所见即所得元素

安全部署 SPARC SuperCluster T4-4 的最佳实践

作者:Glenn Brunette、Ramesh Nagappan 和 Joel Weise

SPARC SuperCluster 内置的安全功能以及利用这些功能的架构、部署和操作最佳实践


2012 年 7 月发布

产品安全原则
产品安全功能
一般建议和考虑因素
总结
另请参见
关于作者

OTN 旨在帮助您充分了解 Oracle 技术,以作出明智决策。本网站提供文章、软件下载、文档等。立即加入,获取完成工作所需的技术资源。

Oracle SPARC SuperCluster T4-4 是高性能、多用途的集成设计系统。该系统经过精心设计、测试和集成,可运行广泛的企业应用程序。它适用于多种不同任务,包括数据库和应用程序整合、多层级企业应用程序运行和多租户应用程序交付等。为实现以上安全架构,SPARC SuperCluster 平台提供了当今 IT 架构中罕有的安全协同级别。其工程创新和高度集成提供了优于个体组件总和的安全性。

本文将描述 SPARC SuperCluster 平台的安全原则和安全功能,并重点介绍一组能够满足最苛刻安全要求的全面安全控制。每个功能均可与其他层中的功能组合使用,从而加强整体安全状况。此外还提供了其他架构、部署和操作指南来帮助您了解如何将 SPARC SuperCluster 平台集成到现有的 IT 安全环境中。

产品安全原则

讨论 SPARC SuperCluster 平台的各种安全功能前,有必要重点探讨一下该集成系统的开发指导原则。存活能力、纵深防御、最低权限和责任制是 SPARC SuperCluster 平台安全架构的核心。该平台充分体现了这些经过时间检验的原则,并提供了一组完美集成的安全功能。

存活能力

专为任务关键型负载设计的硬件和软件平台必须能够防止或最大程度地较少内部用户或外部各方意外或恶意行为造成的损失。SPARC SuperCluster 通过以下方式支持存活能力原则:

  • 确保平台组件经过精心设计、集成和测试,能够协同配合以支持安全的部署架构。SPARC SuperCluster 平台及其包含的产品支持安全隔离、访问控制、加密服务、监视和审计,以及服务质量和安全管理。
  • 降低所含产品的默认攻击面,将平台受攻击的风险降至最低。用户可根据自身策略和需求来定制 SPARC SuperCluster 平台的安全状况。
  • 通过一整套开放、经审查的协议和支持强身份验证和访问控制、保密性、完整性及可用性等传统安全性的 API,对包括操作界面和管理界面在内的平台加以保护。

纵深防御

SPARC SuperCluster 部署了多个彼此独立又相辅相成的安全控制,以便为负载和数据创建一个安全的操作环境。如运用恰当,纵深防御原则可提供可靠的分层防御,即使单个安全控制出现漏洞或故障,也能保证操作安全进行。SPARC SuperCluster 通过以下方式支持纵深防御原则:

  • 提供强大的补充性保护措施,保护传输中、使用中和处于静止状态的信息。服务器、存储、网络、虚拟化、数据库和应用层中均部署了安全控制。更重要的是,每层中唯一的安全控制还可以与其他层的安全控制相集成,从而构成强大的分层安全架构。
  • 支持明确定义的开放标准、协议和接口。这就意味着可以将 SPARC SuperCluster 平台集成到现有安全策略、架构、实践和标准中。应用程序与设备并非孤立存在,IT 架构的安全性由集成系统中安全性最差的组件决定,因此这样的集成至关重要。

最低权限

确保应用程序、服务和用户对运行任务所需功能的正常访问仅仅是“最低权限”的一个重要方面。另一个同样重要的方面是限制对无用功能、服务和界面的访问。最低权限原则基于一个简单理念,即,不提供用户不需要的功能。SPARC SuperCluster 通过以下方式来支持最低权限原则:

  • 确保按照每个用户和管理员的角色来授予单个服务器、存储、虚拟化、操作系统、数据库和其他组件的访问权限。将细粒度权限与基于角色的多因素访问控制模型相结合,确保用户只能访问所需内容。
  • 限制应用程序,使其严格地按照需求来访问信息、底层资源、网络通信乃至本地或远程服务的访问。应用程序同样有可能出现行为不当,原因可能是意外或恶意攻击,如果不实施最低权限准则,应用程序造成的损害将可能超过其预期用途。

责任制

多数情况下,仅做到预防安全事故的发生还远远不够。同样重要的是能够检测事故、报告事件并理解如何预防事件发生。同样,如果不能防止事件发生,则需检测发生的事件并采取适当的措施。关注责任制的企业通常期待得到以下问题的答案,如“发生了什么安全事件?”、“何时发生?”、“在何处发生?”、“发生的原因?”、“针对谁?”以及“有什么影响?”。SPARC SuperCluster 通过以下方式支持责任制原则:

  • SPARC SuperCluster 平台采用的所有组件都支持活动审计和监视,包括将记录登录和注销事件、管理活动,往往还会记录各产品特有的其他一些事件。相关信息的采集和审查对维持安全运营十分重要,同时也有助于安全事故的根本原因分析。
  • 特别需要提到的是 SPARC SuperCluster 平台中具有超强审计和监视能力的两种产品。在审计方面,Oracle Solaris 和 Oracle Database 都支持细粒度配置。为此,用户可以设置适应用户标准和目标的审计配置,从而确保在捕获关键信息的同时最大程度减少不必要或不恰当审计事件的影响。

SPARC SuperCluster 平台能够提供基于安全原则的功能以及“默认安全”和“降低攻击面”等功能,无疑是部署任务关键服务的极佳选择。

产品安全功能

SPARC SuperCluster 平台是一个多用途的集成设计系统,它集成了 Oracle SPARC T4 处理器的计算能力、Oracle VM Server for SPARC 的高效虚拟化功能、Oracle Solaris 的性能和可伸缩性、Oracle 数据库(与 Oracle Exadata Storage Server 相集成)优化的数据库性能以及 Oracle Sun ZFS 存储设备的创新型网络连接存储能力。所有这些核心组件通过冗余的 InfiniBand 网络连接,从而确保了所有组件之间网格通信的低延迟和高性能。其次,10 Gb/秒的以太网使客户端可以顺畅地访问 SPARC SuperCluster 平台上运行的服务。1 Gb/秒的以太网提供了管理 SPARC SuperCluster 所有组件的通道。要了解有关 SPARC SuperCluster 的更多信息,请参见 Oracle 白皮书“Oracle SPARC SuperCluster T4-4 技术概述”

SPARC SuperCluster 平台支持多种全机架和半机架部署方案。图 1 展示了一种可行的全机架配置。

图 1 - SPARC SuperCluster 的全机架配置示例

图 1. SPARC SuperCluster 的全机架配置示例

 

值得一提的是 SPARC SuperCluster 架构内各核心组件提供的安全性功能。为便于演示这些功能,我们将其划分为六个不同的类别,分别是:安全隔离、访问控制、加密服务、监视和审计、质量服务和安全管理。此清单并不详尽,但能够凸显分层安全策略中最常用的安全性功能。

安全隔离

隔离服务、用户、数据、通信和存储对于整合 IT 基础架构、实施共享服务架构和提供安全的多租户服务至关重要。SPARC SuperCluster 平台实现了负载、网络、数据库和存储级的安全隔离,让用户可以根据需求灵活运用多种不同的隔离策略和战略。

负载隔离

Oracle VM Server for SPARC 是典型的 Type 1 虚拟机管理程序,其在裸机上运行并用于协调对硬件资源的访问,从而确保平台上各个域或逻辑域之间的有效隔离。Oracle VM Server for SPARC 用于创建配置为 Oracle Database 11g 第 2 版域或通用域的硬分区。每个通用域自身都具有虚拟化 CPU、内存、存储、控制台以及操作系统实例。通用域可运行受 Oracle Solaris 10 或 Oracle Solaris 11 操作系统支持的应用程序(包括企业应用程序、中间件甚至数据库),而 Oracle Database 11g 第 2 版的域则只能运行 Oracle Solaris 11 上的 Oracle Database 11g 第 2 版。

通用域支持的 Oracle Solaris 区域,允许用户进一步隔离在相同操作系统内核下运行的应用程序。区域设计了独一无二的功能,能够快速有效地将同一操作系统下运行的应用程序分装在不同的“沙盒“中,从而保证这些程序不受其他区域中意外或恶意事件的影响。除在相同内核上运行外,每个区域都具有各自的标识并享有安全性、资源、命名空间和进程隔离。从本质上而言,相对于 Type 1 虚拟机管理程序上运行的传统虚拟机,区域在更小的 CPU 和内存中实现了具有强大隔离功能和灵活资源控制的内置虚拟化。

Oracle VM Server for SPARC 和 Oracle Solaris 区域都支持应用程序隔离,用户可以将它们作为互补技术。Oracle VM Server for SPARC 用于隔离操作系统(隔离到不同域),而 Oracle Solaris 区域技术则用于隔离进程组。这些技术可以单独使用,也可以组合起来使用。在组合使用时其价值将会增加,从而确保应用程序负载的安全、有效部署。

网络隔离

在物理网络级别,客户端访问独立于设备管理和设备间通信。客户端访问通过冗余的 10 Gb/秒以太网网络实现,以确保可靠、高速地访问运行在平台上的服务。同样,管理访问是通过一个物理上独立的 1 Gb/秒以太网网络实现的,使用户可以在运营网络和管理网络之间建立硬隔离。最后,设备间通信是通过冗余的 InfiniBand 网络实现的,它为各独立设备间的通信创建了一个高性能、低延迟的基架。

为了更好地隔离客户端访问以太网上的网络通信,用户可以采用物理隔离策略和虚拟 LAN (VLAN) 来分割网络流量。同样,借助 InfiniBand,用户可以利用分区来实现与以太网 VLAN 同等的隔离效果。默认设置下,SPARC SuperCluster 平台具有多个 InfiniBand 分区,可以实现数据库域、网络存储和专用集群互联之间的隔离。用户还可以利用额外的分区、或扩展现有分区来实现特定站点的隔离。此外,在需要保证通信保密性和完整性的情况下,用户可以在 InfiniBand 分区和 VLAN 上使用加密协议。

