Oracle Cloud Infrastructure - Dokumentation

Überblick über Sicherheit

Die Cloud-Infrastruktur und -Services von Oracle bieten effektive und verwaltbare Sicherheit, mit der Sie Ihre geschäftskritischen Workloads ausführen und Daten sicher speichern können.

Die Oracle Cloud Infrastructure-(OCI-)Sicherheit basiert auf den folgenden Kernsäulen. Für jeden Pillar verfügt OCI über mehrere Lösungen, die Sicherheit und Compliance der Cloud-Plattform maximieren.

KUNDENISOLATION
Ermöglicht das Deployment Ihrer Anwendungs- und Datenassets in einer Umgebung, die vollständig von anderen Mandanten und Oracle-Mitarbeitern isoliert ist.
DATENVERSCHLÜSSELUNG
Schützt Ihre Daten im Ruhezustand und während der Übertragung, um Ihre Sicherheits- und Complianceanforderungen für kryptografische Algorithmen und Schlüsselverwaltung zu erfüllen.
SICHERHEITSKONTROLLEN
Schränkt den Zugriff auf Ihre Services ein und trennt betriebliche Verantwortlichkeiten, um das Risiko von böswilligen und versehentlichen Benutzeraktionen zu reduzieren.
SICHTBARKEIT
Bietet umfassende Protokolldaten und Sicherheitsanalysen zum Prüfen und Überwachen von Aktionen in Ihren Ressourcen. Diese Sichtbarkeit ermöglicht es Ihnen, Ihre Auditanforderungen zu erfüllen und das Betriebsrisiko zu reduzieren.
SICHERE HYBRID CLOUD
Ermöglicht die Verwendung Ihrer vorhandenen Sicherheitsassets, wie Benutzeraccounts und Policys. Damit können Sie Sicherheitslösungen von Drittanbietern verwenden, wenn Sie auf Ihre Cloud-Ressourcen zugreifen und Ihre Daten und Anwendungsassets in der Cloud sichern.
HIGH AVAILABILITY
Stellt fehlerunabhängige Data Center bereit, die hochverfügbare, skalierbare Architekturen ermöglichen und vor Netzwerkangriffen resilient sind.
NACHWEISBAR SICHERE INFRASTRUKTUR
In allen Phasen der Entwicklung und Entwicklung von Cloud-Services werden strikte Prozesse eingehalten und Sicherheitskontrollen angewendet. OCI hält sich an die strengen Sicherheitsstandards von Oracle durch Drittanbieter-Audits, -Zertifizierungen und -Bescheinigungen. Unsere sichere Infrastruktur hilft Ihnen, die Compliancebereitschaft für interne Sicherheits- und Compliance-Teams, Kunden, Auditoren und Aufsichtsbehörden zu demonstrieren.

Oracle beschäftigt auch einige der weltweit führenden Experten für Informations-, Datenbank-, Anwendungs-, Infrastruktur- und Netzwerksicherheit. Wenn Sie OCI verwenden, profitieren Sie direkt von unserer umfassenden Expertise und kontinuierlichen Investitionen in die Sicherheit.

Grundlegende Sicherheitsaspekte

Die folgenden Grundsätze sind für die sichere Nutzung jeder Anwendung von wesentlicher Bedeutung. Folgen Sie ihnen bei der Planung, Entwicklung, Bereitstellung und Ausführung Ihrer Ressourcen in Oracle Cloud Infrastructure.

  • Software aktualisieren. Verwenden Sie das neueste Produktrelease und alle zugehörigen Patches.
  • Beschränken Sie Berechtigungen so weit wie möglich. Benutzern nur den erforderlichen Zugriff zum Ausführen ihrer Aufgaben erteilen Überprüfen Sie Benutzerrechte regelmäßig, um deren Relevanz für aktuelle Arbeitsanforderungen zu bestimmen.
  • Überwachen Sie die Systemaktivität. Auf dieser Seite legen Sie fest, wer auf welche Systemkomponenten zugreifen soll und wie oft der Zugriff erfolgen soll. Anschließend überwachen Sie diese Komponenten.
  • Informieren Sie sich über die Sicherheitsfeatures von Oracle Cloud Infrastructure, und verwenden Sie sie. Weitere Informationen finden Sie unter Sicherheitsservices.
  • Wenden Sie sichere Best Practices an. Weitere Informationen finden Sie unter Sicherheit - Best Practices.
  • Aktuelle Sicherheitsinformationen beachten. Oracle gibt regelmäßig sicherheitsbezogene Patchupdates und Sicherheitshinweise heraus. Installieren Sie alle Sicherheitspatches so früh wie möglich. Weitere Informationen finden Sie auf der Website zu kritischen Patchupdates und Sicherheitshinweisen.

