1. Oracle Cloud Infrastructure를 위한 모범 사례 프레임워크
  2. 미사용 데이터 보호

미사용 데이터 보호

Oracle Cloud Infrastructure는 블록, 객체 및 파일과 같은 다양한 저장 영역 옵션을 제공합니다. 데이터는 유휴 상태 및 전송 중에도 암호화됩니다. 다음 메커니즘을 사용하여 클라우드의 데이터가 안전하게 보호되도록 추가 모범 사례를 적용합니다.

저장소 리소스 삭제에 대한 권한 제한

데이터 아키텍트, 보안 설계자

클라우드의 데이터를 실수로 또는 악의적으로 삭제할 위험을 최소화하려면 다음 표에 나열된 권한을 해당 권한이 필요한 사용자에게만 부여하십시오.
서비스 제한해야 하는 권한
블록 볼륨
  • VOLUME_DELETE
  • VOLUME_ATTACHMENT_DELETE
  • VOLUME_BACKUP_DELETE
파일 저장소
  • FILE_SYSTEM_DELETE
  • MOUNT_TARGET_DELETE
  • EXPORT_SET_DELETE
객체 스토리지
  • BUCKET_DELETE
  • OBJECT_DELETE

파일 스토리지에 대한 보안 액세스 보장

데이터 아키텍트, 보안 설계자

무단 액세스로부터 파일 스토리지를 보호하려면 단계를 수행하십시오.
  • Oracle Cloud Infrastructure File Storage는 NFSv3 엔드포인트를 각 서브넷의 마운트 대상으로 표시합니다. 마운트 대상은 DNS 이름으로 식별되고 IP 주소에 매핑됩니다. 마운트 대상의 서브넷 보안 목록을 사용하여 권한이 부여된 IP 주소에서만 마운트 대상에 대한 네트워크 액세스를 구성합니다.
  • all_squash 옵션과 같이 잘 알려진 NFS 보안 모범 사례를 사용하여 모든 사용자를 nfsnobody에 매핑하고, NFS ACL을 사용하여 마운트된 파일 시스템에 대한 액세스 제어를 적용합니다.

오브젝트 스토리지에 대한 보안 접근 보장

데이터 아키텍트, 보안 설계자

무단 액세스로부터 객체 스토리지를 보호하려면 단계를 수행하십시오.
  • 오브젝트 스토리지 버킷은 공용 또는 전용이 될 수 있습니다. 퍼블릭 버킷은 버킷의 모든 객체에 대해 인증되지 않은 읽기와 익명의 읽기를 허용합니다. 프라이빗 버킷을 생성하고 사전 인증된 요청(PAR)을 사용하여 IAM 인증서가 없는 사용자에게 버킷에 저장된 객체에 대한 액세스를 제공할 수 있습니다.
  • 버킷이 부주의하거나 악의적으로 발생할 가능성을 최소화하려면 최소 IAM 사용자 집합에 BUCKET_UPDATE 권한을 부여하십시오.

블록 볼륨의 데이터 암호화

데이터 아키텍트, 보안 설계자

Oracle Cloud Infrastructure Block Volumes 서비스는 AES(Advanced Encryption Standard) 알고리즘을 256비트 키와 함께 사용하여 모든 블록 볼륨 및 유휴 상태의 부팅 볼륨을 항상 암호화합니다. 다음과 같은 추가 암호화 옵션을 고려하십시오.
  • 소유하고 있는 키를 사용하여 모든 볼륨과 해당 백업을 암호화하고, Oracle Cloud Infrastructure Vault 서비스를 사용하여 키를 관리할 수 있습니다.
  • 내부 고도의 보안 네트워크를 통해 인스턴스와 연결된 블록 볼륨 간에 데이터가 전송됩니다. 가상 머신 인스턴스에서 반가상화된 볼륨 연결에 대해 전송 중인 암호화를 사용으로 설정할 수 있습니다.

파일 스토리지에서 데이터 암호화

데이터 아키텍트, 보안 설계자

Oracle Cloud Infrastructure File Storage 서비스는 모든 미사용 데이터를 암호화합니다. 기본적으로 파일 시스템은 Oracle 관리 암호화 키를 사용하여 암호화됩니다.

소유한 키를 사용하여 모든 파일 시스템을 암호화합니다. Oracle Cloud Infrastructure Vault 서비스를 사용하여 키를 관리할 수 있습니다.

객체 스토리지에서 데이터 암호화

데이터 아키텍트, 보안 설계자

Oracle Cloud Infrastructure Object Storage 서비스는 AES(Advanced Encryption Standard) 알고리즘과 256비트 키를 사용하여 모든 객체를 암호화합니다. 각 객체는 별도의 키를 사용하여 암호화됩니다.

  • 객체 암호화 키는 각 버킷에 지정되는 Oracle 관리 마스터 암호화 키를 사용하여 암호화됩니다.
  • Oracle Cloud Infrastructure Vault 서비스에 저장하는 자체 마스터 암호화 키를 사용하고 정의된 일정에 따라 회전하도록 버킷을 구성합니다.

Oracle Cloud Infrastructure Vault에서 애플리케이션 암호 유지 관리

데이터 아키텍트, 보안 설계자

Oracle Cloud Infrastructure Vault는 애플리케이션이 리소스에 액세스하는 데 사용할 수 있는 암호, ssh 키 및 인증서와 같은 암호를 저장하는 데 사용할 수 있습니다. Vault에 암호를 저장하면 코드 또는 로컬 파일을 사용하는 것보다 더 안전합니다.
  • 특정 키를 정의하여 암호를 암호화하고 정기적으로 회전합니다.
  • Oracle Cloud Infrastructure Vault에 액세스하는 리소스를 전용 서브넷으로 제한합니다.
  • 암호가 노출될 경우 영향을 줄이기 위해 정기적으로 암호 내용을 회전합니다.
  • 암호의 여러 버전에서 보안 컨텐츠를 재사용하지 않도록 하려면 암호 재사용 규칙을 정의합니다.
  • 암호 버전을 사용할 수 있는 기간을 제한하는 암호 만료 규칙을 정의합니다.

추가 정보