Protéger les données au repos

Oracle Cloud Infrastructure offre plusieurs options de stockage : bloc, objet et fichier. Les données sont chiffrées au repos et en transit pour ces services. Utilisez les mécanismes suivants pour appliquer d'autres meilleures pratiques afin de vous assurer que vos données dans le nuage sont sécurisées.

Restreindre les autorisations pour la suppression des ressources de stockage

Architecte d'entreprise, architecte de sécurité, architecte de données

Pour réduire le risque de suppression accidentelle ou malveillante de vos données dans le nuage ou pour répondre à une exigence de stockage non mutable (pour les sauvegardes de base de données par exemple), accordez les autorisations énumérées dans le tableau suivant uniquement aux utilisateurs qui ont besoin de ces privilèges :
Service Autorisations que vous devez restreindre
Volumes par blocs
  • VOLUME_DELETE
  • VOLUME_ATTACHMENT_DELETE
  • VOLUME_BACKUP_DELETE
Stockage de fichier
  • FILE_SYSTEM_DELETE
  • MOUNT_TARGET_DELETE
  • EXPORT_SET_DELETE
Stockage d'objets
  • BUCKET_DELETE
  • OBJECT_DELETE

Garantir un accès sécurisé au stockage de fichiers

Architecte d'entreprise, architecte de sécurité, architecte de données

Prenez des mesures pour vous assurer que le stockage de fichiers est protégé contre les accès non autorisés.
  • Le service de stockage de fichiers d'Oracle Cloud Infrastructure expose un point d'extrémité NFSv3 en tant que cible de montage dans chacun de vos sous-réseaux. La cible de montage est identifiée par un nom DNS et mappée à une adresse IP. Utilisez les groupes de sécurité de réseau du sous-réseau de la cible de montage pour configurer l'accès réseau à la cible de montage à partir des adresses IP autorisées seulement.
  • Utilisez les meilleures pratiques de sécurité NFS bien connues telles que l'option all_squash pour mapper tous les utilisateurs à nfsnobody, et utilisez les listes de contrôle d'accès NFS pour appliquer le contrôle d'accès au système de fichiers monté.

Garantir un accès sécurisé au stockage d'objets

Architecte d'entreprise, architecte de sécurité, architecte de données

Le service de stockage d'objets fournit le chiffrement AES-256 pour les données au repos. Prenez des mesures pour vous assurer que le stockage d'objets est protégé contre les accès non autorisés.
  • Les seaux de stockage d'objets peuvent être publics ou privés. Un seau public permet les lectures non authentifiées et anonymes de tous les objets du seau. Créez des compartiments privés et utilisez des demandes préauthentifiées pour donner accès aux objets stockés dans des compartiments aux utilisateurs qui n'ont pas de données d'identification IAM.
  • Pour réduire la possibilité que des seaux soient rendus publics par inadvertance ou par inadvertance, accordez l'autorisation BUCKET_UPDATE à un jeu minimal d'utilisateurs IAM.
  • Assurez-vous que le contrôle des versions est activé pour les seaux de stockage d'objets.

Chiffrer les données dans les volumes par blocs

Architecte d'entreprise, architecte de sécurité, architecte de données

Le service Oracle Cloud Infrastructure Block Volumes chiffre toujours tous les volumes par blocs et les volumes de démarrage au repos à l'aide de l'algorithme Advanced Encryption Standard (AES) avec des clés de 256 bits. Tenez-vous compte des options de chiffrement supplémentaires suivantes.
  • Chiffrez tous vos volumes et leurs sauvegardes à l'aide de clés que vous possédez, et vous pouvez gérer les clés à l'aide du service Oracle Cloud Infrastructure Vault.
  • Les données sont transférées entre une instance et le volume par blocs attaché au moyen d'un réseau interne hautement sécurisé. Vous pouvez activer le chiffrement en transit pour les attachements de volume paravirtualisés sur les instances de machine virtuelle.

Chiffrer les données dans le stockage de fichiers

Architecte d'entreprise, architecte de sécurité, architecte de données

Le service de stockage de fichiers pour Oracle Cloud Infrastructure chiffre toutes les données au repos. Par défaut, les systèmes de fichiers sont chiffrés à l'aide de clés de chiffrement gérées par Oracle.

Chiffrez tous vos systèmes de fichiers à l'aide de clés que vous possédez. Vous pouvez gérer les clés à l'aide du service de chambre forte pour Oracle Cloud Infrastructure Vault.

Dans les déploiements inter-régions, assurez-vous que les clés sont répliquées entre les régions.

Chiffrer les données dans le stockage d'objets

Architecte d'entreprise, architecte de sécurité, architecte de données

Le service Oracle Cloud Infrastructure Object Storage chiffre tous vos objets à l'aide de l'algorithme AES (Advanced Encryption Standard) avec des clés de 256 bits. Chaque objet est chiffré à l'aide d'une clé distincte.
  • Les clés de chiffrement d'objet sont, à leur tour, chiffrées à l'aide d'une clé de chiffrement principale gérée par Oracle qui est affectée à chaque seau.
  • Configurez les seaux pour qu'ils utilisent votre propre clé de chiffrement principale que vous stockez dans le service Oracle Cloud Infrastructure Vault et effectuez une rotation selon un programme que vous définissez. Envisagez d'utiliser les règles de conservation des données.

Tenir à jour les clés et les clés secrètes dans Oracle Cloud Infrastructure Vault

Architecte d'entreprise, architecte de sécurité, architecte de données

Oracle Cloud Infrastructure Vault peut être utilisé pour stocker des clés secrètes telles que des mots de passe, des clés SSH, des clés de chiffrement et des certificats que les applications peuvent utiliser pour accéder aux ressources. Le stockage de clés secrètes dans une chambre forte offre une sécurité supérieure à l'utilisation de fichiers de code ou locaux.
  • Simplifiez la gestion des clés en stockant et en gérant les clés de chiffrement de manière centralisée.
  • Définissez une clé spécifique pour chiffrer les clés secrètes et effectuez une rotation périodique.
  • Protégez les données au repos et en transit en prenant en charge divers types de clé de chiffrement, y compris les clés symétriques et les clés asymétriques.
  • Limitez les ressources qui accèdent à Oracle Cloud Infrastructure Vault à des sous-réseaux privés.
  • Effectuez une rotation périodique du contenu des clés secrètes afin de réduire leur incidence si une clé secrète est exposée.
  • Définissez une règle de réutilisation de clé secrète pour empêcher la réutilisation du contenu d'une clé secrète dans les différentes versions de celle-ci.
  • Définissez une règle d'expiration de clé secrète pour limiter la période pendant laquelle une version de clé secrète peut être utilisée.
  • Intégrez le chiffrement à d'autres services OCI tels que le stockage, la base de données ou les applications pour protéger les données stockées dans ces services.