Protegendo o Serviço File Storage
Este tópico fornece informações e recomendações de segurança para o Oracle Cloud Infrastructure File Storage.
Responsabilidades de Segurança
Para usar o File Storage com segurança, saiba mais sobre suas responsabilidades de segurança e conformidade.
A Oracle é responsável pelos seguintes requisitos de segurança:
- Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.
Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:
- Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
- Criptografia e Confidencialidade: Use chaves de criptografia e segredos para proteger seus dados e estabelecer conexão com recursos protegidos. Gire essas chaves regularmente.
Tarefas iniciais de segurança
Use esta lista de verificação para identificar as tarefas que você executa para proteger o File Storage em uma nova tenancy do Oracle Cloud Infrastructure.
| Tarefa | Mais Informações |
|---|---|
| Usar políticas de IAM para conceder acesso a usuários e recursos | Políticas do serviço IAM |
| Revisar e implementar camadas de segurança do File Storage | Controle de Acesso |
| Criptografar os recursos usando uma chave personalizada | Criptografia de Dados |
| Proteger o acesso aos recursos via rede | Segurança de Rede |
Tarefas de Segurança de Rotina
Depois de se familiarizar com o serviço File Storage, use esta lista de verificação para identificar tarefas de segurança que recomendamos que você execute regularmente.
| Tarefa | Mais Informações |
|---|---|
| Faça backups regulares | Durabilidade dos Dados |
| Usar bloqueios de recursos para evitar adulteração | Políticas do serviço IAM |
| Executar uma auditoria de segurança e revisar logs | Auditando |
| Se você estiver gerenciando suas próprias chaves de criptografia, alterne-as regularmente | Criptografia de Dados |
Políticas do Serviço IAM
Use políticas para limitar o acesso ao Armazenamento de Arquivos.
Uma política especifica quem pode acessar os recursos do Oracle Cloud Infrastructure e como. Para obter mais informações, consulte Como as Políticas Funcionam.
Designe a um grupo o mínimo de privilégios necessários para executar suas responsabilidades. Cada política tem um verbo que descreve quais ações o grupo tem permissão para executar. Do menor acesso ao máximo, os verbos disponíveis são: inspect, read, use e manage.
Para minimizar o risco de exclusão acidental ou intencional de recursos, recomendamos enfaticamente a concessão de permissões DELETE apenas a um grupo limitado de usuários e grupos confiáveis do IAM, especificamente administradores de tenancy e compartimento. Ao restringir esses privilégios, você pode reduzir significativamente o potencial de perda de recursos por causa de ações não autorizadas ou erradas.
O exemplo a seguir impede que o grupo FileUsers exclua sistemas de arquivos e pontos de acesso NFS.
Allow group FileUsers to manage file-systems in tenancy
where request.permission!='FILE_SYSTEM_DELETE'
Allow group FileUsers to manage mount-targets in tenancy
where request.permission!='MOUNT_TARGET_DELETE'
Allow group FileUsers to manage export-sets in tenancy
where request.permission!='EXPORT_SET_DELETE' Os recursos do File Storage também podem ser bloqueados para evitar atualizações, movimentações e exclusões do recurso. Os bloqueios ajudam a proteger os recursos contra adulteração. Bloqueios em um recurso do sistema de arquivos não impedem que usuários autorizados alterem o conteúdo do sistema de arquivos. Os usuários ainda podem criar, alterar e excluir arquivos em um sistema de arquivos com um bloqueio de recurso. Para obter mais informações, consulte Bloqueando um Sistema de Arquivos.
Para obter mais informações sobre políticas de Armazenamento de Arquivos e para exibir mais exemplos, consulte Detalhes do Serviço File Storage.
Controle de Acesso
Além de criar políticas de IAM, bloqueie o acesso aos sistemas de arquivos usando outras camadas de segurança disponíveis.
O serviço File Storage usa cinco camadas diferentes de controle de acesso. Cada camada tem suas próprias entidades de autorização e métodos que são separados das outras camadas.
Para obter mais informações, consulte Sobre a Segurança do Serviço File Storage.
Criptografia de Dados
Crie e rotacione chaves de criptografia no serviço Vault para proteger seus recursos no File Storage.
Um vault é uma entidade lógica que armazena as chaves de criptografia usadas para proteger seus dados. Dependendo do modo de proteção, as chaves são armazenadas no servidor ou são armazenadas em HSMs (hardware security modules) de alta disponibilidade e durabilidade. Nossos HSMs atendem à certificação de segurança FIPS 140-2 Security Level 3. Consulte Gerenciando Vaults e Gerenciando Chaves.
Embora o Oracle Cloud Infrastructure possa gerar chaves de criptografia padrão para determinados recursos, recomendamos enfaticamente adotar uma abordagem mais segura criando e gerenciando suas próprias chaves de criptografia personalizadas no serviço Vault. Isso dá a você maior controle sobre o gerenciamento de chaves e melhora a postura de segurança geral do seu ambiente de nuvem.
