Schutz Ihrer Daten im Ruhezustand
Oracle Cloud Infrastructure bietet mehrere Speicheroptionen: Block, Objekt und Datei. Daten werden im Ruhezustand und bei der Übertragung für diese Services verschlüsselt. Verwenden Sie die folgenden Verfahren, um zusätzliche Best Practices anzuwenden und sicherzustellen, dass Ihre Daten in der Cloud sicher sind.
Berechtigungen zum Löschen von Speicherressourcen einschränken
Enterprise Architect, Security Architect, Data Architect
Service | Wichtige Berechtigungen |
---|---|
Block-Volumes |
|
Dateispeicher |
|
Objektspeicher |
|
Sicherer Zugriff auf File Storage
Enterprise Architect, Security Architect, Data Architect
- Oracle Cloud Infrastructure File Storage stellt einen NFSv3-Endpunkt als Mountziel in jedem Ihrer Subnetze bereit. Das Mountziel wird durch einen DNS-Namen identifiziert und ist einer IP-Adresse zugeordnet. Verwenden Sie die Sicherheitslisten des Subnetzes des Mountziels, um Netzwerkzugriff auf das Mountziel nur von autorisierten IP-Adressen aus zu konfigurieren.
- Verwenden Sie bekannte Best Practices zur NFS-Sicherheit, wie die Option
all_squash
, um alle Benutzernfsnobody
zuzuordnen, und verwenden Sie NFS-ACLs, um die Zugriffskontrolle für das gemountete Dateisystem durchzusetzen.
Sicherer Zugriff auf Object Storage
Enterprise Architect, Security Architect, Data Architect
- Objektspeicher-Buckets können öffentlich oder privat sein. Mit einem öffentlichen Bucket können nicht authentifizierte und anonyme Lesezugriffe auf alle Objekte im Bucket ermöglicht werden. Erstellen Sie private Buckets, und verwenden Sie vorab authentifizierte Anforderungen (PARs), um Benutzern ohne IAM-Zugangsdaten Zugriff auf in Buckets gespeicherte Objekte zu erteilen.
- Um die Gefahr zu minimieren, dass Buckets versehentlich oder böswillig veröffentlicht werden, erteilen Sie die Berechtigung
BUCKET_UPDATE
einem Mindestsatz von IAM-Benutzern.
Daten in Block-Volumes verschlüsseln
Enterprise Architect, Security Architect, Data Architect
- Verschlüsseln Sie alle Volumes und ihre Backups mit Ihren eigenen Schlüsseln. Sie können die Schlüssel mit dem Oracle Cloud Infrastructure Vault-Service verwalten.
- Daten werden über ein internes und besonders sicheres Netzwerk zwischen einer Instanz und dem angehängten Block-Volume übertragen. Sie können die Verschlüsselung während der Übertragung für paravirtualisierte Volume-Anhänge auf Virtual Machine-Instanzen aktivieren.
Daten in File Storage verschlüsseln
Enterprise Architect, Security Architect, Data Architect
Verschlüsseln Sie alle Dateisysteme mit Schlüsseln, die Ihnen gehören. Sie können die Schlüssel mit dem Oracle Cloud Infrastructure Vault-Service verwalten.
Daten in Object Storage verschlüsseln
Enterprise Architect, Security Architect, Data Architect
- Die Objektverschlüsselungsschlüssel werden wiederum mit einem von Oracle verwalteten Masterverschlüsselungsschlüssel verschlüsselt, der jedem Bucket zugewiesen ist.
- Konfigurieren Sie Buckets, um Ihren eigenen Masterverschlüsselungsschlüssel zu verwenden, den Sie im Oracle Cloud Infrastructure Vault-Service speichern und mit einem von Ihnen definierten Zeitplan rotieren.
Anwendungs-Secrets in Oracle Cloud Infrastructure Vault verwalten
Enterprise Architect, Security Architect, Data Architect
- Definieren Sie einen bestimmten Schlüssel, um Secrets zu verschlüsseln und periodisch zu rotieren.
- Beschränken Sie Ressourcen, die auf Oracle Cloud Infrastructure Vault zugreifen, auf private Subnetze.
- Sie können Secret-Inhalte regelmäßig rotieren, um die Auswirkungen zu reduzieren, wenn ein Secret verfügbar gemacht wird.
- Definieren Sie eine Secret-Wiederverwendungsregel, um die Wiederverwendung von Secret-Inhalten in verschiedenen Versionen eines Secret zu verhindern.
- Definieren Sie eine Secret-Ablaufregel, um den Zeitraum zu begrenzen, für den eine Secret-Version verwendet werden kann.