在裸金属解决方案环境中为企业工作负载提供安全保障

由于裸金属解决方案使传统企业工作负载更接近 Google Cloud,因此企业架构师和安全架构师的一个常见问题是:“如何保护工作负载?”本指南的目标是为您提供在规划将企业工作负载(例如 Oracle 数据库)迁移到裸金属解决方案时应该考虑的安全性和合规性设计元素。我们还将讨论 Google Cloud 用于保护您的企业资产的安全控制措施和功能,并为您介绍 Oracle 的一些安全最佳做法。

裸金属解决方案环境中的安全性

裸金属解决方案环境包括在区域扩展中托管的专用裸机服务器。如图 1 所示,区域扩展是位于选定 Google Cloud 区域附近的对接网点,通过代管式高性能连接和低延迟的网络架构连接到 Google Cloud。

图 1:裸金属解决方案 - 连接到 Google Cloud 的区域扩展

连接到 Google Cloud 的区域扩展

由于这种架构,您需要考虑如何保护裸金属解决方案服务器以及设计中包含的 Google Cloud 组件。幸运的是,Google Cloud 为裸金属解决方案提供和管理以下组件:

  • 核心基础架构,包括安全可控的环境设施和电源
  • 物品安全
  • 网络基础架构和安全性
  • 硬件监控功能
  • 对 Google Cloud 服务的访问权限
  • 单租户硬件的预配和维护
  • 本地存储区域网络 (SAN)
  • 智能手动支持:对硬件替换等活动的现场支持

在裸金属解决方案环境中,安全性是我们共同的责任。好消息是,您在使用自己的安全最佳做法的同时,还可以使用裸金属解决方案提供的内置产品进行补充。图 2 简要显示了您需要提供的安全组件和由 Google Cloud 负责提供的组件。

图 2:安全责任摘要 - 客户和 Google Cloud

安全责任摘要 - 客户和 Google Cloud

规划裸金属解决方案环境的安全性

要规划裸金属解决方案的安全策略,您需要考虑以下六个安全要素

  1. 物品安全
  2. 法规遵从
  3. 网络安全
  4. 数据安全
  5. 运营安全
  6. 数据库安全

我们来详细了解一下各个安全要素。

物品安全

裸金属解决方案的物理组件位于供应商运行的区域扩展(对接网点)中。高速、低延迟的合作伙伴互连连接可将区域扩展链接到最近的 Google Cloud 区域。

供应商管理区域扩展及其设施,例如电源、冷却、机架和堆叠以及存储管理。供应商还维护业界标准的物品安全和安全功能,包括但不限于以下内容:

  • 电梯梯厢采用安全的 Slab 到 Slab 墙或网状顶。
  • 每个网点的摄像头都每周 7 天、每天 24 小时监控电梯梯厢、走廊和门口。摄像头可以清楚地看到每个电梯梯厢内、每个走廊以及每个出入口。
  • 设施中的所有门都设有警报,以确保它们正确关闭。
  • 任何进入电梯梯厢的人都必须事先获得区域扩展协调团队的批准,以及区域扩展安全团队授予的适当访问权限。
  • 区域扩展协调团队通过每次访问的单人票来管理所有访问。
  • 设施要求获得授权的员工使用生物识别锁进入设施并使用工牌离开设施。
  • 所有机架都处于锁定状态。电子钥匙存储柜会基于受限和按需原则将特定机架的钥匙分发给获得授权的员工。钥匙存储柜还会跟踪机架访问。
  • 对接网点安全团队会根据 PCI 和 ISO 合规性认证要求管理访问权限并维护报告。
  • 其他物理安全措施与行业最佳做法和适用监管要求一致。

法规遵从

裸金属解决方案满足 ISO、PCI DSS 和 HIPAA 等行业认证的苛刻合规性要求,以及适用的区域认证。如需详细了解法规遵从,请访问合规性资源中心

网络安全

网络安全分为两层,如图 3 所示:

  1. 第 3 层 VLAN 连接会将 Google Virtual Private Cloud 连接到裸金属解决方案边缘路由器上唯一的虚拟路由和转发实例 (VRF)。

