Protection des données au repos

Oracle Cloud Infrastructure propose plusieurs options de stockage : bloc, objet et fichier. Les données sont cryptées au repos et en transit pour ces services. Utilisez les mécanismes suivants pour appliquer d'autres bonnes pratiques afin de garantir la sécurité de vos données dans le cloud.

Limitation des droits d'accès pour la suppression de ressources de stockage

Architecte d'entreprise, architecte de sécurité, architecte de données

Pour minimiser le risque de suppression involontaire ou malveillante de vos données dans le cloud, ou pour répondre à une exigence de stockage non mutable (pour les sauvegardes de base de données, par exemple), accordez les droits d'accès répertoriés dans le tableau suivant uniquement aux utilisateurs qui ont besoin de ces privilèges :

Service	Autorisations à limiter
Volumes de blocs	VOLUME_DELETE VOLUME_ATTACHMENT_DELETE VOLUME_BACKUP_DELETE
File Storage	FILE_SYSTEM_DELETE MOUNT_TARGET_DELETE EXPORT_SET_DELETE
Stockage d'objet	BUCKET_DELETE OBJECT_DELETE

Garantir un accès sécurisé au stockage de fichiers

Architecte d'entreprise, architecte de sécurité, architecte de données

Prenez des mesures pour vous assurer que le stockage de fichiers est protégé contre les accès non autorisés.

• Oracle Cloud Infrastructure File Storage expose une adresse NFSv3 en tant que cible de montage dans chacun de vos sous-réseaux. La cible de montage est identifiée par un nom DNS et mise en correspondance avec une adresse IP. Utilisez les groupes de sécurité réseau du sous-réseau de la cible de montage pour configurer l'accès réseau à la cible de montage à partir des adresses IP autorisées uniquement.
• Utilisez les meilleures pratiques connues en matière de sécurité NFS telles que l'option all_squash pour mettre en correspondance tous les utilisateurs avec nfsnobody, et utilisez les listes de contrôle d'accès NFS afin d'assurer le contrôle d'accès au système de fichiers monté.

Garantir un accès sécurisé à Object Storage

Architecte d'entreprise, architecte de sécurité, architecte de données

Object Storage fournit un cryptage AES-256 pour les données inactives. Prenez des mesures pour vous assurer que le stockage d'objets est protégé contre les accès non autorisés.

• Les buckets Object Storage peuvent être publics ou privés. Un bucket public autorise les lectures anonymes et non authentifiées sur tous les objets dans le bucket. Créez des buckets privés et utilisez des demandes pré-authentifiées pour accorder l'accès aux objets stockés dans des buckets aux utilisateurs qui ne disposent pas d'informations d'identification IAM.
• Pour minimiser la possibilité de rendre les buckets publics par inadvertance ou par malveillance, accordez le droit d'accès BUCKET_UPDATE à un ensemble minimal d'utilisateurs IAM.
• Assurez-vous que la gestion des versions est activée pour les buckets de stockage d'objets.

Crypter les données dans les volumes de blocs

Architecte d'entreprise, architecte de sécurité, architecte de données

Le service Oracle Cloud Infrastructure Block Volumes crypte toujours tous les volumes de blocs et d'initialisation au repos à l'aide de l'algorithme AES (Advanced Encryption Standard) avec des clés de 256 bits. Prenez en compte les options de chiffrement supplémentaires suivantes.

• Chiffrez tous vos volumes et leurs sauvegardes à l'aide des clés que vous possédez, et vous pouvez gérer les clés à l'aide du service Oracle Cloud Infrastructure Vault.
• Les données sont transférées entre une instance et le volume de blocs attaché via un réseau interne hautement sécurisé. Vous pouvez activer le cryptage en transit pour les attachements de volume paravirtualisés sur des instances de machine virtuelle.

Cryptage des données dans File Storage

Architecte d'entreprise, architecte de sécurité, architecte de données

Le service Oracle Cloud Infrastructure File Storage crypte toutes les données inactives. Par défaut, les systèmes de fichiers sont cryptés à l'aide de clés de cryptage gérées par Oracle.

Chiffrez tous vos systèmes de fichiers en utilisant des clés que vous possédez. Vous pouvez gérer les clés à l'aide du service Oracle Cloud Infrastructure Vault.

Dans les déploiements inter-région, assurez-vous que les clés sont répliquées entre les régions.

Crypter les données dans Object Storage

Architecte d'entreprise, architecte de sécurité, architecte de données

Le service Oracle Cloud Infrastructure Object Storage crypte tous vos objets à l'aide de l'algorithme AES (Advanced Encryption Standard) avec des clés de 256 bits. Chaque objet est crypté à l'aide d'une clé distincte.

• Les clés de cryptage d'objet sont ensuite cryptées à l'aide d'une clé de cryptage maître gérée par Oracle et affectée à chaque bucket.
• Configurez des buckets pour qu'ils utilisent votre propre clé de cryptage maître stockée dans le service Oracle Cloud Infrastructure Vault et qu'ils fassent l'objet d'une rotation selon une programmation que vous définissez. Envisagez d'utiliser des règles de conservation des données.

Maintenance des clés et des clés secrètes dans Oracle Cloud Infrastructure Vault

Architecte d'entreprise, architecte de sécurité, architecte de données

Oracle Cloud Infrastructure Vault peut être utilisé pour stocker des clés secrètes telles que des mots de passe, des clés SSH, des clés de cryptage et des certificats que les applications peuvent utiliser pour accéder aux ressources. Le stockage de clés secrètes dans un coffre offre une plus grande sécurité que l'utilisation de code ou de fichiers locaux.

• Simplifiez la gestion des clés en stockant et en gérant de manière centralisée les clés de cryptage.
• Définissez une clé spécifique pour crypter les clés secrètes et effectuez une rotation périodique.
• Protéger les données au repos et en transit en prenant en charge divers types de clé de cryptage, notamment les clés symétriques et les clés asymétriques.
• Limitez les ressources qui accèdent à Oracle Cloud Infrastructure Vault à des sous-réseaux privés.
• Rotation régulière du contenu de clé secrète afin de réduire l'impact si une clé secrète est exposée.
• Définissez une règle de réutilisation de clé secrète pour empêcher la réutilisation du contenu de clé secrète dans les différentes versions d'une clé secrète.
• Définissez une règle d'expiration de clé secrète pour limiter la période pendant laquelle une version de clé secrète peut être utilisée.
• Intégrez le cryptage à d'autres services OCI tels que le stockage, la base de données ou les applications pour protéger les données stockées dans ces services.

En savoir plus

• Meilleures pratiques concernant la sécurité
• Présentation d'Oracle Cloud Infrastructure Vault
• Règles pour les clés secrètes
• Façon sécurisée de gérer les clés secrètes dans Oracle Cloud Infrastructure
• Présentation de Key Management
• Tests de performance CIS d'Oracle Cloud Infrastructure
• Stockage de sauvegardes dans des buckets immuables OCI