Oracle VM Server for SPARC 和 Oracle Solaris 11 都支持虚拟交换机和网络接口的概念。通过配置虚拟交换机和网络接口,可实现对域和区域的网络访问。就 Oracle VM Server for SPARC 而言,网络访问由虚拟机管理程序进行协调。同样,借助操作系统内核中独有的网络堆栈和集成虚拟网络交换,Oracle Solaris 可确保网络访问的合规性。例如,可有效保证区域中运行的服务无法窥探其他区域内和区域外的网络流量。在两种情况下,域和区域对共享网络的访问权限都由配置确定。此外,物理和虚拟网络都可以通过 InfiniBand 分区连接到现有以太网 VLAN 和 IP,从而将物理和虚拟环境集成为一个整体的网络架构。

数据库隔离

用户可以采用多种方式对数据库进行隔离。物理分离通常为最佳隔离方式之一,可通过指定单一物理系统运行 Oracle Database 11g 第 2 版域来实现。当数据库负载需要与相同物理平台上的其他负载共享物理资源时,用户可以采用借助 Oracle VM Server for SPARC、基于虚拟机管理程序的隔离方式。

另一种隔离策略则涉及同一操作系统下多个数据库实例的操作。通过结合数据库级和操作系统级控制功能(包括用户、组、角色等专用证书)、专用表空间和资源控制,可以实现多实例数据库隔离。

Oracle Database Vault 选件包含一个强制访问控制模型,该模型利用单一数据库中的逻辑领域来实现隔离。通过阻止管理帐户对应用程序数据的即席访问,逻辑领域可在现有应用程序表周围形成一个保护边界。同样,Oracle Database Vault 的命令规则可实现基于策略的控制,从而限制对数据库和应用程序数据访问的时间、地点、方式和对象,为访问应用程序数据创建了一个可靠途径。利用 Oracle Database Vault 因子,可根据访问时间、源 IP 地址和其他要求进一步限制对数据的访问。

Oracle 虚拟专用数据库功能可用于创建策略,通过策略对数据库表以及行、列级视图执行细粒度访问。由于策略与数据库对象有关,且能够自动应用(无论以何种方式访问数据),因此 Oracle 虚拟专用数据库可提供安全可移植性。因此,Oracle 虚拟专用数据库可用于提供数据库表空间级的隔离。

最后,Oracle Label Security 选件可以对数据进行分类,并根据分类协调数据访问。您可以定义最符合您需求的分类策略,分级策略或相互独立的策略都行。借助该功能,存储在不同分类级别的信息可以在单一表空间内实现行级隔离。

存储隔离

借助 InfiniBand 分区,Oracle Exadata Storage Server 可以与架构的其他部分相隔离。。默认情况下,这些存储单元只能由 Oracle Database 11g 第 2 版域访问。利用 Oracle 自动存储管理功能,可以对 Oracle Exadata Storage Server 管理的存储进行进一步细分,以创建拥有独立安全策略的单独领域。

Sun ZFS 存储设备采用了类似战略,利用 InfiniBand 分区来隔离域和区域,并实现与它们的通信。默认设置下,Sun ZFS 位于自身的 InfiniBand 分区,独立于 Oracle Exadata Storage Server。借助 ZFS 池、数据集和卷,用户可以进一步将存储分为具有各自安全策略、粒度更细的单元。

访问控制

控制对系统、服务和信息的访问为重中之重。用户需要定义灵活的访问策略,从而确保用户和管理员能在正确的时间有正确的访问权限。为保护应用程序数据、负载和运行负载的底层基础架构,SPARC SuperCluster 为用户和管理员提供了全面而灵活的访问控制功能。

负载访问控制

Oracle Solaris 可通过多种方式对访问系统服务的用户进行身份验证。尽管传统的用户名和密码对目前仍在广泛使用,但采用 Oracle Solaris 可插入身份验证模块则可以轻松集成更有效的身份验证方式,进而利用 LDAP、Kerberos 和公共密钥来进行身份验证。通过进一步扩展该框架,您将可以利用智能卡、安全令牌等其他设备,把 Oracle Solaris 集成到现有的身份和访问管理架构中。

Oracle Solaris 支持全面、基于角色的访问控制 (RBAC) 功能,允许您按照需求委托用户权限和管理权限。Oracle Solaris 通过 RBAC 功能消除了全能的超级用户概念,实现了职责分离,且支持管理角色、授权、细粒度权限和权限配置文件等概念,全部用来为用户和管理员分配权限。RBAC 与 Oracle Solaris 的其他核心服务(包括 Oracle Solaris 服务管理框架和 Oracle Solaris 区域)相集成,从而提供了一致的架构来支持所有操作系统级访问控制需求。

此外,Oracle VM Server for SPARC 利用 Oracle Solaris 的 RBAC 功能作为其访问控制架构的基础,因此您可以从一个集中权限来管理、控制和审计操作系统与虚拟化管理权限。

网络访问控制

除简单的网络级隔离,细粒度访问控制策略还适用于设备级。SPARC SuperCluster 平台中的所有设备都能够限制服务的网络访问,无论是使用架构方法(如网络隔离)还是使用数据包过滤和/或访问控制清单来限制物理与虚拟设备之间的通信以及对平台服务的访问。

