DAO研究报告指出,在AWS、GCP、Azure、与OCI四大云服务相比,尽管Oracle是年轻的云服务提供商(CSP:Cloud Service Provider),但是Oracle OCI是一种全新设计的IaaS基础服务,围绕安全性,免费提供多种功能和默认安全开启,人为错误的风险大大降低,使Oracle云服务脱颖而出。
报告从以下六个方面阐述了云中数据和应用的安全性,并通过相关研究数据对四个方面进行了比较(AWS、GCP、Azure、OCI)云服务的特点。
@ 边界安全
ddos防护攻击,bots网络机器人,dns域名服务,WAF(Web防火墙),请求类型/端口安全等。
@ 网络安全
网络安全组(NSG),网络防火墙、路由、流日志、安全列表、WAF组件。
@ 虚拟化计算
租户隔离、系统管理服务、虚拟化、裸金属。
@ 身份及访问管理
访问管理、权限账户、SOD职责分离、认证、授权、IAM&组策略。
@ 安全态势管理
审计日志、监控、配置、响应&执行。
@ 数据安全
Key管理、静态数据、数据传输、加密、数据安全、存储。
点击此处或扫描下面的二维码,完善个人信息,在oracle云上免费构建、测试和部署应用程序,每月获得10TB免费流量!
从报告对比来看,四大云供应商都有自己的特点。
首先,AWS开发了自己的公共云市场,主要面向IaaS和对象存储。因此,它拥有由ISV和SI组成的合作伙伴社区和许多成熟的成功案例。在过去的15年里,为了减少对客户的攻击,保护客户的安全,AWS一直在增加安全服务,使AWS安全服务选择众多,缺乏一致性,这些额外的AWS安全服务将增加额外的成本、复杂性和困惑。AWS上的系统配置通常需要熟练的技术人员,这也带来了昂贵的劳动力成本。尽管安全服务增加,但其复杂性也带来了安全不稳定。如果最近思科离职员工在AWS上恶意删除虚拟机造成数千万人民币损失,是否与复杂的IAM使用有关?
其次,Google GCP云平台将于2008年进行Gogle App 以Engine的形式推出,GCP为零信任(Zero Trust)安全的先驱。谷歌拥有自己的电信服务,可以在很大程度上部署自己的专有网络。同时,谷歌在机器学习上略有优势。GCP在课堂上访问文件和服务的细粒度,但这些额外的粒度使那些没有技能的人感到困难,组织面临着错误配置的挑战。此外,GCP依靠存储级加密而不是数据库中的本机加密。
第三,微软Azure不像AWS那样早期推出。与AWS类似,为了提高Azure托管工作的安全性,发布了一系列服务。结合officee,在基于Windows工作负载的云服务中提供了许多现成的服务和功能 365具有透明数据加密的优点(TDE)数据库服务。然而,对于在Linux工作负载中运行的客户,Azure在其他Azure服务中没有自己的Linux变体进行更紧密的集成,这需要大量的精力来保护非Windows工作负载。
最后,Oracle OCI是这四家公司中最年轻的云服务,它围绕安全设计在底层以上。OCI物理网络作为攻击的额外防御,被超细分为“隔离区”,将云供应商代码与客户的工作负荷隔离开来。
Oracle自治数据服务可以利用高度自动化来最大限度地减少人为错误,从而提供安全的数据存储。而在OCI IAM提供了隔离区的Compartment特性,在租户内部提供了强大的安全边界,支持最低权限和零信任。OCI除IAM外,还将提供安全区域(Security Zone)为客户租赁期间最敏感的工作负荷提供安全保障,这些安全区域资源的安全是强制性的,始终处于开放状态。然而,需要更多的证据来获得更多客户的认可。
点击此处或扫描下面的二维码,完善个人信息,在oracle云上免费构建、测试和部署应用程序,每月获得10TB免费流量!