  2. 在裸金属解决方案环境中,第 2 层 VLAN 提供数据所需的安全和隔离。您可以使用客户端子网连接到 Google Cloud,并使用可选的专用子网来托管您自己的服务和存储空间。

图 3:裸金属解决方案环境中的网络安全

裸金属解决方案环境中的网络安全

如果您使用裸金属解决方案环境中的 Google Cloud API 访问 Google Cloud 服务,则 Google Cloud 默认会根据加密政策对裸金属解决方案与特定服务之间的数据传输进行加密。例如,如果您使用 gsutil 实用程序或 API 备份 Cloud Storage 中的数据,则将数据从裸金属解决方案转移到 Cloud Storage 时,默认情况下将使用数据加密。

使用专用 Google 访问通道强制执行安全边界

专用 Google 访问通道(也称为 VPC Service Controls)可让您围绕 Google Cloud 服务中的敏感数据定义安全边界,并提供以下优势:

  • 缓解数据渗漏风险。当已获授权的人员从数据所属的安全系统中提取数据,并将其与未获授权的第三方共享或移至不安全的系统时,就会发生数据渗漏。
  • 从本地以私密方式访问 Google Cloud 服务。
  • 强制执行来自互联网的情境感知访问。
  • 从中心位置管理安全政策。

借助裸金属解决方案,您可以通过合作伙伴互连利用 Google Cloud 的可伸缩的云原生服务。启用基于 VPC Service Controls 的边界可以进一步确保对所有 Google Cloud 服务(如 BigQuery 和 Cloud Storage)的访问不会出现任何到互联网的数据渗漏。

如需设置对 Google API 的专用访问通道,请参阅为本地主机配置专用 Google 访问通道图 4 显示专用 Google 访问通道的示例:

图 4:裸金属解决方案环境中的专用 Google 访问通道

裸金属解决方案环境中的专用 Google 访问通道

数据安全

在规划裸金属解决方案环境中的数据安全时,您需要了解加密数据的存储方式以及如何保护在 Google Cloud 或本地数据中心中运行的应用。

存储加密

默认情况下,裸金属解决方案加密静态数据。以下是有关裸金属解决方案环境中的存储静态加密的几个事实:

  • 为了预配存储空间,我们会在 NetApp 集群上为每个客户创建一个存储虚拟机 (SVM),并将该 SVM 与预留数据卷相关联,然后再提供给客户。
  • 创建加密数据卷时,加密过程会生成唯一的 XTSAES-256 数据加密密钥。我们绝不会预生成密钥。
  • SVM 可在多租户环境中提供隔离。每个 SVM 都显示为单个独立的服务器,这使得多个 SVM 可以在一个集群中共存,并可确保各 SVM 之间没有数据流。
  • 我们不以纯文本形式显示密钥。NetApp 板载密钥管理器可存储、管理和保护密钥。
  • Google Cloud 和供应商都无法访问您的密钥。
  • NetApp 存储集群会存储并加密所有静态数据,包括操作系统和启动分区。
  • 如果您选择在合同结束时停止使用裸金属解决方案,我们会以加密方式清除并隔离存储卷 7 天,然后才能再次使用。

应用安全

使用裸金属解决方案时,您可以保护在 Google Cloud 或本地环境中运行的应用。

在 Google Cloud 中运行的应用
  • 裸金属解决方案在区域扩展中运行;进出区域扩展的唯一网络路径借助客户特定的 VLAN 连接,通过合作伙伴互连连接到关联的 Google Cloud 区域。
  • 默认情况下,裸金属解决方案服务器无法访问互联网。如果您需要访问互联网以执行修补或更新等操作,请创建一个 NAT 实例。如需了解详情,请参阅访问互联网
  • BGP 会话会在 VPC 中的 Cloud Router 路由器与区域扩展的路由器之间提供动态路由。因此,如果您将资源布置在附加到区域扩展的 VPC 中,则这些资源将可以直接访问裸金属解决方案服务器。同样,在新添加的子网中运行的资源也可以访问裸金属解决方案服务器。如果您需要允许或拒绝对特定资源的访问,请使用防火墙政策来限制允许访问所有裸金属解决方案资源的默认行为。

