Protéger les données au repos
Oracle Cloud Infrastructure offre plusieurs options de stockage : bloc, objet et fichier. Les données sont chiffrées au repos et en transit pour ces services. Utilisez les mécanismes suivants pour appliquer d'autres meilleures pratiques afin de vous assurer que vos données dans le nuage sont sécurisées.
Restreindre les autorisations pour la suppression des ressources de stockage
Architecte d'entreprise, architecte de sécurité, architecte de données
Service | Autorisations que vous devez restreindre |
---|---|
Volumes par blocs |
|
Stockage de fichier |
|
Stockage d'objets |
|
Garantir un accès sécurisé au stockage de fichiers
Architecte d'entreprise, architecte de sécurité, architecte de données
- Le service de stockage de fichiers d'Oracle Cloud Infrastructure expose un point d'extrémité NFSv3 en tant que cible de montage dans chacun de vos sous-réseaux. La cible de montage est identifiée par un nom DNS et mappée à une adresse IP. Utilisez les groupes de sécurité de réseau du sous-réseau de la cible de montage pour configurer l'accès réseau à la cible de montage à partir des adresses IP autorisées seulement.
- Utilisez les meilleures pratiques de sécurité NFS bien connues telles que l'option
all_squash
pour mapper tous les utilisateurs ànfsnobody
, et utilisez les listes de contrôle d'accès NFS pour appliquer le contrôle d'accès au système de fichiers monté.
Garantir un accès sécurisé au stockage d'objets
Architecte d'entreprise, architecte de sécurité, architecte de données
- Les seaux de stockage d'objets peuvent être publics ou privés. Un seau public permet les lectures non authentifiées et anonymes de tous les objets du seau. Créez des compartiments privés et utilisez des demandes préauthentifiées pour donner accès aux objets stockés dans des compartiments aux utilisateurs qui n'ont pas de données d'identification IAM.
- Pour réduire la possibilité que des seaux soient rendus publics par inadvertance ou par inadvertance, accordez l'autorisation
BUCKET_UPDATE
à un jeu minimal d'utilisateurs IAM. - Assurez-vous que le contrôle des versions est activé pour les seaux de stockage d'objets.
Chiffrer les données dans les volumes par blocs
Architecte d'entreprise, architecte de sécurité, architecte de données
- Chiffrez tous vos volumes et leurs sauvegardes à l'aide de clés que vous possédez, et vous pouvez gérer les clés à l'aide du service Oracle Cloud Infrastructure Vault.
- Les données sont transférées entre une instance et le volume par blocs attaché au moyen d'un réseau interne hautement sécurisé. Vous pouvez activer le chiffrement en transit pour les attachements de volume paravirtualisés sur les instances de machine virtuelle.
Chiffrer les données dans le stockage de fichiers
Architecte d'entreprise, architecte de sécurité, architecte de données
Chiffrez tous vos systèmes de fichiers à l'aide de clés que vous possédez. Vous pouvez gérer les clés à l'aide du service de chambre forte pour Oracle Cloud Infrastructure Vault.
Dans les déploiements inter-régions, assurez-vous que les clés sont répliquées entre les régions.
Chiffrer les données dans le stockage d'objets
Architecte d'entreprise, architecte de sécurité, architecte de données
- Les clés de chiffrement d'objet sont, à leur tour, chiffrées à l'aide d'une clé de chiffrement principale gérée par Oracle qui est affectée à chaque seau.
- Configurez les seaux pour qu'ils utilisent votre propre clé de chiffrement principale que vous stockez dans le service Oracle Cloud Infrastructure Vault et effectuez une rotation selon un programme que vous définissez. Envisagez d'utiliser les règles de conservation des données.
Tenir à jour les clés et les clés secrètes dans Oracle Cloud Infrastructure Vault
Architecte d'entreprise, architecte de sécurité, architecte de données
- Simplifiez la gestion des clés en stockant et en gérant les clés de chiffrement de manière centralisée.
- Définissez une clé spécifique pour chiffrer les clés secrètes et effectuez une rotation périodique.
- Protégez les données au repos et en transit en prenant en charge divers types de clé de chiffrement, y compris les clés symétriques et les clés asymétriques.
- Limitez les ressources qui accèdent à Oracle Cloud Infrastructure Vault à des sous-réseaux privés.
- Effectuez une rotation périodique du contenu des clés secrètes afin de réduire leur incidence si une clé secrète est exposée.
- Définissez une règle de réutilisation de clé secrète pour empêcher la réutilisation du contenu d'une clé secrète dans les différentes versions de celle-ci.
- Définissez une règle d'expiration de clé secrète pour limiter la période pendant laquelle une version de clé secrète peut être utilisée.
- Intégrez le chiffrement à d'autres services OCI tels que le stockage, la base de données ou les applications pour protéger les données stockées dans ces services.
En savoir plus
- Meilleures pratiques de sécurité
- Aperçu d'Oracle Cloud Infrastructure Vault
- Règles pour clés secrètes
- Mode sécurisé de gestion des clés secrètes dans Oracle Cloud Infrastructure
- Aperçu du service de gestion des clés
- Tests de performance de CIS d'Oracle Cloud Infrastructure
- Stockage de sauvegardes dans des seaux OCI non mutables