保存データの保護
Oracle Cloud Infrastructureには、ブロック、オブジェクトおよびファイルという複数のストレージ・オプションが用意されています。データは、保存中およびこれらのサービスの転送中に暗号化されます。クラウド内のデータが安全であることを確認するために、次のメカニズムを使用して追加のベスト・プラクティスを適用します。
ストレージリソースを削除するためのアクセス権の制限
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
クラウド内のデータが誤ってまたは悪意のある方法で削除されるリスクを最小限に抑えるには、次の表に示す権限を、これらの権限を必要とするユーザーにのみ付与します。
| SERVICE | 制限する必要がある権限 |
|---|---|
| ブロック・ボリューム |
|
| ファイル・ストレージ |
|
| オブジェクト・ストレージ |
|
ファイル・ストレージへのセキュア・アクセスの保証
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
ファイル・ストレージが不正アクセスから保護されていることを確認するステップを実行します。
- Oracle Cloud Infrastructure File Storageは、NFSv3エンドポイントを各サブネットのマウント・ターゲットとして公開します。マウント・ターゲットはDNS名で識別され、IPアドレスにマップされます。ターゲットのサブネットのセキュリティ・リストを使用して、認可されたIPアドレスのみからマウント・ターゲットへのネットワーク・アクセスを構成します。
- すべてのユーザーを
nfsnobodyにマップするall_squashオプションや、マウントされたファイル・システムにアクセス制御を適用するNFS ACLなど、よく知られたNFSセキュリティのベスト・プラクティスを使用します。
オブジェクト・ストレージへの安全なアクセスの保証
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
オブジェクト・ストレージが不正アクセスから保護されていることを確認するステップを実行します。
- オブジェクト・ストレージ・バケットはパブリックまたはプライベートにできます。パブリック・バケットでは、認証されていない読取りや匿名の読取りがバケット内のすべてのオブジェクトに対して許可されます。プライベート・バケットを作成し、事前認証済のリクエスト(PAR)を使用して、バケットに格納されているオブジェクトへのアクセスを、IAM資格証明を持たないユーザーに付与します。
- 意図せずにまたは悪意からバケットがパブリックにされる可能性を最小限に抑えるため、最小限のIAMユーザーに
BUCKET_UPDATE権限を付与します。
ブロック・ボリュームのデータの暗号化
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
Oracle Cloud Infrastructure Block Volumesサービスは、256ビット・キーによるAdvanced Encryption Standard (AES)アルゴリズムを使用して、すべてのブロック・ボリュームおよび保存ブート・ボリュームを常に暗号化します。次の追加の暗号化オプションがあります。
- 自分が所有するキーを使用してすべてのボリュームとそのバックアップを暗号化し、Oracle Cloud Infrastructureボールト・サービスを使用してキーを管理できます。
- データは、高度にセキュアな内部ネットワークを介して、インスタンスとアタッチされたブロック・ボリュームの間で転送されます。仮想マシン・インスタンス上の準仮想化ボリューム・アタッチメントに対して転送中暗号化を有効にできます。
ファイルストレージ内のデータを暗号化します
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
Oracle Cloud Infrastructureファイル・ストレージ・サービスは、すべての保存データを暗号化します。デフォルトでは、ファイル・システムは、Oracle管理の暗号化キーを使用して暗号化されます。
所有するキーを使用して、すべてのファイル・システムを暗号化します。Oracle Cloud Infrastructure Vaultサービスを使用してキーを管理できます。
オブジェクト・ストレージのデータの暗号化
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
Oracle Cloud Infrastructure Object Storageサービスは、256ビット・キーでAdvanced Encryption Standard (AES)アルゴリズムを使用してすべてのオブジェクトを暗号化します。各オブジェクトは、別々のキーを使用して暗号化されます。
- オブジェクト暗号化キーは、各バケットに割り当てられたOracle管理のマスター暗号化キーを使用して暗号化されます。
- Oracle Cloud Infrastructure Vaultサービスに格納する独自のマスター暗号化キーを使用するようにバケットを構成し、定義したスケジュールでローテーションします。
Oracle Cloud Infrastructure Vaultでのアプリケーション・シークレットの保守
エンタープライズ・アーキテクト、セキュリティ・アーキテクト、データ・アーキテクト
Oracle Cloud Infrastructure Vaultを使用して、アプリケーションがリソースへのアクセスに使用できるパスワード、SSHキー、証明書などのシークレットを格納できます。シークレットをボールトに格納すると、コードやローカル・ファイルを使用するよりもセキュリティが強化されます。
- シークレットを暗号化して定期的にローテーションするには、特定のキーを定義します。
- Oracle Cloud Infrastructure Vaultにアクセスするリソースをプライベート・サブネットに制限します。
- シークレット・コンテンツを定期的にローテーションして、シークレットが公開された場合の影響を抑えることができます。
- シークレット再利用ルールを定義して、異なるバージョンのシークレットでシークレット・コンテンツを再利用することを禁止します。
- シークレット・バージョンを使用できる期間を制限するシークレット失効ルールを定義します。