Oracle Solaris 支持“默认安全”状态,在该状态下除 Secure Shell 外任何其他网络服务不得接收入站的网络流量。其他已启用的网络服务在内部监听 Oracle Solaris 操作系统(或区域)中的请求。这确保所有网络服务默认处于禁用状态或设置为仅监听本地系统通信。您可以根据需求自定义该配置。

当您在 InfiniBand 上使用以太网或 IP 时,Oracle Solaris 可利用 Oracle Solaris IP 过滤器特性实现网络层和传输层(状态)包过滤。IP 过滤器提供了一系列基于主机的网络功能,包括状态包过滤、网络地址转换和端口地址转换。

数据库访问控制

在操作系统层面,您需要使用不同的帐户来确保数据库实例和存储管理员(包括配套的 Oracle 自动存储管理功能)的任务角色分离,这一点十分重要。在 Oracle 数据库中,可以为用户分配特定的权限和角色,以确保用户只能访问权限内的数据对象。这可以防止未经允许的情况下共享数据库之间或模式之间的数据。

除 Oracle 数据库中基于密码的身份验证外,Oracle Advanced Security 选件让您能够利用公共密钥证书或现有 RADIUS、Kerberos 基础架构来实现强身份验证。此外,利用 Oracle Enterprise User Security,可以将数据库与专用于身份验证和授权的现有 LDAP 信息库相集成。最后,对于连接到数据库的用户,这些功能可以提供更高级的身份保障。

Oracle Database Vault 可对管理用户和特权用户访问进行管理,控制应用程序数据的访问方式,时间和地点。Oracle Database Vault 将有效防止被盗登录凭证误用、应用程序绕行和未授权的应用程序及数据更改,包括复制应用程序数据的行为。Oracle Database Vault 对大多数应用程序和日常任务是透明的,它支持多因子授权策略,可在不中断业务操作的情况下安全实施策略。

在架构的每一层实施职责分离十分必要,因为这可以降低串通行为的风险并有效防止失误。Oracle Database Vault 能够执行职责分离,确保帐户管理、安全管理、资源管理和其他功能只能授予拥有相应权限的用户。

存储访问控制

为最小化攻击面,Oracle Exadata Storage Server 和 Sun ZFS 存储设备不支持管理界面之外的管理和自定义操作。这些系统中没有定义用户,这些设备可作为针对特定用途进行了优化和强化的固定功能设备。

Oracle Exadata Storage Server 中的 Oracle 自动存储管理支持三种访问控制模式:开放安全性、Oracle 自动存储管理范围内的安全性和数据库范围的安全性。

开放安全性,顾名思义,是指任何数据库都可以访问由 Oracle 自动存储管理管理的所有磁盘。相反,对于 Oracle 自动存储管理范围的安全性,只有位于一个或多个 Oracle 自动存储管理集群的多个数据库才能访问特定的磁盘。最细粒度的访问控制 — 数据库范围的安全性,则只有特定的数据库才能访问特定的磁盘。用户可以根据自身情况选择适当的模型,但应当注意的是,同一环境中不能同时使用 Oracle 自动存储管理范围安全性和数据库范围的安全性。

除所有的访问控制模式外,Oracle 自动存储管理还支持磁盘组和文件级的访问控制分配,从而确保磁盘上存储的内容只由有权限的用户访问。当然,如果用户担心数据库中存储内容的保密性,可以考虑采用数据库(表空间或列级)加密。

Sun ZFS 存储设备支持一系列访问控制策略,可应用于各个用户或组的数据集和卷级别。此外,当存储被 Sun ZFS 存储设备共享时,可利用共享协议(如 NFS)的附加访问控制来进一步限制对授权系统、服务和用户的访问。

加密服务

对处于静止、传输、使用状态的信息进行保护和验证的需求建立在加密服务的基础上。从加密和解密到数据指纹和证书验证,加密技术一直都是现代 IT 企业中最常用的安全控制技术之一。SPARC SuperCluster 在提供全面、高效和高性能的端到端加密技术方面具有丰富的功能。

负载加密服务

SPARC T4 处理器具有集成的芯片加密加速,可以在不降低性能的情况下实现强大的加密服务。SPARC T4 处理器可以提高 16 种行业标准加密算法的性能,并安全生成随机数。这些功能可用于直接在 SPARC T4 处理器上运行的操作系统或 Oracle VM Server for SPARC 创建的各个域。

默认设置下,Oracle Solaris 利用 SPARC T4 处理器(直接或实际上通过 Oracle VM Server for SPARC)来实现 Oracle Solaris 加密框架高效的加密操作。该共享构架是提供服务或利用 Oracle Solaris 中加密技术的一个收集点。利用 Oracle Solaris 加密框架,用户、应用程序和服务不仅可以利用最佳算法,还可以无缝利用硬件加密加速以及硬件安全模块(在使用时)。Oracle Solaris 支持全面的加密服务,包括安全 shell、IPsec/IKE、Kerberos 和 ZFS 加密。同样还包括各种集成,使采用 OpenSSL 或 Java 的应用程序能够利用该通用框架(包括任何可用的加密加速)。

