DAO研究报告指出：在AWS、GCP、Azure、OCI四大领先云服务对比上，尽管Oracle作为最年轻的云服务供应商（CSP：Cloud Service Provider），但Oracle OCI是唯一一个完全围绕着安全性进行了全新设计的IaaS基础服务，免费提供很多功能和默认的安全开启，以最大程度上减少了人为错误的风险，从而使得Oracle云服务脱颖而出。

报告通过以下6个方面来阐述数据和应用在云上的安全，并通过相关调研数据对比了四大（AWS、GCP、Azure、OCI）云服务的特点——

• 边界安全

        - DDoS防护攻击，Bots网络机器人，DNS域名服务，WAF(Web防火墙)，请求类型/端口安全等

• 网络安全

        - 网络安全组(NSG)，网络防火墙，路由，流日志，安全列表，WAF组件

• 虚拟化计算

        - 租户隔离，系统管理服务，虚拟化，裸金属

• 身份与访问管理

        - 访问管理，权限账号，SoD职责分离，认证，授权，IAM&组策略

• 安全态势管理

        - 审计日志，监控，配置，响应&执行

• 数据安全

        - Key管理，静止数据，传输数据，加密，数据安全，存储

从报告对比来看，四大云供应商均有各自的特点。

首先，AWS率先最早开拓了自己公有云市场，主要面向的是IaaS和对象存储。因此，其拥有最大的ISV和SI组成的合作伙伴社区以及众多成熟的成功案例。在过去的15年多中，AWS为了减少对客户的攻击面和保护客户的安全，一直在增加安全服务，使得AWS安全服务选件存在众多且缺乏一致性，而这些附加的AW安全服务会给客户增加额外的成本、复杂性和困惑。AWS上的系统配置通常需要熟练的技术人员，由此也带来了昂贵的人力成本。尽管安全服务增加了，但其复杂性也带来了安全上的不稳定性，如最近发生在思科离职员工恶意删除在AWS上虚拟机造成了上千万人民币损失，是否与其复杂的IAM使用相关呢？

 

其次，Google GCP云平台在2008年便以Google App Engine的形式推出，GCP是零信任（Zero Trust）安全的开创者。Google拥有其电信服务，可最大程度上部署自己专有网络；同时Google在机器学习上略占优势。GCP上课对文件和服务上进行细粒度的访问，但这些额外的粒度使得那些没有技能的感到困难，组织面临着配置错误的挑战。此外，GCP不提供数据库内的本机加密，而是依靠存储级的加密。

 

再次，微软Azure并不像AWS那么早期推出。和AWS类似的是，为了提高Azure托管工作的安全性，而发布了一系列服务。在基于Windows工作负载的云服务上提供了许多现成的服务和功能，结合了office 365占有不少的优势，拥有透明数据加密（TDE）的数据库服务。但运行在Linux工作负载的客户，Azure则没有自己的Linux变体于其他Azure服务进行更紧密的集成，保护非Windows工作负载需要大量的精力。

 

最后，Oracle OCI是这四家公司中最年轻的云服务，其从底层以上完全围绕着安全性进行了设计。作为对攻击的额外防御上，OCI物理网络被超细分为“隔离区”，以使得云供应商代码和客户的工作负载隔离分开。Oracle自治数据服务可利用高度自动化来最大程度地减少人为错误，从而提供安全的数据存储。而在OCI IAM中提供了隔离区Compartment特性，在租户内部中提供了强大的安全边界，支持最少权限方法以及零信任。除了IAM外，OCI还将提供安全区（Security Zone）来为最敏感的工作负载提供了客户租期内的安全保障，在这些安全区域内的资源的安全性是强制性的，并且始终处于打开状态。但是，相对于市场来说是新手，需要更多的证明来获得更多客户的认可。

下面是一些摘自DAO研究报告对OCI的安全优势亮点：

（1）边界安全

在这四家CSP中，Oracle是唯一提供DDoS保护而无需额外费用的唯一供应商。对于高度安全敏感的客户，Oracle专用区域使客户能够在自己的数据中心中运行OCI服务。

