在 Bare Metal 解決方案環境中為企業工作負載提供安全性
由於 Bare Metal 解決方案可讓您將傳統企業工作負載轉移至 Google Cloud,企業架構師和安全架構師常問的問題就是:「如何確保工作負載安全無虞?」本指南旨在提供安全性和法規遵循設計元素,協助您在規劃將 Oracle 資料庫等企業工作負載導入 Bare Metal 解決方案時,考量相關因素。我們也會討論 Google Cloud的安全控制項和功能,以保護您的企業資產,並向您介紹 Oracle 的部分安全性最佳做法。
Bare Metal 解決方案環境中的安全性
Bare Metal 解決方案環境包含在區域擴充功能中代管的專用不含作業系統伺服器。如圖 1所示,區域擴充功能是指位於特定Google Cloud 區域附近的主機代管機房,並透過受管理的高效能連線和低延遲網路結構連線至 Google Cloud 。
圖 1:Bare Metal 解決方案 - 與Google Cloud連線的區域擴充功能
由於採用這種架構,您必須考慮如何保護 Bare Metal Solution 伺服器和設計中包含的 Google Cloud 元件。幸好, Google Cloud 為 Bare Metal 解決方案提供及管理下列元件:
- 核心基礎架構,包括安全、受控環境的設施和電力
- 實體安全
- 網路基礎架構和安全性
- 硬體監控功能
- 存取 Google Cloud 服務
- 佈建及維護單一用戶群硬體
- 區域網路 (SAN)
- 智慧型手部支援:針對硬體更換等活動提供現場支援
在 Bare Metal 解決方案環境中,安全性是共同的責任。好消息是,您可以採用自家的安全最佳做法,並搭配 Bare Metal 解決方案提供的內建產品,進一步強化安全性。圖 2 列出您需要提供的安全性元件,以及 Google Cloud 提供的安全性元件。
圖 2:安全性責任摘要 - 客戶和Google Cloud
規劃 Bare Metal 解決方案環境的安全防護措施
如要規劃 Bare Metal 解決方案的安全策略,請考量下列六項安全支柱:
接下來,我們將進一步探討這些安全支柱。
實體安全
Bare Metal 解決方案的實體元件位於供應商運作的區域擴充功能 (共置設施) 中。高速、低延遲的合作夥伴互連網路連線可將區域擴充功能連結至最近的 Google Cloud區域。
供應商會管理區域擴充功能及其設施,例如電力、冷卻、機架和堆疊,以及儲存空間管理。供應商也維持業界標準的實體安全和防護功能,包括但不限於:
- 籠子採用安全的板塊牆或網狀頂部。
- 各設施的攝影機會 24 小時全年無休地監控籠舍、走道和門。攝影機可清楚拍攝每個籠子內部、每個走道,以及每個出入口和出口門。
- 設施內的所有門都設有警報器,確保門已正確關上。
- 任何進入資料夾的使用者都必須事先取得區域擴充功能協調團隊的核准,並透過區域擴充功能安全性團隊取得適當的存取權。
- 區域擴充功能協調團隊會透過個別的支援單,管理每位訪客的所有存取權。
- 該設施要求授權員工使用生物特徵辨識鎖才能進入設施,並使用識別證才能離開。
- 所有機架都已上鎖。電子鑰匙櫃會將特定機架的鑰匙發給授權人員,但僅限於「需要使用」的情況。鑰匙置物櫃也會追蹤機架存取權。
- 共置安全團隊會根據 PCI 和 ISO 法規遵循認證規定,管理存取權限並維護報表。
- 其他實體安全措施則符合業界最佳做法和適用法規要求。
法規遵循
裸機解決方案符合嚴格的法規遵循要求,並通過 ISO、PCI DSS 和《健康保險流通與責任法案》等業界認證,且同時通過區域認證 (如適用)。如要進一步瞭解法規遵循相關資訊,請前往法規遵循資源中心。
網路安全
網路安全性提供兩個層級,如圖 3所示:
第 3 層 VLAN 連結會將 Google 虛擬私有雲端連線至 Bare Metal 解決方案邊緣路由器上的專屬虛擬路由和轉送例項 (VRF)。
在 Bare Metal 解決方案環境中,第 2 層 VLAN 可提供資料所需的安全性和隔離功能。您可以使用用戶端子網路連線至 Google Cloud,並使用選用的私人子網路來代管自己的服務和儲存空間。
圖 3:Bare Metal 解決方案環境中的網路安全性
