Ofereça segurança para cargas de trabalho empresariais num ambiente da Solução Bare Metal

Uma vez que a Solução Bare Metal lhe permite aproximar as cargas de trabalho empresariais tradicionais do Google Cloud, uma pergunta comum dos arquitetos empresariais e dos arquitetos de segurança é "Como posso proteger as minhas cargas de trabalho?" O objetivo deste guia é fornecer-lhe os elementos de design de segurança e conformidade que deve considerar quando planear trazer as suas cargas de trabalho empresariais, como bases de dados Oracle, para a Solução Bare Metal. Também vamos abordar os controlos e as funcionalidades de segurança do Google Cloud's que salvaguardam os seus ativos empresariais e indicar-lhe algumas das práticas recomendadas de segurança da Oracle.

Segurança num ambiente de solução Bare Metal

O ambiente da Solução Bare Metal inclui servidores bare metal criados especificamente para este fim alojados em extensões regionais. Conforme apresentado na Figura 1, uma extensão regional é uma instalação de alojamento conjunto localizada perto de regiões selecionadas e ligada a estas com uma ligação de alto desempenho gerida e uma estrutura de rede de baixa latência.Google Cloud Google Cloud

Figura 1: Solução Bare Metal – Extensão regional ligada a Google Cloud

Extensão regional associada a Google Cloud

Devido a esta arquitetura, tem de considerar formas de proteger os servidores da solução Bare Metal e os Google Cloud componentes incluídos no seu design. Felizmente,a Google Cloud fornece e gere os seguintes componentes para a Solução Bare Metal:

  • Infraestrutura essencial, incluindo instalações e energia seguras e com ambiente controlado
  • Segurança física
  • Infraestrutura e segurança de rede
  • Capacidades de monitorização de hardware
  • Acesso aos Google Cloud serviços
  • Aprovisionamento e manutenção de hardware de inquilino único
  • Rede de área de armazenamento (SAN) local
  • Suporte técnico inteligente: suporte no local para atividades como substituições de hardware

Num ambiente de solução Bare Metal, a segurança é uma responsabilidade partilhada. A boa notícia é que pode aplicar as suas próprias práticas recomendadas de segurança e complementá-las com as ofertas integradas que a Solução Bare Metal oferece. A Figura 2 mostra um resumo dos componentes de segurança que tem de fornecer e dos que a Google fornece Google Cloud .

Figura 2: Resumo das responsabilidades de segurança – cliente e Google Cloud

Resumo das responsabilidades de segurança – cliente e Google Cloud

Planeie a segurança do seu ambiente da Solução Bare Metal

Para planear a sua estratégia de segurança para a Solução Bare Metal, tem de considerar os seis pilares de segurança seguintes:

  1. Segurança física
  2. Conformidade
  3. Segurança de rede
  4. Segurança dos dados
  5. Segurança operacional
  6. Segurança da base de dados

Vamos explorar cada um destes pilares de segurança mais detalhadamente.

Segurança física

Os componentes físicos da Bare Metal Solution residem numa extensão regional (uma instalação de alojamento conjunto) gerida por um fornecedor. Uma ligação de Partner Interconnect de alta velocidade e baixa latência associa a extensão regional à região mais próxima. Google Cloud

O fornecedor gere a extensão regional e as respetivas instalações, como energia, refrigeração, prateleiras e empilhamento, e gestão de armazenamento. O fornecedor também mantém funcionalidades de segurança física e segurança padrão da indústria, incluindo, entre outras, as seguintes:

  • As gaiolas têm paredes seguras de laje a laje ou partes superiores em rede.
  • As câmaras de vídeo em cada instalação monitorizam as jaulas, os corredores e as portas 24 horas por dia, 7 dias por semana. As câmaras têm uma vista desimpedida no interior de cada gaiola, em todos os corredores e em todas as portas de entrada e saída.
  • Todas as portas nas instalações têm alarmes para garantir que estão fechadas corretamente.
  • Qualquer pessoa que entre numa gaiola tem de ter aprovação prévia da equipa de coordenação de extensões regional e o acesso adequado concedido através da equipa de segurança de extensões regional.
  • A equipa de coordenação de extensões regionais gere todo o acesso com pedidos individuais por visita.
  • As instalações exigem que os funcionários autorizados usem uma fechadura biométrica para entrar nas instalações e um cartão de identificação para sair.
  • Todos os suportes estão bloqueados. Um armário de chaves eletrónico distribui chaves para racks específicos a funcionários autorizados numa base limitada de "necessidade de utilização". O cacifo para chaves também monitoriza o acesso ao suporte.
  • Uma equipa de segurança de colocation gere o acesso e mantém os relatórios com base nos requisitos de certificação de conformidade com a PCI e a ISO.
  • Outras medidas de segurança física estão em conformidade com as práticas recomendadas da indústria e os requisitos regulamentares aplicáveis.

