1. Marco de mejores prácticas para Oracle Cloud Infrastructure
  2. Protección de los datos en reposo

Protección de los datos en reposo

Oracle Cloud Infrastructure ofrece varias opciones de almacenamiento: bloque, objeto y archivo. Los datos se cifran de forma estática y en tránsito para estos servicios. Utilice los siguientes mecanismos para aplicar mejores prácticas adicionales a fin de garantizar la seguridad de los datos en la nube.

Restringir permisos para suprimir recursos de almacenamiento

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Para minimizar el riesgo de supresión involuntaria o maliciosa de sus datos en la nube, otorgue los permisos enumerados en la siguiente tabla solo a los usuarios que necesiten estos privilegios:
Servicio Permisos que debe restringir
Volúmenes en bloque
  • VOLUME_DELETE
  • VOLUME_ATTACHMENT_DELETE
  • VOLUME_BACKUP_DELETE
File Storage
  • FILE_SYSTEM_DELETE
  • MOUNT_TARGET_DELETE
  • EXPORT_SET_DELETE
Object Storage
  • BUCKET_DELETE
  • OBJECT_DELETE

Garantizar el acceso seguro al almacenamiento de archivos

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Tome medidas para garantizar que el almacenamiento de archivos esté protegido contra el acceso no autorizado.
  • Oracle Cloud Infrastructure File Storage expone un punto final de NFSv3 como destino de montaje en cada una de sus subredes. El destino de montaje se identifica mediante un nombre de DNS y se asigna a una dirección IP. Utilice las listas de seguridad de la subred del destino de montaje para configurar el acceso de red al destino de montaje desde solo direcciones IP autorizadas.
  • Utilice las mejores prácticas de seguridad NFS conocidas, como la opción all_squash para asignar todos los usuarios a nfsnobody y utilizar las ACL de NFS para aplicar el control de acceso al sistema de archivos montado.

Garantice un acceso seguro al almacenamiento de objetos

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Realice los pasos necesarios para garantizar que el almacenamiento de objetos esté protegido contra el acceso no autorizado.
  • Los cubos de almacenamiento de objetos pueden ser públicos o privados. Un cubo público permite lecturas no autenticadas y anónimas de todos los objetos del cubo. Cree cubos privados y utilice solicitudes autenticadas previamente (PAR) para proporcionar acceso a los objetos almacenados en cubos a usuarios que no tienen credenciales de IAM.
  • Para minimizar la posibilidad de que los cubos se hagan públicos involuntariamente o sin autorización, otorgue el permiso BUCKET_UPDATE a un mínimo de usuarios de IAM.

Cifrado de datos en volúmenes en bloque

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

El servicio Oracle Cloud Infrastructure Block Volumes siempre cifra todos los volúmenes en bloque y los volúmenes de inicio estáticos mediante el algoritmo de estándar de cifrado avanzado (AES) con claves de 256 bits. Tenga en cuenta las siguientes opciones de cifrado adicionales.
  • Cifre todos los volúmenes y sus copias de seguridad mediante claves propias y puede gestionar las claves mediante el servicio Oracle Cloud Infrastructure Vault.
  • Los datos se transfieren entre una instancia y el volumen en bloque asociado a través de una red interna de alta seguridad. Puede activar el cifrado en tránsito para asociaciones de volúmenes paravirtualizadas en instancias de máquina virtual.

Cifrar datos en File Storage

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

El servicio Oracle Cloud Infrastructure File Storage cifra todos los datos cuando los hay. Por defecto, los sistemas de archivos se cifran mediante claves de cifrado gestionadas por Oracle.

Cifre todos los sistemas de archivos mediante claves propias. Puede gestionar las claves mediante el servicio Oracle Cloud Infrastructure Vault.

Cifrar datos en Object Storage

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

El servicio Oracle Cloud Infrastructure Object Storage cifra todos los objetos mediante el algoritmo Advanced Encryption Standard (AES) con claves de 256 bits. Cada objeto se cifra mediante una clave independiente.

  • Las claves de cifrado de objetos se cifran, a su vez, mediante una clave de cifrado maestra gestionada por Oracle asignada a cada cubo.
  • Configure cubos para utilizar su propia clave de cifrado maestra que almacene en el servicio Oracle Cloud Infrastructure Vault y gire según el programa que defina.

Mantener secretos de aplicación en Oracle Cloud Infrastructure Vault

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Oracle Cloud Infrastructure Vault se puede utilizar para almacenar secretos como contraseñas, claves ssh y certificados que las aplicaciones pueden utilizar para acceder a los recursos. El almacenamiento de secretos en un almacén proporciona mayor seguridad que el uso de archivos locales o de código.
  • Defina una clave específica para cifrar secretos y rotarlos periódicamente.
  • Limite los recursos que acceden a Oracle Cloud Infrastructure Vault a subredes privadas.
  • Girar periódicamente el contenido del secreto para reducir el impacto si se expone un secreto.
  • Defina una regla de reutilización de secretos para evitar la reutilización del contenido del secreto en las distintas versiones de un secreto.
  • Defina una regla de caducidad del secreto para limitar el período de tiempo que se puede utilizar una versión del secreto.

Más Información