Antes de contratar um serviço de IaaS é importante conhecer os prós e contras dos vários provedores disponíveis no mercado. Com isso em mente, este artigo vai esclarecer tudo sobre os serviços IaaS OCI (Oracle Cloud Infrastructure).
São seis critérios principais a avaliar. Mas, antes, é preciso compreendê-los. Confira, então, a seguir suas definições básicas:
Segurança de perímetro
Embora o conceito de perímetro tenha diminuído na nuvem e em sua arquitetura de recursos compartilhados, ainda há uma necessidade de definir os limites externos de dados, aplicativos e serviços em nuvem. Controles de perímetro em uma nuvem visam avaliar o tempo de atividade e disponibilidade de recursos de ataques, como negação de serviço e envenenamento de DNS de serviços em nuvem. Contudo, o perímetro também inclui alguns aspectos de um WAF para aplicativos em nuvem, bem como o controle de acesso remoto a recursos de nuvem, como solicitações de porta.
Os principais provedores de nuvem oferecem uma gama completa de controles para mitigar ameaças externas e sustentar o tempo de atividade durante uma negação de serviço direcionada. A bem da verdade, o Google pode ter uma ligeira vantagem nesta categoria devido aos seus recursos de aprendizado de máquina e funcionalidade out-of-the-box. Entretanto, o serviço AWS WAF oferece as opções mais personalizáveis.
Segurança de rede
Um desafio em relação à segurança de rede na computação em nuvem é a falta de visibilidade da organização para monitorar o tráfego de rede e responder a atividades suspeitas. A computação em nuvem pública renuncia ao controle de rede e dados do usuário ou empresa para o CSP em modelo de responsabilidade compartilhada. Portanto, a segurança dos dados é responsabilidade do cliente.
Por esse motivo, é imperativo que o provedor de nuvem ofereça recursos e / ou suporte às ferramentas de terceiros para garantir à rede principal princípios básicos de segurança. Isso inclui o isolamento entre várias zonas por meio de camadas de firewalls, controles de tráfego de e para aplicativos, criptografia de nível de transporte ponta a ponta e protocolos de padrão seguro de encapsulamento, como IPSEC, SSH e Secure Sockets Layer (SSL), usado ao implantar um VPC.
Contudo, além de todos esses recursos, o provedor IaaS deve oferecer suporte a algum método de monitoramento de rede para detecção e resposta a ameaças, o que significa fornecer uma fonte de dados de tráfego de rede para inspeção de segurança.
Virtualização / Host
Os clientes IaaS são os principais responsáveis por proteger os hosts provisionados na nuvem, como virtualização e segurança de software ou segurança de servidor virtual. Em paralelo, o provedor de IaaS é responsável pelo camada de hardware e configuração de hipervisor de suporte subjacente. Ou seja, o cliente assume a responsabilidade e gerenciamento do sistema operacional convidado, incluindo atualizações e patches de segurança.
Além disso, as cargas de trabalho do cliente são isoladas e cada conta do cliente está vinculada aos recursos que ele consome. A maioria das cargas de trabalho corporativas é executada em sistemas operacionais Windows e Linux. Contudo, o Windows tem recursos de autopatching, enquanto o sistema operacional Linux requer script ou ferramentas de terceiros.
Gerenciamento de identidade e acesso
A identidade é talvez o componente mais crítico pelo qual o cliente é responsável na questão de segurança da nuvem. Afinal, a identidade mantém a integridade e confidencialidade dos dados e aplicativos, ao mesmo tempo que torna o acesso prontamente disponível para usuários autorizados. Portanto, oferecer suporte para esses recursos de gerenciamento de identidade, para usuários e componentes de infraestrutura, é um requisito importante para a computação em nuvem. Então, a identidade deve ser gerenciada de forma a construir confiança.
Felizmente, todos os CSPs fornecem identidade granular e controle de acesso que oferecem suporte à maioria, senão a todas, as opções de autenticação.