Grundlegender Ressourcenschutz

Berücksichtigen Sie bei der Planung des Oracle Cloud Infrastructure-Deployments, welche Ressourcen geschützt werden müssen, wie viel Zugriff auf diese Ressourcen erteilt werden kann und welche Auswirkungen ein Sicherheitsfehler auf diese Ressourcen hat.

Welche Ressourcen müssen geschützt werden?

  • Kundendaten wie Kreditkartennummern
  • Interne Daten wie proprietärer Quellcode
  • Systemkomponenten (vor externen Angriffen oder vorsätzlichen Systemüberlastungen geschützt)

Vor wem werden Daten geschützt?

Analyse Ihrer Workflows, um zu bestimmen, wer Zugriff auf welche Daten benötigt. Beispiel: Sie müssen die Daten Ihrer Abonnenten vor anderen Abonnenten schützen, doch Mitarbeiter in Ihrem Unternehmen müssen auf diese Daten zugreifen, um sie zu verwalten.

Überlegen Sie sorgfältig, wie viel Zugriff einem Systemadministrator gewährt wird. Ein Systemadministrator kann die Systemkomponenten verwalten, ohne auf die Systemdaten zugreifen zu müssen.

Was geschieht, wenn der Schutz bei einer strategischen Ressource ausfällt?

Manchmal ist ein Fehler in Ihrem Sicherheitsschema nur eine Unannehmlichkeit. Zu anderen Zeiten kann ein Fehler Sie oder Ihre Kunden beschädigen. Wenn Sie die Sicherheitsauswirkungen jeder Ressource kennen, können Sie diese schützen.

Gemeinsames Sicherheitsmodell

Die Sicherheit in Oracle Cloud Infrastructure ist eine gemeinsame Verantwortung zwischen Ihnen und Oracle. Wir verwenden erstklassige Sicherheitstechnologie und betriebliche Prozesse, um unsere Cloud-Services zu sichern. Damit Sie Ihre Workloads jedoch sicher in OCI ausführen können, müssen Sie Ihre Sicherheits- und Compliancezuständigkeiten kennen.

In einer gemeinsam genutzten, mehrmandantenfähigen Compute-Umgebung sind wir für die Sicherheit der zugrunde liegenden Cloud-Infrastruktur (wie Rechenzentrumseinrichtungen sowie Hardware- und Softwaresysteme) verantwortlich. Sie sind für die Sicherung Ihrer Workloads und die sichere Konfiguration Ihrer Cloud-Ressourcen (wie Compute, Netzwerk, Speicher und Datenbank) verantwortlich.

Bei einem vollständig isolierten, Single-Tenant-Bare-Metal-Server ohne Oracle-Software tragen Sie mehr Verantwortung, da Sie den gesamten Software-Stack (Betriebssysteme usw.) besitzen, auf dem Sie Ihre Anwendungen bereitstellen. In dieser Umgebung sind Sie für die folgenden Aufgaben verantwortlich:

  • Sichern Ihrer Workloads
  • Sicheres Konfigurieren Ihrer Services (Compute, Netzwerk, Speicher, Datenbank)
  • Sicherstellen, dass die auf den Bare-Metal-Servern ausgeführten Softwarekomponenten sicher konfiguriert, bereitgestellt, gepatcht und verwaltet werden

Insbesondere können Ihre Zuständigkeiten und die Zuständigkeiten von Oracle in die folgenden Bereiche unterteilt werden.

Identity and Access Management (IAM)

Sie sind für den Schutz Ihrer Cloud-Zugriffszugangsdaten und die Einrichtung einzelner Benutzeraccounts verantwortlich. Sie sind auch dafür verantwortlich, den Zugriff für Ihre eigenen Mitarbeiteraccounts und für alle Aktivitäten, die auf Ihrem Mandanten stattfinden, zu verwalten und zu prüfen.

