安全上脫穎而出的Oracle OCI云服務(wù)

（圖片來源：圖蟲創(chuàng)意）

DAO研究報(bào)告指出，在AWS、GCP、Azure、OCI四大云服務(wù)對(duì)比上，盡管Oracle作為年輕的云服務(wù)供應(yīng)商（CSP：Cloud Service Provider），但Oracle OCI是一個(gè)圍繞著安全性進(jìn)行了全新設(shè)計(jì)的IaaS基礎(chǔ)服務(wù)，免費(fèi)提供很多功能和默認(rèn)的安全開啟，很大程度上減少了人為錯(cuò)誤的風(fēng)險(xiǎn)，從而使得Oracle云服務(wù)脫穎而出。

報(bào)告通過以下6個(gè)方面來闡述數(shù)據(jù)和應(yīng)用在云上的安全，并通過相關(guān)調(diào)研數(shù)據(jù)對(duì)比了四大（AWS、GCP、Azure、OCI）云服務(wù)的特點(diǎn)。

1、邊界安全

DDoS防護(hù)攻擊，Bots網(wǎng)絡(luò)機(jī)器人，DNS域名服務(wù)，WAF(Web防火墻)，請(qǐng)求類型/端口安全等。

2、網(wǎng)絡(luò)安全

網(wǎng)絡(luò)安全組(NSG)，網(wǎng)絡(luò)防火墻，路由，流日志，安全列表，WAF組件。

3、虛擬化計(jì)算

租戶隔離，系統(tǒng)管理服務(wù)，虛擬化，裸金屬。

4、身份與訪問管理

訪問管理，權(quán)限賬號(hào)，SoD職責(zé)分離，認(rèn)證，授權(quán)，IAM&組策略。

5、安全態(tài)勢(shì)管理

審計(jì)日志，監(jiān)控，配置，響應(yīng)&執(zhí)行。

6、數(shù)據(jù)安全

Key管理，靜止數(shù)據(jù)，傳輸數(shù)據(jù)，加密，數(shù)據(jù)安全，存儲(chǔ)。

點(diǎn)擊此處或者掃描下方二維碼，完善個(gè)人信息即可免費(fèi)在Oracle云上構(gòu)建、測(cè)試和部署應(yīng)用，每月獲取10TB免費(fèi)流量！

從報(bào)告對(duì)比來看，四大云供應(yīng)商均有各自的特點(diǎn)。

首先，AWS開拓了自己公有云市場(chǎng)，主要面向的是IaaS和對(duì)象存儲(chǔ)。因此，其擁有的ISV和SI組成的合作伙伴社區(qū)以及眾多成熟的成功案例。在過去的15年多中，AWS為了減少對(duì)客戶的攻擊面和保護(hù)客戶的安全，一直在增加安全服務(wù)，使AWS安全服務(wù)選件存在眾多且缺乏一致性，而這些附加的AWS安全服務(wù)會(huì)給客戶增加額外的成本、復(fù)雜性和困惑。AWS上的系統(tǒng)配置通常需要熟練的技術(shù)人員，由此也帶來了昂貴的人力成本。盡管安全服務(wù)增加，但其復(fù)雜性也帶來了安全上的不穩(wěn)定性。如最近發(fā)生在思科離職員工惡意刪除在AWS上虛擬機(jī)造成了上千萬人民幣損失，是否與其復(fù)雜的IAM使用相關(guān)呢？

其次，Google GCP云平臺(tái)在2008年便以Google App Engine的形式推出，GCP是零信任（Zero Trust）安全的開創(chuàng)者。Google擁有其電信服務(wù)，可大程度上部署自己專有網(wǎng)絡(luò)。同時(shí)，Google在機(jī)器學(xué)習(xí)上略占優(yōu)勢(shì)。GCP上課對(duì)文件和服務(wù)上進(jìn)行細(xì)粒度的訪問，但這些額外的粒度使得那些沒有技能的感到困難，組織面臨著配置錯(cuò)誤的挑戰(zhàn)。此外，GCP不提供數(shù)據(jù)庫內(nèi)的本機(jī)加密，而是依靠存儲(chǔ)級(jí)的加密。

