已收藏,可在 我的資料庫 中查看
您可能還需要

安全上脫穎而出的Oracle OCI云服務(wù)

云服務(wù)的特點(diǎn)有哪些?

安全上脫穎而出的Oracle OCI云服務(wù)

(圖片來源:圖蟲創(chuàng)意)

DAO研究報(bào)告指出,在AWS、GCP、Azure、OCI四大云服務(wù)對比上,盡管Oracle作為年輕的云服務(wù)供應(yīng)商(CSP:Cloud Service Provider),但Oracle OCI是一個(gè)圍繞著安全性進(jìn)行了全新設(shè)計(jì)的IaaS基礎(chǔ)服務(wù),免費(fèi)提供很多功能和默認(rèn)的安全開啟,很大程度上減少了人為錯(cuò)誤的風(fēng)險(xiǎn),從而使得Oracle云服務(wù)脫穎而出。

報(bào)告通過以下6個(gè)方面來闡述數(shù)據(jù)和應(yīng)用在云上的安全,并通過相關(guān)調(diào)研數(shù)據(jù)對比了四大(AWS、GCP、Azure、OCI)云服務(wù)的特點(diǎn)

1、邊界安全

DDoS防護(hù)攻擊,Bots網(wǎng)絡(luò)機(jī)器人,DNS域名服務(wù),WAF(Web防火墻),請求類型/端口安全等

2、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全組(NSG),網(wǎng)絡(luò)防火墻,路由,流日志,安全列表,WAF組件

3、虛擬化計(jì)算

租戶隔離,系統(tǒng)管理服務(wù),虛擬化,裸金屬

4、身份與訪問管理

訪問管理,權(quán)限賬號,SoD職責(zé)分離,認(rèn)證,授權(quán),IAM&組策略

5、安全態(tài)勢管理

審計(jì)日志監(jiān)控配置響應(yīng)&執(zhí)行

6、數(shù)據(jù)安全

Key管理靜止數(shù)據(jù)傳輸數(shù)據(jù)加密數(shù)據(jù)安全存儲

點(diǎn)擊此處或者掃描下方二維碼,完善個(gè)人信息即可免費(fèi)在Oracle云上構(gòu)建、測試和部署應(yīng)用,每月獲取10TB免費(fèi)流量!

安全上脫穎而出的Oracle OCI云服務(wù)

從報(bào)告對比來看,四大云供應(yīng)商均有各自的特點(diǎn)。

首先,AWS開拓了自己公有云市場,主要面向的是IaaS和對象存儲。因此,其擁有的ISV和SI組成的合作伙伴社區(qū)以及眾多成熟的成功案例。在過去的15年多中,AWS為了減少對客戶的攻擊面和保護(hù)客戶的安全,一直在增加安全服務(wù),使AWS安全服務(wù)選件存在眾多且缺乏一致性,而這些附加的AWS安全服務(wù)會(huì)給客戶增加額外的成本、復(fù)雜性和困惑。AWS上的系統(tǒng)配置通常需要熟練的技術(shù)人員,由此也帶來了昂貴的人力成本。盡管安全服務(wù)增加,但其復(fù)雜性也帶來了安全上的不穩(wěn)定性如最近發(fā)生在思科離職員工惡意刪除在AWS上虛擬機(jī)造成了上千萬人民幣損失,是否與其復(fù)雜的IAM使用相關(guān)呢?