Para criptografar os dados em um sistema de arquivos usando sua própria chave de criptografia do serviço Vault, consulte Criptografando um Sistema de Arquivos.
Cada chave mestra de criptografia recebe automaticamente uma versão de chave. Quando você rotaciona uma chave, o serviço Vault gera uma nova versão da chave. A rotação periódica de chaves limita o volume de dados criptografados ou assinados por uma versão de chave. Se uma chave for composta, a rotação de chave reduzirá o risco para seus dados. Consulte Gerenciando Chaves.
Para obter a melhor segurança, use políticas do serviço IAM para impor controles de acesso granulares sobre atividades de gerenciamento de chaves de criptografia, incluindo criação, rotação e exclusão de chaves. Consulte Detalhes do Serviço Vault.
As chaves de criptografia tratam a criptografia em repouso. Para obter mais informações sobre criptografia em trânsito, consulte Sobre a Segurança do Serviço File Storage.
Durabilidade dos Dados
Faça backups regulares de seus dados no File Storage.
Às vezes, os usuários excluem inadvertidamente dados de produção em um sistema de arquivos do File Storage. Você não pode recuperar os dados, a menos que tenha uma cópia desses dados armazenados em um backup. Para durabilidade dos dados, recomendamos que você faça snapshots periódicos do sistema de arquivos, conforme exigido pelos SLOs de negócios. Os snapshots permitem recuperar dados do snapshot em caso de exclusão acidental de dados.
Se um usuário excluir um sistema de arquivos inadvertidamente, ele também excluirá os snapshots associados ao sistema de arquivos. Você não pode recuperar os instantâneos e os dados no sistema de arquivos, a menos que tenha uma cópia desses dados armazenados em um backup.
Use snapshots baseados em política para programar backups recorrentes e automáticos ou criar backups manualmente usando a Console, a CLI ou a API.
Localização dos Dados
Dependendo da sua política de recuperação de desastres, você pode decidir armazenar dados do sistema de arquivos em diferentes locais. Esses locais podem estar dentro ou fora da OCI, incluindo ambientes on-premises.
Com o File Storage, você pode aproveitar os recursos integrados de replicação do sistema de arquivos para replicar perfeitamente seus dados em vários destinos da OCI, incluindo:
- Outro sistema de arquivos no mesmo domínio de disponibilidade
- Um sistema de arquivos em outro domínio de disponibilidade
- Um sistema de arquivos em outra região
Como alternativas para armazenar dados no OCI File Storage, você pode transferir dados para os seguintes locais:
- Outros serviços do OCI, como Block Volume ou Object Storage
- Fora da OCI, como dentro do seu ambiente local
Copiar dados do Armazenamento de Arquivos para um servidor local ou montar diretamente um sistema de arquivos do Armazenamento de Arquivos para um servidor local pode ter implicações de desempenho.
Para obter mais informações sobre as opções anteriores, consulte Transferindo Dados de e para o Serviço File Storage e Melhores backups com snapshots e replicação baseados em política no OCI File Storage Service.
Segurança de Rede
Proteja o acesso à rede de seus recursos no File Storage.
Use listas de segurança , grupos de segurança de rede ou uma combinação de ambos para controlar o tráfego no nível do pacote dentro e fora dos recursos da sua VCN (rede virtual na nuvem) . Consulte Acesso e Segurança.
Quando você cria uma sub-rede em uma VCN, por padrão, a sub-rede é considerada pública e a comunicação com a internet é permitida. Use sub-redes privadas para hospedar recursos que não exigem acesso à Internet. Você também pode configurar um gateway de serviço na sua VCN para permitir que os recursos de uma sub-rede privada acessem outros serviços de nuvem. Consulte Opções de Conectividade.
Para obter mais informações, consulte Configurando Regras de Segurança da VCN para o Serviço File Storage.
Auditando
Localize logs de acesso e outros dados de segurança para o File Storage.
O recurso de registro em log registra operações como criação, exclusão e atualizações nos recursos do File Storage para sua revisão interna. Para obter mais informações, consulte Registro em Log do Serviço File Storage.
O serviço Audit registra automaticamente todas as chamadas de API para recursos do Oracle Cloud Infrastructure. Você pode atingir suas metas de segurança e conformidade usando o serviço Audit para monitorar todas as atividades do usuário em sua tenancy. Como todas as chamadas da Console, SDK e CLI (linha de comando) passam por nossas APIs, todas as atividades dessas origens são incluídas. Os registros de auditoria estão disponíveis por meio de uma API de consulta filtrável autenticada ou podem ser recuperados como arquivos batch do serviço Object Storage. O conteúdo do log de auditoria inclui a atividade ocorrida, o usuário que a iniciou, a data e a hora da solicitação, bem como o IP de origem, o agente do usuário e cabeçalhos HTTP da solicitação. Consulte Exibindo Eventos de Log de Auditoria.