再次，微軟Azure并不像AWS那么早期推出。和AWS類似的是，為了提高Azure托管工作的安全性，而發(fā)布了一系列服務(wù)。在基于Windows工作負(fù)載的云服務(wù)上提供了許多現(xiàn)成的服務(wù)和功能，結(jié)合了office 365占有不少的優(yōu)勢(shì)，擁有透明數(shù)據(jù)加密（TDE）的數(shù)據(jù)庫服務(wù)。但運(yùn)行在Linux工作負(fù)載的客戶，Azure則沒有自己的Linux變體于其他Azure服務(wù)進(jìn)行更緊密的集成，保護(hù)非Windows工作負(fù)載需要大量的精力。

最后，Oracle OCI是這四家公司中最年輕的云服務(wù)，其從底層以上圍繞著安全性進(jìn)行了設(shè)計(jì)。作為對(duì)攻擊的額外防御上，OCI物理網(wǎng)絡(luò)被超細(xì)分為“隔離區(qū)”，以使得云供應(yīng)商代碼和客戶的工作負(fù)載隔離分開。

Oracle自治數(shù)據(jù)服務(wù)可利用高度自動(dòng)化來最大程度地減少人為錯(cuò)誤，從而提供安全的數(shù)據(jù)存儲(chǔ)。而在OCI IAM中提供了隔離區(qū)Compartment特性，在租戶內(nèi)部中提供了強(qiáng)大的安全邊界，支持最少權(quán)限方法以及零信任。除了IAM外，OCI還將提供安全區(qū)（Security Zone）來為最敏感的工作負(fù)載提供了客戶租期內(nèi)的安全保障，在這些安全區(qū)域內(nèi)的資源的安全性是強(qiáng)制性的，并且始終處于打開狀態(tài)。但是，需要更多的證明來獲得更多客戶的認(rèn)可。

點(diǎn)擊此處或者掃描下方二維碼，完善個(gè)人信息即可免費(fèi)在Oracle云上構(gòu)建、測(cè)試和部署應(yīng)用，每月獲取10TB免費(fèi)流量！

下面是一些摘自DAO研究報(bào)告對(duì)OCI的安全優(yōu)勢(shì)亮點(diǎn):

1、邊界安全

在這四家CSP中，Oracle是唯一提供DDoS保護(hù)而無需額外費(fèi)用的供應(yīng)商。對(duì)于高度安全敏感的客戶，Oracle專用區(qū)域使客戶能夠在自己的數(shù)據(jù)中心中運(yùn)行OCI服務(wù)。

2、網(wǎng)絡(luò)安全

OCI被組織為各個(gè)Region，每個(gè)Region下至少具有一個(gè)Availability Domain可用域，每個(gè)AD又進(jìn)一步細(xì)分為3個(gè)故障域，以保障物理上的可用性。在VCN（Virtual CloudNetworks）虛擬網(wǎng)絡(luò)上，OCI VCN與傳統(tǒng)網(wǎng)絡(luò)非常相似，具有防火墻規(guī)則和特定類型的通信網(wǎng)關(guān)。客戶可進(jìn)行劃分和使用子網(wǎng)，安全列表和NSG網(wǎng)絡(luò)安全組用來過濾資源之間的流量。安全列表在子網(wǎng)級(jí)別運(yùn)行，而NSG在VNIC（虛擬網(wǎng)卡）級(jí)別運(yùn)行，這允許在資源之間進(jìn)行更加細(xì)粒度的訪問控制（微分段），并使得客戶在應(yīng)用程序在架構(gòu)的網(wǎng)絡(luò)架構(gòu)上的分層隔離。安全列表和NSG的規(guī)則可以是有狀態(tài)的也可以是無狀態(tài)的。

