静止中のデータの保護
Oracle Cloud Infrastructureには、ブロック、オブジェクトおよびファイルの複数のストレージ・オプションが用意されています。データは、これらのサービスの保存中および転送中に暗号化されます。クラウド内のデータがセキュアであることを確認するには、次のメカニズムを使用して追加のベスト・プラクティスを適用します。
ストレージ・リソースを削除する権限の制限
Enterprise Architect, Security Architect, Data Architect
クラウド内のデータの不注意または悪意のある削除のリスクを最小限に抑えるため、または不変ストレージの要件(例としてデータベース・バックアップ用)を満たすために、次の表に示す権限を、これらの権限を必要とするユーザーのみに付与します。
| サービス | 制限する必要がある権限 |
|---|---|
| ブロック・ボリューム |
|
| File Storage |
|
| オブジェクト・ストレージ |
|
ファイル・ストレージへのセキュア・アクセスの確認
Enterprise Architect, Security Architect, Data Architect
ファイル・ストレージが不正アクセスから保護されるようにするステップを実行します。
- Oracle Cloud Infrastructure File Storageでは、NFSv3エンドポイントが各サブネットのマウント・ターゲットとして公開されます。マウント・ターゲットはDNS名で識別され、IPアドレスにマップされます。マウント・ターゲットのサブネットのネットワーク・セキュリティ・グループを使用して、認可されたIPアドレスのみからマウント・ターゲットへのネットワーク・アクセスを構成します。
all_squashオプションなどの既知のNFSセキュリティのベスト・プラクティスを使用して、すべてのユーザーをnfsnobodyにマップし、NFS ACLを使用してマウントされたファイル・システムへのアクセス制御を適用します。
オブジェクト・ストレージへの安全なアクセスを保証
Enterprise Architect, Security Architect, Data Architect
Object Storageは、保存データのAES-256暗号化を提供します。認可されていないアクセスからオブジェクト・ストレージを保護するステップを実行します。
- オブジェクト・ストレージ・バケットは、パブリックまたはプライベートにできます。パブリック・バケットでは、認証および匿名の読取りがバケット内のすべてのオブジェクトに対して許可されます。プライベート・バケットを作成し、事前認証済リクエスト(PAR)を使用して、バケットに格納されているオブジェクトへのアクセスを、IAM資格証明のないユーザーに付与します。
- バケットが意図せずにまたは悪意のある方法でパブリックにされる可能性を最小限に抑えるには、最小限のIAMユーザーに
BUCKET_UPDATE権限を付与します。 - オブジェクト・ストレージ・バケットに対してバージョニングが有効になっていることを確認します。
ブロック・ボリューム内のデータの暗号化
Enterprise Architect, Security Architect, Data Architect
Oracle Cloud Infrastructure Block Volumesサービスは、256ビット・キーによるAdvanced Encryption Standard (AES)アルゴリズムを使用して、保存されているすべてのブロック・ボリュームおよびブート・ボリュームを常に暗号化します。次の追加の暗号化オプションを考慮してください。
- 所有するキーを使用してすべてのボリュームとそのバックアップを暗号化し、Oracle Cloud Infrastructure Vaultサービスを使用してキーを管理できます。
- データは、非常にセキュアな内部ネットワークを介して、インスタンスとアタッチされたブロック・ボリューム間で転送されます。仮想マシン・インスタンスで準仮想化ボリューム・アタッチメントの転送中暗号化を有効にできます。
ファイル・ストレージでのデータの暗号化
Enterprise Architect, Security Architect, Data Architect
Oracle Cloud Infrastructure File Storageサービスは、保存中のデータをすべて暗号化します。デフォルトでは、ファイル・システムは、Oracle管理の暗号化キーを使用して暗号化されます。
所有するキーを使用して、すべてのファイル・システムを暗号化します。Oracle Cloud Infrastructure Vaultサービスを使用してキーを管理できます。
クロスリージョン・デプロイメントでは、キーがリージョン間でレプリケートされていることを確認します。
オブジェクト・ストレージ内のデータの暗号化
Enterprise Architect, Security Architect, Data Architect
Oracle Cloud Infrastructure Object Storageサービスは、256ビット・キーによるAdvanced Encryption Standard (AES)アルゴリズムを使用してすべてのオブジェクトを暗号化します。各オブジェクトは、個別のキーを使用して暗号化されます。
- オブジェクト暗号化キーは、各バケットに割り当てられたOracle管理のマスター暗号化キーを使用して暗号化されます。
- Oracle Cloud Infrastructure Vaultサービスに格納し、定義したスケジュールでローテーションする独自のマスター暗号化キーを使用するようにバケットを構成します。データ保存ルールの使用を検討します。
Oracle Cloud Infrastructure Vaultでのキーおよびシークレットのメンテナンス
Enterprise Architect, Security Architect, Data Architect
Oracle Cloud Infrastructure Vaultを使用して、アプリケーションによるリソースへのアクセスに使用できるパスワード、SSHキー、暗号化キー、証明書などのシークレットを格納できます。ボールトにシークレットを格納すると、コードまたはローカル・ファイルを使用するよりもセキュリティが向上します。
- 暗号化キーを一元的に格納および管理することで、キー管理を簡素化します。
- シークレットを暗号化して定期的にローテーションする特定のキーを定義します。
- 対称キーや非対称キーなど、様々な暗号化キー・タイプをサポートすることで、保存中および転送中のデータを保護します。
- Oracle Cloud Infrastructure Vaultにアクセスするリソースをプライベート・サブネットに制限します。
- シークレットが公開された場合の影響を抑えるために、シークレット・コンテンツを定期的にローテーションします。
- シークレットの再利用ルールを定義して、異なるバージョンのシークレットでシークレット・コンテンツを再利用しないようにします。
- シークレット・バージョンを使用できる期間を制限するには、シークレット失効ルールを定義します。
- ストレージ、データベース、アプリケーションなどの他のOCIサービスと暗号化を統合して、これらのサービスに格納されているデータを保護します。