1. Best Practices-Framework für Oracle Cloud Infrastructure
  2. Schutz Ihrer Daten im Ruhezustand

Schutz Ihrer Daten im Ruhezustand

Oracle Cloud Infrastructure bietet mehrere Speicheroptionen: Block, Objekt und Datei. Daten werden im Ruhezustand und bei der Übertragung für diese Services verschlüsselt. Verwenden Sie die folgenden Verfahren, um zusätzliche Best Practices anzuwenden und sicherzustellen, dass Ihre Daten in der Cloud sicher sind.

Berechtigungen zum Löschen von Speicherressourcen einschränken

Enterprise Architect, Security Architect, Data Architect

Um das Risiko eines versehentlichen oder böswilligen Löschens Ihrer Daten in der Cloud zu minimieren, erteilen Sie den in der folgenden Tabelle aufgeführten Berechtigungen nur Benutzern, die diese Berechtigungen benötigen:
Service Wichtige Berechtigungen
Block-Volumes
  • VOLUME_DELETE
  • VOLUME_ATTACHMENT_DELETE
  • VOLUME_BACKUP_DELETE
Dateispeicher
  • FILE_SYSTEM_DELETE
  • MOUNT_TARGET_DELETE
  • EXPORT_SET_DELETE
Objektspeicher
  • BUCKET_DELETE
  • OBJECT_DELETE

Sicherer Zugriff auf File Storage

Enterprise Architect, Security Architect, Data Architect

Führen Sie die Schritte aus, um sicherzustellen, dass der Dateispeicher vor unbefugtem Zugriff geschützt ist.
  • Oracle Cloud Infrastructure File Storage stellt einen NFSv3-Endpunkt als Mountziel in jedem Ihrer Subnetze bereit. Das Mountziel wird durch einen DNS-Namen identifiziert und ist einer IP-Adresse zugeordnet. Verwenden Sie die Sicherheitslisten des Subnetzes des Mountziels, um Netzwerkzugriff auf das Mountziel nur von autorisierten IP-Adressen aus zu konfigurieren.
  • Verwenden Sie bekannte Best Practices zur NFS-Sicherheit, wie die Option all_squash, um alle Benutzer nfsnobody zuzuordnen, und verwenden Sie NFS-ACLs, um die Zugriffskontrolle für das gemountete Dateisystem durchzusetzen.

Sicherer Zugriff auf Object Storage

Enterprise Architect, Security Architect, Data Architect

Führen Sie Schritte aus, um sicherzustellen, dass der Objektspeicher vor unbefugtem Zugriff geschützt ist.
  • Objektspeicher-Buckets können öffentlich oder privat sein. Mit einem öffentlichen Bucket können nicht authentifizierte und anonyme Lesezugriffe auf alle Objekte im Bucket ermöglicht werden. Erstellen Sie private Buckets, und verwenden Sie vorab authentifizierte Anforderungen (PARs), um Benutzern ohne IAM-Zugangsdaten Zugriff auf in Buckets gespeicherte Objekte zu erteilen.
  • Um die Gefahr zu minimieren, dass Buckets versehentlich oder böswillig veröffentlicht werden, erteilen Sie die Berechtigung BUCKET_UPDATE einem Mindestsatz von IAM-Benutzern.

Daten in Block-Volumes verschlüsseln

Enterprise Architect, Security Architect, Data Architect

Der Oracle Cloud Infrastructure Block Volumes Service verschlüsselt immer alle Block- und Boot-Volumes im Ruhezustand mit dem Advanced Encryption Standard-(AES-)Algorithmus mit 256-Bit-Schlüsseln. Beachten Sie die folgenden zusätzlichen Verschlüsselungsoptionen.
  • Verschlüsseln Sie alle Volumes und ihre Backups mit Ihren eigenen Schlüsseln. Sie können die Schlüssel mit dem Oracle Cloud Infrastructure Vault-Service verwalten.
  • Daten werden über ein internes und besonders sicheres Netzwerk zwischen einer Instanz und dem angehängten Block-Volume übertragen. Sie können die Verschlüsselung während der Übertragung für paravirtualisierte Volume-Anhänge auf Virtual Machine-Instanzen aktivieren.

Daten in File Storage verschlüsseln

Enterprise Architect, Security Architect, Data Architect

Der Oracle Cloud Infrastructure File Storage-Service verschlüsselt alle Daten im Rest. Die Dateisysteme werden standardmäßig mit von Oracle verwalteten Verschlüsselungsschlüsseln verschlüsselt.

Verschlüsseln Sie alle Dateisysteme mit Schlüsseln, die Ihnen gehören. Sie können die Schlüssel mit dem Oracle Cloud Infrastructure Vault-Service verwalten.

Daten in Object Storage verschlüsseln

Enterprise Architect, Security Architect, Data Architect

Der Oracle Cloud Infrastructure Object Storage Service verschlüsselt alle Ihre Objekte mit dem Advanced Encryption Standard-(AES-)Algorithmus mit 256-Bit-Schlüsseln. Jedes Objekt wird mit einem separaten Schlüssel verschlüsselt.

  • Die Objektverschlüsselungsschlüssel werden wiederum mit einem von Oracle verwalteten Masterverschlüsselungsschlüssel verschlüsselt, der jedem Bucket zugewiesen ist.
  • Konfigurieren Sie Buckets, um Ihren eigenen Masterverschlüsselungsschlüssel zu verwenden, den Sie im Oracle Cloud Infrastructure Vault-Service speichern und mit einem von Ihnen definierten Zeitplan rotieren.

Anwendungs-Secrets in Oracle Cloud Infrastructure Vault verwalten

Enterprise Architect, Security Architect, Data Architect

Mit Oracle Cloud Infrastructure Vault können Secrets wie Kennwörter, SSH-Schlüssel und Zertifikate gespeichert werden, mit denen Anwendungen auf Ressourcen zugreifen können. Das Speichern von Secrets in einem Vault bietet mehr Sicherheit als die Verwendung von Code oder lokalen Dateien.
  • Definieren Sie einen bestimmten Schlüssel, um Secrets zu verschlüsseln und periodisch zu rotieren.
  • Beschränken Sie Ressourcen, die auf Oracle Cloud Infrastructure Vault zugreifen, auf private Subnetze.
  • Sie können Secret-Inhalte regelmäßig rotieren, um die Auswirkungen zu reduzieren, wenn ein Secret verfügbar gemacht wird.
  • Definieren Sie eine Secret-Wiederverwendungsregel, um die Wiederverwendung von Secret-Inhalten in verschiedenen Versionen eines Secret zu verhindern.
  • Definieren Sie eine Secret-Ablaufregel, um den Zeitraum zu begrenzen, für den eine Secret-Version verwendet werden kann.

Weitere Informationen