 

（2）网络安全

OCI被组织为各个Region，每个Region下至少具有一个Availability Domain可用域，每个AD又进一步细分为3个故障域，以保障物理上的可用性。在VCN（Virtual CloudNetworks）虚拟网络上，OCI VCN与传统网络非常相似，具有防火墙规则和特定类型的通信网关。客户可进行划分和使用子网，安全列表和NSG网络安全组用来过滤资源之间的流量。安全列表在子网级别运行，而NSG在VNIC（虚拟网卡）级别运行，这允许在资源之间进行更加细粒度的访问控制（微分段），并使得客户在应用程序在架构的网络架构上的分层隔离。安全列表和NSG的规则可以是有状态的也可以是无状态的。

（3）虚拟化计算

OCI从软件堆栈中将网络和磁盘IO的虚拟化脱离，并将其放入了网络中，使得无需在客户实例上运行虚拟机管理程序或任何的CSP云供应商的代码。Oracle提供了物理服务器的裸机实例。OCI裸机和VM实例在相同类型的服务器硬件，固件，基础软件和网络基础结构上运行，因此这两种实例类型都在这些层中内置了OCI保护。这种灵活性意味着OCI不仅提供虚拟隔离，而且还提供裸机服务器，这些服务器可以利用OCI云架构和服务的全部优势而被安置在全球的Oracle数据中心或客户数据中心。而裸机Bare Mental可为某些客户提供无与伦比的性能，成本和安全性优势。此外，基于Oracle Linux操作环境的Oracle Autonomous Linux提供了自治功能，例如自动零停机补丁和已知的漏洞检测，以帮助保持操作系统的高度安全性和可靠性。Oracle Autonomous Linux的其他优点还包括加强配置，连续配置检查和威胁监视。与Oracle OS管理服务（OSMS）结合使用，使用户可以选择要手动或自动化控制服务器。OSMS使用户能够自动化将执行Linux系统常见管理任务的功能，包括补丁和程序包管理以及安全性和合规性报告。

 

（4）身份与访问管理

OCI提供隔离专区和IAM策略以控制对云网络的访问。默认情况下，OCI的IAM功能既强大又安全。在通过组成员身份（零信任）分配权限之前，新创建的用户是无法访问OCI资源。作为重要区别因素，只有组才获得对资源分配的访问权限。客户可以使用本机多因素身份验证确保安全访问，可以根据用户的角色权限将用户分配给组，并使用简单易懂的策略将权限分配给组。OCI的本地IAM还提供开箱即用的基本联合功能。此外，Oracle提供商业的身份解决方案，包括其强大的基于云的身份云服务，该服务提供混合身份管理功能。

• OCI租户（Oracle帐户）管理员可以通过隔离专区（隔离专区Compartment是云资产的集合，如计算实例，负载平衡器，数据库等）来管理对OCI资源的访问。在租约中，隔离专区可确保业务部门，项目或应用程序之间的安全边界牢固。这意味着更好的控制，更高的安全性和更轻松的管理。

• OCI的另一个独特优势是用于管理IAM策略的类似SQL的语法。可以通过这些策略对OCI的所有部分进行访问控制，这使得IAM策略的程序化管理在规模上变得更加容易。

一家全球零售连锁店选择OCI进行灾难恢复，理由是OCI的全面安全性包括：OCI的细粒度IAM策略控制数据库内的访问，借助Compartment可隔离不同资源以及与本地AD的联合可以更好地控制用户。同时，建筑行业的SaaS提供商选择OCI通过Compartment进行细分。“这确保了每个客户都被部署到自己的隔离专区，并且每个SaaS客户之间都具有非常强的隔离性，“客户IT安全负责人解释说。

 