3、虛擬化計(jì)算

OCI從軟件堆棧中將網(wǎng)絡(luò)和磁盤IO的虛擬化脫離，并將其放入了網(wǎng)絡(luò)中，無需在客戶實(shí)例上運(yùn)行虛擬機(jī)管理程序或任何的CSP云供應(yīng)商的代碼。Oracle提供了物理服務(wù)器的裸機(jī)實(shí)例。OCI裸機(jī)和VM實(shí)例在相同類型的服務(wù)器硬件，固件，基礎(chǔ)軟件和網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)上運(yùn)行，因此這兩種實(shí)例類型都在這些層中內(nèi)置了OCI保護(hù)。這種靈活性意味著OCI不僅提供虛擬隔離，而且還提供裸機(jī)服務(wù)器，這些服務(wù)器可以利用OCI云架構(gòu)和服務(wù)的全部?jī)?yōu)勢(shì)而被安置在全球的Oracle數(shù)據(jù)中心或客戶數(shù)據(jù)中心。而裸機(jī)Bare Mental可為某些客戶提供無與倫比的性能，成本和安全性優(yōu)勢(shì)。此外，基于Oracle Linux操作環(huán)境的Oracle Autonomous Linux提供了自治功能，例如自動(dòng)零停機(jī)補(bǔ)丁和已知的漏洞檢測(cè)，以幫助保持操作系統(tǒng)的高度安全性和可靠性。Oracle Autonomous Linux的其他優(yōu)點(diǎn)還包括加強(qiáng)配置，連續(xù)配置檢查和威脅監(jiān)視。與Oracle OS管理服務(wù)（OSMS）結(jié)合使用，使用戶可以選擇要手動(dòng)或自動(dòng)化控制服務(wù)器。OSMS使用戶能夠自動(dòng)化將執(zhí)行Linux系統(tǒng)常見管理任務(wù)的功能，包括補(bǔ)丁和程序包管理以及安全性和合規(guī)性報(bào)告。

4、身份與訪問管理

OCI提供隔離專區(qū)和IAM策略以控制對(duì)云網(wǎng)絡(luò)的訪問。默認(rèn)情況下，OCI的IAM功能既強(qiáng)大又安全。在通過組成員身份（零信任）分配權(quán)限之前，新創(chuàng)建的用戶是無法訪問OCI資源。作為重要區(qū)別因素，只有組才獲得對(duì)資源分配的訪問權(quán)限?？蛻艨梢允褂帽緳C(jī)多因素身份驗(yàn)證確保安全訪問，可以根據(jù)用戶的角色權(quán)限將用戶分配給組，并使用簡(jiǎn)單易懂的策略將權(quán)限分配給組。OCI的本地IAM還提供開箱即用的基本聯(lián)合功能。此外，Oracle提供商業(yè)的身份解決方案，包括其強(qiáng)大的基于云的身份云服務(wù)，該服務(wù)提供混合身份管理功能。

OCI租戶（Oracle帳戶）管理員可以通過隔離專區(qū)（隔離專區(qū)Compartment是云資產(chǎn)的集合，如計(jì)算實(shí)例，負(fù)載平衡器，數(shù)據(jù)庫等）來管理對(duì)OCI資源的訪問。在租約中，隔離專區(qū)可確保業(yè)務(wù)部門，項(xiàng)目或應(yīng)用程序之間的安全邊界牢固。這意味著更好的控制，更高的安全性和更輕松的管理。

OCI的另一個(gè)獨(dú)特優(yōu)勢(shì)是用于管理IAM策略的類似SQL的語法。可以通過這些策略對(duì)OCI的所有部分進(jìn)行訪問控制，這使得IAM策略的程序化管理在規(guī)模上變得更加容易。

一家全球零售連鎖店選擇OCI進(jìn)行災(zāi)難恢復(fù)，理由是OCI的全面安全性包括：OCI的細(xì)粒度、IAM策略控制數(shù)據(jù)庫內(nèi)的訪問，借助Compartment可隔離不同資源以及與本地AD的聯(lián)合可以更好地控制用戶。同時(shí)，建筑行業(yè)的SaaS提供商選擇OCI通過Compartment進(jìn)行細(xì)分?！斑@確保了每個(gè)客戶都被部署到自己的隔離專區(qū)，并且每個(gè)SaaS客戶之間都具有非常強(qiáng)的隔離性，”客戶IT安全負(fù)責(zé)人解釋說。

