Daten im Ruhezustand schützen
Oracle Cloud Infrastructure bietet mehrere Speicheroptionen: Block, Objekt und Datei. Die Daten werden im Ruhezustand und während der Übertragung für diese Services verschlüsselt. Verwenden Sie die folgenden Mechanismen, um zusätzliche Best Practices anzuwenden und sicherzustellen, dass Ihre Daten in der Cloud sicher sind.
Berechtigungen zum Löschen von Speicherressourcen einschränken
Enterprise Architect, Security Architect, Data Architect
Um das Risiko eines versehentlichen oder böswilligen Löschens Ihrer Daten in der Cloud zu minimieren oder eine Anforderung an unveränderlichen Speicher (zum Beispiel für Datenbankbackups) zu erfüllen, erteilen Sie nur den Benutzern, die diese Berechtigungen benötigen, die in der folgenden Tabelle aufgeführten Berechtigungen:
| Service | Berechtigungen, die Sie einschränken sollten |
|---|---|
| Block-Volumes |
|
| Dateispeicher |
|
| Objektspeicher |
|
Sicherer Zugriff auf File Storage
Enterprise Architect, Security Architect, Data Architect
Ergreifen Sie Maßnahmen, um sicherzustellen, dass der Dateispeicher vor unbefugtem Zugriff geschützt ist.
- Oracle Cloud Infrastructure File Storage stellt einen NFSv3-Endpunkt als Mountziel in jedem Ihrer Subnetze bereit. Das Mountziel wird durch einen DNS-Namen identifiziert und ist einer IP-Adresse zugeordnet. Verwenden Sie die Netzwerksicherheitsgruppen des Subnetzes des Mountziels, um Netzwerkzugriff auf das Mountziel nur von autorisierten IP-Adressen aus zu konfigurieren.
- Verwenden Sie bekannte Best Practices zur NFS-Sicherheit, z.B. die Option
all_squash, um alle Benutzernfsnobodyzuzuordnen und mit NFS-ACLs die Zugriffskontrolle für das gemountete Dateisystem durchzusetzen.
Sicherer Zugriff auf Object Storage sicherstellen
Enterprise Architect, Security Architect, Data Architect
Object Storage bietet eine AES-256-Verschlüsselung für ruhende Daten. Führen Sie Schritte aus, um sicherzustellen, dass der Objektspeicher vor unbefugtem Zugriff geschützt ist.
- Objektspeicher-Buckets können öffentlich oder privat sein. Ein öffentlicher Bucket ermöglicht nicht authentifizierte und anonyme Lesezugriffe auf alle Objekte im Bucket. Erstellen Sie private Buckets, und verwenden Sie vorab authentifizierte Anforderungen (PARs), um Benutzern ohne IAM-Zugangsdaten Zugriff auf in Buckets gespeicherte Objekte zu ermöglichen.
- Um die Gefahr zu minimieren, dass Buckets versehentlich oder böswillig öffentlich gemacht werden, erteilen Sie
BUCKET_UPDATEnur möglichst wenigen IAM-Benutzern die Berechtigung. - Stellen Sie sicher, dass die Versionierung für Objektspeicher-Buckets aktiviert ist.
Daten in Block-Volumes verschlüsseln
Enterprise Architect, Security Architect, Data Architect
Der Oracle Cloud Infrastructure Block Volumes Service verschlüsselt immer alle Block-Volumes und Boot-Volumes im Ruhezustand mit dem Advanced Encryption Standard-(AES-)Algorithmus mit 256-Bit-Schlüsseln. Beachten Sie die folgenden zusätzlichen Verschlüsselungsoptionen.
- Verschlüsseln Sie alle Volumes und ihre Backups mit Schlüsseln, deren Eigentümer Sie sind. Sie können die Schlüssel mit dem Oracle Cloud Infrastructure Vault-Service verwalten.
- Daten werden über ein internes und sehr sicheres Netzwerk zwischen einer Instanz und dem angehängten Block-Volume übertragen. Sie können die Verschlüsselung während der Übertragung für paravirtualisierte Volume-Anhänge auf VM-Instanzen aktivieren.
Daten in File Storage verschlüsseln
Enterprise Architect, Security Architect, Data Architect
Der Oracle Cloud Infrastructure File Storage-Service verschlüsselt alle Daten im Ruhezustand. Standardmäßig werden die Dateisystemen mit von Oracle verwalteten Verschlüsselungsschlüsseln verschlüsselt.
Verschlüsseln Sie alle Dateisysteme mit Schlüsseln, deren Eigentümer Sie sind. Sie können die Schlüssel mit dem Oracle Cloud Infrastructure Vault-Service verwalten.
Stellen Sie bei regionsübergreifenden Deployments sicher, dass Schlüssel regionsübergreifend repliziert werden.
Daten in Object Storage verschlüsseln
Enterprise Architect, Security Architect, Data Architect
Der Oracle Cloud Infrastructure Object Storage Service verschlüsselt alle Ihre Objekte mit dem Advanced Encryption Standard-(AES-)Algorithmus mit 256-Bit-Schlüsseln. Jedes Objekt wird mit einem separaten Schlüssel verschlüsselt.
- Die Objektverschlüsselungsschlüssel werden wiederum mit einem von Oracle verwalteten Masterverschlüsselungsschlüssel verschlüsselt, der jedem Bucket zugewiesen ist.
- Konfigurieren Sie Buckets so, dass sie Ihren eigenen Masterverschlüsselungsschlüssel verwenden, den Sie im Oracle Cloud Infrastructure Vault-Service speichern, und rotieren Sie nach einem von Ihnen definierten Zeitplan. Verwenden Sie Datenaufbewahrungsregeln.
Schlüssel und Secrets in Oracle Cloud Infrastructure Vault verwalten
Enterprise Architect, Security Architect, Data Architect
Mit Oracle Cloud Infrastructure Vault können Sie Secrets wie Kennwörter, SSH-Schlüssel, Verschlüsselungsschlüssel und Zertifikate speichern, mit denen Anwendungen auf Ressourcen zugreifen können. Das Speichern von Secrets in einem Vault bietet mehr Sicherheit als die Verwendung von Code oder lokalen Dateien.
- Vereinfachen Sie die Schlüsselverwaltung, indem Sie Verschlüsselungsschlüssel zentral speichern und verwalten.
- Definieren Sie einen bestimmten Schlüssel, um Secrets zu verschlüsseln und in regelmäßigen Abständen zu rotieren.
- Schützen Sie Daten im Ruhezustand und während der Übertragung, indem Sie verschiedene Verschlüsselungsschlüsseltypen unterstützen, einschließlich symmetrischer Schlüssel und asymmetrischer Schlüssel.
- Begrenzen Sie Ressourcen, die auf Oracle Cloud Infrastructure Vault zugreifen, auf private Subnetze.
- Rotieren Sie regelmäßig Secret-Inhalte, um die Auswirkungen zu reduzieren, wenn ein Secret angegeben wird.
- Definieren Sie eine Secret-Wiederverwendungsregel, um die Wiederverwendung von Secret-Inhalten in verschiedenen Versionen eines Secrets zu verhindern.
- Definieren Sie eine Secret-Ablaufregel, um den Zeitraum zu begrenzen, in dem eine Secret-Version verwendet werden kann.
- Integrieren Sie die Verschlüsselung mit anderen OCI-Services wie Speicher, Datenbank oder Anwendungen zum Schutz von in diesen Services gespeicherten Daten.