Fornecer segurança para cargas de trabalho empresariais em um ambiente de Solução Bare Metal

Como a Solução Bare Metal permite aproximar as cargas de trabalho corporativas tradicionais do Google Cloud, uma pergunta comum de arquitetos empresariais e arquitetos de segurança é "Como faço para proteger minhas cargas de trabalho?". O objetivo deste guia é fornecer os elementos de design de segurança e conformidade que você precisa considerar ao planejar suas cargas de trabalho empresariais, como bancos de dados Oracle para a Solução Bare Metal. Também vamos falar sobre os controles e recursos de segurança do Google Cloud que protegem os recursos da sua empresa e vamos indicar algumas das práticas recomendadas de segurança da Oracle.

Segurança em um ambiente de Solução Bare Metal

O ambiente da Solução Bare Metal inclui servidores Bare Metal personalizados criados em extensões regionais. Conforme visto na Figura 1, uma extensão regional é uma instalação de colocation colocada perto de regiões selecionadas do Google Cloud e conectada ao Google Cloud com uma conexão gerenciada de alto desempenho e um baixo -latência da rede.

Figura 1: Solução Bare Metal - Extensão regional conectada ao Google Cloud

Extensão regional conectada ao Google Cloud

Por causa dessa arquitetura, você precisa considerar maneiras de proteger os servidores da Solução Bare Metal e os componentes do Google Cloud incluídos no seu design. Felizmente, o Google Cloud fornece e gerencia os seguintes componentes para a Solução Bare Metal:

  • Infraestrutura principal, incluindo instalações de energia e ambiente seguro e controlado
  • Segurança física
  • Infraestrutura de rede e segurança
  • Recursos de monitoramento de hardware
  • Acesso aos serviços do Google Cloud
  • Provisionamento e manutenção de hardware de locatário individual
  • Rede de área de armazenamento local (SAN)
  • Suporte técnico inteligente: suporte no local para atividades como substituições de hardware

Em um ambiente da Solução Bare Metal, a segurança é uma responsabilidade compartilhada. A boa notícia é que é possível trazer suas próprias práticas recomendadas de segurança e complementá-las com as ofertas integradas que a Solução Bare Metal oferece. A Figura 2 mostra um resumo de quais componentes de segurança você precisa fornecer e quais são fornecidos pelo Google Cloud.

Figura 2: resumo das responsabilidades de segurança: cliente e Google Cloud

Resumo das responsabilidades de segurança: cliente e Google Cloud

Planejar a segurança do ambiente da Solução Bare Metal

Para planejar sua estratégia de segurança de Soluções Bare Metal, considere os seis pilares de segurança abaixo:

  1. Segurança física
  2. Compliance
  3. Segurança de rede
  4. Segurança de dados
  5. Segurança operacional
  6. Segurança de bancos de dados

Vamos analisar esses pilares de segurança em mais detalhes.

Segurança física

Os componentes físicos da Solução Bare Metal residem em uma extensão regional (uma instalação de colocation) executada por um fornecedor. Uma conexão de Interconexão por parceiro de alta velocidade e baixa latência vincula a extensão regional à região do Google Cloud mais próxima.

O fornecedor gerencia a extensão regional e as instalações dela, como energia, refrigeração, racking e empilhamento e gerenciamento de armazenamento. O fornecedor também mantém os recursos físicos padrão de segurança e segurança do setor, incluindo, entre outros:

  • As gaiolas têm paredes seguras de laço ou superior de malha.
  • As câmeras de vídeo em cada instalação monitoram as gaiolas, os corredores e as portas 24 horas por dia, 7 dias por semana. As câmeras têm uma visão clara de cada gaiola, para cada corredor e para cada porta de entrada e saída.
  • Todas as portas da instalação têm alarmes para garantir que estejam fechadas corretamente.
  • Quem entra em uma gaiola precisa ter aprovação prévia da equipe de coordenação de extensões regional e acesso apropriado concedido por meio da equipe de segurança de extensões regional.
  • A equipe de coordenação de extensões regional gerencia todo o acesso com tíquetes individuais por visita.
  • A instalação exige que a equipe autorizada use um bloqueio biométrico para entrar na instalação e um selo para sair.
  • Todas as prateleiras estão travadas. Um armário de chaves eletrônicas distribui chaves de racks específicos para funcionários autorizados de acordo com a necessidade. O chaveiro também rastreia o acesso ao rack.
  • Uma equipe de segurança de colocation gerencia o acesso e mantém os relatórios com base nos requisitos de certificação de conformidade com PCI e ISO.
  • Outras medidas de segurança física são consistentes com as práticas recomendadas do setor e com os requisitos regulamentares aplicáveis.