Oracle ist für die Bereitstellung effektiver IAM-Services verantwortlich, z.B. Identity-Management, Authentifizierung, Autorisierung und Auditing.

Workload-Sicherheit

Sie sind dafür verantwortlich, Betriebssystem- und Anwendungslayer Ihrer Compute-Instanzen vor Angriffen und Sicherheitsrisiken zu schützen. Dieser Schutz umfasst das Patchen von Anwendungen und Betriebssystemen, die Konfiguration von Betriebssystemen sowie den Schutz vor Malware und Netzwerkangriffen.

Oracle ist für die Bereitstellung sicherer Images verantwortlich, die durch die neuesten Patches geschützt sind. Mit Oracle können Sie auch dieselben Sicherheitslösungen von Drittanbietern verwenden, die Sie bereits On Premise verwenden.

Datenklassifizierung und -compliance

Sie sind für die korrekte Klassifizierung und das Labeling Ihrer Daten sowie die Erfüllung aller Complianceverpflichtungen verantwortlich. Sie sind auch für das Auditing Ihrer Lösungen verantwortlich, damit diese Ihre Complianceverpflichtungen erfüllen.

Sicherheit der Hostinfrastruktur

Sie sind für die sichere Konfiguration und Verwaltung Ihrer Compute- (virtuelle Hosts, Container), Speicher- (Objekt-, Datei-, lokaler Speicher, Block-Volumes) und Plattformservices (Datenbankkonfiguration) verantwortlich.

Sie und Oracle tragen die Verantwortung dafür, dass der Service optimal konfiguriert und geschützt ist. Diese Verantwortung umfasst die Hypervisor-Sicherheit und die Konfiguration von Berechtigungen und Netzwerkzugriffskontrollen.

Netzwerksicherheit

Sie sind für die sichere Konfiguration von Netzwerkelementen wie virtuellen Netzwerken, Load Balancing, DNS und Gateways verantwortlich. Sie stellen sicher, dass die Hosts korrekt kommunizieren können und dass die Geräte die richtigen Speichergeräte anhängen oder mounten können.

Oracle ist für die Bereitstellung einer sicheren Netzwerkinfrastruktur verantwortlich. Der Schutz L3/4 DDoS ist in allen Oracle Cloud Infrastructure-Accounts enthalten, und es ist keine Konfiguration oder Überwachung erforderlich.

Client- und Endpunktschutz

Ihr Unternehmen verwendet verschiedene Hardware- und Software-Systeme, wie Mobilgeräte und Browser, für den Zugriff auf Ihre Cloud-Ressourcen. Sie sind für den Schutz aller Clients und Endpunkte verantwortlich, denen Sie Zugriff auf OCI-Services gewähren.

Physische Sicherheit

Oracle ist für den Schutz der globalen Infrastruktur verantwortlich, auf der die in OCI angebotenen Services ausgeführt werden. Diese Infrastruktur besteht aus Hardware, Software, Netzwerken und Einrichtungen.

Infrastruktur-Sicherheitsmodell

Das Sicherheitsmodell von Oracle Cloud Infrastructure basiert auf Personen, Prozessen, Tools und einer gemeinsamen Sicherheitsplattform von Methoden und Ansätzen, aus denen wir unsere Produkte erstellen.

Dieses Modell wenden wir auf die folgenden Kernsicherheitskomponenten an, mit denen wir unsere Kunden und Geschäfte schützen und sichern: Sicherheitskultur, Sicherheitsdesign und -kontrollen, sichere Softwareentwicklung, Personalsicherheit, physische Sicherheit und Sicherheitsvorgänge.

Sicherheitskultur

Eine Kultur, die auf Sicherheit ausgerichtet ist, ist für den Aufbau eines sicherheitsorientierten Unternehmens von entscheidender Bedeutung. Alle OCI-Teammitglieder verstehen die Rolle, die Sicherheit in unserem Unternehmen spielt, und sie sind aktiv an der Verwaltung und Verbesserung der Sicherheitslage unserer Produkte beteiligt. Wir haben auch die folgenden Mechanismen implementiert, um eine sicherheitsbewusste Kultur zu schaffen und aufrechtzuerhalten:

  • Sicherheitsbewusste Führung: Senior Leadership ist aktiv in die Sicherheitsplanung, -überwachung und -verwaltung involviert. Wir definieren und messen uns selbst an Sicherheitsmetriken und berücksichtigen die Sicherheit als Komponente in Teambeurteilungsprozessen.
  • Eingebettete Expertise: Mitglieder des Sicherheitsteams arbeiten eng mit Produktentwicklungsteams zusammen. Auf diese Weise kann unsere Sicherheitsabteilung ein umfassendes Verständnis der Produktentwicklungsprozesse und Systemarchitekturen aufbauen. Dieser Ansatz hilft Teams auch, Sicherheitsherausforderungen schnell zu lösen und Sicherheitsinitiativen effektiver voranzutreiben.
  • Allgemeine Sicherheitsstandards: Wir integrieren Sicherheit in unsere Produkte und Betrieb. Beispielsweise legen wir eine Baseline für Sicherheitsstandards fest. Diese Baseline bietet einen einzigen Sicherheitspunkt und legt klare und umsetzbare Richtlinien fest. Wir aktualisieren diese Baseline häufig, um gewonnene Erkenntnisse zu integrieren und aufkommende Geschäftsfaktoren widerzuspiegeln. Wir erstellen auch Supportmaterialien, um unsere Teams bei der Implementierung von Sicherheitskontrollen zu unterstützen. Diese Materialien umfassen Referenzarchitekturen, Implementierungsleitfäden und den Zugriff auf Sicherheitsexperten.
  • Offenheit, konstruktive Diskussionen und Erörterung der Eskalation: Sicherheitsprobleme können nur behoben werden, wenn die Personen, die sie beheben können, wissen. Wir fördern die Eskalation und arbeiten daran, eine Umgebung zu schaffen, in der es belohnt wird, Probleme frühzeitig und häufig anzugehen.
  • Schulungen zum Sicherheitsbewusstsein: Wir verfügen über solide Schulungsprogramme, die unsere Sicherheitskultur stärken. Wir benötigen umfassende Sicherheitsschulungen für alle neuen Mitarbeiter und jährliche Auffrischungsschulungen. Wir bieten auch Sicherheitsschulungen an, die auf bestimmte Tätigkeitsrollen zugeschnitten sind. Alle unsere Softwareentwickler besuchen Schulungen zur sicheren Entwicklung, die grundlegende Sicherheitsanforderungen für die Produktentwicklung definieren und Best Practices bereitstellen. Wir bieten auch ansprechende und innovative Formen der Sicherheitsbewusstseinsschulung, wie Gastredner und interaktive Foren.

Sicherheitskonzepte und -kontrollen

Wir integrieren Sicherheit in unsere Cloud-Produkte und -Vorgänge über eine zentralisierte Methodik. Diese Methodik definiert unseren Ansatz für mehrere Kernsicherheitsbereiche, und zusammen bilden diese Bereiche die Sicherheitsgrundlage, aus der wir unsere Produkte bauen. Mit diesem Ansatz können wir Best Practices und gewonnene Erkenntnisse aus einem Produkt im gesamten Unternehmen anwenden und so die Sicherheit aller Produkte erhöhen.