（5）安全态势管理

云中不断出现的变化使得跟踪客户数据是否正确存储变得很困难。随着云基础架构的增长和动态变化，跟踪和防止配置错误的需求必须要求同时满足。云安全状态管理应能够通过一定程度的策略执行自动化来监视配置更改。这包括定期运行的查询，以及启用了自动警报的功能，以允许在发生错误配置时进行手动或自动修复。

OCI Cloud Guard是一个统一的安全解决方案，它提供了一种全球（覆盖租户全球所有区域的数据中心）集中的方法来保护所有客户的资产。Cloud Guard可以分析数据，检测威胁和错误配置，并自动提供多种选项来应对这些挑战，包括自动修复。Cloud Guard不断从基础架构和应用程序堆栈的各个部分收集数据，包括审核日志，Data Safe和Oracle OSMS，同时可以主动检测并报告安全问题，可以将其配置为自动进行补救，以停止其识别的异常活动。Cloud Guard属于原生的OCI云服务，使得OCI无需额外的第三方服务即可获得优势，因为可以自动进行安全管理以强制执行预设配置，而无需任何人工干预或额外费用。这点和其他厂商非常不同的一点。

OCI还提供了“安全区域”，这些区域是在隔离层级别定义的，安全性是强制性的并且始终处于启用状态。客户可以有效地将资源锁定到已知的安全配置，自动阻止配置更改，并持续监视和阻止异常活动。这自动消除了进行持续分析的需要，否则将需要大量人力辅助并且容易出错。Oracle为关键的生产工作负载提供了预配置的强制性安全最佳实践，这有助于消除客户的错误配置。

OCI的VCN流日志保留对通过VCN的每个流的详细记录，并将数据发送到OCI的日志服务。数据包括有关流量来源和目的地的信息，以及流量的数量以及根据网络安全规则采取的“许可”或“拒绝”操作。

 

（6）数据安全

Oracle数据库支持其他数据库中没有的几种安全性机制。这包括Database Vault，Label Security和Real ApplicationSecurity，所有这些都包含在Oracle Database云服务中。

Oracle在数据库内部实现了加密，因此保留了对备份，存档，移动和副本的保护。在临时表空间，撤消段和重做日志中以及在内部数据库操作（例如JOIN和SORT）期间，加密的数据也受到保护。

Oracle自治数据库具有自动实施的加密和审核功能以及其他自动锁定的配置，包括不允许的高风险操作，管理员与数据之间的强制职责分离以及自动修补和升级。

Oracle Data Safe添加了一层自动化的集中式安全性。安全评估分析数据库配置，用户帐户和安全控制，并报告发现的结果并提出修复建议。用户评估还分析用户安全性以识别高风险用户，并为每个用户分配风险评分。可以根据特定需求量身定制的敏感数据发现，可以检查数据并返回敏感列的列表。数据屏蔽可删除敏感数据，因此数据集可安全用于非生产用途。活动审核可监视用户活动并标记异常的数据库活动。OCI Vault服务提供对加密密钥的集中管理，以保护数据和用于安全访问资源的秘密凭证。保管库服务可以与所有OCI服务集成，并用于创建和管理保管库，密钥和机密。默认情况下，使用AES 256加密算法对OCI存储服务（例如本地NVMe SSD，块卷和对象存储）进行静态加密。对于客户租户数据，OCI在静态和传输中均使用加密。默认情况下，块卷和对象存储服务通过使用具有256位加密的AES算法来启用静态数据加密。使用TLS 1.2或更高版本对数据进行加密。

 

总的来说，借助Oracle Cloud Guard，安全区域Security Zone和专用区域Dedicated Regions以及Data Safe等原生的云服务能力，为Oracle OCI提供卓越的安全功能和性价比，而不会增加集中式安全配置和状态管理以及自动实施安全措施等服务的成本（这些服务均是免费的）。

作者简介

Tommy Tan，甲骨文云平台资深咨询顾问。专注于甲骨文安全以及PaaS相关产品和解决方案。具有超过13年的项目咨询、服务与实施经验。您可以通过tommy.tan@oracle.com与他联系。