Compliance

A Solução Bare Metal atende a requisitos de compliance exigentes com certificações do setor, como ISO, PCI DSS e HIPAA, além de certificações regionais quando aplicável. Para mais informações sobre compliance, acesse a Central de recursos de conformidade.

Segurança de rede

A segurança de rede é oferecida em duas camadas, como mostrado na Figura 3:

  1. Os anexos da VLAN da camada 3 conectam sua nuvem privada virtual do Google a uma instância exclusiva de roteamento e encaminhamento virtual (VRF, na sigla em inglês) nos roteadores perimetrais da Solução Bare Metal.

  2. No ambiente da Solução Bare Metal, as VLANs da camada 2 fornecem a segurança e o isolamento necessários para os dados. Use uma sub-rede de cliente para se conectar ao Google Cloud e uma sub-rede particular opcional para hospedar seus próprios serviços e armazenamento.

Figura 3: segurança de rede em um ambiente da Solução Bare Metal

Segurança de rede em um ambiente de Solução Bare Metal

Se você usar as APIs do Google Cloud no ambiente da Solução Bare Metal para acessar os serviços do Google Cloud, o Google Cloud vai criptografar a transferência de dados por padrão entre a Solução Bare Metal e o serviço específico, de acordo com nossas políticas de criptografia. Por exemplo, se você usar o utilitário gsutil ou as APIs para fazer backup de dados no Cloud Storage, a transferência dos dados da Solução Bare Metal para o Cloud Storage usará a criptografia de dados por padrão.

Aplicar um perímetro seguro com o Acesso privado do Google

O Acesso privado do Google, também conhecido como VPC Service Controls, permite definir perímetros de segurança em torno de dados confidenciais nos serviços do Google Cloud e oferece as seguintes funcionalidades: benefícios:

  • Limita o risco de exfiltração de dados. A exfiltração de dados acontece quando uma pessoa autorizada extrai dados de um sistema seguro em que os dados pertencem e os compartilha com terceiros não autorizados ou os move para um sistema não seguro.
  • Acessa os serviços do Google Cloud de forma privada no local.
  • Aplica o acesso baseado no contexto pela Internet.
  • Gerencia políticas de segurança com base em um local central.

Com a Solução Bare Metal, você aproveita os serviços nativos e escalonáveis da nuvem do Google Cloud usando a Interconexão por parceiro. Ativar um perímetro baseado em controles de serviços da VPC garante que o acesso a todos os serviços do Google Cloud, como o BigQuery e o Cloud Storage, ocorra sem exfiltração de dados para a Internet.

Para configurar o acesso privado a APIs do Google, consulte Como configurar o Acesso privado do Google para hosts locais. A Figura 4 mostra um exemplo de Acesso privado do Google:

Figura 4: acesso privado do Google em um ambiente da Solução Bare Metal

Acesso privado do Google em um ambiente de Solução Bare Metal

Segurança de dados

Ao planejar a segurança de dados em um ambiente da Solução Bare Metal, saiba como os dados criptografados são armazenados e como proteger os aplicativos em execução no Google Cloud ou em um data center no local.