网络加密服务

尽管 Oracle Solaris 能够利用 InfiniBand 分区实现网络隔离,但仍应利用加密的安全协议来保护 InfiniBand 分区上的通信保密性和完整性。如,Secure Shell 提供了对系统和 ILOMs 的安全管理访问,IPsec/IKE(利用 InfiniBand IP)支持域或区域的通信,而 SSL/TLS 则可以确保应用程序和其他服务之间的安全通信。

Oracle Solaris 包含一个基于内核的 SSL (KSSL) 服务,可以为平台上运行的应用程序提供高度优化的 SSL 代理。KSSL 可用于启用了 SSL 且缺乏该功能的应用程序,或用于代替应用程序中不具备这一性能优势的功能。借助 Oracle Solaris 的各个功能,KSSL 能够自动利用 SPARC T4 处理器的底层硬件辅助加密功能。

数据库加密服务

Oracle Advanced Security 选件利用透明的数据加密 (TDE) 功能对数据库中的信息进行加密。TDE 同时支持应用程序表空间加密和表中单个列的加密。还可以对存储在临时表空间和重做日志中的数据进行加密。即使在数据库备份后,目标介质上的数据仍将处于加密状态,因此,无论数据存储的物理位置如何,都能实现对静止信息的保护。

Oracle Advanced Security 选件(包括 TDE)还能利用 SPARC T4 处理器的加密加速功能。因此,用户可以对信息进行保护,而不用担心会严重影响性能,特别是与软件加密方式有关的性能。

Oracle Advanced Security 选件可利用本地加密或 SSL 来保护网络传输信息,因此可用于加密 SQL*Net 和 JDBC 流量。利用该机制对移动数据进行保护,可以实现对管理连接和应用程序连接的保护。SSL 实现支持一组标准身份验证方法,包括匿名身份验证 (Diffie-Hellman)、使用 X.509 证书的仅服务器验证和使用 X.509 的相互(客户端-服务器)身份验证。

监视和审计

无论是合规性报告还是事件响应,监视和审计都是提高 IT 环境可视性的一个关键功能。监视和审计的等级由被保护环境的风险或危急程度确定。SPARC SuperCluster 平台在计算、网络、数据库和存储层提供了全面的监视和审计功能,从而确保信息量满足审计和合规性需求。

负载监视和审计

Oracle Solaris 具有全面的审计工具,可以监视管理活动、命令行调用和各个内核级系统调用。该工具具有高度可配置性,可以提供全局、单区域乃至单用户的审计策略。配置采用 Oracle Solaris 集群时,每个区域的审计记录可以存储在全局区域中,以确保不被篡改。此外,Oracle Solaris 审计还可以利用系统日志 (syslog) 工具将审计记录发送到远程收集点。其次,许多商业入侵检测和预防服务可以利用 Oracle Solaris 审计记录,并将其作为分析和报告的附加输入。

Oracle VM Server for SPARC 利用本地 Oracle Solaris 审计工具来记录与虚拟化事件和域管理相关的动作和事件。与 Oracle VM Server for SPARC 利用 Oracle Solaris RBAC 设备来进行集中化访问控制管理相似,Oracle Solaris 审计将为审计记录的生成、管理和报告提供集中化的方法。

数据库监视和审计

Oracle 数据库支持细粒度审计概念,意味着用户可以建立相关策略,有选择性地决定审计记录生成时间。这将帮助用户专注于更有意义的数据库活动,并减少与审计活动有关的混乱。

Oracle Audit Vault 对数据库审计设置进行集中化管理,并将审计数据自动整合到安全信息库中。Oracle Audit Vault 具有内置报告,用于监视包括权限用户活动和数据库架构变化在内的多种活动。Oracle Audit Vault 生成的报告提供了各种应用程序和数据库管理活动的可见性,并可以为行为责任制提供详细信息。

Oracle Audit Vault 还能够主动检测未授权访问或系统权限滥用活动并发出报警。这些报警可以同时包括系统或用户定义的事件和条件,如特权用户帐户的创建或对敏感信息表的修改。

通过查询数据库连接来检测恶意流量,如应用程序绕行、未授权活动、SQL 注入和其他威胁,Oracle 数据库防火墙远程监视器可以借助 Oracle Database 11g 第 2 版域来提供实时数据库安全性监视。利用高度准确、基于 SQL 语法的方法,Oracle 数据库防火墙可以帮助您快速识别可疑的数据库活动。

服务质量

除简单侵犯边界或破坏访问控制策略外,还有多种方式可以对应用程序发起攻击。实事上,应用程序和信息的可用性通常被视为 IT 安全问题。为检测和预防影响服务和数据可用性的资源耗竭攻击、拒绝服务攻击和意外或蓄意故障,SPARC SuperCluster 平台提供了一系列功能。

负载服务质量

Oracle VM Server for SPARC 支持虚拟 CPU、内存和物理 I/O 设备的动态重配置。因此,用户可以快速响应需求变化,将资源分配到需要的地方。其次,通过定义每个域的资源策略,可确保单个域的活动不会影响其他域获取所需资源。