Gerenciamento de postura de segurança
É muito difícil controlar se os dados do cliente estão armazenados adequadamente. Isso acontece devido a mudanças emergentes e perpétuas na nuvem. Afinal, conforme a infraestrutura em nuvem cresce e muda dinamicamente, a necessidade de rastrear e proteger contra as configurações incorretas devem ocorrer em conjunto.
Portanto, o gerenciamento de postura de segurança na nuvem deve permitir o monitoramento de mudanças de configuração com algum nível de automação de aplicação de política. Isso inclui consultas que são executadas periodicamente, junto com recursos habilitados para alertas automáticos a fim de permitir a correção manual ou automatizada de configurações incorretas à medida que ocorrem.
Segurança de dados
No datacenter tradicional, controles de acesso físico, acesso a hardware e software e controles de identidade se combinam para proteger os dados. Entretanto, na nuvem, essa barreira protetora que protege a infraestrutura é difusa. Portanto, os dados precisam de sua própria segurança.
Então, esses controles devem incluir criptografia, isolamento de dados, classificação, direitos gerenciamento e forte acesso baseado em funções para armazenamentos de dados. Todos os principais provedores de nuvem têm um conjunto completo de controles para garantir a criptografia de dados em uso, em trânsito e em repouso. A diferença está entre controles nativos e custos adicionais de ferramentas de terceiros.
IaaS OCI
Segurança de perímetro na IaaS OCI
A IaaS OCI WAF é um serviço de segurança global que protege aplicativos contra tráfego malicioso e indesejado da Internet. A WAF protege qualquer endpoint voltado para a Internet, fornecendo aplicação de regras consistentes em todos os aplicativos do cliente.
Portanto, fornece às organizações a capacidade de criar e gerenciar regras para ameaças da Internet, incluindo Cross-Site Scripting, injeção de SQL e outras vulnerabilidades definidas pelo OWASP. Os bots indesejados podem ser mitigados enquanto taticamente permitem que bots desejáveis entrem. As regras de acesso podem ser limitadas com base na geografia ou na assinatura do solicitação.
A Oracle é o único fornecedor entre os quatro CSPs principais que oferece proteção contra DDoS sem custo adicional. Portanto, para clientes extremamente sensíveis à segurança, as regiões dedicadas da Oracle permitem que os clientes executem serviços OCI em seus próprios datacenters.
Segurança de rede na IaaS OCI
A OCI é organizada em áreas geográficas localizadas com cada região tendo pelo menos um domínio de disponibilidade. Ou seja, um datacenter único. Então, cada AD é segmentado em três domínios de falha para permitir mais segmentação. Assim, os clientes criam redes virtuais em nuvem (VCNs) dentro de uma região que habilita todos os recursos implantados dentro deles para se comunicarem com segurança uns com os outros, com outros serviços Oracle e com a Internet.
Eles se parecem muito com uma rede tradicional, com regras de firewall e tipos específicos de gateways de comunicação. Contudo, os clientes usam sub-redes, listas de segurança e NSGs para filtrar o tráfego entre recursos. As listas de segurança operam no nível de sub-rede, enquanto os NSGs operam no nível VNIC, o que permite um controle de acesso mais refinado (microssegmentação) entre recursos e para separação da arquitetura de sub-rede VCN dos clientes de seus requisitos de segurança do aplicativo. As regras para listas de segurança e NSGs podem ser com ou sem estado.
Virtualização / Host na IaaS OCI
A Oracle construiu sua nuvem com o que descreve como um design novo e com prioridade na segurança que separa as cargas de trabalho do cliente uns dos outros e do código de gerenciamento de nuvem da Oracle. Portanto, a IaaS OCI leva virtualização da rede e IO de disco para fora da pilha de software e o coloca na rede. Isso remove a necessidade de hipervisores ou de executar qualquer outro código CSP em instâncias do cliente, se executado em bare metal ou servidores dedicados.