如果您使用 Google Cloud Bare Metal 解決方案環境中的 API 存取 Google Cloud 服務, Google Cloud 會根據我們的加密政策,預設加密 Bare Metal 解決方案與特定服務之間的資料傳輸。舉例來說,如果您使用 Google Cloud CLI 或 API 備份 Cloud Storage 中的資料,從裸機解決方案傳輸至 Cloud Storage 的資料預設會使用資料加密功能。
運用私人 Google 存取權建立安全邊界
私人 Google 存取權 (也稱為 VPC 服務控管) 可讓您針對 Google Cloud 服務中的機密資料定義安全範圍,並提供下列優點:
- 降低資料竊取風險。資料竊取是指獲授權人員從資料所屬的安全系統中擷取資料,並將資料分享給未經授權的第三方或移至不安全的系統。
- 從內部部署環境以私密方式存取 Google Cloud 服務。
- 強制執行來自網路的情境感知存取權。
- 集中管理安全性政策。
只要採用 Bare Metal 解決方案,即可透過合作夥伴互連網路,運用 Google Cloud的原生雲端服務和可擴充服務。啟用以 VPC Service Controls 為基礎的範圍,可進一步確保所有 Google Cloud 服務 (例如 BigQuery 和 Cloud Storage) 的存取權,不會導致任何資料外洩至網際網路。
如要設定 Google API 的私人存取權,請參閱「為內部部署主機設定私人 Google 存取權」。圖 4 顯示私人 Google 存取權的範例:
圖 4:Bare Metal 解決方案環境中的私人 Google 存取權
資料安全性
在 Bare Metal 解決方案環境中規劃資料安全性時,您必須瞭解加密資料的儲存方式,以及如何保護在 Google Cloud 或內部部署資料中心執行的應用程式。
儲存空間加密
根據預設,Bare Metal 解決方案會加密靜態資料。以下是關於 Bare Metal 解決方案環境中靜態儲存空間加密功能的幾個事實:
- 為了配置儲存空間,我們會為每位客戶在 NetApp 叢集中建立儲存空間虛擬機器 (SVM),並將 SVM 與預留資料磁碟區建立關聯,再提供給客戶。
- 建立加密資料磁碟區時,加密程序會產生專屬的 XTSAES-256 資料加密金鑰。我們絕不會預先產生金鑰。
- SVM 可在多用戶環境中提供隔離功能。每個 SVM 都會顯示為單一獨立伺服器,可讓多個 SVM 在叢集中共存,並確保 SVM 之間沒有資料流量。
- 我們不會以純文字格式顯示金鑰。NetApp 內建金鑰管理器會儲存、管理及保護金鑰。
- Google Cloud 和供應商都無法存取您的金鑰。
- NetApp 儲存叢集會儲存並加密所有靜態資料,包括作業系統和啟動分區。
- 如果您選擇在合約到期後停止使用 Bare Metal Solution,我們會以加密方式刪除您的儲存體磁碟區,並將其隔離 7 天,之後才能重複使用。
應用程式安全防護
使用 Bare Metal 解決方案時,您可以保護在 Google Cloud 或內部部署環境中執行的應用程式。
在 Google Cloud中執行的應用程式
- 裸機解決方案會在區域擴充功能中執行;從區域擴充功能傳送或接收資料的唯一網路路徑,是透過合作夥伴互連網路,經由客戶專屬的 VLAN 連結,連往相關的 Google Cloud區域。
- 根據預設,Bare Metal 解決方案伺服器無法存取網際網路。如果您需要透過網際網路執行修補或更新等作業,請建立 NAT 執行個體。詳情請參閱「存取網際網路」。
- BGP 工作階段會在 VPC 中的 Cloud Router 和區域擴充功能路由器之間提供動態路由。因此,如果您將資源放置在附加至區域擴充功能的 VPC 中,這些資源就能直接存取 Bare Metal 解決方案伺服器。同樣地,在新增子網路中執行的資源也可以存取 Bare Metal 解決方案伺服器。如果您需要允許或拒絕存取特定資源,請使用防火牆政策限制預設行為,允許存取所有 Bare Metal 解決方案資源。
如圖 5所示,請使用虛擬私有雲 peering,讓在同一個專案中不同虛擬私有雲中運作的資源,或不同專案中的資源,能夠存取裸機解決方案伺服器。在備援 Cloud Router 上,新增指向對等網路 CIDR 範圍的自訂廣告。