以下是DAO研究报告中OCI安全优势的一些亮点:
@ 边界安全
在这四个CSP中,Oracle是唯一一家提供DDOS保护而不需要额外费用的供应商。对于高度安全敏感的客户,Oracle特殊区域允许客户在自己的数据中心运行OCI服务。
@ 网络安全
OCI被组织成每个Region,每个Region下至少有一个Availabilityy。 Domain可用域,每个AD进一步细分为三个故障域,以保证物理可用性。在VCN(Virtual CloudNetworks)在虚拟网络上,OCI VCN与传统网络非常相似,具有防火墙规则和特定类型的通信网关。客户可以划分和使用子网络、安全列表和NSG网络安全组来过滤资源之间的流量。安全列表在子网级运行,而NSG在VNIC级运行(虚拟网卡),允许在资源之间进行更细粒度的访问控制(微分段),使客户在应用程序的网络架构上分层隔离。安全列表和NSG的规则可以是有状态的或无状态的。
@ 虚拟化计算
OCI将网络与磁盘IO的虚拟化从软件堆栈中分离出来,并将其放入网络中,无需在客户实例中操作虚拟机管理程序或任何CSP云供应商的代码。Oracle为物理服务器提供裸机实例。OCI裸机和VM实例在相同类型的服务器硬件、固件、基本软件和网络基础设施上运行,因此这两种实例都在这些层中内置了OCI保护。这种灵活性意味着OCI不仅提供虚拟隔离,还提供裸机服务器,可以利用OCI云架构和服务的所有优势放置在全球Oracle数据中心或客户数据中心。而裸机Bare Mental可以为一些客户提供无与伦比的性能、成本和安全优势。此外,基于Oracle, OracleleLinux操作环境 Autonomous 为了保持操作系统的高度安全性和可靠性,Linux提供了自主功能,如自动零停机补丁和已知漏洞检测。Oracle Autonomous Linux的其他优点还包括加强配置、连续配置检查和威胁监控。与Oracle OS管理服务(OSMS)结合使用,用户可选择手动或自动控制服务器。OSMS使用户能够自动化Linux系统常见管理任务的功能,包括补丁和程序包管理、安全性和合规性报告。
@ 身份及访问管理
为了控制云网络的访问,OCI提供隔离区和IAM策略。OCI的IAM功能在默认情况下既强大又安全。在通过组成员身份(零信任)分配权限之前,新创建的用户无法访问OCI资源。作为一个重要的差异因素,只有团队才能获得资源分配的访问权。客户可以使用本机的多因素身份验证,以确保安全访问。用户可以根据用户的角色权限分配给小组,并使用简单易懂的策略将权限分配给小组。OCI本地IAM还提供开箱即用的基本联合功能。此外,Oracle还提供商业身份解决方案,包括其强大的基于云的身份云服务,提供混合身份管理功能。
OCI租户(Oracle账户)管理员可以通过隔离区域(Compartment是云资产的集合,如计算实例、负载平衡器、数据库等。)来管理OCI资源的访问。在租赁中,隔离区域可以确保业务部门、项目或应用程序之间的安全边界。这意味着更好的控制、更高的安全性和更容易的管理。
OCI的另一个独特优势是类似SQL的语法,用于管理IAM策略。通过这些策略,可以访问和控制OCI的所有部分,使得IAM策略的程序化管理更容易规模化。
全球零售连锁店选择OCI进行灾难恢复,原因是OCI的全面安全包括:OCI的细粒度和IAM战略控制数据库中的访问,可以通过COMPartment隔离不同的资源,与本地AD的结合更好地控制用户。与此同时,建筑行业的SaaS提供商通过Compartment选择OCI进行细分。客户IT安全负责人解释说:“这确保每个客户都部署在自己的隔离区,每个SaaS客户之间都有很强的隔离性。”。
@ 安全态势管理
云中的不断变化使得很难跟踪客户数据是否正确存储。随着云基础设施的增长和动态变化,必须同时满足跟踪和防止错误配置的需求。云安全状态管理应能够通过一定程度的策略实施自动化来监控配置变化。这包括定期运行查询和自动报警功能,以便在错误配置时手动或自动修复。