Então, os clientes Oracle podem executar serviços de computação e banco de dados em instâncias bare metal, que são servidores físicos dedicados ao cliente, ou como instâncias de VM, que são ambientes de computação isolados em cima de hardware bare metal. É a locação e os compartimentos que permitem que os clientes organizem e separem suas cargas de trabalho.
Já a Oracle Autonomous Linux baseado no ambiente operacional Oracle Linux fornece recursos autônomos como patch automatizado com tempo de inatividade zero e detecção de exploit conhecido, para ajudar a manter o sistema operacional altamente seguro e confiável. Outras vantagens do produto incluem configuração reforçada, verificações contínuas de configuração e monitoramento de ameaças. Usado em conjunto com o Oracle OS Management Service (OSMS), permite que os usuários escolham quais de seus servidores automatizar ou controlar manualmente.
Automatização de recursos
A OSMS permite aos usuários automatizar recursos que executarão tarefas de gerenciamento comuns para sistemas Linux, incluindo patch e gerenciamento de pacotes e relatórios de segurança e conformidade. As instâncias bare metal e VM são executadas nos mesmos tipos de hardware de servidor, firmware, software subjacente e infraestrutura de rede. Portanto, ambos os tipos de instância têm proteções OCI incorporadas a essas camadas.
Esta flexibilidade significa que a IaaS OCI oferece não apenas separação virtual, mas também servidores bare metal que podem ser hospedados em um datacenter Oracle globalmente ou em um datacenter do cliente, utilizando todos os benefícios da arquitetura e serviços em nuvem OCI.
Este último pode fornecer benefícios incomparáveis de desempenho, custo e segurança para alguns clientes.
Gerenciamento de identidade e acesso
A IaaS OCI oferece compartimentos e políticas IAM para controlar o acesso à rede em nuvem. Os recursos de IAM da OCI são robustos e seguros por padrão. Os usuários não têm acesso aos recursos OCI até que os privilégios sejam atribuídos por meio da associação ao grupo (Zero Trust). Contudo, como um diferencial importante para o Oracle, apenas os grupos recebem direitos de acesso atribuídos.
Entretanto, os clientes também podem garantir acesso seguro com autenticação multifator nativa, atribuir usuários a grupos com base na função e atribuir privilégios para grupos usando políticas simples e fáceis de entender. O IAM nativo da OCI também fornece um conjunto básico de recursos prontos para uso. Além disso, a um custo adicional, a Oracle oferece soluções de identidade comercial, incluindo seu serviço em nuvem de identidade baseado em nuvem, que fornece recursos híbridos de gerenciamento de identidade.
Os administradores do locatário OCI (conta Oracle) podem gerenciar o acesso aos recursos OCI por meio de compartimentos (ou seja, uma coleção de ativos de nuvem, como instâncias de computação, balanceadores de carga, bancos de dados, etc.). Dentro de locações, os compartimentos garantem fortes limites de segurança entre unidades de negócios, projetos ou aplicativos. Esta, por sua vez, resulta em maior controle, segurança aprimorada e gerenciamento mais fácil.
Outra vantagem exclusiva da IaaS OCI é sua sintaxe semelhante a SQL para gerenciar políticas de IAM. Portanto, todas as partes do OCI podem ter acesso controlado por meio dessas políticas, que tornam o gerenciamento programático das políticas do IAM mais fácil em escala.
Gerenciamento de postura de segurança na IaaS OCI
A OCI Cloud Guard é uma solução de segurança unificada que fornece uma solução global e
abordagem centralizada para a proteção de todos os ativos do cliente. Ela trabalha para analisar dados, detectar ameaças e configurações incorretas e fornece automaticamente várias opções para lidar com esses desafios, incluindo correção automatizada.
