Služba Oracle Cloud Infrastructure (OCI) Object Storage uvádí na trh vyhrazené koncové body, které poskytují zabezpečený přístup k segmentům Object Storage s koncovými body specifickými pro nájem zákazníků. Nyní můžete mít izolaci tenanta s jedinečnými a neměnnými, systémem generovaným jmenným prostorem s předponou vyhrazenými koncovými body.
S touto funkcí máte následující možnosti:
- Nahraďte koncové body Object Storage, které jsou společné všem zákazníkům, za vyhrazené koncové body specifické pro zákazníka
- Minimalizujte široký dopad blokování koncových bodů Object Storage na základě systému doménových jmen (DNS) některým bezpečnostním softwarem
- Povolte ochranu a blokování distribuovaného odmítnutí služby (DDoS) na úrovni pronájmu
- Zcela izolujte nájemce Object Storage od sebe navzájem
Funkce vyhrazených koncových bodů Object Storage je k dispozici okamžitě.
Co se mění?
Adresy URL domény, které uživatelé Object Storage aktuálně používají, se mění. Aby bylo možné zavést vyhrazené adresy URL s předponou jmenného prostoru, objektové úložiště nyní registruje záznamy DNS s předponou se zástupným znakem na nové doméně druhé úrovně zákaznické zóny OCI (SLD), oci.customer-oci.com.
Zákazník má například jmenný prostor „axjght87hk98j“. Namísto přístupu k předchozím sdíleným koncovým bodům, jako je „https://objectstorage.us-ashburn-1.oraclecloud.com“, mohou nyní používat jmenný prostor s předponou vyhrazeným koncovým bodem, jako je „https://axjght87hk98j.objectstorage. us-ashburn-1.oci.customeroci.com.“ Na sdíleném koncovém bodu „https://objectstorage.us-ashburn-1.oci.customer-oci.com“ je povoleno několik výjimečných operací, jako je GetNamespace.
Následující tabulka ukazuje, co se s touto novou funkcí mění na koncových bodech API. Změny jsou zobrazeny tučně.
| Typ API | Aktuální URL | Nová adresa URL |
|---|---|---|
| Rodák | objectstorage.$ region.oraclecloud.com
objectstorage.$ region.oci.oraclecloud.com |
objectstorage.$region. oci . customer-oci.com (používá se pouze v případech, kdy jmenný prostor není znám, jako je GetNamespace a WorkRequests)
$namespace .objectstorage.$region. oci . customer-oci.com (pro všechny ostatní operace) |
| S3 kompatibilní | $namespace.compat.objectstorage.$ region.oraclecloud.com
$namespace.compat.objectstorage.$ region.oci.oraclecloud.com |
$namespace.compat.objectstorage.$region. oci . customer-oci.com |
| Rychlý | swiftobjectstorage.$region. oraclecloud.com
swiftobjectstorage.$region.oci. oraclecloud.com |
swiftobjectstorage.$region. oci . customer-oci.com
$namespace .swiftobjectstorage.$region. oci . customer-oci.com |
| PAR | objectstorage.$region.$RealmSpecificTLD/p/<>/n/<>/b/<>/o/ | $namespace .objectstorage.$region. oci.customer-oci .com /p/<>/n/<>/b/<>/o/ |
Při všeobecné dostupnosti jsou nové adresy URL s customer-oci.com dostupné pouze pro sféru OC1. Ostatní sféry pokračují se stávajícími doménami nejvyšší úrovně (TLD).
Jaký to má dopad?
Současné adresy URL koncového bodu úložiště objektů nadále fungují a použití nových koncových bodů je pro všechny stávající nájemce volitelné. Oracle Cloud Console, sady pro vývojáře softwaru (SDK), CLI a Terraform transparentně přecházejí na používání nových koncových bodů. Vývojáři mohou volitelně použít nové šablony koncových bodů specifické pro sféru (RSET) jako bezpečnější možnost při používání sad SDK nastavením příznaku. Nájemci používající vlastní klienty mohou kvůli lepšímu zabezpečení nasměrovat své požadavky na kteroukoli z těchto nových doménových adres URL a nejsou nuceni používat konkrétní doménu, i když důrazně doporučujeme přejít na používání vyhrazených koncových bodů s předponou jmenného prostoru na customer-oci.com doména.
Konzola Oracle Cloud GUI nyní používá vyhrazené koncové body s možností použití starých koncových bodů, pokud se vyskytnou nějaké problémy. Při vytváření předem ověřených požadavků (PAR) nyní atribut „fullpath“ v odpovědi poskytuje univerzální identifikátor zdroje (URI) s vyhrazeným koncovým bodem. Funkce Dedicated Endpoints je zpětně kompatibilní, takže staré PAR stále fungují. Ale pro nové PAR vytvořené po obecné dostupnosti funkce vyhrazených koncových bodů se používá nový formát PAR s předponou jmenného prostoru na doméně oci.customer-oci.com.
Jakýkoli kód, který očekává, že adresa URL PAR bude v aktuálním formátu, musí přijmout starou i novou adresu URL PAR. Musíte zakázat nebo změnit jakoukoli logiku ověřování formátu adresy URL PAR ve svém kódu. Aktualizujte jakýkoli kód, který závisí na aktuálním formátu adresy URL PAR, aby podporoval staré i nové adresy URL PAR.
OCI CLI má novou možnost příznaku –realm-specific-endpoint pro použití vyhrazeného koncového bodu namísto stávajícího společného koncového bodu, jak ukazuje následující příklad:
> oci os ns get<font></font>
# This uses the default endpoint<font></font>
> oci os ns get --realm-specific-endpoint<font></font>
# This uses the realm-specific endpoint (if possible)<font></font>
> oci os ns get<font></font>
# This is back to using the default endpointChcete-li povolit síťový přístup k vyhrazeným koncovým bodům, musí správci sítě přidat adresu URL *.customer-oci.com do seznamu povolených jejich brány firewall nebo proxy serveru.
Vyhrazené koncové body jsou v současné době dostupné pouze pro zákazníky, kteří mají ve svém jmenném prostoru pouze alfanumerické znaky. Několik starých jmenných prostorů má speciální znaky, jako je podtržítko, pomlčka a tečka, a musí nadále používat staré koncové body.
OCI Object Storage oznamuje a zasílá zákazníkům oznámení nejméně jeden rok před datem vynucení, které je regionálně konfigurovatelné, aby bylo ukončeno staré SLD oraclecloud.com.
Závěr
Společnost Oracle je i nadále odhodlána dodržovat zásady návrhu na prvním místě zabezpečení a zlepšovat stav zabezpečení našich služeb OCI pro všechny zákazníky. Tato funkce je krokem k poskytnutí vyhrazených koncových bodů pod novou doménou, aby se zabránilo útokům skriptování mezi weby v ovlivnění služby OCI Object Storage a jejích uživatelů. Doporučujeme vám začít používat nové vyhrazené koncové body pro lepší zabezpečení a izolaci tenantů.
Zdroj: Oracle