  • Benutzerauthentifizierung und Zugriffskontrolle: Mit einem Ansatz mit den geringsten Berechtigungen wird der Zugriff auf Produktionssysteme gewährt. Genehmigte Listen von Serviceteammitgliedern werden regelmäßig geprüft, um den Zugriff zu entziehen, wenn der Bedarf nicht gerechtfertigt werden kann. Für den Zugriff auf Produktionssysteme ist auch eine Multifaktor-Authentifizierung (MFA) erforderlich. Das Sicherheitsteam erteilt MFA-Token, und die Token inaktiver Mitglieder werden deaktiviert. Der gesamte Zugriff auf Produktionssysteme wird geloggt, und die Logs werden für die Sicherheitsanalyse gespeichert.
  • Änderungsmanagement: Wir befolgen einen strengen Änderungsmanagement- und Bereitstellungsprozess, der proprietäre Test- und Bereitstellungstools verwendet. Alle in unserer Produktionsumgebung bereitgestellten Änderungen werden vor ihrer Freigabe getestet und genehmigt. Dieser Prozess stellt sicher, dass Änderungen wie beabsichtigt funktionieren und auf einen vorherigen Status zurückgesetzt werden können, um ein ordnungsgemäßes Recovery nach Bugs oder betrieblichen Problemen durchzuführen. Außerdem wird die Integrität von kritischen Systemkonfigurationen verfolgt, um sicherzustellen, dass sie dem erwarteten Zustand entsprechen.
  • Sicherheitslückenverwaltung: Wir verwenden interne Penetrationstestteams und externe Branchenexperten, die uns bei der Ermittlung potenzieller Sicherheitslücken bei unseren Produkten unterstützen. Diese Experten helfen uns dabei, die Sicherheit unserer Produkte zu verbessern, und wir arbeiten daran, unsere Erkenntnisse bei zukünftigen Entwicklungen zu berücksichtigen. Außerdem scannen wir OCI-Hosts regelmäßig auf Sicherheitslücken, indem wir branchenübliche Scanner verwenden. Wir bestimmen, ob die Scanergebnisse für die OCI-Umgebung gelten, und Produktteams wenden die erforderlichen Patches nach Bedarf an.
  • Reaktion auf Vorfälle: Wir verfügen über leistungsstarke Prozesse und Verfahren, mit denen wir auf auftretende Vorfälle reagieren und diese bearbeiten können. Vorfallsreaktionsteams sind bereit, Ereignisse 24/7 zu erkennen und darauf zu reagieren. Kritische Mitarbeiter tragen Paging-Geräte, damit wir auf das erforderliche Fachwissen zur Lösung von Problemen zurückgreifen können.

    Wir haben auch einen Prozess, der uns hilft, von unseren Vorfällen zu lernen. Eine Ursachenanalyse führen wir durch unseren CAPA-Prozess für Korrekturmaßnahmen und Präventivmaßnahmen durch. CAPAs helfen uns, Prozesslücken und Änderungen zu erkennen, die wir nach einem Vorfall vornehmen können. CAPAs sind eine gemeinsame Sprache, mit der wir Probleme reflektieren und Schritte erfassen können, um die zukünftige Betriebsbereitschaft zu verbessern. CAPAs enthalten die Ursache eines Problems, die erforderlichen Schritte zur Eindämmung oder Behebung des Problems und die Maßnahmen, die wir ergreifen müssen, um sicherzustellen, dass das Problem nicht erneut auftritt. Unsere Führungskräfte prüfen alle CAPAs, suchen nach Anwendungsmöglichkeiten der gesammelten Erfahrungen im gesamten Unternehmen und sorgen dafür, dass Aktionen zeitnah umgesetzt werden.

  • Sicherheitslogging und -monitoring: Wir verfügen über automatisierte Verfahren zum Logging sicherheitsrelevanter Ereignisse (z.B. API-Aufrufe und Netzwerkereignisse) in der Infrastruktur sowie zum Monitoring der Logs auf anormales Verhalten. Das Sicherheitsteam verfolgt und ermittelt die Warnungen, die durch Überwachungsmechanismen generiert wurden.
  • Netzwerksicherheit: Standardmäßig verwenden Kundenkommunikationen mit OCI-Services die neuesten Transport Layer Security-(TLS-)Cipher und -Konfigurationen, um Kundendaten während der Übertragung zu sichern und Man-in-the-Middle-Angriffe zu verhindern. Als weitere Abwehrmaßnahme werden Kundenbefehle an die Services digital mit Hilfe von Public Keys signiert, um Manipulationen zu verhindern. Die Services stellen außerdem branchenführende Tools und Verfahren bereit, um Distributed-Denial-of-Service-(DDoS-)Angriffe zu reduzieren und High Availability aufrechtzuerhalten.
  • Control-Plane-Sicherheit: OCI-Backend-(Control-Plane-)Hosts werden mithilfe von Network Access Control Lists (ACLs) sicher von Kundeninstanzen isoliert. Ihre Instanzen werden von Software-Agents bereitgestellt und verwaltet, die mit den Backend-Hosts interagieren müssen. Nur authentifizierte und autorisierte Software-Agents können erfolgreich mit diesen Backend-Hosts interagieren. Für diese Hosts werden Vorproduktionsumgebungen (z.B. Entwicklung, Tests und Integration) von Produktionsumgebungen getrennt, sodass Entwicklungs- und Testaktivitäten keine Auswirkungen auf Produktionssysteme haben.
  • Serversicherheit und Medienmanagement: Unser Hardwaresicherheitsteam ist für den Entwurf und das Testen der Sicherheit der Hardware verantwortlich, die für die Bereitstellung von OCI-Services verwendet wird. Dieses Team arbeitet mit unserer Lieferkette zusammen und testet Hardwarekomponenten, um sie anhand strenger OCI-Hardwaresicherheitsstandards zu validieren. Dieses Team arbeitet auch eng mit unseren Produktentwicklungsfunktionen zusammen, um sicherzustellen, dass die Hardware nach der Freigabe der Hardware in den ursprünglichen sicheren Zustand zurückversetzt werden kann.
  • Sicheres Löschen von Hosts und Zerstörung von Medien: OCI-Instanzen werden sicher gelöscht, nachdem Kunden die Hardware freigegeben haben. Dieses sichere Löschen stellt den ursprünglichen Zustand der Hardware wieder her. Wir haben die Plattform mit proprietären Hardwarekomponenten überarbeitet, mit denen wir die Hardware auf sichere Weise löschen und reinitialisieren können. Wenn die Lebensdauer der zugrundeliegenden Hardware abgelaufen ist, wird die Hardware sicher zerstört. Bevor sie unsere Data Center verlassen, werden Laufwerke durch den Einsatz branchenführender Medienvernichtungsgeräte unbrauchbar gemacht.