OCI Cloud Guard是一种统一的安全解决方案,它为保护所有客户的资产提供了一种全球集中的方法(覆盖全球所有地区的租户数据中心)。Cloud Guard可以分析数据,检测威胁和错误配置,并自动提供包括自动修复在内的多种选项来应对这些挑战。Cloud Guard不断从基础设施和应用程序堆栈的各个部分收集数据,包括审核日志,Data Safe和Oracle OSMS,同时,可以主动检测和报告安全问题,并将其配置为自动补救,以停止其识别的异常活动。Cloud Guard属于原始的OCI云服务,因此OCI可以在没有任何人工干预或额外费用的情况下获得优势,而无需额外的第三方服务,因为它可以自动进行安全管理,以强制执行预设配置。这与其他制造商非常不同。
OCI还提供了隔离层定义的“安全区”,安全是强制性的,始终处于启用状态。客户可以有效地将资源锁定在已知的安全配置中,自动防止配置变化,并继续监控和防止异常活动。这自动消除了持续分析的需要,否则会需要大量的人力帮助,容易出错。Oracle为关键生产工作负荷提供了最佳的强制性安全实践,有助于消除客户的错误配置。
OCIVCN流量日志保留通过VCN每个流量的详细记录,并将数据发送到OCI日志服务。数据包括流量来源和目的地的信息,流量的数量,以及根据网络安全规则采用的“许可”或“拒绝”操作。
@ 数据安全
Oracle数据库支持其他数据库中没有的几种安全机制。这包括Database Vault,Label Security和Real ApplicationSecurity,所有这些都包含在Oracle中 在Database云服务中。
Oracle在数据库中加密,因此保留了备份、归档、移动和副本的保护。在临时表空间、取消段和重做日志以及内部数据库操作(如JOIN和SORT)期间,也保护了加密数据。
Oracle自治数据库具有自动加密和审计功能等自动锁定配置,包括不允许的高风险操作、管理员与数据之间的强制责任分离、自动修复和升级。
Oracle Data Safe增加了一层自动化的集中安全。安全评估分析数据库配置、用户账户及安全控制,报告发现结果并提出修复建议。用户评估还分析用户安全性,识别高风险用户,并为每个用户分配风险评分。敏感数据可以根据特定需要定制,可以检查数据并返回敏感列的列表。敏感数据可以通过数据屏蔽来删除,因此数据集可以安全地用于非生产。活动审核可以监控用户活动,标记异常数据库活动。OCI Vault服务提供集中管理加密密钥,以保护数据和安全访问资源的秘密凭证。存储库服务可与所有OCI服务集成,用于创建和管理存储库、密钥和机密。默认情况下,使用AES OCI存储服务256加密算法(例如本地NVMe) SSD,块卷和对象存储)静态加密。OCI用于静态和传输客户租户数据的加密。默认情况下,块卷和对象存储服务使用256位加密AES算法启用静态数据加密。使用TLS 1.2或更高版本的数据加密。
一般来说,在Oracle的帮助下, Cloud Guard,Security安全区域 Zone和Dedicateded Regions和Datatans 为Oracle提供Safe等原生云服务能力 OCI提供优良的安全功能和性价比,而不增加集中安全配置、状态管理、自动实施安全措施等服务的成本(这些服务是免费的)。
参考资料:DAO研究报告
作者简介
Tommy Tan,甲骨文云平台高级顾问。专注于甲骨文安全及PaaS相关产品及解决方案。具有13年以上的项目咨询、服务和实施经验。你可以通过tomy.tan@oracle.com联系他。
版权说明
本文的内容来自甲骨文。本网站不拥有所有权,也不承担相关法律责任。本文的内容是作者的个人观点,并不意味着他很快就会出海同意或支持这些观点。如有侵权行为,请联系管理员(hj@kchuhai.com)删除!
点击此处或扫描下面的二维码,完善个人信息,在oracle云上免费构建、测试和部署应用程序,每月获得10TB免费流量!
(作者:Tommy Tan)
(编辑:江同)
作者简介 安全态势管理 数据安全 点击此处 版权说明 网络安全 虚拟化计算 身份与访问管理 边界安全
