Protezione dello storage dei file

Per utilizzare lo storage di file in modo sicuro, scopri le tue responsabilità in termini di sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei seguenti requisiti di sicurezza:

• Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.

In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.

• Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
• Cifratura e riservatezza: utilizzare le chiavi di cifratura e i segreti per proteggere i dati e connettersi a risorse protette. Ruotare questi tasti regolarmente.

Utilizzare questa lista di controllo per identificare i task eseguiti per proteggere lo storage di file in una nuova tenancy di Oracle Cloud Infrastructure.

Dopo aver iniziato a utilizzare lo storage di file, utilizzare questa lista di controllo per identificare i task di sicurezza che si consiglia di eseguire regolarmente.

Utilizzare i criteri per limitare l'accesso allo storage di file.

Per ridurre al minimo il rischio di eliminazione accidentale o intenzionale delle risorse, si consiglia di concedere le autorizzazioni DELETE solo a un gruppo limitato di utenti e gruppi IAM sicuri, in particolare agli amministratori di tenancy e compartimenti. Limitando questi privilegi, è possibile ridurre in modo significativo il potenziale di perdita di risorse a causa di azioni non autorizzate o errate.

Allow group FileUsers to manage file-systems in tenancy
 where request.permission!='FILE_SYSTEM_DELETE' 
Allow group FileUsers to manage mount-targets in tenancy
 where request.permission!='MOUNT_TARGET_DELETE' 
Allow group FileUsers to manage export-sets in tenancy
 where request.permission!='EXPORT_SET_DELETE' 

Per ulteriori informazioni sui criteri di storage dei file e per visualizzare altri esempi, vedere Dettagli per il servizio di storage di file.

Oltre a creare criteri IAM, bloccare l'accesso ai file system utilizzando altri livelli di sicurezza disponibili.

Il servizio di storage di file utilizza cinque diversi livelli di controllo dell'accesso. Ogni livello dispone delle proprie entità e metodi di autorizzazione che sono separati dagli altri livelli.

Per ulteriori informazioni, vedere Informazioni sulla sicurezza dello storage di file.

Creare e ruotare le chiavi di cifratura nel servizio Vault per proteggere le risorse nello storage di file.

Un vault è un'entità logica che memorizza le chiavi di cifratura utilizzate per proteggere i dati. A seconda della modalità di protezione, le chiavi vengono memorizzate sul server o su moduli di sicurezza hardware (HSM) ad alta disponibilità e durata. I nostri HSM soddisfano la certificazione di sicurezza FIPS (Federal Information Processing Standards) 140-2 Security Level 3. Vedere Gestione dei vault e Gestione delle chiavi.

Sebbene Oracle Cloud Infrastructure possa generare chiavi di cifratura predefinite per determinate risorse, consigliamo vivamente di adottare un approccio più sicuro creando e gestendo le tue chiavi di cifratura personalizzate all'interno del servizio Vault. Ciò ti offre un maggiore controllo sulla gestione delle chiavi e migliora il livello di sicurezza generale del tuo ambiente cloud.

Per cifrare i dati in un file system utilizzando la propria chiave di cifratura Vault, vedere Cifratura di un file system.

A ogni chiave di cifratura master viene assegnata automaticamente una versione della chiave. Quando si ruota una chiave, il servizio Vault genera una nuova versione della chiave. La rotazione periodica delle chiavi limita la quantità di dati cifrati o firmati da una versione della chiave. Se una chiave è sempre inclusa, la rotazione delle chiavi riduce il rischio per i tuoi dati. Vedere Gestione delle chiavi.

Per una maggiore sicurezza, utilizza i criteri IAM per applicare controlli dell'accesso granulari alle attività di gestione delle chiavi di cifratura, tra cui la creazione, la rotazione e l'eliminazione delle chiavi. Vedere Dettagli per il servizio Vault.

Le chiavi di cifratura gestiscono la cifratura in archivio. Per ulteriori informazioni sulla cifratura in transito, vedere Informazioni sulla sicurezza dello storage di file.

Esegui backup regolari dei tuoi dati nello storage di file.

Gli utenti a volte eliminano inavvertitamente i dati di produzione in un file system di storage di file. Non è possibile recuperare i dati a meno che non si disponga di una copia di tali dati memorizzati in un backup. Per garantire la durabilità dei dati, si consiglia di eseguire snapshot periodici del file system come richiesto dagli SLO aziendali. Gli snapshot consentono di recuperare i dati dallo snapshot in caso di eliminazione accidentale dei dati.

Utilizzare gli snapshot basati su criteri per pianificare backup ricorrenti e automatici o creare manualmente i backup utilizzando la console, l'interfaccia CLI o l'API.

Proteggi l'accesso di rete alle tue risorse nello storage di file.

Utilizzare elenchi di sicurezza , gruppi di sicurezza di rete o una combinazione di entrambi per controllare il traffico a livello di pacchetto all'interno e all'esterno delle risorse nella VCN (rete cloud virtuale) . Vedere Accesso e sicurezza.

Quando crei una subnet in una VCN, per impostazione predefinita la subnet viene considerata pubblica e la comunicazione Internet è consentita. Utilizzare le reti secondarie private per ospitare risorse che non richiedono l'accesso a Internet. Puoi anche configurare un gateway di servizi nella tua VCN per consentire alle risorse su una subnet privata di accedere ad altri servizi cloud. Vedere Scelte di connettività.

Per ulteriori informazioni, vedere Configurazione delle regole di sicurezza VCN per lo storage di file.

Individuare i log degli accessi e altri dati di sicurezza per lo storage di file.

La funzione di log registra operazioni quali la creazione, l'eliminazione e gli aggiornamenti delle risorse di storage dei file per la revisione interna. Per ulteriori informazioni, vedere Log dello storage di file.

Il servizio di audit registra automaticamente tutte le chiamate API alle risorse Oracle Cloud Infrastructure. È possibile raggiungere gli obiettivi di sicurezza e conformità utilizzando il servizio di audit per monitorare tutte le attività utente all'interno della tenancy. Poiché tutte le chiamate alla console, all'SDK e alla riga di comando (CLI) passano attraverso le nostre API, viene inclusa tutta l'attività da tali origini. I record di audit sono disponibili tramite un'interfaccia API di query autenticata e filtrabile oppure possono essere recuperati come file in batch dallo storage degli oggetti. I contenuti del log di audit includono l'attività che si è verificata, l'utente che l'ha avviata, la data e l'ora della richiesta, nonché l'IP di origine, l'user agent e le intestazioni HTTP della richiesta. Vedere Visualizzazione degli eventi del log di audit.