Criptografia de armazenamento

Por padrão, a Solução Bare Metal criptografa dados em repouso. Veja alguns fatos sobre a criptografia de armazenamento em repouso em um ambiente da Solução Bare Metal:

  • Para provisionar armazenamento, criamos uma máquina virtual de armazenamento (SVM, na sigla em inglês) em um cluster da NetApp para cada cliente e associamos a SVM a um volume de dados reservado antes de fornecê-lo a ao cliente.
  • Quando criamos um volume de dados criptografado, o processo gera uma chave de criptografia de dados XTSAES-256 exclusiva. Nunca geramos uma chave previamente.
  • As SVMs fornecem isolamento em um ambiente multilocatário. Cada SVM aparece como um único servidor independente, permitindo que várias SVMs coexistam em um cluster e garante que não haja fluxo de dados entre as SVMs.
  • Não exibimos as chaves em texto simples. O gerenciador de chaves integrado da NetApp armazena, gerencia e protege as chaves.
  • O Google Cloud e o fornecedor não têm acesso às suas chaves.
  • O Netapp Storage Cluster armazena e criptografa todos os dados em repouso, incluindo o sistema operacional e as partições de inicialização.
  • Se você quiser interromper o uso da Solução Bare Metal ao final do contrato, vamos apagar e colocar em quarentena os volumes de armazenamento por criptografia por sete dias antes que possam ser reutilizados.

Segurança para aplicativos

Ao trabalhar com a Solução Bare Metal, é possível seus aplicativos em execução no Google Cloud ou em um ambiente local.

Aplicativos em execução no Google Cloud
  • A Solução Bare Metal é executada em extensões regionais. O único caminho de rede que parte da extensão regional ou sai dela usa uma Interconexão por parceiro para a região do Google Cloud associada utilizando anexos da VLAN específicos do cliente.
  • Por padrão, os servidores da Solução Bare Metal não têm acesso à Internet. Se você precisar de acesso à Internet para operações como aplicação de patch ou atualizações, crie uma instância NAT. Para mais informações, consulte Como acessar a Internet.
  • Uma sessão do BGP fornece roteamento dinâmico entre os Cloud Routers na VPC e os roteadores da extensão regional. Como resultado, se você colocar recursos na VPC anexada à extensão regional, eles vão ter acesso direto aos servidores da Solução Bare Metal. Da mesma forma, os recursos em execução nas sub-redes adicionadas recentemente também têm acesso aos servidores da Solução Bare Metal. Se você precisar permitir ou negar o acesso a recursos específicos, use políticas de firewall para restringir o comportamento padrão que permite o acesso a todos os recursos da Solução Bare Metal.
  • Conforme mostrado na Figura 5, use o peering de VPC para ativar os recursos em execução em uma VPC diferente no mesmo projeto ou em um projeto diferente para acessar o Bare Metal Servidores de solução. Nos Cloud Routers redundantes, adicione uma divulgação personalizada que aponta para o intervalo CIDR da rede com peering.

    Figura 5: peering de VPC e o ambiente da Solução Bare Metal

    Peering de VPC e ambiente da Solução Bare Metal

  • Conforme mostrado na Figura 6, use uma arquitetura de VPC compartilhada para permitir que recursos de diferentes projetos acessem os servidores da Solução Bare Metal. Nesse caso, é necessário criar anexos da VLAN no projeto host para que todos os recursos possam acessar os servidores anexados à VPC compartilhada.

    Figura 6: VPC compartilhada e o ambiente da Solução Bare Metal

    VPC compartilhada e o ambiente da Solução Bare Metal

  • É possível fazer backup dos bancos de dados com o Oracle Recovery Manager (RMAN) ou soluções de backup, como o Actifio. Para saber como o Actifio se integra nativamente ao RMAN, consulte o seguinte guia do Actitio. É possível armazenar dados de backup no Cloud Storage e selecionar diferentes níveis do Cloud Storage para atender aos requisitos de objetivos de tempo de recuperação (RTO, na sigla em inglês) e objetivo de ponto de recuperação (RPO, na sigla em inglês).

Aplicativos em execução no local
  • Como mencionado anteriormente, o único caminho de rede que parte da extensão regional da Solução Bare Metal ou sai dela usa uma Interconexão por parceiro na região associada do Google Cloud. Para se conectar aos servidores da Solução Bare Metal do ambiente local, conecte o data center local ao Google Cloud usando uma Interconexão dedicada, Interconexão por parceiro ou VPN do Cloud de dados. Para mais informações sobre essas opções de conexão, consulte Como escolher um produto de conectividade de rede.
  • Para ativar rotas para sua rede local, modifique os Cloud Routers redundantes com uma divulgação personalizada que aponta para o intervalo CIDR da sub-rede local. Use regras de firewall para permitir ou bloquear o acesso aos servidores.