O Cloud Guard coleta continuamente dados de todas as partes da infraestrutura e pilha de aplicativos, incluindo logs de auditoria, Oracle Data Safe e Oracle OSMS. Então, ele detecta e relata problemas de segurança de forma proativa e pode ser configurado para corrigi-los automaticamente a fim de interromper a atividade anômala que identificou. Portanto, o Cloud Guard dá à Oracle uma vantagem sem a necessidade de serviços adicionais de terceiros, pois a postura de segurança pode ser automatizada para impor configurações predefinidas sem qualquer intervenção humana ou custo adicional.
Contudo, a IaaS OCI também oferece zonas de segurança, que são definidas no nível do compartimento onde a segurança é sempre obrigatória. Ou seja, os clientes bloqueiam efetivamente os recursos para configurações seguras conhecidas, evitando automaticamente
alterações de configuração por meio de monitoramento e bloqueio de atividades anômalas continuamente.
Sem análise contínua
Isso remove automaticamente a necessidade de análise constante que, de outra forma, exigiria trabalho intensivo e sujeito a erros. Além disso, a Oracle fornece práticas recomendadas de segurança obrigatórias pré-configuradas para cargas de trabalho de produção críticas, o que ajuda a eliminar a configuração incorreta por parte do cliente.
Os registros de fluxo VCN da OCI mantém registros detalhados de cada fluxo que passa pelo VCN e envia os dados para o serviço de registro da IaaS OCI. Os dados incluem informações sobre a origem e o destino do tráfego, junto com a quantidade de tráfego e a ação de “permissão” ou “negação” realizada, com base nas regras de segurança da rede. Contudo, atualmente, os registros de fluxo VCN não coletam logs do Load Balancer.
Segurança de dados na IaaS OCI
O banco de dados Oracle oferece suporte a vários mecanismos de segurança que não estão disponíveis em outros bancos de dados. Isso inclui Database Vault, Label Security e Real Application Security, todos incluídos na nuvem de banco de dados Oracle. Além disso, a Oracle também implementa criptografia dentro do banco de dados, de forma que as proteções permaneçam para backups, arquivos, movimentações, e cópias.
Contudo, os dados criptografados também são protegidos em espaços de tabela temporários, segmentos de desfazer e logs de redo e durante operações internas de banco de dados, como JOIN e SORT. O Oracle Autonomous Database também apresenta recursos de aplicação de criptografia automática e auditoria junto com outras configurações bloqueadas automaticamente, incluindo a proibição de ações de alto risco, separação de tarefas forçada entre administradores e dados, e patching e atualizações automatizadas.
Já o Data Safe adiciona uma camada de segurança automatizada e centralizada. Então, a a avaliações de segurança analisa banco de dados, configurações, contas de usuário e controles de segurança e relatórios sobre as descobertas com recomendações para remediação. Avaliações do usuário também analisa a segurança do usuário para identificar usuários de alto risco e atribui uma pontuação de risco para cada um.
Dados confidenciais
Entretanto, a descoberta de dados confidenciais, que pode ser adaptada para necessidades específicas, inspeciona dados e retorna listas de colunas sensíveis. Então, o mascaramento de dados remove dados confidenciais para que os conjuntos de dados sejam seguros para uso fora da produção. A auditoria de atividades, por sua vez, monitora a atividade do usuário e sinaliza atividades incomuns do banco de dados.
O serviço OCI Vault fornece gerenciamento centralizado das chaves de criptografia que protegem os dados e o segredo credenciais que são usadas para acessar recursos com segurança. O serviço Vault pode ser integrado com todos os serviços da IaaS OCI e é usado para criar e gerenciar cofres, chaves e segredos.
Os serviços de armazenamento OCI (como Local NVMe SSD, Block Volumes e Object Storage) são todos criptografados em repouso por padrão usando o algoritmo de criptografia AES 256. Para dados de inquilino do cliente, a OCI usa criptografia tanto em repouso quanto em trânsito. Os serviços Block Volumes e Object Storage permitem a criptografia de dados em repouso por padrão, usando o Algoritmo AES com criptografia de 256 bits. Já os dados do plano de controle em trânsito são criptografados usando TLS 1.2 ou posterior.