  • 图 5 所示,使用 VPC 对等互连来允许在同一项目的不同 VPC 中或在其他项目中运行的资源访问裸金属解决方案服务器。在冗余 Cloud Router 路由器上,添加指向对等互连网络的 CIDR 范围的自定义通告。

    图 5:VPC 对等互连和裸金属解决方案环境

    VPC 对等互连和裸金属解决方案环境

  • 图 6 所示,使用共享 VPC 架构来允许不同项目中的资源访问裸金属解决方案服务器。在这种情况下,您必须在宿主项目中创建 VLAN 连接,以便所有资源都可以访问连接到共享 VPC 的服务器。

    图 6:共享 VPC 和裸金属解决方案环境

    共享 VPC 和裸金属解决方案环境

  • 您可以使用 Oracle 恢复管理器 (RMAN) 或 Actifio 等备份解决方案来备份数据库。如需了解 Actifio 如何与 RMAN 原生集成,请参阅以下 Actifio 指南。您可以将备份数据存储在 Cloud Storage 中,然后选择不同的 Cloud Storage 层级来满足您对恢复时间目标 (RTO) 和恢复点目标 (RPO) 的要求。

在本地运行的应用
  • 如前所述,进出裸金属解决方案区域扩展的唯一网络路径是通过合作伙伴互连连接到关联的 Google Cloud 区域。如需从本地环境连接到裸金属解决方案服务器,您必须使用专用互连合作伙伴互连Cloud VPN 将本地数据中心连接到 Google Cloud。 如需详细了解这些连接选项,请参阅选择 Network Connectivity 产品
  • 如需启用本地网络路由,您必须使用指向本地子网的 CIDR 范围的自定义通告来修改冗余的 Cloud Router 路由器。请使用防火墙规则来允许或阻止对服务器的访问。

运营安全

在本指南的“物理安全”部分中,您已了解我们会严格限制对区域扩展内的裸金属解决方案基础架构的访问。我们会基于临时性、受限性和按需的原则来向获得授权的员工提供访问权限。我们会审核访问日志,分析日志以检测任何异常情况,并使用全天候监控和提醒功能来防止未经授权的访问。

为确保运营安全,有以下几个选项可供您选择。Blue Medora 的 Bindplane 产品提供了一种与 Google Cloud 原生集成的解决方案。BindplaneGoogle Cloud Observability 代理集成,可让您从裸金属解决方案方案基础架构捕获指标和日志,包括 Oracle 数据库和 Oracle 应用日志。

Prometheus 是一种开源监控解决方案,可用于监控裸金属解决方案基础架构以及在其上运行的 Oracle 数据库。您可以将数据库和系统审核跟踪记录定向到 Prometheus,该平台是单一管理平台,用于针对任何可疑活动进行监控和发送提醒。

Oracle Enterprise Manager 很受在本地环境中使用它的人们欢迎。您可以在裸金属解决方案环境中使用 OEM,以与本地数据中心相同的方式执行监控和提醒任务。

数据库安全

我们将裸金属解决方案设计为与本地环境尽可能类似,以便最大限度地减少您使用该解决方案所需投入的工作量和学习量。因此,您可以轻松地将现有的安全相关 Oracle 数据库功能、安全做法和流程引入裸金属解决方案。您可以使用 Google Cloud 提供的安全功能来补充您的安全产品组合。

为确保数据库安全,请了解您应该启用的 Oracle 安全控制措施。这包括用户身份验证、授权和访问权限控制、审核以及加密。

用户身份验证

  • 如果使用基本身份验证,请实现一些密码政策,例如复杂度和长度限制等。
  • 使用 TLS 证书、Kerberos 或 RADIUS 来强化身份验证系统。
  • 使用基于代理的身份验证来在数据库级层启用身份验证和审核。如果您选择不将应用用户映射到数据库用户,并在应用级层启用身份验证,则此方法将非常有用。

如需了解更多身份验证建议,请参阅 Oracle 数据库安全指南中的配置身份验证

授权和访问权限控制

  • 通过数据库中标识的对象权限、系统权限和角色来管理授权。您还可以使用数据库保险柜等更高级的安全功能来补充此做法。

  • 使用集中管理的用户 (CMU) 来管理用户和群组。借助 CMU,您可以利用现有的 Active Directory 基础架构来集中管理多个 Oracle 数据库中的数据库用户和授权。

