitare le route alla tua rete on-premise, devi modificare i router Cloud ridondanti con una pubblicità personalizzata che indirizzi all'intervallo CIDR della subnet on-premise. Utilizza le regole firewall per consentire o bloccare l'accesso ai server.

Sicurezza operativa

Nella sezione Sicurezza fisica di questa guida, hai imparato che limitiamo fortemente l'accesso all'infrastruttura della soluzione Bare Metal in un'estensione a livello di area geografica. Consentiamo l'accesso al personale autorizzato su base temporanea, limitata e necessaria. Controlliamo i log degli accessi, li analizziamo per rilevare eventuali anomalie e usiamo monitoraggio e avvisi 24 ore su 24, 7 giorni su 7 per evitare accessi non autorizzati.

Per la sicurezza operativa, ci sono diverse opzioni. Una soluzione che si integra in modo nativo con Google Cloud è il prodotto Bindplane di Blue Medora. Bindplane si integra con la suite operativa di Google Cloud e in precedenza consente di acquisire metriche e log dall'infrastruttura Bare Metal Solution, inclusi database Oracle e log delle applicazioni Oracle.

Prometheus è una soluzione di monitoraggio open source che puoi utilizzare per monitorare l'infrastruttura della soluzione Bare Metal e i database Oracle. Puoi indirizzare gli itinerari di controllo del database e del sistema a Prometheus, che funge da singolo riquadro per monitorare e inviare avvisi per qualsiasi attività sospetta.

Oracle Enterprise Manager è noto tra chi lo utilizza in un ambiente on-premise. Puoi utilizzare l'OEM in un ambiente Bare Metal Solution per eseguire attività di monitoraggio e avviso come fai per il tuo data center on-premise.

Sicurezza dei database

La soluzione Bare Metal è stata progettata in modo da essere il più simile possibile all'ambiente on-premise, in modo da poterla utilizzare con il minimo sforzo e per ridurre l'apprendimento. Di conseguenza, puoi facilmente portare le tue funzionalità di database, le pratiche e i processi di sicurezza Oracle esistenti correlati alla sicurezza in Bare Metal Solution. Puoi integrare il tuo portafoglio per la sicurezza con le funzionalità per la sicurezza offerte da Google Cloud.

Per la sicurezza dei database, rivediamo i controlli di sicurezza di Oracle che dovresti attivare. Questi includono l'autenticazione utente, l'autorizzazione e il controllo degli accessi, i controlli e la crittografia.

Autenticazione degli utenti

  • Implementa i criteri per le password, ad esempio complessità e durata, se utilizzi l'autenticazione di base.
  • Rafforza il tuo sistema di autenticazione utilizzando certificati TLS, Kerberos o RADIUS.
  • Utilizza l'autenticazione basata su proxy per abilitare l'autenticazione e il controllo a livello di database. Questo metodo è utile se scegli di non mappare utenti dell'applicazione a utenti del database e abiliti l'autenticazione a livello di applicazione.

Per ulteriori suggerimenti sull'autenticazione, consulta la pagina sulla configurazione dell'autenticazione nella guida alla sicurezza del database Oracle.

Autorizzazione e controllo degli accessi

  • Gestisci l'autorizzazione tramite privilegi di oggetti, privilegi di sistema e ruoli identificati all'interno del database. Puoi anche integrare questa esercitazione con funzionalità più avanzate e sicure, come Database Vault.
  • Gestisci utenti e gruppi con Utenti gestiti centralmente (CMU). Con CMU, puoi sfruttare l'infrastruttura Active Directory esistente per centralizzare la gestione degli utenti del database e l'autorizzazione su più database Oracle.

    Per ulteriori informazioni sul CMU, consulta la pagina sulla configurazione di utenti gestiti centralmente con Microsoft Active Directory nella guida alla sicurezza del database Oracle.

  • Utilizza Vault per database per introdurre separazione dei compiti e del controllo degli accessi per gli utenti con privilegi elevati.

    Per ulteriori informazioni su Database Vault, consulta la guida per l'amministratore di Oracle Database Vault.

  • Sfrutta tecniche e strumenti aggiuntivi, come l'analisi dei privilegi e l'oscuramento dei dati.

    • Lo strumento di analisi dei privilegi consente di monitorare attivamente l'utilizzo di privilegi e ruoli da parte degli utenti finali. Per ulteriori informazioni sull'analisi dei privilegi, consulta la pagina Eseguire l'analisi dei privilegi per trovare l'utilizzo dei privilegi nella Guida alla sicurezza del database Oracle.
    • L'oscuramento dei dati rimuove i dati sensibili delle colonne e consente l'accesso solo agli utenti richiesti. Per ulteriori informazioni sull'oscuramento dei dati, consulta la pagina sull'utilizzo di Oracle Data Oscuramento nella guida al database di sicurezza avanzata di Oracle Database.
  • Utilizza Virtual Private Database (VPD) e Oracle Label Security (OLS) per creare un accesso ai dati granulare modificando le query degli utenti in modo dinamico. Questi strumenti escludono le righe filtrate dal criterio VPD e gestiscono le etichette di righe e utenti per stabilire se un utente deve avere accesso a una riga specifica.

