安全區域會在 OCI 雲端區間強制實行安全態勢,並防止可能削弱客戶安全狀態的動作。Security Zone 原則可套用至各種雲端基礎架構類型 (網路、運算、儲存、資料庫等),以確保雲端資源安全並防止安全設定錯誤。
「安全區域」可擴充安全態勢管理範圍,超越對作用中強制實行資源安全原則的監督與可見性。使用者可透過定義「自訂安全區域」原則集來確定哪些原則能夠滿足需求。
安全區域處方是一組定義為樣板的安全區域原則,可套用至一或多個區間。安全區域處方會定義安全原則集,此原則集可限制雲端資源的允許動作。原則集包含一或多個解決雲端資源安全狀況的安全原則敘述句。
「最大安全區域 (MSZ)」是 Oracle 管理的預先定義處方。此方法包含最大化配置以維持強式安全狀態的原則。雖然「最大安全區域」處方包含一組廣泛的安全原則,但在實務上,組織通常會調整套用的原則範圍以反映其特定需求。
是。可建立的安全區域數目只受租用戶的區間限制。
不一定要,但「安全區域」可以用來防止造成安全性不足的配置變更。
自訂安全區域可讓您選取套用至區域的安全區域原則。此外,您隨時可以移除或取代現有的安全區域。
客戶無法建立自己的原則。客戶可以存取 Oracle 提供的廣泛原則清單。Oracle 將持續新增原則。
Security Zone 内外的資源皆相同。唯一的差異是針對其設定值和組態強制實施安全原則。您可以使用與一般資源相同的方法、工具及權限來存取這些資源。
Security Zone 將會覆寫允許存取的身份存取管理原則。例如,即使使用者具備管理儲存桶的權限,在套用「拒絕公用儲存桶」原則敘述句時,也無法在安全區域中將儲存桶設為公用。
Security Zone 不直接管理對其中資源的存取限制。Security Zone 內的資源仍然可以使用先前使用的任何方法存取,但前提是這類存取不會與設定的 Security Zone 原則衝突。
必須要有安全連線方法,才能跨 Security Zone 界限傳輸資料。建立安全連線的方法包括使用堡壘主機伺服器,您可以使用 OCI Bastion 從主控台輕鬆設定及部署此伺服器。
Security Zone 對區間強制實施安全原則。Cloud Guard 監督基礎架構和應用程式的安全狀況。藉由自訂安全區域,已整合雲端保全和安全區域,可在套用安全區域時自動對區間進行安全防護監控。在安全區域內偵測到的問題,會同時反映在安全區域和雲端保全主控台 UI 中。
是,您可以在安全區域中建立任何類型的資源。只有當區域中的資源類型與套用至區間的安全區域原則關聯時,安全區域才會強制實行原則。
Security Zone 是一項免費服務,但 Security Zone 內的資源仍將收取常規費用。
可以隨時使用 OCI 主控台或 API 移除 Security Zone。
所有商業區域均提供 Security Zone。
Security Zone 原則在 Autonomous Database、裸機資料庫、VM 資料庫和 Exadata 上實施。Security Zone 原則不適用於 Exadata Cloud@Customer Databases。