1. Framework Migliori prassi per Oracle Cloud Infrastructure
  2. Proteggi dati a riposo

Proteggi dati a riposo

Oracle Cloud Infrastructure offre più opzioni di storage: blocco, oggetto e file. I dati vengono cifrati in archivio e in transito per questi servizi. Utilizzare i meccanismi riportati di seguito per applicare best practice aggiuntive per garantire che i tuoi dati nel cloud siano sicuri.

Limita autorizzazioni per l'eliminazione delle risorse di memorizzazione

Architetto enterprise, Architetto sicurezza, Architetto dati

Per ridurre al minimo il rischio di eliminazione involontaria o dannosa dei dati nel cloud, concedere le autorizzazioni elencate nella tabella seguente solo agli utenti che necessitano di questi privilegi:
Servizio Autorizzazioni che è necessario limitare
Volumi a blocchi
  • VOLUME_DELETE
  • VOLUME_ATTACHMENT_DELETE
  • VOLUME_BACKUP_DELETE
Storage file
  • FILE_SYSTEM_DELETE
  • MOUNT_TARGET_DELETE
  • EXPORT_SET_DELETE
Memorizzazione degli oggetti
  • BUCKET_DELETE
  • OBJECT_DELETE

Garantire l'accesso sicuro alla memorizzazione dei file

Architetto enterprise, Architetto sicurezza, Architetto dati

Adottare misure per garantire che la memorizzazione dei file sia protetta da accessi non autorizzati.
  • Oracle Cloud Infrastructure File Storage espone un endpoint NFSv3 come destinazione di accesso in ciascuna subnet. La destinazione di accesso è identificata da un nome DNS ed è mappata a un indirizzo IP. Utilizzare le liste di sicurezza della subnet della destinazione di accesso per configurare l'accesso di rete alla destinazione di accesso da solo indirizzi IP autorizzati.
  • Utilizzare le best practice di sicurezza NFS note, ad esempio l'opzione all_squash, per mappare tutti gli utenti a nfsnobody e utilizzare le ACL NFS per applicare il controllo dell'accesso al file system di cui è stato eseguito il MOUNT.

Garantire l'accesso sicuro allo storage degli oggetti

Architetto enterprise, Architetto sicurezza, Architetto dati

Prendere le misure per garantire che l'archiviazione degli oggetti sia protetta da accessi non autorizzati.
  • I bucket di storage degli oggetti possono essere pubblici o privati. Un bucket pubblico consente letture non autenticate e anonime a tutti gli oggetti nel bucket. Creare bucket privati e utilizzare le richieste pre-autenticate (PAR) per fornire l'accesso agli oggetti memorizzati nei bucket agli utenti che non dispongono delle credenziali IAM.
  • Per ridurre al minimo la possibilità che i bucket vengano resi pubblici in modo involontario o dannoso, concedere l'autorizzazione BUCKET_UPDATE a un set minimo di utenti di IAM.

Cifra dati in volumi a blocchi

Architetto enterprise, Architetto sicurezza, Architetto dati

Il servizio Oracle Cloud Infrastructure Block Volumes cifra sempre tutti i volumi a blocchi e i volumi di boot a riposo utilizzando l'algoritmo AES (Advanced Encryption Standard) con chiavi a 256 bit. Considerare le opzioni di cifratura aggiuntive riportate di seguito.
  • Cifrare tutti i volumi e i relativi backup utilizzando le chiavi di proprietà dell'utente ed è possibile gestire le chiavi utilizzando il servizio Oracle Cloud Infrastructure Vault.
  • I dati vengono trasferiti da un'istanza al volume a blocchi collegato tramite una rete interna estremamente sicura. È possibile abilitare la cifratura in transito per gli allegati di volume paravirtualizzati sulle istanze della virtual machine.

Cifrare i dati nella memorizzazione file

Architetto enterprise, Architetto sicurezza, Architetto dati

Il servizio di memorizzazione file Oracle Cloud Infrastructure cifra tutti i dati a riposo. Per impostazione predefinita, i file system vengono cifrati utilizzando le chiavi di cifratura gestite da Oracle.

Cifrare tutti i file system utilizzando le chiavi di proprietà dell'utente. È possibile gestire le chiavi utilizzando il servizio Oracle Cloud Infrastructure Vault.

Cifra dati nello storage degli oggetti

Architetto enterprise, Architetto sicurezza, Architetto dati

Il servizio Oracle Cloud Infrastructure Object Storage cifra tutti gli oggetti utilizzando l'algoritmo AES (Advanced Encryption Standard) con chiavi a 256 bit. Ogni oggetto viene cifrato utilizzando una chiave separata.

  • Le chiavi di cifratura degli oggetti sono, a loro volta, cifrate utilizzando una chiave di cifratura master gestita da Oracle assegnata a ciascun bucket.
  • Configurare i bucket per utilizzare la chiave di cifratura principale memorizzata nel servizio Oracle Cloud Infrastructure Vault e ruotare in base a una pianificazione definita.

Gestisci segreti applicazione in Oracle Cloud Infrastructure Vault

Architetto enterprise, Architetto sicurezza, Architetto dati

Oracle Cloud Infrastructure Vault può essere utilizzato per memorizzare segreti quali password, chiavi ssh e certificati che le applicazioni possono utilizzare per accedere alle risorse. La memorizzazione dei segreti in un vault garantisce una maggiore sicurezza rispetto all'utilizzo di codice o file locali.
  • Definire una chiave specifica per cifrare i segreti e ruotarli periodicamente.
  • Limitare le risorse che accedono a Oracle Cloud Infrastructure Vault alle subnet private.
  • Ruotare periodicamente i contenuti segreti per ridurre l'impatto in caso di esposizione di un segreto.
  • Definire una regola riutilizzo segreto per impedire il riutilizzo dei contenuti segreti in diverse versioni di un segreto.
  • Definire una regola di scadenza segreta per limitare il periodo di tempo in cui è possibile utilizzare una versione segreta.

Ulteriori informazioni