同样,Oracle Solaris 具有一系列动态资源控制功能,可应用于全局和域、项目、任务或进程级别。类似于 Oracle VM Server for SPARC,资源控制可用于限制 CPU、内存和核心文件大小,以及进程、文件描述符和许多其他参数的数量。根据实际配置和需求,通过定义一个或多个参数,用户可以确保在 Oracle Solaris 甚至区域中运行的应用程序和服务公平地分配资源,而不影响系统中运行的其他服务。此外,Oracle Solaris 11 还支持自定义带宽,用于限制数据链接设备(如虚拟 NIC)和用户定义的网络流量,从而可以根据预定义的数据包属性对网络流量进行限制。

对于运行在通用域中的应用程序,Oracle Solaris Cluster 通常被用来对单个区域或域进行故障切换或集群。Oracle Solaris Cluster 可确保任务关键服务受到监视和且在发生故障时会重启,从而帮助您达到存活能力目标。根据用户定义的策略,失败的服务可在本地或在集群的另一节点重启。

网络服务质量

SPARC SuperCluster 平台的每个组件都有多个 InfiniBand 网络接口。其次,该平台具有冗余的 InfiniBand 交换机,可将每个组件连接到各个交换机。所有组件的 InfiniBand 接口共同组成了一个单一虚拟接口,即使一个接口或交换机失效仍能确保组件的持续运行。

同样,SPARC SuperCluster 平台的每个 SPARC T4-4 都具有多个与客户端访问网络连接的 10Gb/秒以太网接口和多个管理通信的 1Gb/秒以太网接口。这些节点可以利用 Oracle Solaris IP 多路径 (IPMP) 和 IEEE 802.3ad 链路聚合来实现以太网冗余,因此,即使单个以太网接口或交换机失效时仍能确保持续的网络连接。

Oracle Solaris 11 还支持多种网络级资源控制,让用户可以在不同的数据链接级别定义带宽限制,包括虚拟和物理 NIC、链路聚合以及 InfiniBand IP。这些限制适用于通过这些元素的全部或部分流量。这样,用户可以对网络流量进行分类并指定优先级,从而确保具有高优先级的流量优先于其他流量。

数据库服务质量

Oracle Real Application Clusters (Oracle RAC) 可创建具有共享缓存架构的集群数据库,克服了非共享模型的传统局限性。因此,Oracle RAC 可以实现高可伸缩性和高可用性的数据库架构。

Oracle 数据库服务质量管理是一个自动化、基于策略的解决方案,它可以监视整个系统的负载请求。服务质量管理关联了准确的运行时性能和资源指标,通过数据分析来发现瓶颈,并生成动态负载荷情况下的资源调整建议,从而维持性能目标。

此外,Oracle 数据库还包含一系列工具,使多个数据库可以在同一操作系统下运行。例如,Oracle Database Resource Manager 和实例囚笼可以通过细粒度方法动态控制对 CPU 资源的访问,从而确保数据库上运行的负载能够访问公平份额的计算资源。另外,Oracle Database Resource Manager 还可以控制并行度、活动会话数量和其他共享资源,以防数据库独霸共享数据库架构中的资源。

存储服务质量

为确保对 Oracle Exadata Storage Server 上数据库的可靠、高性能访问,Oracle 自动存储管理为磁盘组提供了一系列存储镜像选项,包括常规冗余(双向镜像)、高冗余(三向镜像)和外部冗余(无镜像)。通常情况下,当存储已经镜像或获得硬件级保护时,企业会采用外部冗余。除了镜像,自动存储管理还支持故障组概念,用于确保镜像存储位于不同的 Oracle Exadata Storage Server 中。

I/O 资源管理器作为 OOracle Exadata Storage Server 的一部分,可用于管理数据库间和数据库内的 I/O 资源。借助 I/O 资源管理器,不仅让具有不同性能要求的不同数据库实现了 Oracle Exadata Storage Server 池共享,还让同一数据库内的多个负载拥有各自的资源策略。灵活的架构确保了整合架构中关键负载和数据库不受限于 I/O。

安全管理

安全控制和功能对保护各应用程序和服务十分必要。然而,全面的管理功能同样重要,它能持续地保护已部署的服务和系统。SPARC SuperCluster 利用了多个产品的安全管理功能,包括 Oracle Integrated Lights Out Manager (Oracle ILOM)、Oracle Enterprise Manager Ops Center 和 Oracle Identity Management。

Oracle ILOM

Oracle ILOM 是嵌入到 SPARC SuperCluster 计算和存储服务器中的服务处理器,用于执行带外管理活动。

Oracle ILOM 提供了多种安全机制,可以让用户对计算和存储服务器执行安全的无人值守管理,包括受 SSL 保护的基于 Web 的访问、利用 Secure Shell 的命令行访问、IPMI v2.0 以及 SNMPv3。

Oracle ILOM 利用基于角色的访问控制模型满足职责分离要求。为各用户指定特定角色,从而限制可执行的功能。通过这种方式,您可以决定哪些用户拥有全部管理访问权限,哪些用户只能审计 Oracle ILOM 设置(只读访问)、访问远程主机控制台或控制主机电源。

