حماية البيانات في Rest
تقدم Oracle Cloud Infrastructure خيارات تخزين متعددة: الكتلة والكائن والملف. يتم تشفير البيانات في أثناء وجودها على القرص وأثناء نقلها لهذه الخدمات. استخدم الآليات التالية لتطبيق أفضل الممارسات الإضافية لضمان أمان بياناتك في السحابة.
تقييد الأذون لحذف موارد التخزين
مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات
لتقليل خطر الحذف غير المقصود أو الخاطئ للبيانات في السحابة، قم بمنح الأذون المدرجة في الجدول التالي للمستخدمين الذين يحتاجون إلى هذه الامتيازات فقط:
| الخدمة | الأذونات التي يجب تقييدها |
|---|---|
| وحدات تخزين الكتل |
|
| تخزين الملف |
|
| مخزن الكائنات |
|
ضمان الوصول الآمن إلى تخزين الملفات
مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات
اتخاذ خطوات لضمان حماية تخزين الملفات من الوصول غير المصرح به.
- يعرض Oracle Cloud Infrastructure File Storage نقطة انتهاء NFSv3 كهدف توصيل في كل شبكة فرعية. يتم تعريف هدف التوصيل بواسطة اسم DNS ويتم ربطه بعنوان IP. استخدم قوائم التأمين للشبكة الفرعية لهدف التوصيل لتكوين وصول الشبكة إلى هدف التوصيل من عناوين IP المعتمدة فقط.
- استخدم أفضل ممارسات تأمين NFS المعروفة جيدًا مثل الخيار
all_squashلتخطيط كل المستخدمين إلىnfsnobody، واستخدام قوائم التحكم في الوصول الخاصة بـ NFS لفرض التحكم في الوصول إلى نظام الملفات الذي تم توصيله.
ضمان الوصول الآمن إلى تخزين الكائنات
مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات
اتخاذ خطوات لضمان حماية تخزين الكائنات من الوصول غير المصرح به.
- يمكن أن تكون رزم تخزين الكائنات عامة أو خاصة. تسمح الرزمة العامة بقراءات مجهولة وغير مصدقة لكل الكائنات الموجودة في الرزمة. تكوين رزم خاصة واستخدام الطلبات المصدق عليها مسبقًا (PARs) لتوفير الوصول إلى الكائنات المخزنة في رزم للمستخدمين الذين ليس لديهم صلاحيات IAM.
- لتقليل إمكانية نشر الرزم بشكل غير مقصود أو خاطئ، قم بمنح إذن
BUCKET_UPDATEلمجموعة دنيا من مستخدمي IAM.
تشفير البيانات في وحدات تخزين الكتل
مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات
تقوم خدمة Oracle Cloud Infrastructure Block Volumes دائمًا بتشفير كل وحدات تخزين الكتل ووحدات تخزين التمهيد بشكل دائم باستخدام خوارزمية معيار التشفير المتقدم (AES) مع مفاتيح 256 بت. يجب أخذ خيارات التشفير الإضافية التالية في الاعتبار.
- قم بتشفير كل وحدات التخزين والنسخ الاحتياطية الخاصة بك باستخدام المفاتيح التي تملكها، ويمكنك إدارة المفاتيح باستخدام خدمة Oracle Cloud Infrastructure Vault.
- يتم نقل البيانات بين طبعة ووحدة تخزين الكتل المرفقة من خلال شبكة داخلية وآمنة للغاية. يمكنك تمكين التشفير العابر لمرفقات وحدة التخزين المحاكاة في طبعات الأجهزة الظاهرية.
تشفير البيانات في تخزين الملفات
مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات
تقوم خدمة Oracle Cloud Infrastructure File Storage بتشفير كل البيانات في وقت متأخر. بشكل افتراضي، يتم تشفير أنظمة الملفات باستخدام مفاتيح التشفير المدارة بواسطة Oracle.
تشفير كل أنظمة الملفات باستخدام المفاتيح التي تملكها. يمكنك إدارة المفاتيح باستخدام خدمة Oracle Cloud Infrastructure Vault.
تشفير البيانات في تخزين الكائنات
مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات
تقوم خدمة Oracle Cloud Infrastructure Object Storage بتشفير كل الكائنات باستخدام خوارزمية معيار التشفير المتقدم (AES) بمفاتيح 256 بت. يتم تشفير كل كائن باستخدام مفتاح منفصل.
- يتم تشفير مفاتيح تشفير الكائن بدورها باستخدام مفتاح تشفير رئيسي تديره Oracle يتم تعيينه لكل رزمة.
- قم بتكوين الرزم لاستخدام مفتاح التشفير الرئيسي الخاص بك الذي تخزنه في خدمة Oracle Cloud Infrastructure Vault وتدوير في جدول تحدده.
تعديل بيانات سرية التطبيق في Oracle Cloud Infrastructure Vault
مهندس معماري مؤسسي، مهندس أمان، مهندس بيانات
يمكن استخدام Oracle Cloud Infrastructure Vault لتخزين أسرار مثل كلمات السر ومفاتيح ssh والشهادات التي قد تستخدمها التطبيقات للوصول إلى الموارد. يوفر تخزين الأسرار في مخزن أمانًا أكبر من استخدام التعليمات البرمجية أو الملفات المحلية.
- حدد مفتاحًا محددًا لتشفير الأسرار وتداولها دوريًا.
- قصر الموارد التي تصل إلى Oracle Cloud Infrastructure Vault على الشبكات الفرعية الخاصة.
- تدوير المحتويات السرية دوريًا لتقليل التأثير إذا تم الكشف عن السرية.
- حدد قاعدة إعادة استخدام سرية لمنع إعادة استخدام المحتويات السرية عبر إصدارات مختلفة من السرية.
- حدد قاعدة انتهاء صلاحية سرية لتحديد الفترة الزمنية التي يمكن فيها استخدام نسخة سرية.