Protección de los datos en reposo
Oracle Cloud Infrastructure ofrece varias opciones de almacenamiento: bloque, objeto y archivo. Los datos se cifran de forma estática y en tránsito para estos servicios. Utilice los siguientes mecanismos para aplicar mejores prácticas adicionales a fin de garantizar la seguridad de los datos en la nube.
Restringir permisos para suprimir recursos de almacenamiento
Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos
Servicio | Permisos que debe restringir |
---|---|
Volúmenes en bloque |
|
File Storage |
|
Object Storage |
|
Garantizar el acceso seguro al almacenamiento de archivos
Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos
- Oracle Cloud Infrastructure File Storage expone un punto final de NFSv3 como destino de montaje en cada una de sus subredes. El destino de montaje se identifica mediante un nombre de DNS y se asigna a una dirección IP. Utilice las listas de seguridad de la subred del destino de montaje para configurar el acceso de red al destino de montaje desde solo direcciones IP autorizadas.
- Utilice las mejores prácticas de seguridad NFS conocidas, como la opción
all_squash
para asignar todos los usuarios anfsnobody
y utilizar las ACL de NFS para aplicar el control de acceso al sistema de archivos montado.
Garantice un acceso seguro al almacenamiento de objetos
Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos
- Los cubos de almacenamiento de objetos pueden ser públicos o privados. Un cubo público permite lecturas no autenticadas y anónimas de todos los objetos del cubo. Cree cubos privados y utilice solicitudes autenticadas previamente (PAR) para proporcionar acceso a los objetos almacenados en cubos a usuarios que no tienen credenciales de IAM.
- Para minimizar la posibilidad de que los cubos se hagan públicos involuntariamente o sin autorización, otorgue el permiso
BUCKET_UPDATE
a un mínimo de usuarios de IAM.
Cifrado de datos en volúmenes en bloque
Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos
- Cifre todos los volúmenes y sus copias de seguridad mediante claves propias y puede gestionar las claves mediante el servicio Oracle Cloud Infrastructure Vault.
- Los datos se transfieren entre una instancia y el volumen en bloque asociado a través de una red interna de alta seguridad. Puede activar el cifrado en tránsito para asociaciones de volúmenes paravirtualizadas en instancias de máquina virtual.
Cifrar datos en File Storage
Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos
Cifre todos los sistemas de archivos mediante claves propias. Puede gestionar las claves mediante el servicio Oracle Cloud Infrastructure Vault.
Cifrar datos en Object Storage
Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos
- Las claves de cifrado de objetos se cifran, a su vez, mediante una clave de cifrado maestra gestionada por Oracle asignada a cada cubo.
- Configure cubos para utilizar su propia clave de cifrado maestra que almacene en el servicio Oracle Cloud Infrastructure Vault y gire según el programa que defina.
Mantener secretos de aplicación en Oracle Cloud Infrastructure Vault
Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos
- Defina una clave específica para cifrar secretos y rotarlos periódicamente.
- Limite los recursos que acceden a Oracle Cloud Infrastructure Vault a subredes privadas.
- Girar periódicamente el contenido del secreto para reducir el impacto si se expone un secreto.
- Defina una regla de reutilización de secretos para evitar la reutilización del contenido del secreto en las distintas versiones de un secreto.
- Defina una regla de caducidad del secreto para limitar el período de tiempo que se puede utilizar una versión del secreto.