为确保责任制,Oracle ILOM 将记录所有的登录和配置更改。每个审计日志条目都将记录用户执行的操作和时间戳。为此,用户可以检测未授权的活动及更改,并找到执行操作的用户。

Oracle Enterprise Manager Ops Center

作为 Oracle Enterprise Manager 的一部分,Oracle Enterprise Manager Ops Center 是一个综合的硬件管理解决方案,可为服务器、操作系统、固件、虚拟机、区域、存储和网络结构提供了单一的管理界面。Oracle Enterprise Manager Ops Center 默认安装在 SPARC SuperCluster 平台上。

从安全角度讲,Oracle Enterprise Manager Ops Center 可以为一组物理和虚拟系统分配管理权限,还可以监视管理员活动、检测故障并配置和管理警报。不仅如此,Oracle Enterprise Manager Ops Center 还支持多种报告,因此您可以将系统与熟知的配置基准、补丁级别和安全漏洞进行对比。

Oracle Enterprise Manager

作为一个全面、集成的云管理解决方案,Oracle Enterprise Manager 专注于应用程序、中间件和数据库以及物理和虚拟基础架构的生命周期管理(利用 Oracle Enterprise Manager Ops Center)。

在 SPARC SuperCluster 环境中,值得注意的一点是,应用程序、中间件和数据库管理功能支持详细的监视、事件通知、补丁管理、更改管理以及持续配置和合规性管理、报告。

其中,通过 Oracle Enterprise Manager,您还可以对数据库组的安全配置设置、访问控制和审计策略进行集中维护。这些功能的访问权限仅限于授权人员,从而确保了管理权限能够满足职责分离、最低权限和责任制要求。

借助多种方法、细粒度的访问控制以及全面的审计,Oracle Enterprise Manager 平台还支持强身份验证,确保能以安全的方式管理 SPARC SuperCluster 环境。

Oracle Identity Management

Oracle Identity Management 用于管理整个企业内用户身份和帐户的端到端生命周期,它支持一次性登录、基于 Web 的访问控制、Web 服务安全、身份管理、强身份验证以及访问治理。

在 SPARC SuperCluster 环境中,Oracle Identity Management 可作为身份和访问管理的单一点,对 SPARC SuperCluster 平台上运行的应用程序和服务以及管理它的底层基础架构和服务进行身份和访问管理。

Oracle Key Manager

作为一个全面的密钥管理系统 (KMS),Oracle Key Manager 可以简化用于保护静止信息的加密密钥管理和监视。通过采用具有高伸缩性和高可用性的架构对上千个设备和百万个密钥进行管理,Oracle 密钥管理器可用于企业级环境。它运行在强化的操作环境下,为密钥管理和监视操作提供了强大的访问控制和角色分离,并选择性地支持 Oracle Sun Crypto Accelerator 6000 PCIe Card(一种符合 FIPS 140-2 标准的硬件安全模块)中密钥的安全存储。

在 SPARC SuperCluster 环境中,Oracle Key Manager 可以授权、保护和管理对以下三个对象的访问,即 Oracle StorageTek 加密磁带驱动的加密密钥、采用透明数据加密的 Oracle 数据库和 Oracle Solaris 11 中加密的 ZFS 文件系统。

一般建议和考虑因素

SPARC SuperCluster 平台具有一系列强大的分层安全控制,可通过定制来符合特定策略和需求。您需要了解如何最充分地利用这些功能以及如何将其集成到现有 IT 安全架构中。有效的 IT 安全性必须按照策略将人员、流程和技术集成到一起,并利用可靠的风险管理和治理实践对其进行审查。在这一节,我们为您提供架构、部署、运营方面的一般建议和考虑因素。

架构

推荐以下架构最佳实践:

  • 通过集成 SPARC SuperCluster 平台组件、部署的服务以及现有身份和访问管理架构,实现统一的身份和访问管理方法。其中,由于 Oracle Solaris 和 Oracle 数据库支持一系列广泛的开放、标准协议,它们可以与现有身份和访问管理部署轻松集成。
  • 可以考虑采用入侵防御系统来监视流入或流出 SPARC SuperCluster 平台的网络流量。这样的系统将能够识别可疑通信、潜在攻击模式和未授权的访问企图。如果您希望提高 SPARC SuperCluster 平台的可视性,可以考虑采用基于主机的入侵检测和预防系统。利用 Oracle Solaris 和 Oracle 数据库的细粒度审计功能,基于主机的系统能够更好地检测不恰当行为和未授权活动。
  • 同样,用户还可以考虑采用应用程序层防火墙和网络层防火墙来保护流进和流出 SPARC SuperCluster 平台的信息。通常情况下,过滤网络端口可作为阻止系统和服务未授权访问的第一道防线。正如基于主机的入侵检测服务,如果您想实现 SPARC SuperCluster 平台组件间更加细粒度的通信控制,建议您考虑使用以太网 VLAN 或 InfiniBand 分区实现的网络级细分,同时采用基于主机的防火墙来实施主机级别的入站和出站网络策略。
  • 最后,用户还可以采用集中化的审计和日志信息来统计与安全性相关的信息,从而提高关联性、改善分析和报告。多数现代安全事件和事故管理系统都支持广泛的协议,以便收集网络设备、操作系统、数据库和应用程序的数据。收集信息并将其存储在一个集中(且安全)的地点,还可以提高安全事件及其响应过程的质量与效益。分析所需的信息将被存储在安全的环境中,远离可能受到攻击的系统和应用程序。此外,为取得该法的最佳效果,您还需采用网络时间协议服务来确保设备、系统和软件的时间一致。