5、安全態(tài)勢(shì)管理

云中不斷出現(xiàn)的變化使得跟蹤客戶數(shù)據(jù)是否正確存儲(chǔ)變得很困難。隨著云基礎(chǔ)架構(gòu)的增長和動(dòng)態(tài)變化，跟蹤和防止配置錯(cuò)誤的需求必須要求同時(shí)滿足。云安全狀態(tài)管理應(yīng)能夠通過一定程度的策略執(zhí)行自動(dòng)化來監(jiān)視配置更改。這包括定期運(yùn)行的查詢，以及啟用了自動(dòng)警報(bào)的功能，以允許在發(fā)生錯(cuò)誤配置時(shí)進(jìn)行手動(dòng)或自動(dòng)修復(fù)。

OCI Cloud Guard是一個(gè)統(tǒng)一的安全解決方案，它提供了一種全球（覆蓋租戶全球所有區(qū)域的數(shù)據(jù)中心）集中的方法來保護(hù)所有客戶的資產(chǎn)。Cloud Guard可以分析數(shù)據(jù)，檢測(cè)威脅和錯(cuò)誤配置，并自動(dòng)提供多種選項(xiàng)來應(yīng)對(duì)這些挑戰(zhàn)，包括自動(dòng)修復(fù)。Cloud Guard不斷從基礎(chǔ)架構(gòu)和應(yīng)用程序堆棧的各個(gè)部分收集數(shù)據(jù)，包括審核日志，Data Safe和Oracle OSMS，同時(shí)可以主動(dòng)檢測(cè)并報(bào)告安全問題，可以將其配置為自動(dòng)進(jìn)行補(bǔ)救，以停止其識(shí)別的異?；顒?dòng)。Cloud Guard屬于原生的OCI云服務(wù)，使得OCI無需額外的第三方服務(wù)即可獲得優(yōu)勢(shì)，因?yàn)榭梢宰詣?dòng)進(jìn)行安全管理以強(qiáng)制執(zhí)行預(yù)設(shè)配置，而無需任何人工干預(yù)或額外費(fèi)用。這點(diǎn)和其他廠商非常不同的一點(diǎn)。

OCI還提供了“安全區(qū)域”，這些區(qū)域是在隔離層級(jí)別定義的，安全性是強(qiáng)制性的并且始終處于啟用狀態(tài)。客戶可以有效地將資源鎖定到已知的安全配置，自動(dòng)阻止配置更改，并持續(xù)監(jiān)視和阻止異?；顒?dòng)。這自動(dòng)消除了進(jìn)行持續(xù)分析的需要，否則將需要大量人力輔助并且容易出錯(cuò)。Oracle為關(guān)鍵的生產(chǎn)工作負(fù)載提供了預(yù)配置的強(qiáng)制性安全最佳實(shí)踐，這有助于消除客戶的錯(cuò)誤配置。

OCI的VCN流日志保留對(duì)通過VCN的每個(gè)流的詳細(xì)記錄，并將數(shù)據(jù)發(fā)送到OCI的日志服務(wù)。數(shù)據(jù)包括有關(guān)流量來源和目的地的信息，以及流量的數(shù)量以及根據(jù)網(wǎng)絡(luò)安全規(guī)則采取的“許可”或“拒絕”操作。

6、數(shù)據(jù)安全

Oracle數(shù)據(jù)庫支持其他數(shù)據(jù)庫中沒有的幾種安全性機(jī)制。這包括Database Vault，Label Security和Real ApplicationSecurity，所有這些都包含在Oracle Database云服務(wù)中。

Oracle在數(shù)據(jù)庫內(nèi)部實(shí)現(xiàn)了加密，因此保留了對(duì)備份，存檔，移動(dòng)和副本的保護(hù)。在臨時(shí)表空間，撤消段和重做日志中以及在內(nèi)部數(shù)據(jù)庫操作（例如JOIN和SORT）期間，加密的數(shù)據(jù)也受到保護(hù)。