Segurança operacional

Na seção "Segurança física" deste guia, você aprendeu que restringimos muito o acesso à infraestrutura da Solução Bare Metal em uma extensão regional. Disponibilizamos acesso temporário a equipes autorizadas, que precisa ser limitado e pontual. Auditamos e analisamos os registros de acesso para detectar quaisquer anomalias e usamos monitoramento e alertas 24 horas para evitar o acesso não autorizado.

Para a segurança operacional, existem várias opções. Uma solução que se integra nativamente ao Google Cloud é o produto Bindplane da Blue Medora. O Bindplane é integrado ao pacote de operações do Google Cloud (antigo Pacote de operações do Google Cloud) e permite capturar métricas e registros da Infraestrutura da Solução Bare Metal, incluindo banco de dados Oracle e registros de aplicativos da Oracle.

O Prometheus é uma solução de monitoramento de código aberto que pode ser usada para monitorar a infraestrutura da Solução Bare Metal e os bancos de dados Oracle executados nela. É possível direcionar trilhas de auditoria do banco de dados e do sistema ao Prometheus, que atua como um painel único para monitorar e enviar alertas sobre qualquer atividade suspeita.

O Oracle Enterprise Manager é muito usado por pessoas que trabalham em um ambiente físico. Use o OEM em um ambiente de Solução Bare Metal para realizar tarefas de monitoramento e alerta da mesma forma que no data center local.

Segurança de bancos de dados

Projetamos a Solução Bare Metal para ser o mais semelhante possível ao seu ambiente local. Assim, você consegue usá-la com o mínimo de esforço e aprendizado. Como resultado, é possível trazer facilmente seus recursos de banco de dados Oracle, as práticas de segurança e os processos atuais para a Solução Bare Metal. Conclua seu portfólio de segurança com os recursos de segurança oferecidos pelo Google Cloud.

Para a segurança do banco de dados, vamos analisar os controles de segurança da Oracle que você precisa ativar. Isso inclui autenticação de usuários, autorização e controle de acesso, auditoria e criptografia.

Autenticação do usuário

  • Implemente políticas de senha, como complexidade e comprimento, se estiver usando autenticação básica.
  • Fortaleça seu sistema de autenticação usando certificados TLS, Kerberos ou RADIUS.
  • Use a autenticação baseada em proxy para ativar a autenticação e a auditoria no nível do banco de dados. Esse método é útil quando você opta por não mapear usuários do aplicativo para usuários do banco de dados e ativa a autenticação no nível do aplicativo.

Para mais recomendações de autenticação, consulte Como configurar a autenticação no guia de segurança do banco de dados Oracle.

Autorização e controle de acesso

  • Gerencie a autorização com privilégios de objeto, privilégios de sistema e papéis identificados no banco de dados. Também é possível complementar essa prática com recursos mais avançados e seguros, como o Database Vault.
  • Gerencie usuários e grupos com Usuários gerenciados centralmente (CMU, na sigla em inglês). Com o CMU, é possível aproveitar a infraestrutura atual do Active Directory para centralizar o gerenciamento de usuários do banco de dados e a autorização em vários bancos de dados Oracle.

    Para mais informações sobre o CMU, consulte Como configurar usuários gerenciados centralmente com o Microsoft Active Directory no Guia de segurança do banco de dados Oracle.

  • Use o Database Vault para introduzir a separação de tarefas e o controle de acesso para usuários altamente privilegiados.

    Para mais informações sobre o Database Vault, consulte o Guia do administrador do Oracle Database Vault.

  • Use outras ferramentas e técnicas, como análise de privilégios e edição de dados.

  • Use o Banco de dados privado virtual (VPD, na sigla em inglês) e o Oracle Label Security (OLS) para criar um acesso refinado aos dados modificando as consultas do usuário de maneira dinâmica. Essas ferramentas excluem linhas que são filtradas pela política VPD e gerenciam rótulos de linhas e usuários para identificar se um usuário precisa ter acesso a uma linha específica.

