安全上脫穎而出的Oracle OCI云服務

（圖片來源：圖蟲創意）

DAO研究報告指出，在AWS、GCP、Azure、OCI四大云服務對比上，盡管Oracle作為年輕的云服務供應商（CSP：Cloud Service Provider），但Oracle OCI是一個圍繞著安全性進行了全新設計的IaaS基礎服務，免費提供很多功能和默認的安全開啟，很大程度上減少了人為錯誤的風險，從而使得Oracle云服務脫穎而出。

報告通過以下6個方面來闡述數據和應用在云上的安全，并通過相關調研數據對比了四大（AWS、GCP、Azure、OCI）云服務的特點。

1、邊界安全

DDoS防護攻擊，Bots網絡機器人，DNS域名服務，WAF(Web防火墻)，請求類型/端口安全等。

2、網絡安全

網絡安全組(NSG)，網絡防火墻，路由，流日志，安全列表，WAF組件。

3、虛擬化計算

租戶隔離，系統管理服務，虛擬化，裸金屬。

4、身份與訪問管理

訪問管理，權限賬號，SoD職責分離，認證，授權，IAM&組策略。

5、安全態勢管理

審計日志，監控，配置，響應&執行。

6、數據安全

Key管理，靜止數據，傳輸數據，加密，數據安全，存儲。

點擊此處或者掃描下方二維碼，完善個人信息即可免費在Oracle云上構建、測試和部署應用，每月獲取10TB免費流量！

從報告對比來看，四大云供應商均有各自的特點。

首先，AWS開拓了自己公有云市場，主要面向的是IaaS和對象存儲。因此，其擁有的ISV和SI組成的合作伙伴社區以及眾多成熟的成功案例。在過去的15年多中，AWS為了減少對客戶的攻擊面和保護客戶的安全，一直在增加安全服務，使AWS安全服務選件存在眾多且缺乏一致性，而這些附加的AWS安全服務會給客戶增加額外的成本、復雜性和困惑。AWS上的系統配置通常需要熟練的技術人員，由此也帶來了昂貴的人力成本。盡管安全服務增加，但其復雜性也帶來了安全上的不穩定性。如最近發生在思科離職員工惡意刪除在AWS上虛擬機造成了上千萬人民幣損失，是否與其復雜的IAM使用相關呢？

其次，Google GCP云平臺在2008年便以Google App Engine的形式推出，GCP是零信任（Zero Trust）安全的開創者。Google擁有其電信服務，可大程度上部署自己專有網絡。同時，Google在機器學習上略占優勢。GCP上課對文件和服務上進行細粒度的訪問，但這些額外的粒度使得那些沒有技能的感到困難，組織面臨著配置錯誤的挑戰。此外，GCP不提供數據庫內的本機加密，而是依靠存儲級的加密。

再次，微軟Azure并不像AWS那么早期推出。和AWS類似的是，為了提高Azure托管工作的安全性，而發布了一系列服務。在基于Windows工作負載的云服務上提供了許多現成的服務和功能，結合了office 365占有不少的優勢，擁有透明數據加密（TDE）的數據庫服務。但運行在Linux工作負載的客戶，Azure則沒有自己的Linux變體于其他Azure服務進行更緊密的集成，保護非Windows工作負載需要大量的精力。

最后，Oracle OCI是這四家公司中最年輕的云服務，其從底層以上圍繞著安全性進行了設計。作為對攻擊的額外防御上，OCI物理網絡被超細分為“隔離區”，以使得云供應商代碼和客戶的工作負載隔離分開。

Oracle自治數據服務可利用高度自動化來最大程度地減少人為錯誤，從而提供安全的數據存儲。而在OCI IAM中提供了隔離區Compartment特性，在租戶內部中提供了強大的安全邊界，支持最少權限方法以及零信任。除了IAM外，OCI還將提供安全區（Security Zone）來為最敏感的工作負載提供了客戶租期內的安全保障，在這些安全區域內的資源的安全性是強制性的，并且始終處于打開狀態。但是，需要更多的證明來獲得更多客戶的認可。

點擊此處或者掃描下方二維碼，完善個人信息即可免費在Oracle云上構建、測試和部署應用，每月獲取10TB免費流量！

下面是一些摘自DAO研究報告對OCI的安全優勢亮點:

1、邊界安全

在這四家CSP中，Oracle是唯一提供DDoS保護而無需額外費用的供應商。對于高度安全敏感的客戶，Oracle專用區域使客戶能夠在自己的數據中心中運行OCI服務。