  • Segui il principio del privilegio minimo assegnando privilegi di ruolo granulari a gruppi e utenti.

Controllo

  • Sfrutta il controllo unificato, una funzionalità che invia tutti i dati di controllo a un audit trail unificato. Introdotta nella release 12c per sostituire il controllo dei database tradizionali, questa funzionalità crea un file di traccia centrale per tutti gli eventi di controllo relativi ai database e migliora le prestazioni dei rapporti di controllo.
  • Abilita il controllo granulare (FGA) per estendere le funzionalità di controllo tradizionale. Questa funzionalità acquisisce i dati di controllo solo quando un utente accede a una colonna specifica o soddisfa una condizione specifica.
  • Utilizza il Firewall Database Vault (AVDF) per gestire i criteri di controllo e gli eventi acquisiti. Uno dei principali casi d'uso di ADVF è quello di prevenire gli attacchi SQL injection. Il firewall del database viene configurato per monitorare tutte le istruzioni SQL emesse nel database per l'intero ciclo di vita delle applicazioni. Il database crea un insieme di cluster attendibili, quindi blocca qualsiasi istruzione SQL non nota al firewall del database.

    Per ulteriori informazioni, consulta la documentazione sul monitoraggio delle attività di database con il controllo nella guida alla sicurezza del database Oracle e Audit Vault e Database Firewall Guide.

Crittografia dei dati inattivi e in transito

  • Mentre la soluzione Bare Metal cripta automaticamente i dati inattivi dei dati utilizzando una chiave AES a 256 bit univoca per volume di dati , puoi anche attivare la trasparente crittografia dei dati per ottenere un maggiore controllo sul ciclo di vita delle chiavi di crittografia.
  • Utilizza la crittografia delle reti native o Transport Layer Security (TLS) per proteggere i dati tra il client e il database.
  • Quando utilizzi le chiavi di crittografia gestite dal cliente (CMEK) per i dati del database Oracle, utilizza l'opzione di sicurezza avanzata (ASO) per abilitare la crittografia, i checksum della rete crittografica (diverso dal checksum del log durante le letture e le scritture) e i servizi di autenticazione tra il sistema principale e i sistemi di standby in Data Guard.

    Per ulteriori dettagli sulle opzioni di crittografia, consulta Utilizzo della crittografia dei dati trasparenti nella guida avanzata sulla sicurezza del database Oracle.

I suggerimenti che abbiamo menzionato per la sicurezza del database Oracle su Bare Metal Solution non sono destinati a essere un elenco completo. Consigliamo vivamente di seguire le best practice e i suggerimenti forniti da Oracle e di implementare controlli appropriati in base alle esigenze aziendali e di sicurezza specifiche.

Riepilogo

La soluzione Bare Metal è la porta d'accesso al mondo di Google Cloud. Consente di eseguire la migrazione e di eseguire i carichi di lavoro critici così come sono e più vicino al cloud, consentendoti di decidere, progettare e pianificare il cloud per il futuro. Insieme alle best practice, agli strumenti e alle tecniche condivisi in questa guida, Bare Metal Solution offre una piattaforma sicura, robusta e potente per l'esecuzione dei tuoi carichi di lavoro critici.

Soprattutto, questo impegno non deve necessariamente essere a discapito della sicurezza. Quando ti abboni a Bare Metal Solution, ricevi server Bare Metal supportati da più livelli di sicurezza integrati, tra cui il livello fisico, il livello di archiviazione e il livello di rete. Di conseguenza, il servizio di soluzione Bare Metal integra la sicurezza in ogni fase dell'infrastruttura per soddisfare le esigenze mission critical di prestazioni sicure su larga scala.

Concetti chiave:

  1. La sicurezza è una responsabilità condivisa.
  2. Segui il principio del privilegio minimo.
  3. Segui il principio della separazione dei compiti.
  4. Impedisci l'esfiltrazione di dati accedendo ai servizi Google Cloud tramite restricted.googleapis.com.
  5. Abilita l'accesso privato Google al tuo progetto per mitigare l'esfiltrazione di dati, l'accesso non autorizzato e controllare i criteri di sicurezza a livello centrale.
  6. Segui le best practice stabilite da Oracle per la sicurezza dei database Oracle per Oracle.