    如需详细了解 CMU,请参阅 Oracle 数据库安全指南中的使用 Microsoft Active Directory 配置集中管理的用户

  • 使用数据库保险柜为高特权用户引入职责分离和访问权限控制。

    如需详细了解数据库保险柜,请参阅 Oracle 数据库保险柜管理员指南

  • 利用其他工具和技术,例如权限分析和数据隐去。

    • 权限分析工具可帮助您主动监控最终用户的权限和角色使用情况。如需详细了解权限分析,请参阅 Oracle 数据库安全指南中的执行权限分析以了解权限使用情况
    • 数据隐去功能会移除敏感列数据,并仅允许必要的用户访问这些数据。如需详细了解数据隐去功能,请参阅 Oracle 数据库高级安全指南中的使用 Oracle 数据隐去功能

  • 使用虚拟专用数据库 (VPD) 和 Oracle 标签安全 (OLS),通过动态修改用户查询来创建精细的数据访问。这些工具会排除经 VPD 政策过滤的行,并管理行和用户标签,以确定用户是否应有权访问特定行。

  • 为群组和用户分配精细的角色权限,以遵循最小权限原则。

审核

  • 利用统一审核,这是一种将所有审核数据发送到统一审核跟踪记录的功能。版本 12c 中引入了此功能来替换传统的数据库审核,该功能可为所有数据库相关审核事件创建一个中央跟踪记录文件,并提高审核报告性能。
  • 启用精细审核 (FGA) 以扩展传统审核功能。此功能仅在用户访问特定列或满足特定条件时捕获审核数据。

  • 使用审核保险柜数据库防火墙 (AVDF) 来管理审核政策和捕获的事件。ADVF 的一个主要用途是防止 SQL 注入攻击。您需要设置数据库防火墙,以监控针对数据库在整个应用生命周期内发出的所有 SQL 语句。数据库会构建一组可信集群,然后阻止数据库防火墙未知的任何 SQL 语句。

    如需了解详情,请参阅 Oracle 数据库安全指南中的使用审核功能监控数据库活动以及审核保险柜和数据库防火墙指南

静态数据和传输中数据的加密

  • 虽然裸金属解决方案使用每个数据卷的唯一 AES 256 位密钥自动加密静态用户数据,但您也可以启用透明数据加密 (TDE),以更有效地控制加密密钥生命周期。
  • 使用基于原生网络加密或传输层安全协议 (TLS) 的加密来保护客户端和数据库之间的数据。

  • 对 Oracle 数据库数据使用客户管理的加密密钥 (CMEK) 时,请使用高级安全选项 (ASO) 在 Data Guard 中的主系统和备用系统之间启用加密、加密网络校验和(与读写期间的日志校验和不同)和身份验证服务。

    如需详细了解加密选项,请参阅 Oracle 数据库高级安全指南中的使用透明数据加密

我们针对裸金属解决方案上的 Oracle 数据库安全性提出的上述建议并非详尽无遗。我们强烈建议您遵循 Oracle 提供的最佳做法和建议,并实施适合您的特定业务和安全需求的控制措施。

摘要

裸金属解决方案是您进入 Google Cloud 世界的门户。它让您在决定、设计和规划您的云未来的同时,能够按原样迁移和运行关键工作负载,并使其更接近云。裸金属解决方案与本指南中共享的最佳做法、工具和技术相结合,提供一个安全、可靠且功能强大的平台来运行关键工作负载。

最重要的是,这方案不需要以安全为代价。 订阅裸金属解决方案时,您会收到由多层内置安全支持的裸机服务器,包括物理层、存储层和网络层。因此,裸金属解决方案服务会在基础架构的每个阶段都集成了安全性,可满足大规模实现安全性能的任务关键型需求。

重点小结:

  1. 安全是共同的责任。
  2. 遵循最小权限原则
  3. 遵循职责分离原则。
  4. 通过 restricted.googleapis.com 访问 Google Cloud 服务以防止数据渗漏。
  5. 在项目中启用专用 Google 访问通道,以减少数据渗漏、未经授权的访问,并集中控制安全政策。
  6. 遵循 Oracle 提供的 Oracle 数据库安全最佳做法。