2、網絡安全

OCI被組織為各個Region，每個Region下至少具有一個Availability Domain可用域，每個AD又進一步細分為3個故障域，以保障物理上的可用性。在VCN（Virtual CloudNetworks）虛擬網絡上，OCI VCN與傳統網絡非常相似，具有防火墻規則和特定類型的通信網關?？蛻艨蛇M行劃分和使用子網，安全列表和NSG網絡安全組用來過濾資源之間的流量。安全列表在子網級別運行，而NSG在VNIC（虛擬網卡）級別運行，這允許在資源之間進行更加細粒度的訪問控制（微分段），并使得客戶在應用程序在架構的網絡架構上的分層隔離。安全列表和NSG的規則可以是有狀態的也可以是無狀態的。

3、虛擬化計算

OCI從軟件堆棧中將網絡和磁盤IO的虛擬化脫離，并將其放入了網絡中，無需在客戶實例上運行虛擬機管理程序或任何的CSP云供應商的代碼。Oracle提供了物理服務器的裸機實例。OCI裸機和VM實例在相同類型的服務器硬件，固件，基礎軟件和網絡基礎結構上運行，因此這兩種實例類型都在這些層中內置了OCI保護。這種靈活性意味著OCI不僅提供虛擬隔離，而且還提供裸機服務器，這些服務器可以利用OCI云架構和服務的全部優勢而被安置在全球的Oracle數據中心或客戶數據中心。而裸機Bare Mental可為某些客戶提供無與倫比的性能，成本和安全性優勢。此外，基于Oracle Linux操作環境的Oracle Autonomous Linux提供了自治功能，例如自動零停機補丁和已知的漏洞檢測，以幫助保持操作系統的高度安全性和可靠性。Oracle Autonomous Linux的其他優點還包括加強配置，連續配置檢查和威脅監視。與Oracle OS管理服務（OSMS）結合使用，使用戶可以選擇要手動或自動化控制服務器。OSMS使用戶能夠自動化將執行Linux系統常見管理任務的功能，包括補丁和程序包管理以及安全性和合規性報告。

4、身份與訪問管理

OCI提供隔離專區和IAM策略以控制對云網絡的訪問。默認情況下，OCI的IAM功能既強大又安全。在通過組成員身份（零信任）分配權限之前，新創建的用戶是無法訪問OCI資源。作為重要區別因素，只有組才獲得對資源分配的訪問權限?？蛻艨梢允褂帽緳C多因素身份驗證確保安全訪問，可以根據用戶的角色權限將用戶分配給組，并使用簡單易懂的策略將權限分配給組。OCI的本地IAM還提供開箱即用的基本聯合功能。此外，Oracle提供商業的身份解決方案，包括其強大的基于云的身份云服務，該服務提供混合身份管理功能。

OCI租戶（Oracle帳戶）管理員可以通過隔離專區（隔離專區Compartment是云資產的集合，如計算實例，負載平衡器，數據庫等）來管理對OCI資源的訪問。在租約中，隔離專區可確保業務部門，項目或應用程序之間的安全邊界牢固。這意味著更好的控制，更高的安全性和更輕松的管理。

OCI的另一個獨特優勢是用于管理IAM策略的類似SQL的語法?？梢酝ㄟ^這些策略對OCI的所有部分進行訪問控制，這使得IAM策略的程序化管理在規模上變得更加容易。

一家全球零售連鎖店選擇OCI進行災難恢復，理由是OCI的全面安全性包括：OCI的細粒度、IAM策略控制數據庫內的訪問，借助Compartment可隔離不同資源以及與本地AD的聯合可以更好地控制用戶。同時，建筑行業的SaaS提供商選擇OCI通過Compartment進行細分?！斑@確保了每個客戶都被部署到自己的隔離專區，并且每個SaaS客戶之間都具有非常強的隔離性，”客戶IT安全負責人解釋說。

5、安全態勢管理

云中不斷出現的變化使得跟蹤客戶數據是否正確存儲變得很困難。隨著云基礎架構的增長和動態變化，跟蹤和防止配置錯誤的需求必須要求同時滿足。云安全狀態管理應能夠通過一定程度的策略執行自動化來監視配置更改。這包括定期運行的查詢，以及啟用了自動警報的功能，以允許在發生錯誤配置時進行手動或自動修復。