Sichere Softwareentwicklung

Für die sichere Softwareentwicklung sind einheitlich angewendete Methoden erforderlich, die klaren Sicherheitszielen und -prinzipien entsprechen. Wir integrieren Sicherheitsmaßnahmen in jede Stufe unseres Produktentwicklungszyklus. Wir haben formale Sicherheitsstandards für die Produktentwicklung, die eine Roadmap und Anleitung für Entwickler sind. Diese Standards behandeln allgemeine Sicherheitsthemen, z.B. Entwurfsgrundlagen und häufige Sicherheitslücken, und bieten konkrete Richtlinien zu Themen wie Datenvalidierung, Datenschutz und Benutzerverwaltung.

Unsere sicheren Produktentwicklungsstandards werden im Laufe der Zeit weiterentwickelt und erweitert, um die allgemeinen Probleme zu beheben, die sich auf Code, neue Bedrohungen und neue Anwendungsfälle unserer Kunden auswirken. Die Standards enthalten Erkenntnisse und gewonnene Erkenntnisse. Sie sind nicht isoliert und stellen keine nachträglichen Ergänzungen zur Softwareentwicklung dar. Sie sind von wesentlicher Bedeutung für sprachspezifische Standards wie C/C++, Java, PL/SQL und weitere und bilden den Grundstein für unsere sicheren Entwicklungsprogramme und -prozesse.

Sicherheitssicherheitsanalysen und -tests verifizieren die Sicherheitseigenschaften unserer Produkte gegen verschiedene Arten von Angriffen. Es werden zwei breite Testkategorien verwendet: statische Analyse und dynamische Analyse. Diese Tests passen unterschiedlich in den Lebenszyklus der Produktentwicklung und finden in der Regel verschiedene Kategorien von Problemen, sodass sie von unseren Produktteams gemeinsam verwendet werden.

Personalsicherheit

Wir sind bestrebt, die besten einzustellen, und wir investieren in unsere Mitarbeiter. Wir legen Wert auf Schulungen, wir benötigen grundlegende Sicherheitsschulungen für alle unsere Mitarbeiter und wir benötigen auch spezielle Schulungen, damit unsere Teams über die neuesten Sicherheitstechnologien, Vorteile und Methoden informiert sind. Unsere jährlichen betrieblichen Schulungsprogramme decken unter anderem unsere Informationssicherheits- und Datenschutzprogramme ab. Wir arbeiten auch mit verschiedenen Branchengruppen zusammen und schicken unsere Mitarbeiter zu Fachkonferenzen, um mit anderen Branchenexperten bei neuen Herausforderungen zusammenzuarbeiten. Unsere Sicherheitsschulungsprogramme sollen unseren Mitarbeitern helfen, unsere Kunden und Produkte besser zu schützen. Außerdem können Mitarbeiter dadurch ihr Wissen rund um die Sicherheit erweitern, und wir fördern unsere Bemühungen, die besten Talente anzusprechen und zu halten.