Conformidade

A Bare Metal Solution cumpre requisitos de conformidade exigentes com certificações da indústria, como ISO, PCI DSS e HIPAA, além de certificações regionais, quando aplicável. Para mais informações acerca da conformidade, visite o centro de recursos de conformidade.

Segurança de redes

A segurança de rede é oferecida em duas camadas, conforme mostrado na Figura 3:

  1. As associações de VLAN de camada 3 associam a sua nuvem privada virtual da Google a uma instância de encaminhamento e encaminhamento virtual (VRF) exclusiva nos routers de limite da solução Bare Metal.

  2. No ambiente da Bare Metal Solution, as VLANs da camada 2 oferecem a segurança e o isolamento necessários para os seus dados. Usa uma sub-rede de cliente para estabelecer ligação a Google Cloude uma sub-rede privada opcional para alojar os seus próprios serviços e armazenamento.

Figura 3: segurança de rede num ambiente da Solução Bare Metal

Segurança de rede num ambiente de solução Bare Metal

Se usar Google Cloud APIs a partir do ambiente da solução Bare Metal para aceder aos Google Cloud serviços, Google Cloud encripta a transferência de dados por predefinição entre a solução Bare Metal e o serviço específico de acordo com as nossas políticas de encriptação. Por exemplo, se usar a CLI do Google Cloud ou as APIs para fazer uma cópia de segurança dos dados no Cloud Storage, a transferência dos dados da solução Bare Metal para o Cloud Storage usa a encriptação de dados por predefinição.

Aplique um perímetro seguro com o acesso privado à Google

O acesso privado à Google (também conhecido como VPC Service Controls) permite-lhe definir perímetros de segurança em torno de dados sensíveis nos Google Cloud serviços e oferece as seguintes vantagens:

  • Mitiga os riscos de exfiltração de dados. A exfiltração de dados ocorre quando uma pessoa autorizada extrai dados de um sistema seguro ao qual os dados pertencem e os partilha com um terceiro não autorizado ou os move para um sistema não seguro.
  • Aceda Google Cloud aos serviços de forma privada a partir das instalações.
  • Aplica o acesso sensível ao contexto a partir da Internet.
  • Gerir políticas de segurança a partir de uma localização central.

Com a Bare Metal Solution, pode tirar partido dos serviços nativos da nuvem e escaláveis da Google Cloudatravés da Partner Interconnect. A ativação de um perímetro baseado nos VPC Service Controls garante ainda mais que o acesso a todos os serviços, como o BigQuery e o Cloud Storage, ocorre sem exfiltração de dados para a Internet. Google Cloud

Para configurar o acesso privado às APIs Google, consulte o artigo Configurar o acesso privado à Google para anfitriões no local. A Figura 4 mostra um exemplo do acesso privado do Google:

Figura 4: acesso privado à Google num ambiente de solução Bare Metal

Acesso privado à Google num ambiente de Solução Bare Metal

Segurança dos dados

Ao planear a segurança dos dados num ambiente de solução Bare Metal, tem de ter em atenção como os dados encriptados são armazenados e como proteger as suas aplicações em execução no Google Cloud ou num centro de dados no local.

Encriptação de armazenamento

Por predefinição, a solução Bare Metal encripta os dados em repouso. Seguem-se alguns factos acerca da encriptação de armazenamento em repouso num ambiente de solução Bare Metal:

  • Para aprovisionar o armazenamento, criamos uma máquina virtual de armazenamento (SVM) num cluster NetApp para cada cliente e associamos a SVM a um volume de dados reservado antes de o disponibilizar ao cliente.
  • Quando criamos um volume de dados encriptados, o processo de encriptação gera uma chave de encriptação de dados XTSAES-256 exclusiva. Nunca pré-geramos uma chave.
  • As SVMs oferecem isolamento num ambiente multi-inquilino. Cada SVM aparece como um único servidor independente, o que permite que existam várias SVMs num cluster e garante que não existem fluxos de dados entre as SVMs.
  • Não apresentamos as chaves em texto simples. O gestor de chaves integrado da NetApp armazena, gere e protege as chaves.
  • Nem a Google Cloud nem o fornecedor têm acesso às suas chaves.
  • O cluster de armazenamento Netapp armazena e encripta todos os dados em repouso, incluindo o sistema operativo e as partições de arranque.
  • Se optar por deixar de usar a Solução Bare Metal no final do seu contrato, apagamos criptograficamente e colocamos em quarentena os seus volumes de armazenamento durante 7 dias antes de poderem ser reutilizados.

Segurança para aplicações

Quando trabalha com a solução Bare Metal, pode proteger as suas aplicações em execução Google Cloud num ambiente na nuvem ou num ambiente no local.

Aplicações em execução no Google Cloud
  • A Bare Metal Solution é executada em extensões regionais. O único caminho de rede para ou a partir da extensão regional é através de uma Partner Interconnect para a região associada através de anexos de VLAN específicos do cliente. Google Cloud
  • Por predefinição, os servidores da Solução Bare Metal não têm acesso à Internet. Se precisar de acesso à Internet para operações como a aplicação de patches ou atualizações, crie uma instância de NAT. Para mais informações, consulte o artigo Aceder à Internet.
  • Uma sessão BGP fornece encaminhamento dinâmico entre os Cloud Routers na VPC e os routers da extensão regional. Como resultado, se colocar recursos na VPC associada à extensão regional, estes recursos têm acesso direto aos servidores da Bare Metal Solution. Da mesma forma, os recursos executados em sub-redes adicionadas recentemente também têm acesso aos servidores do Bare Metal Solution. Se precisar de permitir ou negar o acesso a recursos específicos, use políticas de firewall para restringir o comportamento predefinido que permite o acesso a todos os recursos da Bare Metal Solution.

  • Conforme mostrado na Figura 5, use o peering de VPC para permitir que os recursos executados numa VPC diferente no mesmo projeto ou num projeto diferente acedam aos servidores da Bare Metal Solution. Nos Cloud Routers redundantes, adicione um anúncio personalizado que aponte para o intervalo CIDR da rede com peering.

    Figura 5: intercâmbio da VPC e o ambiente da Solução Bare Metal

    Intercâmbio da VPC e o ambiente da Solução Bare Metal

  • Conforme mostrado na Figura 6, use uma arquitetura de VPC partilhada para permitir que os recursos de diferentes projetos acedam aos servidores da Bare Metal Solution. Neste caso, tem de criar associações de VLAN no projeto anfitrião para que todos os recursos possam aceder aos servidores associados à VPC partilhada.

    Figura 6: VPC partilhada e o ambiente da Solução Bare Metal

    VPC partilhada e o ambiente da solução Bare Metal

  • Pode fazer uma cópia de segurança das suas bases de dados com o Oracle Recovery Manager (RMAN) ou soluções de cópia de segurança, como o Actifio. Para saber como o Actifio se integra nativamente com o RMAN, consulte o seguinte guia do Actifio. Pode armazenar dados de cópia de segurança no Cloud Storage e selecionar diferentes níveis do Cloud Storage para satisfazer os seus requisitos para o objetivo de tempo de recuperação (OTR) e o objetivo de ponto de recuperação (OPR).

Apps em execução nas instalações
  • Conforme mencionado anteriormente, o único caminho de rede para ou a partir da extensão regional da solução Bare Metal é através de uma Partner Interconnect para a região associada Google Cloud. Para estabelecer ligação aos servidores da Bare Metal Solution a partir do seu ambiente nas instalações, tem de ligar o centro de dados nas instalações ao Google Cloud PlatformGoogle Cloud através de uma Interligação dedicada, uma Interligação de parceiro ou uma VPN do Google Cloud. Para mais informações sobre estas opções de ligação, consulte o artigo Escolher um produto de conetividade de rede.
  • Para ativar as rotas para a sua rede no local, tem de modificar os routers na nuvem redundantes com um anúncio personalizado que aponte para o intervalo CIDR da sub-rede no local. Use regras de firewall para permitir ou bloquear o acesso aos servidores.