其次,Google GCP云平臺在2008年便以Google App Engine的形式推出,GCP是零信任(Zero Trust)安全的開創(chuàng)者。Google擁有其電信服務(wù),可大程度上部署自己專有網(wǎng)絡(luò)同時(shí)Google在機(jī)器學(xué)習(xí)上略占優(yōu)勢。GCP上課對文件和服務(wù)上進(jìn)行細(xì)粒度的訪問,但這些額外的粒度使得那些沒有技能的感到困難,組織面臨著配置錯(cuò)誤的挑戰(zhàn)。此外,GCP不提供數(shù)據(jù)庫內(nèi)的本機(jī)加密,而是依靠存儲級的加密。

再次,微軟Azure并不像AWS那么早期推出。和AWS類似的是,為了提高Azure托管工作的安全性,而發(fā)布了一系列服務(wù)。在基于Windows工作負(fù)載的云服務(wù)上提供了許多現(xiàn)成的服務(wù)和功能,結(jié)合了office 365占有不少的優(yōu)勢,擁有透明數(shù)據(jù)加密(TDE)的數(shù)據(jù)庫服務(wù)。但運(yùn)行在Linux工作負(fù)載的客戶,Azure則沒有自己的Linux變體于其他Azure服務(wù)進(jìn)行更緊密的集成,保護(hù)非Windows工作負(fù)載需要大量的精力。

最后,Oracle OCI是這四家公司中最年輕的云服務(wù),其從底層以上圍繞著安全性進(jìn)行了設(shè)計(jì)。作為對攻擊的額外防御上,OCI物理網(wǎng)絡(luò)被超細(xì)分為“隔離區(qū)”,以使得云供應(yīng)商代碼和客戶的工作負(fù)載隔離分開。

Oracle自治數(shù)據(jù)服務(wù)可利用高度自動(dòng)化來最大程度地減少人為錯(cuò)誤,從而提供安全的數(shù)據(jù)存儲。而在OCI IAM中提供了隔離區(qū)Compartment特性,在租戶內(nèi)部中提供了強(qiáng)大的安全邊界,支持最少權(quán)限方法以及零信任。除了IAM外,OCI還將提供安全區(qū)(Security Zone)來為最敏感的工作負(fù)載提供了客戶租期內(nèi)的安全保障,在這些安全區(qū)域內(nèi)的資源的安全性是強(qiáng)制性的,并且始終處于打開狀態(tài)。但是,需要更多的證明來獲得更多客戶的認(rèn)可。

點(diǎn)擊此處或者掃描下方二維碼,完善個(gè)人信息即可免費(fèi)在Oracle云上構(gòu)建、測試和部署應(yīng)用,每月獲取10TB免費(fèi)流量!

安全上脫穎而出的Oracle OCI云服務(wù)

下面是一些摘自DAO研究報(bào)告對OCI的安全優(yōu)勢亮點(diǎn):

1、邊界安全

在這四家CSP中,Oracle是唯一提供DDoS保護(hù)而無需額外費(fèi)用的供應(yīng)商。對于高度安全敏感的客戶,Oracle專用區(qū)域使客戶能夠在自己的數(shù)據(jù)中心中運(yùn)行OCI服務(wù)。

2、網(wǎng)絡(luò)安全

OCI被組織為各個(gè)Region,每個(gè)Region下至少具有一個(gè)Availability Domain可用域,每個(gè)AD又進(jìn)一步細(xì)分為3個(gè)故障域,以保障物理上的可用性。在VCN(Virtual CloudNetworks)虛擬網(wǎng)絡(luò)上,OCI VCN與傳統(tǒng)網(wǎng)絡(luò)非常相似,具有防火墻規(guī)則和特定類型的通信網(wǎng)關(guān)。客戶可進(jìn)行劃分和使用子網(wǎng),安全列表和NSG網(wǎng)絡(luò)安全組用來過濾資源之間的流量。安全列表在子網(wǎng)級別運(yùn)行,而NSG在VNIC(虛擬網(wǎng)卡)級別運(yùn)行,這允許在資源之間進(jìn)行更加細(xì)粒度的訪問控制(微分段),并使得客戶在應(yīng)用程序在架構(gòu)的網(wǎng)絡(luò)架構(gòu)上的分層隔離。安全列表和NSG的規(guī)則可以是有狀態(tài)的也可以是無狀態(tài)的。