Wir stellen Menschen mit starker Ethik und gutem Urteilsvermögen ein. Unsere Mitarbeiter werden einem Bewerber-Screening unterzogen, soweit gesetzlich zulässig, einschließlich Hintergrundüberprüfung und Validierung früherer Beschäftigungsverhältnisse. Außerdem verwenden wir Beurteilungsprozesse für die Team- und Mitarbeiterleistung, um gute Leistungen zu erkennen, und helfen unseren Teams und Mitarbeitern dabei, Entwicklungschancen zu identifizieren. Sicherheit ist Bestandteil unserer Teambewertungsprozesse. Dieser Ansatz zeigt, wie sich Teams gegenüber unseren Sicherheitsstandards verhalten, und ermöglicht es uns, Best Practices und Verbesserungsbereiche für wichtige Sicherheitsprozesse zu ermitteln.

Physische Sicherheit

Oracle Cloud Infrastructure-Data-Center sind für die Sicherheit und Verfügbarkeit von Kundendaten konzipiert. Dieses Design beginnt mit unserer Website-Auswahl. Kandidatenerstellungsstandorte und Anbieterstandorte durchlaufen einen umfangreichen Risikobewertungsprozess. Bei diesem Prozess werden unter anderem folgende Kriterien berücksichtigt: Umweltbedrohungen, Stromverfügbarkeit und -stabilität, Ruf und Geschichte der Anbieter, Funktionen benachbarter Anlagen (z. B. risikoreiche Fertigung oder Ziele mit hoher Bedrohung) und geopolitische Probleme.

OCI-Data-Center orientieren sich an den ANSI/TIA-942-A Tier-3- oder Tier-4-Standards des Uptime Institute und der Telecommunications Industry Association (TIA) und folgen einer N2-Redundanzmethode für den Betrieb kritischer Geräte. Data Center, in denen OCI-Services untergebracht sind, verwenden redundante Stromquellen und pflegen Generatorbackups, um einen weit verbreiteten Stromausfall zu verhindern. In Serverräumen werden Lufttemperatur und Luftfeuchtigkeit engmaschig überwacht, und es gibt Systeme zur Brandbekämpfung. Mitarbeiter in Data Centern werden zur Reaktion auf Vorfälle und zu Eskalationsverfahren geschult, um auf mögliche Sicherheits- oder Verfügbarkeitsereignisse reagieren zu können.

Unser mehrschichtiger Ansatz für die physische Sicherheit beginnt mit dem Site Build. Rechenzentrumsanlagen sind dauerhaft aus Stahl, Beton oder vergleichbaren Materialien gebaut und so konzipiert, dass sie einem leichten Fahrzeugaufprall widerstehen. Unsere Seiten sind mit Sicherheitskräften besetzt, die bereit sind, auf Vorfälle 24/7 zu reagieren. Das Äußere jedes Standortes ist mit Umkreisschranken gesichert und Fahrzeuge werden aktiv von Wachen und Kameras überwacht, die den Gebäudeumfang abdecken.

Alle Personen, die unsere Data Center eingeben, müssen zuerst die Sicherheit an den Standorteingängen passieren, die mit Sicherheitskräften besetzt sind. Personen ohne standortspezifische Sicherheitsausweise müssen einen amtlichen Ausweis vorlegen und über eine genehmigte Zugangsanfrage verfügen, die ihnen Zugang zum Data-Center-Gebäude gewährt. Alle Mitarbeiter und Besucher müssen immer sichtbare, offizielle Ausweisschilder tragen. Andere Sicherheitsmaßnahmen zwischen dem Eingang und den Serverräumen variieren je nach Standortaufbau und Risikoprofil.

Die Serverräume im Data Center verfügen über mehr Sicherheit, darunter Kameras für die Serverräume, Zwei-Faktor-Zugriffskontrolle und Intrusion-Detection-Mechanismen. Physische Barrieren schaffen isolierte Sicherheitszonen um Server- und Netzwerkracks herum, die sich vom Boden (einschließlich unterhalb von Zwischenböden, sofern zutreffend) bis zur Decke (einschließlich oberhalb von Deckenfliesen, sofern zutreffend) erstrecken.

