Proteggi i dati in archivio

Limitare le autorizzazioni per l'eliminazione delle risorse di storage

Architetto enterprise, architetto della sicurezza, architetto dei dati

Per ridurre al minimo il rischio di eliminazione accidentale o dannosa dei dati nel cloud o per soddisfare un requisito di storage immutabile (per i backup del database come esempio), concedere le autorizzazioni elencate nella tabella seguente solo agli utenti che hanno bisogno di questi privilegi:

Servizio	Autorizzazioni che è necessario limitare
Volumi a blocchi	`VOLUME_DELETE` `VOLUME_ATTACHMENT_DELETE` `VOLUME_BACKUP_DELETE`
Storage file	`FILE_SYSTEM_DELETE` `MOUNT_TARGET_DELETE` `EXPORT_SET_DELETE`
Memorizzazione degli oggetti	`BUCKET_DELETE` `OBJECT_DELETE`

Garantire l'accesso sicuro allo storage dei file

Architetto enterprise, architetto della sicurezza, architetto dei dati

Adotta misure per garantire che lo storage dei file sia protetto da accessi non autorizzati.

Oracle Cloud Infrastructure File Storage espone un endpoint NFSv3 come destinazione di accesso in ciascuna subnet. La destinazione di accesso viene identificata da un nome DNS e mappata a un indirizzo IP. Utilizzare i gruppi di sicurezza di rete della subnet della destinazione di accesso per configurare l'accesso di rete alla destinazione di accesso solo dagli indirizzi IP autorizzati.
Utilizzare le procedure consigliate per la sicurezza NFS note, come l'opzione all_squash, per mappare tutti gli utenti a nfsnobody e utilizzare le ACL NFS per applicare il controllo dell'accesso al file system attivato.

Garantisci l'accesso sicuro allo storage degli oggetti

Architetto enterprise, architetto della sicurezza, architetto dei dati

Object Storage fornisce la cifratura AES-256 per i dati in archivio. Adotta misure per garantire che lo storage degli oggetti sia protetto dagli accessi non autorizzati.

I bucket di storage degli oggetti possono essere pubblici o privati. Un bucket pubblico consente letture non autenticate e anonime a tutti gli oggetti nel bucket. Crea bucket privati e utilizza le richieste preautenticate (PAR, Pre-authenticated Request) per fornire l'accesso agli oggetti memorizzati nei bucket agli utenti che non dispongono di credenziali IAM.
Per ridurre al minimo la possibilità che i bucket vengano resi pubblici inavvertitamente o in modo dannoso, concedere l'autorizzazione BUCKET_UPDATE a un set minimo di utenti IAM.
Assicurarsi che il controllo delle versioni sia abilitato per i bucket di storage degli oggetti.

Cifra dati nei volumi a blocchi

Architetto enterprise, architetto della sicurezza, architetto dei dati

Il servizio Oracle Cloud Infrastructure Block Volumes cifra sempre tutti i volumi a blocchi e di avvio in archivio utilizzando l'algoritmo AES (Advanced Encryption Standard) con chiavi a 256 bit. Considerare le opzioni di cifratura aggiuntive riportate di seguito.

Cifra tutti i tuoi volumi e i relativi backup utilizzando chiavi di tua proprietà e puoi gestire le chiavi utilizzando il servizio Oracle Cloud Infrastructure Vault.
I dati vengono trasferiti tra un'istanza e il volume a blocchi collegato tramite una rete interna estremamente sicura. È possibile abilitare la cifratura in transito per i collegamenti di volumi pseudo-virtualizzati nelle istanze di virtual machine.

Cifra dati nello storage di file

Architetto enterprise, architetto della sicurezza, architetto dei dati

Il servizio Oracle Cloud Infrastructure File Storage cifra tutti i dati in archivio. Per impostazione predefinita, i file system vengono cifrati utilizzando chiavi di cifratura gestite da Oracle.

Cifrare tutti i file system usando le chiavi di cui si è proprietari. È possibile gestire le chiavi utilizzando il servizio Oracle Cloud Infrastructure Vault.

Nelle distribuzioni tra più aree, assicurati che le chiavi vengano replicate tra più aree.

Cifra dati nello storage degli oggetti

Architetto enterprise, architetto della sicurezza, architetto dei dati

Il servizio Oracle Cloud Infrastructure Object Storage cifra tutti gli oggetti utilizzando l'algoritmo AES (Advanced Encryption Standard) con chiavi a 256 bit. Ogni oggetto viene cifrato utilizzando una chiave separata.

Le chiavi di cifratura degli oggetti vengono, a loro volta, cifrate utilizzando una chiave di cifratura master gestita da Oracle assegnata a ciascun bucket.
Configurare i bucket per utilizzare la propria chiave di cifratura master memorizzata nel servizio Oracle Cloud Infrastructure Vault e ruotare in base a una pianificazione definita dall'utente. Valutare la possibilità di utilizzare le regole di conservazione dei dati.

Gestisci chiavi e segreti in Oracle Cloud Infrastructure Vault

Architetto enterprise, architetto della sicurezza, architetto dei dati

Oracle Cloud Infrastructure Vault può essere utilizzato per memorizzare segreti come password, chiavi SSH, chiavi di cifratura e certificati che le applicazioni possono utilizzare per accedere alle risorse. La memorizzazione dei segreti in un vault garantisce maggiore sicurezza rispetto all'utilizzo di codice o file locali.

Semplifica la gestione delle chiavi archiviando e gestendo centralmente le chiavi di cifratura.
Definire una chiave specifica per cifrare i segreti e ruotarla periodicamente.
Proteggi i dati in archivio e in transito supportando vari tipi di chiavi di cifratura, tra cui chiavi simmetriche e chiavi asimmetriche.
Limita le risorse che accedono a Oracle Cloud Infrastructure Vault alle subnet private.
Ruota periodicamente i contenuti segreti per ridurre l'impatto in caso di esposizione di un segreto.
Definire una regola di riutilizzo segreto per impedire il riutilizzo di contenuti segreti in diverse versioni di un segreto.
Definire una regola di scadenza segreta per limitare il periodo di tempo durante il quale è possibile utilizzare una versione segreta.
Integra la cifratura con altri servizi OCI, come storage, database o applicazioni, per proteggere i dati memorizzati in questi servizi.