部署

推荐以下部署最佳实践:

  • 采用支持强身份验证和网络通信加密的协议。这将有效保护通信的保密性和完整性,这在与 SPARC SuperCluster 平台的服务通信以及利用管理界面对平台进行管理时显得尤为重要。配置管理和运营服务,使加密协议和密钥长度与企业策略相符。SPARC SuperCluster 平台的加密服务同样将受益于硬件加速,硬件加速可同时提高安全性和整体性能。
  • 尽管 SPARC SuperCluster 平台的多数产品都采用默认安全部署,企业通常拥有自己的安全配置强化标准。Oracle 提供了产品的安全性指南,与 SPARC SuperCluster 平台有关的内容包含在本文档的最后部分“另请参见”一节。在修改 SPARC SuperCluster 组件的安全配置前,请再次参考此信息。特别要指出的是,您必须了解现有组织标准的不足指出、可支持性问题的限制以及可对给定组件做哪些更改。
  • 在发货时,SPARC SuperCluster 平台中部分产品使用的是默认管理密码。用户需要尽快修改默认密码,除授权管理员外,任何人不得知晓密码。

运营

推荐以下运营最佳实践:

  • 尽管配置 SPARC SuperCluster 平台(使之能够用于安全的部署)的过程相对简单,但您仍须在平台及其已部署服务的整个生命周期内保持安全性,这一点十分重要。因此,使用工具将有助于检测未授权的更改、配置变化和未应用的安全补丁。Oracle Enterprise Manager 工具套件为管理此类运营问题(从硬件到已部署的任何应用程序及服务)提供了集成的解决方案。
  • 定期评估具有 SPARC SuperCluster 平台和其部署服务访问权限的用户和管理员,从而验证访问级别和权限是否恰当。毋庸质疑,随着时间的推移,个人的访问级别将无限增长。建议对访问权限(运营和管理权限)进行审查,以确保用户的访问级别与其角色和职责相符。

总结

总体而言,SPARC SuperCluster 平台中广泛的安全控制和功能为服务部署提供了完善的安全基础。更重要的是,组件与其配置水平之间的紧密集成和操作灵活性之间达到了绝佳平衡,用户可以根据自身策略与需求来自定义 SPARC SuperCluster 平台的安全环境。更强大而灵活的安全架构让这种集成设计的系统成为了企业整合应用程序和数据库、操作多层企业应用程序或提供多租户应用程序服务的理想平台。

另请参见

要了解更多信息,请参见“Oracle SPARC SuperCluster T4-4 技术概述”白皮书:http://www.oracle.com/us/products/servers-storage/servers/sparc-enterprise/supercluster-t4-4-arch-wp-1537679.pdf.

另请参见以下几节的资料。

产品安全性指南

安全性白皮书和文章

Oracle VM Server for SPARC
Oracle Solaris 11
Oracle Database 11g
Oracle 中间件

关于作者

在过去的 20 多年中,Glenn 为全球客户和企业提供了一系列安全 IT 架构和最佳实践。作为 Oracle 企业解决方案小组的首席技术官,Glenn 专注于企业架构、IT 治理、信息安全性和 IT 系统整体设计。过去,Glenn 是 Sun Microsystems 公司的杰出工程师和首席安全架构师。他还在国家网络安全合作伙伴关系、互连网安全中心以及云安全联盟等机构担任领导职务。Glenn 作为信息系统安全性方面的认证专家,拥有圣约瑟夫大学的计算机科学博士学位。

Ramesh Nagappan 是 Oracle 的高级首席工程师。他专门研究企业安全性,主要关注应用程序与网络基础架构的应用加密技术。目前他主要从事 SPARC SuperCluster 平台应用程序的安全集成工作。Ramesh Nagappan 随着 Oracle 收购 Sun Microsystems 而加入 Oracle。他在 Sun 公司的 Javasoft 和 ISV 工程设计机构供职了 12 年,主要从事 Java 安全性、Solaris 安全性、身份管理、以及与政府、国防和国家安全机构的大型应用程序集成等工作。

Joel Weise 在信息安全性领域有 30 多年的工作经验。作为 Oracle 安全架构总监,他主要负责企业系统和应用程序安全性解决方案的设计、架构和工程工作。在涉及信息安全的法律和法规问题方面,Joel 也是权威专家。作为信息系统安全协会 (ISSA) 的创办人之一,他也是 ISSA 杰出会员、ISSA 杂志编辑顾问委员会主席、美国律师协会科学与技术工作委员会委员及主题专家。他目前主要从事的研究工作包括:自适应安全性、复杂自适应系统、安全治理以及安全成熟度建模。

修订版 1.0,2012 年 7 月 31 日

要了解所有 Oracle 技术中与系统管理员相关的内容,请在 FacebookTwitter 上关注 OTN Systems。