Der Zugang zu Rechenzentren wird sorgfältig kontrolliert und verfolgt einen Ansatz mit der geringsten Berechtigung. Das autorisierte Personal muss alle Zugriffe auf Serverräume genehmigen, und der Zugang wird nur für den erforderlichen Zeitraum gewährt. Die Zugriffsnutzung wird auditiert, und die Leitung des Data Centers prüft regelmäßig den im System bereitgestellten Zugriff. Serverräume sind in sichere Zonen isoliert, die von Zone zu Zone verwaltet werden. Der Zugriff wird nur für die Zonen bereitgestellt, die von Mitarbeitern benötigt werden.

Sicherheitsvorgänge

Das Oracle Cloud Infrastructure-Team für Sicherheitsvorgänge ist für das Monitoring und die Sicherung der einzigartigen OCI-Hosting- und virtuellen Netzwerktechnologien verantwortlich. Dieses Team arbeitet direkt mit den Ingenieuren von Oracle zusammen, die diese Technologien entwickeln.

Wir überwachen täglich neue Sicherheitsbedrohungen aus dem Internet und implementieren entsprechende Reaktions- und Abwehrpläne, um Risiken für das Unternehmen zu senken. Wenn wir feststellen, dass dringende Änderungen empfehlenswert sind und sie im Zuständigkeitsbereich der Kunden liegen, geben wir Bekanntmachungen mit Sicherheitswarnungen an diese Kunden heraus, um ihren Schutz sicherzustellen.

Wenn ein erkanntes oder gemeldetes Sicherheitsproblem OCI-Server oder -Netzwerke betrifft, stehen den Mitarbeitern von Security Operations 24/7 zur Verfügung, um zu reagieren, eskalieren oder die erforderlichen Korrekturmaßnahmen zu ergreifen. Bei Bedarf eskalieren und koordinieren wir externe Parteien (einschließlich Netzwerk- und Hosting-Serviceanbietern, Hardwareanbietern oder Strafverfolgung), um OCI, unsere Kunden und die Sicherheit und Reputation unseres Netzwerks zu schützen.

Wenn das Security Operations-Team auf ein Sicherheitsproblem reagiert, handeln sie gemäß unserem dokumentierten Prozess und alle Aktionen werden gemäß den Compliance-Anforderungen protokolliert. Wir achten jederzeit darauf, Service- und Datenintegrität, Datenschutz und Betriebskontinuität aufrechtzuerhalten.

Schutz von Kundendaten

Kundendatenschutz ist von entscheidender Bedeutung. Wir ergreifen Maßnahmen, um alle gesetzlichen und Compliance-Anforderungen in Bezug auf Datensicherheit zu erfüllen.

Datenrechte und -eigentum

Oracle Cloud Infrastructure-Kunden behalten sich das Eigentum und die geistigen Eigentumsrechte an ihren Inhalten vor. Wir bemühen uns darum, transparent mit unseren Datenschutzprozessen und Strafverfolgungsanträgen umzugehen, die wir erhalten können.

Datenschutz

OCI verfügt über Funktionen, mit denen Kunden sich an gängigen Datenschutzprinzipien ausrichten können. Siehe Oracle Cloud Infrastructure-Datenschutzfeatures.

Strafverfolgungsanträge

Sofern gesetzlich nichts anderes vorgeschrieben ist, informiert Oracle die Kunden unverzüglich über jede Vorladungs-, Gerichts-, Verwaltungs- oder Schiedsanordnung einer Exekutiv- oder Verwaltungsbehörde oder einer anderen Regierungsbehörde, die sie erhält und die sich auf die personenbezogenen Daten bezieht, die Oracle im Namen des Kunden verarbeitet. Auf Anfrage des Kunden stellt Oracle Kunden angemessene Informationen in seinem Besitz, die für den Strafverfolgungsantrag relevant sind, und angemessene Unterstützung bereit, um rechtzeitig auf den Antrag zu reagieren.

Compliance

Unsere Praktiken entsprechen dem ISO/IEC 27002 Code of Practice für Informationssicherheitskontrollen. Davon abgeleitet haben wir umfangreiche Sicherheitskontrollen identifiziert, die wir auf unsere Geschäfte anwenden. Diese Sicherheitskontrollen und unser Betrieb werden externen Audits unterzogen. Wir verfolgen eine breite Palette an Branchen- und Behördenzertifizierungen, -audits und regulatorischen Programmen. Siehe Oracle Cloud Compliance.