Oracle自治數(shù)據(jù)庫具有自動(dòng)實(shí)施的加密和審核功能以及其他自動(dòng)鎖定的配置，包括不允許的高風(fēng)險(xiǎn)操作，管理員與數(shù)據(jù)之間的強(qiáng)制職責(zé)分離以及自動(dòng)修補(bǔ)和升級(jí)。

Oracle Data Safe添加了一層自動(dòng)化的集中式安全性。安全評(píng)估分析數(shù)據(jù)庫配置，用戶帳戶和安全控制，并報(bào)告發(fā)現(xiàn)的結(jié)果并提出修復(fù)建議。用戶評(píng)估還分析用戶安全性以識(shí)別高風(fēng)險(xiǎn)用戶，并為每個(gè)用戶分配風(fēng)險(xiǎn)評(píng)分。可以根據(jù)特定需求量身定制的敏感數(shù)據(jù)發(fā)現(xiàn)，可以檢查數(shù)據(jù)并返回敏感列的列表。數(shù)據(jù)屏蔽可刪除敏感數(shù)據(jù)，因此數(shù)據(jù)集可安全用于非生產(chǎn)用途?；顒?dòng)審核可監(jiān)視用戶活動(dòng)并標(biāo)記異常的數(shù)據(jù)庫活動(dòng)。OCI Vault服務(wù)提供對(duì)加密密鑰的集中管理，以保護(hù)數(shù)據(jù)和用于安全訪問資源的秘密憑證。保管庫服務(wù)可以與所有OCI服務(wù)集成，并用于創(chuàng)建和管理保管庫，密鑰和機(jī)密。默認(rèn)情況下，使用AES 256加密算法對(duì)OCI存儲(chǔ)服務(wù)（例如本地NVMe SSD，塊卷和對(duì)象存儲(chǔ)）進(jìn)行靜態(tài)加密。對(duì)于客戶租戶數(shù)據(jù)，OCI在靜態(tài)和傳輸中均使用加密。默認(rèn)情況下，塊卷和對(duì)象存儲(chǔ)服務(wù)通過使用具有256位加密的AES算法來啟用靜態(tài)數(shù)據(jù)加密。使用TLS 1.2或更高版本對(duì)數(shù)據(jù)進(jìn)行加密。

總的來說，借助Oracle Cloud Guard，安全區(qū)域Security Zone和專用區(qū)域Dedicated Regions以及Data Safe等原生的云服務(wù)能力，為Oracle OCI提供卓越的安全功能和性價(jià)比，而不會(huì)增加集中式安全配置和狀態(tài)管理以及自動(dòng)實(shí)施安全措施等服務(wù)的成本（這些服務(wù)均是免費(fèi)的）。

參考資料：DAO研究報(bào)告

作者簡(jiǎn)介

Tommy Tan，甲骨文云平臺(tái)資深咨詢顧問。專注于甲骨文安全以及PaaS相關(guān)產(chǎn)品和解決方案。具有超過13年的項(xiàng)目咨詢、服務(wù)與實(shí)施經(jīng)驗(yàn)。您可以通過tommy.tan@oracle.com與他聯(lián)系。

版權(quán)說明

本文內(nèi)容來自于甲骨文，本站不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。文章內(nèi)容系作者個(gè)人觀點(diǎn)，不代表快出海對(duì)觀點(diǎn)贊同或支持。如有侵權(quán)，請(qǐng)聯(lián)系管理員（hj@kchuhai.com）刪除！

點(diǎn)擊此處或者掃描下方二維碼，完善個(gè)人信息即可免費(fèi)在Oracle云上構(gòu)建、測(cè)試和部署應(yīng)用，每月獲取10TB免費(fèi)流量！

（作者：Tommy Tan）

（編輯：江同）

（來源：Tommy Tan）

以上內(nèi)容僅代表作者本人觀點(diǎn)，不代表雨果跨境立場(chǎng)！如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請(qǐng)于作品發(fā)表后的30日內(nèi)與雨果跨境取得聯(lián)系。