Proteggi dati a riposo
Oracle Cloud Infrastructure offre più opzioni di storage: blocco, oggetto e file. I dati vengono cifrati in archivio e in transito per questi servizi. Utilizzare i meccanismi riportati di seguito per applicare best practice aggiuntive per garantire che i tuoi dati nel cloud siano sicuri.
Limita autorizzazioni per l'eliminazione delle risorse di memorizzazione
Architetto enterprise, Architetto sicurezza, Architetto dati
Servizio | Autorizzazioni che è necessario limitare |
---|---|
Volumi a blocchi |
|
Storage file |
|
Memorizzazione degli oggetti |
|
Garantire l'accesso sicuro alla memorizzazione dei file
Architetto enterprise, Architetto sicurezza, Architetto dati
- Oracle Cloud Infrastructure File Storage espone un endpoint NFSv3 come destinazione di accesso in ciascuna subnet. La destinazione di accesso è identificata da un nome DNS ed è mappata a un indirizzo IP. Utilizzare le liste di sicurezza della subnet della destinazione di accesso per configurare l'accesso di rete alla destinazione di accesso da solo indirizzi IP autorizzati.
- Utilizzare le best practice di sicurezza NFS note, ad esempio l'opzione
all_squash
, per mappare tutti gli utenti anfsnobody
e utilizzare le ACL NFS per applicare il controllo dell'accesso al file system di cui è stato eseguito il MOUNT.
Garantire l'accesso sicuro allo storage degli oggetti
Architetto enterprise, Architetto sicurezza, Architetto dati
- I bucket di storage degli oggetti possono essere pubblici o privati. Un bucket pubblico consente letture non autenticate e anonime a tutti gli oggetti nel bucket. Creare bucket privati e utilizzare le richieste pre-autenticate (PAR) per fornire l'accesso agli oggetti memorizzati nei bucket agli utenti che non dispongono delle credenziali IAM.
- Per ridurre al minimo la possibilità che i bucket vengano resi pubblici in modo involontario o dannoso, concedere l'autorizzazione
BUCKET_UPDATE
a un set minimo di utenti di IAM.
Cifra dati in volumi a blocchi
Architetto enterprise, Architetto sicurezza, Architetto dati
- Cifrare tutti i volumi e i relativi backup utilizzando le chiavi di proprietà dell'utente ed è possibile gestire le chiavi utilizzando il servizio Oracle Cloud Infrastructure Vault.
- I dati vengono trasferiti da un'istanza al volume a blocchi collegato tramite una rete interna estremamente sicura. È possibile abilitare la cifratura in transito per gli allegati di volume paravirtualizzati sulle istanze della virtual machine.
Cifrare i dati nella memorizzazione file
Architetto enterprise, Architetto sicurezza, Architetto dati
Cifrare tutti i file system utilizzando le chiavi di proprietà dell'utente. È possibile gestire le chiavi utilizzando il servizio Oracle Cloud Infrastructure Vault.
Cifra dati nello storage degli oggetti
Architetto enterprise, Architetto sicurezza, Architetto dati
- Le chiavi di cifratura degli oggetti sono, a loro volta, cifrate utilizzando una chiave di cifratura master gestita da Oracle assegnata a ciascun bucket.
- Configurare i bucket per utilizzare la chiave di cifratura principale memorizzata nel servizio Oracle Cloud Infrastructure Vault e ruotare in base a una pianificazione definita.
Gestisci segreti applicazione in Oracle Cloud Infrastructure Vault
Architetto enterprise, Architetto sicurezza, Architetto dati
- Definire una chiave specifica per cifrare i segreti e ruotarli periodicamente.
- Limitare le risorse che accedono a Oracle Cloud Infrastructure Vault alle subnet private.
- Ruotare periodicamente i contenuti segreti per ridurre l'impatto in caso di esposizione di un segreto.
- Definire una regola riutilizzo segreto per impedire il riutilizzo dei contenuti segreti in diverse versioni di un segreto.
- Definire una regola di scadenza segreta per limitare il periodo di tempo in cui è possibile utilizzare una versione segreta.