Segurança operacional

Na secção Segurança física deste guia, aprendeu que restringimos fortemente o acesso à infraestrutura da solução Bare Metal numa extensão regional. Concedemos acesso ao pessoal autorizado de forma temporária, limitada e com base na necessidade de utilização. Auditamos os registos de acesso, analisamo-los para detetar anomalias e utilizamos a monitorização e os alertas ininterruptos para evitar o acesso não autorizado.

Para a segurança operacional, existem várias opções. Uma solução que se integra nativamente com o produto Bindplane da Blue Medora. Google Cloud O Bindplane integra-se com os agentes de observabilidade do Google Cloud e permite-lhe capturar métricas e registos da infraestrutura da solução Bare Metal, incluindo a base de dados Oracle e os registos de aplicações Oracle.

Prometheus é uma solução de monitorização de código aberto que pode usar para monitorizar a infraestrutura da Bare Metal Solution e as bases de dados Oracle executadas na mesma. Pode direcionar as trilhas de auditoria do sistema e da base de dados para o Prometheus, que funciona como um painel único para monitorizar e enviar alertas de qualquer atividade suspeita.

O Oracle Enterprise Manager é popular entre os utilizadores que o usam num ambiente no local. Pode usar o OEM num ambiente da Bare Metal Solution para realizar tarefas de monitorização e alerta da mesma forma que no seu centro de dados no local.

Segurança da base de dados

Concebemos a Solução Bare Metal para ser o mais semelhante possível ao seu ambiente no local, de modo que possa usá-la com o mínimo de esforço e aprendizagem. Como resultado, pode trazer facilmente as funcionalidades, as práticas e os processos relacionados com a segurança da base de dados Oracle existentes para a Solução Bare Metal. Pode complementar o seu portefólio de segurança com as funcionalidades de segurança que oGoogle Cloud oferece.

Para a segurança da base de dados, vamos rever os controlos de segurança da Oracle que deve ativar. Isto inclui a autenticação, a autorização e o controlo de acesso dos utilizadores, a auditoria e a encriptação.

Autenticação do utilizador

  • Implemente políticas de palavras-passe, como complexidade e comprimento, se usar a autenticação básica.
  • Reforce o seu sistema de autenticação através de certificados TLS, Kerberos ou RADIUS.
  • Use a autenticação baseada em proxy para ativar a autenticação e a auditoria ao nível da base de dados. Este método é útil se optar por não mapear os utilizadores da aplicação para os utilizadores da base de dados e ativar a autenticação ao nível da aplicação.

Para mais recomendações de autenticação, consulte o artigo Configurar a autenticação no guia de segurança da base de dados Oracle.

Autorização e controlo de acesso

  • Gerir a autorização através de privilégios de objetos, privilégios do sistema e funções identificadas na base de dados. Também pode complementar esta prática com funcionalidades mais avançadas e seguras, como o Database Vault.

  • Faça a gestão de utilizadores e grupos com os utilizadores geridos centralmente (CMU). Com a CMU, pode tirar partido da sua infraestrutura do Active Directory existente para centralizar a gestão de utilizadores da base de dados e a autorização em várias bases de dados Oracle.

    Para mais informações sobre a CMU, consulte o artigo Configurar utilizadores geridos centralmente com o Microsoft Active Directory no guia de segurança da base de dados Oracle.

  • Use o Database Vault para introduzir a separação de funções e o controlo de acesso para utilizadores com privilégios elevados.

    Para mais informações sobre o Database Vault, consulte o Guia do administrador do Oracle Database Vault.

  • Tire partido de ferramentas e técnicas adicionais, como a análise de privilégios e a ocultação de dados.

    • A ferramenta de análise de privilégios ajuda a monitorizar ativamente a utilização de privilégios e funções pelos utilizadores finais. Para mais informações sobre a análise de privilégios, consulte o artigo Realizar uma análise de privilégios para encontrar a utilização de privilégios no guia de segurança da base de dados Oracle.
    • A ocultação de dados remove dados de colunas confidenciais e permite o acesso apenas aos utilizadores necessários. Para mais informações sobre a ocultação de dados, consulte o artigo Usar a ocultação de dados da Oracle no guia de segurança avançada da base de dados Oracle.

  • Use a base de dados privada virtual (VPD) e a segurança de etiquetas da Oracle (OLS) para criar um acesso detalhado aos dados modificando as consultas dos utilizadores dinamicamente. Estas ferramentas excluem linhas filtradas pela política de VPD e gerem etiquetas de linhas e utilizadores para identificar se um utilizador deve ter acesso a uma linha específica.

