Protección de los datos estáticos

Oracle Cloud Infrastructure ofrece varias opciones de almacenamiento: bloque, objeto y archivo. Los datos se cifran tanto en reposo como en tránsito para estos servicios. Utilice los siguientes mecanismos para aplicar mejores prácticas adicionales a fin de garantizar la seguridad de los datos en la nube.

Restricción de permisos para suprimir recursos de almacenamiento

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Para minimizar el riesgo de supresión involuntaria o maliciosa de los datos en la nube, o para satisfacer un requisito de almacenamiento inmutable (para copias de seguridad de bases de datos como ejemplo), otorgue los permisos que se muestran en la siguiente tabla solo a los usuarios que necesitan estos privilegios:
Servicio Permisos que debe restringir
Volúmenes en bloque
  • VOLUME_DELETE
  • VOLUME_ATTACHMENT_DELETE
  • VOLUME_BACKUP_DELETE
Almacenamiento de archivos
  • FILE_SYSTEM_DELETE
  • MOUNT_TARGET_DELETE
  • EXPORT_SET_DELETE
Object Storage
  • BUCKET_DELETE
  • OBJECT_DELETE

Garantizar el acceso seguro al almacenamiento de archivos

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Tome medidas para garantizar que el almacenamiento de archivos esté protegido contra el acceso no autorizado.
  • Oracle Cloud Infrastructure File Storage muestra un punto final NFSv3 como destino de montaje en cada una de las subredes. El destino de montaje se identifica mediante un nombre de DNS y se asigna a una dirección IP. Utilice los grupos de seguridad de red de la subred del destino de montaje para configurar el acceso de red al destino de montaje solo desde direcciones IP autorizadas.
  • Utilice las mejores prácticas de seguridad NFS conocidas, como la opción all_squash para asignar todos los usuarios a nfsnobody y utilice las ACL de NFS para aplicar el control de acceso al sistema de archivos montado.

Garantizar acceso seguro a Object Storage

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Object Storage proporciona cifrado AES-256 para los datos estáticos. Tome medidas para garantizar que el almacenamiento de objetos esté protegido frente al acceso no autorizado.
  • Los bloques de almacenamiento de objetos pueden ser públicos o privados. Un cubo público permite lecturas no autenticadas y anónimas de todos los objetos del cubo. Cree cubos privados y utilice solicitudes autenticadas previamente (PAR) para proporcionar acceso a los objetos almacenados en cubos a los usuarios que no tienen credenciales de IAM.
  • Para minimizar la posibilidad de que los cubos se hagan públicos involuntaria o maliciosamente, otorgue el permiso BUCKET_UPDATE a un mínimo de usuarios de IAM.
  • Asegúrese de que el control de versiones está activado para los cubos de Object Storage.

Cifrado de datos en volúmenes en bloque

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

El servicio Oracle Cloud Infrastructure Block Volumes siempre cifra todos los volúmenes en bloque y los volúmenes de inicio estáticos mediante el algoritmo de estándar de cifrado avanzado (AES) con claves de 256 bits. Tenga en cuenta las siguientes opciones de cifrado adicionales.
  • Cifre todos los volúmenes y sus copias de seguridad mediante claves propias, y puede gestionar las claves mediante el servicio Oracle Cloud Infrastructure Vault.
  • Los datos se transfieren entre una instancia y el volumen en bloque asociado a través de una red interna de alta seguridad. Puede activar el cifrado en tránsito para asociaciones de volúmenes paravirtualizadas en instancias de máquina virtual.

Cifrado de datos en File Storage

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

El servicio Oracle Cloud Infrastructure File Storage cifra todos los datos estáticos. Por defecto, los sistemas de archivos se cifran mediante claves de cifrado gestionadas por Oracle.

Cifre todos los sistemas de archivos mediante claves propias. Puede gestionar las claves mediante el servicio Oracle Cloud Infrastructure Vault.

En despliegues entre regiones, asegúrese de que las claves se replican entre regiones.

Cifrado de datos en Object Storage

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

El servicio Oracle Cloud Infrastructure Object Storage cifra todos los objetos mediante el algoritmo del estándar de cifrado avanzado (AES) con claves de 256 bits. Cada objeto se cifra mediante una clave independiente.
  • A su vez, las claves de cifrado de objetos se cifran mediante una clave de cifrado maestra gestionada por Oracle que se asigna a cada cubo.
  • Configure cubos para utilizar su propia clave de cifrado maestra que almacene en el servicio Oracle Cloud Infrastructure Vault y rote según un programa que defina. Considere el uso de reglas de retención de datos.

Mantenimiento de claves y secretos en Oracle Cloud Infrastructure Vault

Arquitecto empresarial, arquitecto de seguridad, arquitecto de datos

Oracle Cloud Infrastructure Vault se puede utilizar para almacenar secretos como contraseñas, claves ssh, claves de cifrado y certificados que las aplicaciones pueden utilizar para acceder a los recursos. El almacenamiento de secretos en un almacén de claves proporciona mayor seguridad que el uso de código o archivos locales.
  • Simplifique la gestión de claves mediante el almacenamiento y la gestión centralizados de claves de cifrado.
  • Defina una clave específica para cifrar secretos y rotarla periódicamente.
  • Proteja los datos estáticos y en tránsito mediante el soporte de varios tipos de claves de cifrado, incluidas claves simétricas y claves asimétricas.
  • Limite los recursos que acceden a Oracle Cloud Infrastructure Vault a subredes privadas.
  • Rotar periódicamente el contenido del secreto para reducir el impacto si se expone un secreto.
  • Defina una regla de reutilización de secretos para evitar la reutilización de contenido secreto en diferentes versiones de un secreto.
  • Defina una regla de caducidad del secreto para limitar el período de tiempo durante el que se puede utilizar una versión del secreto.
  • Integre el cifrado con otros servicios de OCI, como almacenamiento, base de datos o aplicaciones, para proteger los datos almacenados en estos servicios.

Más información