圖 5:虛擬私有雲對等互連和 Bare Metal 解決方案環境
如圖 6所示,請使用共用虛擬私有雲架構,允許不同專案的資源存取裸機解決方案伺服器。在這種情況下,您必須在主專案中建立 VLAN 連結,讓所有資源都能存取已連結至共用虛擬私有雲的伺服器。
圖 6:共用虛擬私有雲和 Bare Metal 解決方案環境
您可以使用 Oracle Recovery Manager (RMAN) 或 Actifio 等備份解決方案來備份資料庫。如要瞭解 Actifio 如何與 RMAN 原生整合,請參閱以下 Actifio 指南。您可以將備份資料儲存在 Cloud Storage 中,並選取不同的 Cloud Storage 層級,滿足復原時間目標 (RTO) 和復原點目標 (RPO) 的要求。
在地端部署環境中執行的應用程式
- 如先前所述,Bare Metal 解決方案區域擴充功能的唯一網路路徑,就是透過合作夥伴互連網路連往相關的 Google Cloud區域。如要從內部部署環境連線至裸機解決方案伺服器,您必須使用專屬互連網路、合作夥伴互連網路或 Cloud VPN,將內部部署資料中心連線至Google Cloud 。如要進一步瞭解這些連線選項,請參閱「選擇網路連線產品」一文。
- 如要啟用內部部署網路的路徑,您必須修改備援 Cloud Router,並使用指向內部部署子網路 CIDR 範圍的自訂廣告。使用防火牆規則允許或封鎖對伺服器的存取。
作業安全性
在本指南的「實體安全性」一節中,您已瞭解我們會嚴格限制區域擴充功能內 Bare Metal 解決方案基礎架構的存取權。我們會將存取權提供給授權人員,但僅限於「有需要時」的臨時性存取權。我們會稽核存取記錄並加以分析,以便偵測任何異常情況,並全年無休地進行監控及發出警報,以防範未經授權的存取行為。
在營運安全性方面,您有幾種選擇。與 Google Cloud 原生整合的解決方案之一,就是 Blue Medora 的 Bindplane 產品。Bindplane 可與 Google Cloud 可觀測性代理程式 整合,讓您擷取 Bare Metal 解決方案基礎架構中的指標和記錄,包括 Oracle 資料庫和 Oracle 應用程式記錄。
Prometheus 是開放原始碼監控解決方案,可用於監控 Bare Metal 解決方案基礎架構,以及在該基礎架構上執行的 Oracle 資料庫。您可以將資料庫和系統稽核記錄導向 Prometheus,讓 Prometheus 充當單一資訊窗,監控並傳送任何可疑活動的快訊。
Oracle Enterprise Manager 在內部部署環境中廣受歡迎。您可以在 Bare Metal 解決方案環境中使用 OEM,以與內部部署資料中心相同的方式執行監控和警示作業。
資料庫安全性
我們設計 Bare Metal 解決方案時,盡可能讓它與您的內部部署環境相似,讓您在使用時不必花費太多心力和學習時間。因此,您可以輕鬆將現有的安全性相關 Oracle 資料庫功能、安全性做法和程序,移轉至 Bare Metal 解決方案。您可以透過Google Cloud 提供的安全防護功能,補強安全防護組合。
就資料庫安全性而言,請查看應啟用的 Oracle 安全性控管機制。包括使用者驗證、授權和存取權控管、稽核和加密。
使用者驗證
- 如果使用基本驗證,請實施密碼政策,例如複雜性和長度。
- 使用 TLS 憑證、Kerberos 或 RADIUS 強化驗證系統。
- 使用 Proxy 驗證功能,在資料庫層級啟用驗證和稽核功能。如果您選擇不將應用程式使用者對應至資料庫使用者,並在應用程式層級啟用驗證功能,這個方法就很實用。
如需其他驗證建議,請參閱 Oracle Database 安全性指南中的「設定驗證」一節。
授權和存取權控管
- 透過資料庫內的物件權限、系統權限和角色管理授權。您也可以搭配使用更進階且安全的功能,例如資料庫保管箱,來強化這項做法。
使用集中管理使用者 (CMU) 管理使用者和群組。有了 CMU,您就能利用現有的 Active Directory 基礎架構,集中管理多個 Oracle 資料庫的資料庫使用者和授權。
如要進一步瞭解 CMU,請參閱 Oracle Database 安全性指南中的「使用 Microsoft Active Directory 設定集中管理的使用者」。
