甲骨文最大安全区（Maximum Security Zones）保障企业云安全

甲骨文开发者社区 2020-11-15

464

时至今日，“云”作为一种新兴的计算方式，已广为各类消费者和企业客户所接受，它提供了更低的基础设施支出成本、更大的业务灵活性和更灵活的可伸缩性，这也是为什么越来越多的公司考虑并逐步将他们的企业应用迁移到云上的原因。

根据甲骨文和毕马威云威胁报告，现在将近90%的企业使用软件即服务(SaaS)、76%的企业使用的是基础设施即服务(IaaS)、50%的企业希望将所有数据在未来的两年内迁移上云。

但不幸的是，尽管它给企业带来了好处，云计算的应用也是有代价的。随着IT团队和云服务提供商努力保护数据安全，许多企业开发的安全应用都或多或少地存在着一些安全隐患。这引起了一些领域的关注——Gartner公司预测，到2025年，99%的云安全故障将是用户自己导致的。

所以，企业的云安全和隐私管理员们不得不承担更多的责任，他们不仅要熟悉云安全服务，知道如何在不牺牲业务连续性的情况下部署它们，并在快速变化的环境中正确管理安全资源配置等等，而且若企业在部署规模上混合了本地、云和多云部署时，这个挑战将会变得更加巨大——即使拥有了一支非常专业的云安全专家团队。

为此，甲骨文推出了一种新的最大安全区服务（Oracle Maximum Security Zones，简称MSZ），其安全特性非常易于部署和维护，而且还具有足够自动化和成熟度，能保护最关键的工作负载和数据，使得云安全和隐私管理员在保护企业工作负载时游刃有余，更容易地应用他们的专业知识来满足企业的安全目标，能够在资源配置生命周期的不同阶段避免不安全配置的云服务。

甲骨文第二代的云基础设施OCI在架构上遵循着安全第一的设计原则，其最大安全区（MSZ）在此基础之上继续强调安全主题，比如资源配置和活动监控、安全分区设计和安全自动化等。这些新的安全服务是Oracle云基础架构核心设计理念的一部分，包括:

高度的客户隔离
保护免受基于固件的攻击
无处不在的数据加密
操作系统的自动补丁
复杂的数据保护

通常OCI内部的资源，比如计算实例、网络、存储等，在逻辑上被分组到多个隔间（Compartment）中，这些隔间提供访问控制边界（以及其他事情，比如预算和成本跟踪）。例如，隔间A的管理员管理该隔间中的某些资源集，但不能访问其他隔间中的资源。因为安全区本质上是附加了安全区策略的特殊区域，一旦创建了安全区，就会针对实时进行监控操作，如果它们不符合安全策略，就会被阻止。

最大安全区提供了一组预定义的策略，称为Recipes。对于初始版本，此Recipes将强制执行最大级别的安全保护。这将是最严格的政策，不能改变。将来，如果需要调整最大安全性，客户将能够创建此策略的定制版本。下面是最大安全区中的一些策略的示例。