  • Siga o princípio do menor privilégio atribuindo privilégios de funções detalhados a grupos e utilizadores.

Auditorias

  • Tire partido da auditoria unificada, uma funcionalidade que envia todos os dados de auditoria para uma trilha de auditoria unificada. Introduzida na versão 12c para substituir a auditoria de base de dados tradicional, esta funcionalidade cria um ficheiro de rastreio central para todos os eventos de auditoria relacionados com a base de dados e melhora o desempenho do relatório de auditoria.
  • Ative a auditoria detalhada (FGA) para expandir as capacidades de auditoria tradicionais. Esta funcionalidade captura dados de auditoria apenas quando um utilizador acede a uma coluna específica ou cumpre uma condição específica.

  • Use a firewall de base de dados do Vault de auditoria (AVDF) para gerir políticas de auditoria e eventos capturados. Um dos principais exemplos de utilização do ADVF é impedir ataques de injeção SQL. Configura a firewall da base de dados para monitorizar todas as declarações SQL emitidas contra a base de dados durante todo o ciclo de vida da aplicação. A base de dados cria um conjunto de clusters fidedignos e, em seguida, bloqueia qualquer declaração SQL que o firewall da base de dados não conheça.

    Para mais informações, consulte o artigo Monitorização da atividade da base de dados com auditoria no guia de segurança da base de dados Oracle e o guia do Audit Vault and Database Firewall.

Encriptação de dados inativos ou em movimento

  • Embora a Bare Metal Solution encripte automaticamente os dados do utilizador em repouso através de uma chave AES de 256 bits única por volume de dados , também pode ativar a encriptação de dados transparente (TDE) para ter mais controlo sobre o ciclo de vida da chave de encriptação.
  • Use a encriptação de rede nativa ou a encriptação baseada em Transport Layer Security (TLS) para proteger os dados entre o cliente e a base de dados.

  • Quando usar chaves de encriptação geridas pelo cliente (CMEK) para dados da base de dados Oracle, use a opção de segurança avançada (ASO) para ativar a encriptação, as somas de verificação criptográficas de rede (diferentes da soma de verificação de registo durante as leituras e as escritas) e os serviços de autenticação entre os sistemas primário e de reserva no Data Guard.

    Para mais detalhes sobre as opções de encriptação, consulte o artigo Usar a encriptação de dados transparente no guia de segurança avançada da base de dados Oracle.

As sugestões que mencionámos para a segurança da base de dados Oracle na solução Bare Metal não se destinam a ser uma lista exaustiva. Recomendamos vivamente que siga as práticas recomendadas e as recomendações fornecidas pela Oracle e implemente os controlos adequados que se adaptam às suas necessidades específicas de negócio e segurança.

Resumo

A Solução Bare Metal é a sua porta de entrada para o mundo da Google Cloud. Permite-lhe migrar e executar as suas cargas de trabalho críticas tal como estão e mais perto da nuvem, enquanto decide, cria e planeia o seu futuro na nuvem. Juntamente com as práticas recomendadas, as ferramentas e as técnicas partilhadas neste guia, a Bare Metal Solution oferece uma plataforma segura, robusta e potente para executar as suas cargas de trabalho críticas.

Mais importante ainda, este esforço não tem de ser feito à custa da segurança. Quando subscreve a Bare Metal Solution, recebe servidores bare metal suportados por várias camadas de segurança incorporadas, incluindo a camada física, a camada de armazenamento e a camada de rede. Como tal, o serviço Bare Metal Solution integra a segurança em todas as fases da infraestrutura para satisfazer as suas necessidades críticas para a missão de desempenho seguro em grande escala.

Principais pontos a reter:

  1. A segurança é uma responsabilidade partilhada.
  2. Siga o princípio do menor privilégio.
  3. Siga o princípio da separação de funções.
  4. Evite a exfiltração de dados acedendo aos Google Cloud serviços através de restricted.googleapis.com.
  5. Ative o acesso privado à Google no seu projeto para mitigar a exfiltração de dados, o acesso não autorizado e controlar as políticas de segurança de forma centralizada.
  6. Siga as práticas recomendadas definidas pela Oracle para a segurança da base de dados Oracle.