使用 資料庫保管箱,為具備高度權限的使用者引入職務分離和存取權控制機制。
如要進一步瞭解 Database Vault,請參閱 Oracle Database Vault 管理員指南。
運用其他工具和技巧,例如權限分析和資料遮蓋。
- 權限分析工具可協助您主動監控使用者對權限和角色的使用情形。如要進一步瞭解權限分析,請參閱 Oracle Database 安全性指南中的「執行權限分析,找出權限使用情形」。
- 資料遮蓋功能會移除機密欄資料,並只允許必要使用者存取。如要進一步瞭解資料遮蓋功能,請參閱 Oracle Database 進階安全性指南中的「使用 Oracle 資料遮蓋功能」。
使用虛擬私有資料庫 (VPD) 和 Oracle 標籤安全性 (OLS),透過動態修改使用者查詢,建立精細的資料存取權。這些工具會排除受 VPD 政策篩選的資料列,並管理資料列和使用者標籤,以便判斷使用者是否應有權存取特定資料列。
- 如要進一步瞭解 VPD,請參閱 Oracle Database 安全性指南中的「使用 Oracle 虛擬私有資料庫控管資料存取權」一節。
- 如要進一步瞭解 OLS,請參閱 Oracle 標籤安全性管理員指南。
遵循最小權限原則,為群組和使用者指派精細的角色權限。
稽核
- 利用統合稽核功能,將所有稽核資料傳送至統合稽核追蹤記錄。這項功能在 12c 版中推出,用於取代傳統資料庫稽核功能,可為所有資料庫相關稽核事件建立中央追蹤記錄檔,並提升稽核報表效能。
- 啟用精細稽核 (FGA) 功能,擴充傳統稽核功能。這項功能只會在使用者存取特定資料欄或符合特定條件時,擷取稽核資料。
使用稽核保管箱資料庫防火牆 (AVDF) 管理稽核政策和擷取的事件。ADVF 的主要用途之一,是防範 SQL 注入攻擊。您可以設定資料庫防火牆,監控應用程式完整生命週期中針對資料庫發出的所有 SQL 陳述式。資料庫會建立一組可信任的叢集,然後封鎖資料庫防火牆不認識的任何 SQL 陳述式。
詳情請參閱 Oracle 資料庫安全性指南中的「透過稽核功能監控資料庫活動」和「Audit Vault 和資料庫防火牆指南」。
加密靜態資料和傳輸中的資料
- 雖然裸機解決方案會根據每個資料量使用獨特的 AES 256 位元金鑰,自動加密使用者的靜態資料,您也可以啟用透明資料加密 (TDE),進一步控管加密金鑰的生命週期。
- 使用原生網路加密或傳輸層安全標準 (TLS) 加密機制,確保用戶端與資料庫之間的資料安全。
將客戶管理的加密金鑰 (CMEK) 用於 Oracle 資料庫資料時,請使用進階安全性選項 (ASO) 啟用加密功能、加密編譯網路總和檢查碼 (與讀取和寫入期間的記錄總和檢查碼不同),以及 Data Guard 中主要系統和待機系統之間的驗證服務。
如要進一步瞭解加密選項,請參閱 Oracle Database 進階安全性指南中的「使用透明資料加密」一節。
我們在 Bare Metal 解決方案上提到的 Oracle 資料庫安全性建議,並非詳盡清單。我們強烈建議您遵循 Oracle 提供的最佳做法和建議,並導入適合您特定業務和安全需求的適當控管機制。
摘要
Bare Metal 解決方案是進入 Google Cloud世界的入口,您可以使用這項服務,在決定、設計及規劃未來雲端服務時,將重要工作負載以原樣方式遷移並執行,並將其遷移至雲端。搭配本指南提供的最佳做法、工具和技巧,Bare Metal 解決方案可提供安全、可靠且強大的平台,執行重要的工作負載。
最重要的是,這項努力不必犧牲安全性。訂閱 Bare Metal 解決方案後,您將獲得實體伺服器,並享有多層內建安全防護,包括實體層、儲存層和網路層。因此,Bare Metal 解決方案服務會在基礎架構的每個階段整合安全性,滿足您在安全效能方面的重點需求。
重點回顧:
- 維護安全是共同的責任。
- 遵循最低權限原則。
- 遵循權責劃分原則。
- 透過 restricted.googleapis.com 存取 Google Cloud 服務,防止資料遭竊。
- 在專案中啟用私人 Google 存取權,以便減少資料外洩、未經授權的存取行為,並集中控管安全性政策。
- 遵循 Oracle 針對 Oracle 資料庫安全性所提供的最佳做法。