3、虛擬化計(jì)算

OCI從軟件堆棧中將網(wǎng)絡(luò)和磁盤IO的虛擬化脫離,并將其放入了網(wǎng)絡(luò)中,無需在客戶實(shí)例上運(yùn)行虛擬機(jī)管理程序或任何的CSP云供應(yīng)商的代碼。Oracle提供了物理服務(wù)器的裸機(jī)實(shí)例。OCI裸機(jī)和VM實(shí)例在相同類型的服務(wù)器硬件,固件,基礎(chǔ)軟件和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)上運(yùn)行,因此這兩種實(shí)例類型都在這些層中內(nèi)置了OCI保護(hù)。這種靈活性意味著OCI不僅提供虛擬隔離,而且還提供裸機(jī)服務(wù)器,這些服務(wù)器可以利用OCI云架構(gòu)和服務(wù)的全部優(yōu)勢而被安置在全球的Oracle數(shù)據(jù)中心或客戶數(shù)據(jù)中心。而裸機(jī)Bare Mental可為某些客戶提供無與倫比的性能,成本和安全性優(yōu)勢。此外,基于Oracle Linux操作環(huán)境的Oracle Autonomous Linux提供了自治功能,例如自動(dòng)零停機(jī)補(bǔ)丁和已知的漏洞檢測,以幫助保持操作系統(tǒng)的高度安全性和可靠性。Oracle Autonomous Linux的其他優(yōu)點(diǎn)還包括加強(qiáng)配置,連續(xù)配置檢查和威脅監(jiān)視。與Oracle OS管理服務(wù)(OSMS)結(jié)合使用,使用戶可以選擇要手動(dòng)或自動(dòng)化控制服務(wù)器。OSMS使用戶能夠自動(dòng)化將執(zhí)行Linux系統(tǒng)常見管理任務(wù)的功能,包括補(bǔ)丁和程序包管理以及安全性和合規(guī)性報(bào)告。

4、身份與訪問管理

OCI提供隔離專區(qū)和IAM策略以控制對云網(wǎng)絡(luò)的訪問。默認(rèn)情況下,OCI的IAM功能既強(qiáng)大又安全。在通過組成員身份(零信任)分配權(quán)限之前,新創(chuàng)建的用戶是無法訪問OCI資源。作為重要區(qū)別因素,只有組才獲得對資源分配的訪問權(quán)限。客戶可以使用本機(jī)多因素身份驗(yàn)證確保安全訪問,可以根據(jù)用戶的角色權(quán)限將用戶分配給組,并使用簡單易懂的策略將權(quán)限分配給組。OCI的本地IAM還提供開箱即用的基本聯(lián)合功能。此外,Oracle提供商業(yè)的身份解決方案,包括其強(qiáng)大的基于云的身份云服務(wù),該服務(wù)提供混合身份管理功能。

OCI租戶(Oracle帳戶)管理員可以通過隔離專區(qū)(隔離專區(qū)Compartment是云資產(chǎn)的集合,如計(jì)算實(shí)例,負(fù)載平衡器,數(shù)據(jù)庫等)來管理對OCI資源的訪問。在租約中,隔離專區(qū)可確保業(yè)務(wù)部門,項(xiàng)目或應(yīng)用程序之間的安全邊界牢固。這意味著更好的控制,更高的安全性和更輕松的管理。

OCI的另一個(gè)獨(dú)特優(yōu)勢是用于管理IAM策略的類似SQL的語法。可以通過這些策略對OCI的所有部分進(jìn)行訪問控制,這使得IAM策略的程序化管理在規(guī)模上變得更加容易。

一家全球零售連鎖店選擇OCI進(jìn)行災(zāi)難恢復(fù),理由是OCI的全面安全性包括:OCI的細(xì)粒度IAM策略控制數(shù)據(jù)庫內(nèi)的訪問,借助Compartment可隔離不同資源以及與本地AD的聯(lián)合可以更好地控制用戶。同時(shí),建筑行業(yè)的SaaS提供商選擇OCI通過Compartment進(jìn)行細(xì)分。“這確保了每個(gè)客戶都被部署到自己的隔離專區(qū),并且每個(gè)SaaS客戶之間都具有非常強(qiáng)的隔離性,客戶IT安全負(fù)責(zé)人解釋說。