  • Siga o princípio do menor privilégio atribuindo privilégios de papel refinados a grupos e usuários.

Auditoria

  • Aproveite a auditoria unificada, um recurso que envia todos os dados de auditoria para uma trilha de auditoria unificada. Introduzido na versão 12c para substituir a auditoria tradicional do banco de dados, esse recurso cria um arquivo de trilha central para todos os eventos de auditoria relacionados ao banco de dados e melhora o desempenho do relatório de auditoria.
  • Ative a auditoria refinada (FGA, na sigla em inglês) para estender os recursos tradicionais de auditoria. Esse recurso captura dados de auditoria somente quando um usuário acessa uma coluna específica ou atende a uma condição específica.
  • Use o Audit Vault and Database Firewall (AVDF) para gerenciar políticas de auditoria e eventos capturados. Um dos principais casos de uso do ADVF é para evitar ataques de injeção de SQL. Configure o firewall do banco de dados para monitorar todas as instruções SQL emitidas no banco de dados para um ciclo de vida completo do aplicativo. O banco de dados cria um conjunto de clusters confiáveis e bloqueia qualquer instrução SQL não conhecida pelo firewall do banco de dados.

    Para mais informações, consulte Como monitorar a atividade do banco de dados com a auditoria no Guia de segurança do banco de dados Oracle e no Guia de firewall do banco de dados e da auditoria.

Criptografia de dados em repouso e em trânsito

  • Enquanto a Solução Bare Metal criptografa automaticamente os dados do usuário em repouso usando uma chave AES de 256 bits exclusiva por volume de dados, você também pode ativar a Criptografia de dados transparente (TDE, na sigla em inglês) para ter mais controle sobre o ciclo de vida da chave de criptografia.
  • Use criptografia de rede nativa ou criptografia baseada em Transport Layer Security (TLS) para proteger dados entre o cliente e o banco de dados.
  • Ao usar chaves de criptografia gerenciadas pelo cliente (CMEK, na sigla em inglês) para dados do banco de dados Oracle, use a opção de segurança avançada (ASO, na sigla em inglês) para ativar a criptografia, as somas de verificação criptográficas de rede (diferente da soma de verificação de registro durante as leituras e gravações) e os serviços de autenticação entre os sistemas primário e de espera no Data Guard.

    Para mais detalhes sobre opções de criptografia, consulte Como usar a criptografia de dados transparente no Guia de segurança avançado do banco de dados Oracle.

As sugestões que mencionamos para a segurança do Oracle Database na Solução Bare Metal não são uma lista completa. Recomendamos que você siga as práticas recomendadas e as recomendações fornecidas pela Oracle e implemente controles apropriados que atendam às suas necessidades específicas de negócios e segurança.

Resumo

A Solução Bare Metal é seu gateway para o mundo do Google Cloud. Ele permite migrar e executar as cargas de trabalho críticas como estão e mais próximas da nuvem, enquanto você decide, projeta e planeja o futuro da nuvem. Em combinação com as práticas recomendadas, ferramentas e técnicas compartilhadas neste guia, a Solução Bare Metal fornece uma plataforma segura, robusta e avançada para executar cargas de trabalho essenciais.

O mais importante é que esse esforço não precisa prejudicar a segurança. Ao fazer a assinatura da Solução Bare Metal, você recebe servidores Bare Metal compatíveis com várias camadas de segurança integrada, incluindo a camada física, a camada de armazenamento e a camada de rede. Assim, o serviço da Solução Bare Metal integra a segurança em todos os estágios da infraestrutura para atender às suas necessidades críticas de desempenho seguro em escala.

Principais aprendizados:

  1. A segurança é uma responsabilidade compartilhada.
  2. Siga o princípio de privilégio mínimo.
  3. Siga o princípio da separação de deveres.
  4. Evite a exfiltração de dados acessando os serviços do Google Cloud usando o restricted.googleapis.com.
  5. Ative o Acesso privado do Google no seu projeto para reduzir a exfiltração de dados, o acesso não autorizado e controlar as políticas de segurança de maneira centralizada.
  6. Siga as práticas recomendadas da segurança de banco de dados da Oracle para Oracle.