OCI Cloud Guard是一個統一的安全解決方案，它提供了一種全球（覆蓋租戶全球所有區域的數據中心）集中的方法來保護所有客戶的資產。Cloud Guard可以分析數據，檢測威脅和錯誤配置，并自動提供多種選項來應對這些挑戰，包括自動修復。Cloud Guard不斷從基礎架構和應用程序堆棧的各個部分收集數據，包括審核日志，Data Safe和Oracle OSMS，同時可以主動檢測并報告安全問題，可以將其配置為自動進行補救，以停止其識別的異?；顒?。Cloud Guard屬于原生的OCI云服務，使得OCI無需額外的第三方服務即可獲得優勢，因為可以自動進行安全管理以強制執行預設配置，而無需任何人工干預或額外費用。這點和其他廠商非常不同的一點。

OCI還提供了“安全區域”，這些區域是在隔離層級別定義的，安全性是強制性的并且始終處于啟用狀態?？蛻艨梢杂行У貙①Y源鎖定到已知的安全配置，自動阻止配置更改，并持續監視和阻止異?；顒?。這自動消除了進行持續分析的需要，否則將需要大量人力輔助并且容易出錯。Oracle為關鍵的生產工作負載提供了預配置的強制性安全最佳實踐，這有助于消除客戶的錯誤配置。

OCI的VCN流日志保留對通過VCN的每個流的詳細記錄，并將數據發送到OCI的日志服務。數據包括有關流量來源和目的地的信息，以及流量的數量以及根據網絡安全規則采取的“許可”或“拒絕”操作。

6、數據安全

Oracle數據庫支持其他數據庫中沒有的幾種安全性機制。這包括Database Vault，Label Security和Real ApplicationSecurity，所有這些都包含在Oracle Database云服務中。

Oracle在數據庫內部實現了加密，因此保留了對備份，存檔，移動和副本的保護。在臨時表空間，撤消段和重做日志中以及在內部數據庫操作（例如JOIN和SORT）期間，加密的數據也受到保護。

Oracle自治數據庫具有自動實施的加密和審核功能以及其他自動鎖定的配置，包括不允許的高風險操作，管理員與數據之間的強制職責分離以及自動修補和升級。

Oracle Data Safe添加了一層自動化的集中式安全性。安全評估分析數據庫配置，用戶帳戶和安全控制，并報告發現的結果并提出修復建議。用戶評估還分析用戶安全性以識別高風險用戶，并為每個用戶分配風險評分?？梢愿鶕囟ㄐ枨罅可矶ㄖ频拿舾袛祿l現，可以檢查數據并返回敏感列的列表。數據屏蔽可刪除敏感數據，因此數據集可安全用于非生產用途?；顒訉徍丝杀O視用戶活動并標記異常的數據庫活動。OCI Vault服務提供對加密密鑰的集中管理，以保護數據和用于安全訪問資源的秘密憑證。保管庫服務可以與所有OCI服務集成，并用于創建和管理保管庫，密鑰和機密。默認情況下，使用AES 256加密算法對OCI存儲服務（例如本地NVMe SSD，塊卷和對象存儲）進行靜態加密。對于客戶租戶數據，OCI在靜態和傳輸中均使用加密。默認情況下，塊卷和對象存儲服務通過使用具有256位加密的AES算法來啟用靜態數據加密。使用TLS 1.2或更高版本對數據進行加密。

總的來說，借助Oracle Cloud Guard，安全區域Security Zone和專用區域Dedicated Regions以及Data Safe等原生的云服務能力，為Oracle OCI提供卓越的安全功能和性價比，而不會增加集中式安全配置和狀態管理以及自動實施安全措施等服務的成本（這些服務均是免費的）。

參考資料：DAO研究報告

作者簡介

Tommy Tan，甲骨文云平臺資深咨詢顧問。專注于甲骨文安全以及PaaS相關產品和解決方案。具有超過13年的項目咨詢、服務與實施經驗。您可以通過tommy.tan@oracle.com與他聯系。

版權說明

本文內容來自于甲骨文，本站不擁有所有權，不承擔相關法律責任。文章內容系作者個人觀點，不代表快出海對觀點贊同或支持。如有侵權，請聯系管理員（hj@kchuhai.com）刪除！

點擊此處或者掃描下方二維碼，完善個人信息即可免費在Oracle云上構建、測試和部署應用，每月獲取10TB免費流量！

（作者：Tommy Tan）

（編輯：江同）

（來源：Tommy Tan）

以上內容僅代表作者本人觀點，不代表雨果跨境立場！如有關于作品內容、版權或其它問題請于作品發表后的30日內與雨果跨境取得聯系。