Security Zones은 OCI 클라우드 구획에 보안 태세를 적용하고, 고객의 보안 태세를 약화할 수 있는 조치를 방지합니다. 다양한 클라우드 인프라 유형(네트워크, 컴퓨트, 스토리지, 데이터베이스 등)에 Security Zone 정책을 적용하여 클라우드 리소스를 보호하고 잘못된 보안 구성을 예방합니다.
Security Zones은 모니터링 및 가시성을 넘어 리소스 기반 보안 정책의 활성 적용까지로 보안 상태 관리 범위를 확장합니다. 사용자는 Custom Security Zone 정책 세트를 정의하여 자사의 요구사항에 적합한 정책을 직접 결정할 수 있습니다.
Security Zones 레시피는 하나 이상의 구획에 적용할 수 있는 템플릿으로 정의된 Security Zones 정책 모음입니다. Security Zones 레시피는 클라우드 리소스에서 허용 가능한 작업을 제한하는 보안 정책 집합을 정의합니다. 정책 세트는 클라우드 리소스의 보안 상태를 다루는 하나 이상의 보안 정책 문으로 구성됩니다.
Maximum Security Zone은 Oracle에서 관리하는 사전 정의된 레시피입니다. 이 레시피에는 강력한 보안 상태에 대한 구성을 최대화하는 정책이 포함되어 있습니다. Maximum Security Zone 레시피에는 광범위한 보안 정책 세트가 포함되어 있지만 실제로 조직은 일반적으로 특정 요구사항을 반영하기 위해 적용되는 정책의 범위를 조정합니다.
네. 생성할 수 있는 Security Zones의 수는 테넌시의 구획 제한에 의해서만 제한됩니다.
반드시 그런 건 아니지만 Security Zones을 사용하여 보안 상태 약화를 유발하는 구성 변경을 방지할 수 있습니다.
커스텀 Security Zones은 영역에 적용할 Security Zones 정책을 선택할 수 있는 기능을 제공합니다. 또한 언제든지 기존 Security Zones을 제거하거나 바꿀 수 있습니다.
고객은 자체 정책을 생성할 수 없습니다. 고객은 Oracle에서 제공하는 광범위한 정책 목록에 액세스할 수 있습니다. 시간이 지나면서 새 정책이 추가됩니다.
Security Zones 내의 리소스는 Security Zones 외부에 있는 리소스와 동일합니다. 유일한 차이점은 설정 및 구성에 대한 보안 정책 적용입니다. 이러한 리소스는 일반 리소스와 동일한 방법, 도구 및 권한을 사용하여 액세스할 수 있습니다.
Security Zones이 액세스 허용을 담당하는 ID 액세스 관리 정책보다 우선합니다. 예를 들어 사용자에게 버킷 관리 권한이 있는 경우에도 정책문 '공용 버킷 거부'가 적용되면 Security Zone에서 버킷을 공용으로 설정할 수 없습니다.
Security Zone은 포함된 리소스에 대한 액세스 제한을 직접 관리하지 않습니다. Security Zone 내의 리소스는 해당 액세스가 설정된 Security Zone정책과 충돌하지 않는 경우 이전에 사용된 방법을 사용하여 계속 액세스할 수 있습니다.
Security Zone 경계를 넘어 데이터를 전송하려면 보안 연결 방법이 필요합니다. 보안 연결을 생성하는 방법에는 OCI Bastion을 사용하여 콘솔에서 쉽게 구성하고 배포할 수 있는 Bastion Server를 사용하는 옵션이 포함됩니다.
Security Zone은 구획에 대한 보안 정책을 적용합니다. Cloud Guard는 인프라 및 애플리케이션의 보안 상태를 모니터링합니다. 커스텀 Security Zone을 사용하면 Cloud Guard 및 Security Zone이 통합되어 Security Zone이 적용될 때 구획에 대한 자동 보안 상태 모니터링을 제공합니다. Security Zone 내에서 감지된 문제는 Security Zone 및 Cloud Guard 콘솔 UI 모두에 반영됩니다.
네. 모든 유형의 리소스를 Security Zone에 생성할 수 있습니다. Security Zone은 영역 내의 리소스 유형이 구획에 적용된 Security Zone 정책과 연관된 경우에만 정책을 실행합니다.
Security Zone은 무료 서비스이지만 Security Zone 내의 리소스 사용에 대한 비용은 부과됩니다.
Security Zone은 OCI 콘솔 또는 API를 사용하여 언제든지 제거할 수 있습니다.
Security Zone은 모든 상용 리전에서 사용할 수 있습니다.
Security Zone 정책은 Autonomous Database, 베어메탈 데이터베이스, VM 데이터베이스 및 Exadata에 적용됩니다. Exadata Cloud@Customer 데이터베이스에는 Security Zone 정책을 사용할 수 없습니다.