Protección de File Storage

Para utilizar el almacenamiento de archivos de forma segura, conozca sus responsabilidades de seguridad y conformidad.

En general, Oracle proporciona seguridad en la infraestructura y las operaciones en la nube, como controles de acceso de operadores en la nube y aplicación de parches de seguridad de la infraestructura. Usted es responsable de configurar de forma segura sus recursos en la nube. La seguridad en la nube es una responsabilidad compartida entre usted y Oracle.

Oracle es responsable de los siguientes requisitos de seguridad:

• Seguridad física:Oracle es responsable de proteger la infraestructura global que ejecuta todos los servicios ofrecidos en Oracle Cloud Infrastructure. Esta infraestructura consta del hardware, el software, la red y las instalaciones que ejecutan los servicios de Oracle Cloud Infrastructure.

Las responsabilidades de seguridad se describen en esta página, que incluye las siguientes áreas:

• Control de acceso: limite los privilegios lo máximo posible. A los usuarios solo se les debe otorgar el acceso necesario para realizar su trabajo.
• Cifrado y confidencialidad: utilice claves y secretos de cifrado para proteger los datos y conectarse a recursos protegidos. Gire estas claves regularmente.

Utilice esta lista de control para identificar las tareas que debe realizar para proteger File Storage en un nuevo arrendamiento de Oracle Cloud Infrastructure.

Después de empezar a utilizar File Storage, utilice esta lista de control para identificar las tareas de seguridad que le recomendamos que realice con regularidad.

Utilice políticas para limitar el acceso a File Storage.

Para minimizar el riesgo de supresión accidental o intencional de recursos, se recomienda otorgar permisos de DELETE solo a un grupo limitado de usuarios y grupos de IAM de confianza, en concreto, administradores de arrendamiento y compartimentos. Al restringir estos privilegios, puede reducir significativamente la posibilidad de pérdida de recursos debido a acciones no autorizadas o erróneas.

Allow group FileUsers to manage file-systems in tenancy
 where request.permission!='FILE_SYSTEM_DELETE' 
Allow group FileUsers to manage mount-targets in tenancy
 where request.permission!='MOUNT_TARGET_DELETE' 
Allow group FileUsers to manage export-sets in tenancy
 where request.permission!='EXPORT_SET_DELETE' 

Para obtener más información sobre las políticas de File Storage y ver más ejemplos, consulte Detalles del servicio File Storage.

Además de crear políticas de IAM, bloquee el acceso a los sistemas de archivos mediante el uso de otras capas de seguridad disponibles.

El servicio File Storage utiliza cinco capas diferentes de control de acceso. Cada capa cuenta con sus propias entidades y métodos de autorización, que son independientes del resto de capas.

Para obtener más información, consulte Acerca de la seguridad de File Storage.

Cree y rote claves de cifrado en el servicio Vault para proteger sus recursos en File Storage.

Un almacén es una entidad lógica que almacena las claves de cifrado que utiliza para proteger los datos. Según el modo de protección, las claves se almacenan en el servidor o en módulos de seguridad de hardware (HSM) duraderos y de alta disponibilidad. Nuestros HSM cumplen con la certificación de seguridad de nivel 3 de seguridad de FIPS 140-2. Consulte Gestión de almacenes y Gestión de claves.

Aunque Oracle Cloud Infrastructure puede generar claves de cifrado por defecto para determinados recursos, recomendamos encarecidamente que adopte un enfoque más seguro mediante la creación y gestión de sus propias claves de cifrado personalizadas en el servicio Vault. Esto le proporciona un mayor control sobre la gestión de claves y mejora la estrategia de seguridad general de su entorno en la nube.

Para cifrar los datos en un sistema de archivos con su propia clave de cifrado de Vault, consulte Encrypting a File System.

A cada clave de cifrado maestra se le asigna automáticamente una versión de clave. Al rotar una clave, el servicio Vault genera una nueva versión de clave. La rotación periódica de claves limita la cantidad de datos cifrados o firmados por una versión de clave. Si en algún momento se incluye una clave, la rotación de claves reduce el riesgo para los datos. Consulte Gestión de claves.

Para obtener la mejor seguridad, utilice las políticas de IAM para aplicar controles de acceso granulares a las actividades de gestión de claves de cifrado, incluidas la creación, rotación y supresión de claves. Consulte Detalles para el servicio Vault.

Las claves de cifrado gestionan el cifrado estático. Para obtener más información sobre el cifrado en tránsito, consulte Acerca de la seguridad de almacenamiento de archivos.

Realice copias de seguridad periódicas de los datos en File Storage.

Los usuarios a veces suprimen involuntariamente los datos de producción en un sistema de archivos de File Storage. No puede recuperar los datos a menos que tenga una copia de esos datos almacenada en una copia de seguridad. Para obtener durabilidad de los datos, recomendamos que realice instantáneas periódicas del sistema de archivos según lo requieran los SLO de negocio. Las instantáneas le permiten recuperar datos de la instantánea en caso de supresión accidental de datos.

Utilice instantáneas basadas en políticas para programar copias de seguridad automáticas recurrentes o crear copias de seguridad manualmente mediante la consola, la CLI o la API.

Proteja el acceso de red a sus recursos en File Storage.

Utilice listas de seguridad , grupos de seguridad de red o una combinación de ambos para controlar el tráfico de nivel de paquete dentro y fuera de los recursos de la VCN (red virtual en la nube) . Consulte Acceso y seguridad.

Al crear una subred de una VCN, la subred se considera pública por defecto y se permite la comunicación por Internet. Utilice subredes privadas para alojar recursos que no requieren acceso a Internet. También puede configurar un gateway de servicio en la VCN para permitir que los recursos de una subred privada accedan a otros servicios en la nube. Consulte Opciones de conectividad.

Para obtener más información, consulte Configuración de reglas de seguridad de VCN para File Storage.

Localice los logs de acceso y otros datos de seguridad de File Storage.

La función de registro registra operaciones como la creación, la supresión y las actualizaciones de los recursos de File Storage para su revisión interna. Para obtener más información, consulte Registro de File Storage.

El servicio Audit registra automáticamente todas las llamadas de API a los recursos de Oracle Cloud Infrastructure. Puede lograr sus objetivos de seguridad y conformidad mediante el servicio Audit para supervisar toda la actividad de los usuarios dentro de su arrendamiento. Dado que todas las llamadas a la consola, SDK y la línea de comandos (CLI) pasan por nuestras API, se incluye toda la actividad de esos orígenes. Los registros de auditoría están disponibles mediante una API de consulta autenticada y filtrable o se pueden recuperar como archivos por lotes de Object Storage. El contenido del log de auditoría incluye la actividad que se produjo, el usuario que la inició, la fecha y la hora de la solicitud, así como la IP de origen, el agente de usuario y las cabeceras HTTP de la solicitud. Consulte Visualización de eventos del log de auditoría.