미사용 데이터 보호

Oracle Cloud Infrastructure는 블록, 객체, 파일 등 다양한 스토리지 옵션을 제공합니다. 이러한 서비스를 위해 저장 및 전송 중인 데이터는 암호화됩니다. 다음 방식을 사용하여 클라우드의 데이터가 안전하게 보호되도록 추가 모범사례를 적용합니다.

저장소 리소스 삭제 권한 제한

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

클라우드에서 데이터를 부주의하거나 악의적으로 삭제하는 위험을 최소화하거나 변경 불가능한 저장 영역(예: 데이터베이스 백업)에 대한 요구 사항을 충족하려면 다음 표에 나열된 권한을 이러한 권한이 필요한 사용자에게만 부여합니다.

서비스	제한해야 하는 권한
블록 볼륨	`VOLUME_DELETE` `VOLUME_ATTACHMENT_DELETE` `VOLUME_BACKUP_DELETE`
File Storage	`FILE_SYSTEM_DELETE` `MOUNT_TARGET_DELETE` `EXPORT_SET_DELETE`
오브젝트 스토리지	`BUCKET_DELETE` `OBJECT_DELETE`

파일 스토리지에 대한 안전한 액세스 보장

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

무단 액세스로부터 파일 스토리지를 보호하기 위한 조치를 취하십시오.

Oracle Cloud Infrastructure File Storage는 NFSv3 엔드포인트를 각 서브넷의 마운트 대상으로 노출합니다. 마운트 대상은 DNS 이름으로 식별되며 IP 주소에 매핑됩니다. 마운트 대상 서브넷의 네트워크 보안 그룹을 사용하여 권한이 부여된 IP 주소에서만 마운트 대상에 대한 네트워크 액세스를 구성합니다.
all_squash 옵션과 같이 잘 알려진 NFS 보안 모범 사례를 사용하여 모든 사용자를 nfsnobody에 매핑하고 NFS ACL을 사용하여 마운트된 파일 시스템에 대한 액세스 제어를 적용합니다.

오브젝트 스토리지에 대한 보안 액세스 보장

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Object Storage는 유휴 데이터에 대해 AES-256 암호화를 제공합니다. 객체 스토리지가 무단 액세스로부터 보호되도록 하기 위한 조치를 취하십시오.

오브젝트 스토리지 버킷은 퍼블릭 또는 프라이빗일 수 있습니다. 퍼블릭 버킷은 버킷의 모든 객체에 대해 인증되지 않은 익명 읽기를 허용합니다. 프라이빗 버킷을 생성하고 PAR(사전 인증된 요청)을 사용하여 버킷에 저장된 객체에 대한 액세스를 IAM 인증서가 없는 사용자에게 제공합니다.
실수로 또는 악의적으로 버킷이 공용으로 설정될 가능성을 최소화하려면 최소 IAM 사용자 집합에 BUCKET_UPDATE 권한을 부여합니다.
오브젝트 스토리지 버킷에 대해 버전 지정이 사용으로 설정되었는지 확인하십시오.

블록 볼륨의 데이터 암호화

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Oracle Cloud Infrastructure Block Volumes 서비스는 항상 AES(Advanced Encryption Standard) 알고리즘을 256비트 키와 함께 사용하여 유휴 상태인 모든 블록 볼륨 및 부트 볼륨을 암호화합니다. 다음과 같은 추가 암호화 옵션을 고려해 보십시오.

소유한 키를 사용하여 모든 볼륨과 백업을 암호화하고, Oracle Cloud Infrastructure Vault 서비스를 사용하여 키를 관리할 수 있습니다.
데이터는 매우 안전한 내부 네트워크를 통해 연결된 블록 볼륨과 인스턴스 간에 전송됩니다. 가상 머신 인스턴스에서 반가상화된 볼륨 연결에 대해 전송 중 암호화를 사용으로 설정할 수 있습니다.

파일 스토리지에서 데이터 암호화

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Oracle Cloud Infrastructure File Storage 서비스는 유휴 상태의 모든 데이터를 암호화합니다. 기본적으로 파일 시스템은 Oracle 관리 암호화 키를 사용하여 암호화됩니다.

소유한 키를 사용하여 모든 파일 시스템을 암호화합니다. Oracle Cloud Infrastructure Vault 서비스를 사용하여 키를 관리할 수 있습니다.

리전 간 배포 시 리전 간 키가 복제되는지 확인합니다.

오브젝트 스토리지의 데이터 암호화

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Oracle Cloud Infrastructure Object Storage 서비스는 AES(Advanced Encryption Standard) 알고리즘을 256비트 키와 함께 사용하여 모든 객체를 암호화합니다. 각 객체는 별도의 키를 사용하여 암호화됩니다.

객체 암호화 키는 각 버킷에 할당된 Oracle 관리 마스터 암호화 키를 사용하여 암호화됩니다.
Oracle Cloud Infrastructure Vault 서비스에 저장하고 정의한 일정에 따라 순환하는 고유의 마스터 암호화 키를 사용하도록 버킷을 구성합니다. 데이터 보존 규칙 사용을 고려합니다.

Oracle Cloud Infrastructure Vault에서 키 및 암호 유지 관리

엔터프라이즈 설계자, 보안 설계자, 데이터 설계자

Oracle Cloud Infrastructure Vault는 애플리케이션이 리소스에 액세스하는 데 사용할 수 있는 비밀번호, SSH 키, 암호화 키 및 인증서와 같은 암호를 저장하는 데 사용할 수 있습니다. 저장소에 암호를 저장하면 코드 또는 로컬 파일을 사용하는 것보다 보안이 강화됩니다.

암호화 키를 중앙에서 저장 및 관리하여 키 관리를 간소화합니다.
암호를 암호화하고 주기적으로 교체할 특정 키를 정의합니다.
대칭 키 및 비대칭 키를 포함한 다양한 암호화 키 유형을 지원하여 미사용 및 전송 중인 데이터를 보호합니다.
Oracle Cloud Infrastructure Vault에 액세스하는 리소스를 전용 서브넷으로 제한합니다.
암호가 노출될 경우 영향을 줄이기 위해 주기적으로 암호 컨텐츠를 교체합니다.
암호의 여러 버전에서 암호 컨텐츠를 재사용하지 못하도록 암호 재사용 규칙을 정의합니다.
암호 버전을 사용할 수 있는 기간을 제한하려면 암호 만료 규칙을 정의합니다.
이러한 서비스에 저장된 데이터를 보호하기 위해 스토리지, 데이터베이스 또는 애플리케이션과 같은 다른 OCI 서비스와 암호화를 통합합니다.