Häufig gestellte Fragen (FAQ) zu Security Zones

Häufig gestellte Fragen – Themen

Allgemeine Fragen

Was sind Oracle Security Zones in Oracle Cloud Infrastructure?

Security Zones (Sicherheitszonen) erzwingen die Sicherheitslage in OCI-Cloud-Compartments und verhindern Aktionen, die die Sicherheitslage eines Kunden schwächen könnten. Security Zone-Policys können auf verschiedene Arten von Cloud-Infrastrukturen (Networking, Compute, Storage, Database usw.) angewendet werden, um die Sicherheit von Cloud-Ressourcen zu gewährleisten und Fehlkonfigurationen bezüglich der Sicherheit zu verhindern.

Security Zones erweitert den Umfang der Sicherheitslagenverwaltung über die Überwachung und Sichtbarkeit hinaus auf die aktive Durchsetzung einer ressourcenbasierten Sicherheits-Policy. Benutzer bestimmen, welche Policys für ihre Anforderungen geeignet sind, indem sie Policy-Sets für benutzerdefinierte Sicherheitszonen (Custom Security Zone) definieren.

Was versteht man unter einem Security Zone-Rezept? Wie unterscheidet es sich von einer Policy?

Ein Security Zone-Rezept ist eine Sammlung von Security Zone-Policys, die als Vorlage definiert sind und auf ein oder mehrere Compartments angewendet werden können. Ein Security Zone-Rezept definiert einen Sicherheits-Policy-Set, der zulässige Aktionen für Cloud-Ressourcen einschränkt. Ein Policy-Set besteht aus einer oder mehreren Sicherheits-Policy-Anweisungen, die sich mit der Sicherheitslage von Cloud-Ressourcen befassen.

Was versteht man unter einer Maximum Security Zone (Zone mit maximaler Sicherheit)?

Maximum Security Zone ist ein vordefiniertes Rezept, das von Oracle verwaltet wird. Dieses Rezept enthält Policys, die die Konfiguration für eine starke Sicherheitslage maximieren. Während das Rezept für Maximum Security Zone eine breite Palette von Sicherheits-Policys umfasst, passen Organisationen in der Praxis den Umfang der angewendeten Policys normalerweise an ihre spezifischen Anforderungen an.

Kann ich mehrere Security Zones haben?

Ja. Die Anzahl der Security Zones, die erstellt werden können, ist nur durch das Compartment-Limit in Ihrem Mandanten begrenzt.

Muss ich eine Security Zone verwenden, um sicher zu sein?

Nicht unbedingt, aber Security Zones können verwendet werden, um Konfigurationsänderungen zu verhindern, die zu einer geschwächten Sicherheitslage führen.

Was ist, wenn ich nur einen Teil der Security Zone-Policys in einer Security Zone haben möchte?

Mit Custom Security Zones (benutzerdefinierte Sicherheitszonen) können Sie auswählen, welche Security Zone-Policys für eine Zone gelten. Darüber hinaus können Sie eine vorhandene Security Zone jederzeit entfernen oder ersetzen.

Kann ich meine eigenen Policys erstellen?

Kunden können ihre eigenen Policys erstellen. Kunden haben Zugriff auf eine von Oracle bereitgestellte umfangreiche Liste von Policys. Mit der Zeit werden neue Policys hinzugefügt.

Wie greife ich innerhalb einer Security Zone auf Ressourcen zu?

Ressourcen innerhalb von Security Zones sind mit ihren Äquivalenten außerhalb einer Security Zone identisch. Der einzige Unterschied besteht in der Durchsetzung der Sicherheits-Policys für ihre Einstellungen und Konfiguration. Auf diese Ressourcen kann mithilfe der gleichen Methoden, Tools und Berechtigungen wie auf normale Ressourcen zugegriffen werden.

Was hat Vorrang, die Identity Access Management-Policy oder die Security Zone-Policy?

Eine Security Zone überschreibt eine Identity Access Management-Policy, die den Zugriff erlaubt. Selbst wenn ein Benutzer beispielsweise die Berechtigung zum Verwalten eines Buckets hat, kann er einen Bucket in einer Security Zone nicht öffentlich machen, wenn die Policy-Anweisung „Deny Public Buckets“ (Öffentliche Buckets verweigern) angewendet wird.

Können meine Ressourcen über verschiedene Security Zones hinweg aufeinander zugreifen?

Security Zones verwalten nicht direkt Zugriffsbeschränkungen für die darin enthaltenen Ressourcen. Auf Ressourcen innerhalb einer Security Zone kann weiterhin mit jeder zuvor verwendeten Methode zugegriffen werden, vorausgesetzt, dieser Zugriff steht nicht im Konflikt mit der festgelegten Security Zone-Policy.

Wenn alles so stark geschützt ist, wie bekomme ich Daten in und aus einer Security Zone?

Eine sichere Verbindungsmethode ist erforderlich, um eine Security Zone-Grenze zu überschreiten und Daten zu übertragen. Zu den Methoden zum Erstellen einer sicheren Verbindung gehört die Verwendung eines Bastionservers, der mithilfe von OCI Bastion einfach von der Konsole aus konfiguriert und bereitgestellt werden kann.

Was sind die Unterschiede zwischen Security Zones und Cloud Guard?

Security Zones setzen Sicherheits-Policys für Compartments durch. Und Cloud Guard überwacht die Sicherheitslage von Infrastruktur und Anwendungen. Mit Custom Security Zones (benutzerdefinierte Sicherheitszonen) wurden Cloud Guard und Security Zones integriert, um eine automatische Überwachung der Sicherheitslage von Compartments zu ermöglichen, wenn eine Security Zone angewendet wird. Probleme, die innerhalb einer Security Zone erkannt werden, werden sowohl auf den Benutzeroberflächen der Security Zones- als auch der Cloud Guard-Konsole wiedergegeben.

Kann ich eine Autonomous Database oder andere Oracle Services in einer Security Zone haben?

Ja, jede Art von Ressource kann in einer Security Zone erstellt werden. Sicherheitszonen erzwingen Policys nur dann, wenn ein Ressourcentyp innerhalb einer Zone mit der Security Zone-Policy verknüpft ist, die auf ein Compartment angewendet wird.

Was kosten Security Zones?

Security Zones ist ein kostenloser Service. Bei Ressourcen innerhalb einer Security Zone fallen jedoch die üblichen Gebühren an.

Wie lösche ich eine Security Zone?

Eine Security Zone kann jederzeit über die OCI-Konsole oder API entfernt werden.

In welchen Regionen ist der Security Zones-Service verfügbar?

Security Zones sind in allen kommerziellen Regionen verfügbar.

Für welche Arten von Datenbanken gelten Security Zone-Policys?

Security Zone-Policys werden auf Autonomous Database, Bare-Metal-Datenbanken, VM-Datenbanken und Exadata durchgesetzt. Für Exadata Cloud@Customer-Datenbanken sind Security Zone-Policys nicht verfügbar.