5、安全態(tài)勢管理

云中不斷出現(xiàn)的變化使得跟蹤客戶數(shù)據(jù)是否正確存儲變得很困難。隨著云基礎(chǔ)架構(gòu)的增長和動(dòng)態(tài)變化,跟蹤和防止配置錯(cuò)誤的需求必須要求同時(shí)滿足。云安全狀態(tài)管理應(yīng)能夠通過一定程度的策略執(zhí)行自動(dòng)化來監(jiān)視配置更改。這包括定期運(yùn)行的查詢,以及啟用了自動(dòng)警報(bào)的功能,以允許在發(fā)生錯(cuò)誤配置時(shí)進(jìn)行手動(dòng)或自動(dòng)修復(fù)。

OCI Cloud Guard是一個(gè)統(tǒng)一的安全解決方案,它提供了一種全球(覆蓋租戶全球所有區(qū)域的數(shù)據(jù)中心)集中的方法來保護(hù)所有客戶的資產(chǎn)。Cloud Guard可以分析數(shù)據(jù),檢測威脅和錯(cuò)誤配置,并自動(dòng)提供多種選項(xiàng)來應(yīng)對這些挑戰(zhàn),包括自動(dòng)修復(fù)。Cloud Guard不斷從基礎(chǔ)架構(gòu)和應(yīng)用程序堆棧的各個(gè)部分收集數(shù)據(jù),包括審核日志,Data Safe和Oracle OSMS,同時(shí)可以主動(dòng)檢測并報(bào)告安全問題,可以將其配置為自動(dòng)進(jìn)行補(bǔ)救,以停止其識別的異常活動(dòng)。Cloud Guard屬于原生的OCI云服務(wù),使得OCI無需額外的第三方服務(wù)即可獲得優(yōu)勢,因?yàn)榭梢宰詣?dòng)進(jìn)行安全管理以強(qiáng)制執(zhí)行預(yù)設(shè)配置,而無需任何人工干預(yù)或額外費(fèi)用。這點(diǎn)和其他廠商非常不同的一點(diǎn)。

OCI還提供了“安全區(qū)域”,這些區(qū)域是在隔離層級別定義的,安全性是強(qiáng)制性的并且始終處于啟用狀態(tài)。客戶可以有效地將資源鎖定到已知的安全配置,自動(dòng)阻止配置更改,并持續(xù)監(jiān)視和阻止異常活動(dòng)。這自動(dòng)消除了進(jìn)行持續(xù)分析的需要,否則將需要大量人力輔助并且容易出錯(cuò)。Oracle為關(guān)鍵的生產(chǎn)工作負(fù)載提供了預(yù)配置的強(qiáng)制性安全最佳實(shí)踐,這有助于消除客戶的錯(cuò)誤配置。

OCI的VCN流日志保留對通過VCN的每個(gè)流的詳細(xì)記錄,并將數(shù)據(jù)發(fā)送到OCI的日志服務(wù)。數(shù)據(jù)包括有關(guān)流量來源和目的地的信息,以及流量的數(shù)量以及根據(jù)網(wǎng)絡(luò)安全規(guī)則采取的“許可”或“拒絕”操作。

6、數(shù)據(jù)安全

Oracle數(shù)據(jù)庫支持其他數(shù)據(jù)庫中沒有的幾種安全性機(jī)制。這包括Database Vault,Label Security和Real ApplicationSecurity,所有這些都包含在Oracle Database云服務(wù)中。

Oracle在數(shù)據(jù)庫內(nèi)部實(shí)現(xiàn)了加密,因此保留了對備份,存檔,移動(dòng)和副本的保護(hù)。在臨時(shí)表空間,撤消段和重做日志中以及在內(nèi)部數(shù)據(jù)庫操作(例如JOIN和SORT)期間,加密的數(shù)據(jù)也受到保護(hù)。

