Security Zones (Sicherheitszonen) erzwingen die Sicherheitslage in OCI-Cloud-Compartments und verhindern Aktionen, die die Sicherheitslage eines Kunden schwächen könnten. Security Zone-Policys können auf verschiedene Arten von Cloud-Infrastrukturen (Networking, Compute, Storage, Database usw.) angewendet werden, um die Sicherheit von Cloud-Ressourcen zu gewährleisten und Fehlkonfigurationen bezüglich der Sicherheit zu verhindern.
Security Zones erweitert den Umfang der Sicherheitslagenverwaltung über die Überwachung und Sichtbarkeit hinaus auf die aktive Durchsetzung einer ressourcenbasierten Sicherheits-Policy. Benutzer bestimmen, welche Policys für ihre Anforderungen geeignet sind, indem sie Policy-Sets für benutzerdefinierte Sicherheitszonen (Custom Security Zone) definieren.
Ein Security Zone-Rezept ist eine Sammlung von Security Zone-Policys, die als Vorlage definiert sind und auf ein oder mehrere Compartments angewendet werden können. Ein Security Zone-Rezept definiert einen Sicherheits-Policy-Set, der zulässige Aktionen für Cloud-Ressourcen einschränkt. Ein Policy-Set besteht aus einer oder mehreren Sicherheits-Policy-Anweisungen, die sich mit der Sicherheitslage von Cloud-Ressourcen befassen.
Maximum Security Zone ist ein vordefiniertes Rezept, das von Oracle verwaltet wird. Dieses Rezept enthält Policys, die die Konfiguration für eine starke Sicherheitslage maximieren. Während das Rezept für Maximum Security Zone eine breite Palette von Sicherheits-Policys umfasst, passen Organisationen in der Praxis den Umfang der angewendeten Policys normalerweise an ihre spezifischen Anforderungen an.
Ja. Die Anzahl der Security Zones, die erstellt werden können, ist nur durch das Compartment-Limit in Ihrem Mandanten begrenzt.
Nicht unbedingt, aber Security Zones können verwendet werden, um Konfigurationsänderungen zu verhindern, die zu einer geschwächten Sicherheitslage führen.
Mit Custom Security Zones (benutzerdefinierte Sicherheitszonen) können Sie auswählen, welche Security Zone-Policys für eine Zone gelten. Darüber hinaus können Sie eine vorhandene Security Zone jederzeit entfernen oder ersetzen.
Kunden können ihre eigenen Policys erstellen. Kunden haben Zugriff auf eine von Oracle bereitgestellte umfangreiche Liste von Policys. Mit der Zeit werden neue Policys hinzugefügt.
Ressourcen innerhalb von Security Zones sind mit ihren Äquivalenten außerhalb einer Security Zone identisch. Der einzige Unterschied besteht in der Durchsetzung der Sicherheits-Policys für ihre Einstellungen und Konfiguration. Auf diese Ressourcen kann mithilfe der gleichen Methoden, Tools und Berechtigungen wie auf normale Ressourcen zugegriffen werden.
Eine Security Zone überschreibt eine Identity Access Management-Policy, die den Zugriff erlaubt. Selbst wenn ein Benutzer beispielsweise die Berechtigung zum Verwalten eines Buckets hat, kann er einen Bucket in einer Security Zone nicht öffentlich machen, wenn die Policy-Anweisung „Deny Public Buckets“ (Öffentliche Buckets verweigern) angewendet wird.
Security Zones verwalten nicht direkt Zugriffsbeschränkungen für die darin enthaltenen Ressourcen. Auf Ressourcen innerhalb einer Security Zone kann weiterhin mit jeder zuvor verwendeten Methode zugegriffen werden, vorausgesetzt, dieser Zugriff steht nicht im Konflikt mit der festgelegten Security Zone-Policy.
Eine sichere Verbindungsmethode ist erforderlich, um eine Security Zone-Grenze zu überschreiten und Daten zu übertragen. Zu den Methoden zum Erstellen einer sicheren Verbindung gehört die Verwendung eines Bastionservers, der mithilfe von OCI Bastion einfach von der Konsole aus konfiguriert und bereitgestellt werden kann.
Security Zones setzen Sicherheits-Policys für Compartments durch. Und Cloud Guard überwacht die Sicherheitslage von Infrastruktur und Anwendungen. Mit Custom Security Zones (benutzerdefinierte Sicherheitszonen) wurden Cloud Guard und Security Zones integriert, um eine automatische Überwachung der Sicherheitslage von Compartments zu ermöglichen, wenn eine Security Zone angewendet wird. Probleme, die innerhalb einer Security Zone erkannt werden, werden sowohl auf den Benutzeroberflächen der Security Zones- als auch der Cloud Guard-Konsole wiedergegeben.
Ja, jede Art von Ressource kann in einer Security Zone erstellt werden. Sicherheitszonen erzwingen Policys nur dann, wenn ein Ressourcentyp innerhalb einer Zone mit der Security Zone-Policy verknüpft ist, die auf ein Compartment angewendet wird.
Security Zones ist ein kostenloser Service. Bei Ressourcen innerhalb einer Security Zone fallen jedoch die üblichen Gebühren an.
Eine Security Zone kann jederzeit über die OCI-Konsole oder API entfernt werden.
Security Zones sind in allen kommerziellen Regionen verfügbar.
Security Zone-Policys werden auf Autonomous Database, Bare-Metal-Datenbanken, VM-Datenbanken und Exadata durchgesetzt. Für Exadata Cloud@Customer-Datenbanken sind Security Zone-Policys nicht verfügbar.