Protegendo o Armazenamento de Arquivos com o Lustre

Para usar o File Storage com o Lustre de forma segura, saiba mais sobre suas responsabilidades de segurança e conformidade.

Em geral, a Oracle fornece segurança de infraestrutura e operações na nuvem, como controles de acesso do operador de nuvem e aplicação de patch de segurança da infraestrutura. Você é responsável por configurar com segurança seus recursos de nuvem. A segurança na nuvem é uma responsabilidade compartilhada entre você e a Oracle.

A Oracle é responsável pelos seguintes requisitos de segurança:

• Segurança Física: A Oracle é responsável por proteger a infraestrutura global que executa todos os serviços oferecidos no Oracle Cloud Infrastructure. Essa infraestrutura consiste em hardware, software, redes e equipamentos que executam os serviços do Oracle Cloud Infrastructure.

Suas responsabilidades de segurança estão descritas nesta página, que incluem as seguintes áreas:

• Controle de Acesso: Limite os privilégios o máximo possível. Os usuários devem receber apenas o acesso necessário para executar seu trabalho.
• Criptografia e Confidencialidade: Use chaves de criptografia e segredos para proteger seus dados e estabelecer conexão com recursos protegidos. Gire essas chaves regularmente.

Use esta lista de verificação para identificar as tarefas que você executa para proteger o File Storage com o Lustre em uma nova tenancy do Oracle Cloud Infrastructure.

Depois de se familiarizar com o serviço File Storage com o Lustre, use esta lista de verificação para identificar tarefas de segurança que recomendamos que você execute regularmente.

Use políticas para limitar o acesso ao Armazenamento de Arquivos com o Lustre.

Recomendamos que você conceda permissões DELETE a um conjunto mínimo de usuários e grupos do IAM. Esta prática minimiza a perda de dados de exclusões inadvertidas por usuários autorizados ou por agentes maliciosos. Só conceda permissões DELETE aos administradores de tenancies e compartimentos.

Allow group LustreUsers to manage lustre-file-system in tenancy
 where request.permission!='LUSTRE_FILE_SYSTEM_DELETE'

Para obter mais informações sobre o File Storage com políticas do Lustre e para exibir mais exemplos, consulte File Storage com Políticas do Lustre.

Crie e gire chaves de criptografia no serviço Vault para proteger seus recursos no Armazenamento de Arquivos com o Lustre.

Um vault é uma entidade lógica que armazena as chaves de criptografia usadas para proteger seus dados. Dependendo do modo de proteção, as chaves são armazenadas no servidor ou são armazenadas em HSMs (hardware security modules) de alta disponibilidade e durabilidade. Nossos HSMs atendem à certificação de segurança FIPS 140-2 Security Level 3. Consulte Gerenciando Vaults e Gerenciando Chaves.

Embora as chaves de criptografia padrão possam ser geradas automaticamente quando você cria determinados recursos do Oracle Cloud Infrastructure, recomendamos que você crie e gerencie suas próprias chaves de criptografia personalizadas no serviço Vault.

Para criptografar os dados em um sistema de arquivos usando sua própria chave de criptografia do serviço Vault, consulte Criptografando um Sistema de Arquivos.

Cada chave mestra de criptografia recebe automaticamente uma versão de chave. Quando você rotaciona uma chave, o serviço Vault gera uma nova versão da chave. A rotação periódica de chaves limita o volume de dados criptografados ou assinados por uma versão de chave. Se uma chave for composta, a rotação de chave reduzirá o risco para seus dados. Consulte Gerenciando Chaves.

Recomendamos que você use políticas do IAM para limitar estritamente a criação, a rotação e a exclusão de chaves de criptografia. Consulte Detalhes do Serviço Vault.

Faça backups regulares de seus dados no File Storage com o Lustre.

Às vezes, os usuários excluem inadvertidamente os dados de produção em um sistema de arquivos. Você não pode recuperar os dados, a menos que tenha uma cópia desses dados armazenados em um backup.

Recomendamos que você conceda permissões DELETE a um conjunto mínimo de usuários e grupos do IAM. Esta prática minimiza a perda de dados de exclusões inadvertidas por usuários autorizados ou por agentes maliciosos. Só conceda permissões DELETE aos administradores de tenancies e compartimentos.

Proteja o acesso de rede aos seus recursos no File Storage com o Lustre.

Use listas de segurança , grupos de segurança de rede ou uma combinação de ambos para controlar o tráfego no nível do pacote dentro e fora dos recursos da sua VCN (rede virtual na nuvem) . Consulte Acesso e Segurança.

Para obter mais informações, consulte Regras de Segurança de VCN Obrigatórias.

Quando você cria uma sub-rede em uma VCN, por padrão, a sub-rede é considerada pública e a comunicação com a internet é permitida. O File Storage com sistemas de arquivos Lustre requer sub-redes privadas . Você pode configurar um gateway de serviço na sua VCN para permitir que os recursos de uma sub-rede privada acessem outros serviços de nuvem. Consulte Opções de Conectividade.

Localize logs de acesso e outros dados de segurança para o File Storage com o Lustre.

O recurso de registro em log registra operações como criação, exclusão e atualizações no File Storage com recursos do Lustre para sua revisão interna.

O serviço Audit registra automaticamente todas as chamadas de API para recursos do Oracle Cloud Infrastructure. Você pode atingir suas metas de segurança e conformidade usando o serviço Audit para monitorar todas as atividades do usuário em sua tenancy. Como todas as chamadas da Console, SDK e CLI (linha de comando) passam por nossas APIs, todas as atividades dessas origens são incluídas. Os registros de auditoria estão disponíveis por meio de uma API de consulta filtrável autenticada ou podem ser recuperados como arquivos batch do serviço Object Storage. O conteúdo do log de auditoria inclui a atividade ocorrida, o usuário que a iniciou, a data e a hora da solicitação, bem como o IP de origem, o agente do usuário e cabeçalhos HTTP da solicitação. Consulte Exibindo Eventos de Log de Auditoria.