Oracle自治數(shù)據(jù)庫具有自動(dòng)實(shí)施的加密和審核功能以及其他自動(dòng)鎖定的配置,包括不允許的高風(fēng)險(xiǎn)操作,管理員與數(shù)據(jù)之間的強(qiáng)制職責(zé)分離以及自動(dòng)修補(bǔ)和升級。

Oracle Data Safe添加了一層自動(dòng)化的集中式安全性。安全評估分析數(shù)據(jù)庫配置,用戶帳戶和安全控制,并報(bào)告發(fā)現(xiàn)的結(jié)果并提出修復(fù)建議。用戶評估還分析用戶安全性以識別高風(fēng)險(xiǎn)用戶,并為每個(gè)用戶分配風(fēng)險(xiǎn)評分。可以根據(jù)特定需求量身定制的敏感數(shù)據(jù)發(fā)現(xiàn),可以檢查數(shù)據(jù)并返回敏感列的列表。數(shù)據(jù)屏蔽可刪除敏感數(shù)據(jù),因此數(shù)據(jù)集可安全用于非生產(chǎn)用途。活動(dòng)審核可監(jiān)視用戶活動(dòng)并標(biāo)記異常的數(shù)據(jù)庫活動(dòng)。OCI Vault服務(wù)提供對加密密鑰的集中管理,以保護(hù)數(shù)據(jù)和用于安全訪問資源的秘密憑證。保管庫服務(wù)可以與所有OCI服務(wù)集成,并用于創(chuàng)建和管理保管庫,密鑰和機(jī)密。默認(rèn)情況下,使用AES 256加密算法對OCI存儲服務(wù)(例如本地NVMe SSD,塊卷和對象存儲)進(jìn)行靜態(tài)加密。對于客戶租戶數(shù)據(jù),OCI在靜態(tài)和傳輸中均使用加密。默認(rèn)情況下,塊卷和對象存儲服務(wù)通過使用具有256位加密的AES算法來啟用靜態(tài)數(shù)據(jù)加密。使用TLS 1.2或更高版本對數(shù)據(jù)進(jìn)行加密。

總的來說,借助Oracle Cloud Guard,安全區(qū)域Security Zone和專用區(qū)域Dedicated Regions以及Data Safe等原生的云服務(wù)能力,為Oracle OCI提供卓越的安全功能和性價(jià)比,而不會(huì)增加集中式安全配置和狀態(tài)管理以及自動(dòng)實(shí)施安全措施等服務(wù)的成本(這些服務(wù)均是免費(fèi)的)。

參考資料:DAO研究報(bào)告

作者簡介

Tommy Tan,甲骨文云平臺資深咨詢顧問。專注于甲骨文安全以及PaaS相關(guān)產(chǎn)品和解決方案。具有超過13年的項(xiàng)目咨詢、服務(wù)與實(shí)施經(jīng)驗(yàn)。您可以通過tommy.tan@oracle.com與他聯(lián)系。

版權(quán)說明

本文內(nèi)容來自于甲骨文,本站不擁有所有權(quán),不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn),不代表快出海對觀點(diǎn)贊同或支持。如有侵權(quán),請聯(lián)系管理員(hj@kchuhai.com)刪除!

點(diǎn)擊此處或者掃描下方二維碼,完善個(gè)人信息即可免費(fèi)在Oracle云上構(gòu)建、測試和部署應(yīng)用,每月獲取10TB免費(fèi)流量!

安全上脫穎而出的Oracle OCI云服務(wù)

(作者:Tommy Tan)

(編輯:江同)

(來源:Tommy Tan)

以上內(nèi)容僅代表作者本人觀點(diǎn),不代表雨果跨境立場!如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與雨果跨境取得聯(lián)系。

分享到:

--
評論
最新 熱門 資訊 資料 專題 服務(wù) 果園 標(biāo)簽 百科 搜索

收藏

--

--

分享
国产区精品| 色婷婷激情| 久久婷婷五月综合色精品|