Proteger Dados em Rest

O Oracle Cloud Infrastructure oferece várias opções de armazenamento: bloco, objeto e arquivo. Os dados são criptografados no armazenamento e em trânsito para esses serviços. Use os mecanismos a seguir para aplicar melhores práticas adicionais para garantir que seus dados na nuvem estejam seguros.

Restringir Permissões para Exclusão de Recursos de Armazenamento

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

Para minimizar o risco de exclusão inadvertida ou maliciosa de seus dados na nuvem ou para atender a um requisito de armazenamento imutável (para backups de banco de dados como exemplo), conceda as permissões listadas na tabela a seguir apenas aos usuários que precisam desses privilégios:
Serviço Permissões que você deve restringir
Volumes em Blocos
  • VOLUME_DELETE
  • VOLUME_ATTACHMENT_DELETE
  • VOLUME_BACKUP_DELETE
Armazenamento do Arquivo
  • FILE_SYSTEM_DELETE
  • MOUNT_TARGET_DELETE
  • EXPORT_SET_DELETE
Serviço Object Storage
  • BUCKET_DELETE
  • OBJECT_DELETE

Garantir o Acesso Seguro ao Armazenamento de Arquivos

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

Tome medidas para garantir que o armazenamento de arquivos esteja protegido contra acesso não autorizado.
  • O Oracle Cloud Infrastructure File Storage expõe um ponto final NFSv3 como ponto de acesso NFS em cada uma das suas sub-redes. O ponto de acesso NFS é identificado por um nome DNS e é mapeado para um endereço IP. Use os grupos de segurança de rede da sub-rede do destino de montagem para configurar o acesso da rede ao destino de montagem somente por meio de endereços IP autorizados.
  • Use melhores práticas de segurança NFS conhecidas, como a opção all_squash, para mapear todos os usuários para nfsnobody, e use ACLs NFS, para impor o controle de acesso ao sistema de arquivos montado.

Garantir o Acesso Seguro ao Armazenamento de Objetos

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

O Object Storage fornece criptografia AES-256 para dados em repouso. Tome medidas para garantir que o armazenamento de objetos esteja protegido contra acesso não autorizado.
  • Os buckets de armazenamento de objetos podem ser públicos ou privados. Um bucket público permite leituras não autenticadas e anônimas em todos os objetos do bucket. Crie buckets privados e use solicitações pré-autenticadas (PARs) para permitir o acesso a objetos armazenados em buckets aos usuários que não têm credenciais do IAM.
  • Para minimizar a possibilidade de os buckets se tornarem públicos inadvertentemente ou maliciosamente, conceda a permissão BUCKET_UPDATE a um conjunto mínimo de usuários do IAM.
  • Certifique-se de que o controle de versão esteja ativado para buckets de armazenamento de objetos.

Criptografar Dados em Volumes em Blocos

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

O serviço Oracle Cloud Infrastructure Block Volumes sempre criptografa todos os volumes em blocos e volumes de inicialização em repouso usando o algoritmo AES (Advanced Encryption Standard) com chaves de 256 bits. Considere as seguintes opções adicionais de criptografia.
  • Criptografe todos os seus volumes e seus backups usando as chaves que você possui e você pode gerenciar as chaves usando o serviço Oracle Cloud Infrastructure Vault.
  • Os dados são transferidos entre uma instância e o volume em blocos anexado por meio de uma rede interna altamente segura. Você pode ativar a criptografia em trânsito para anexos de volume paravirtualizados em instâncias de máquina virtual.

Criptografar Dados no Armazenamento de Arquivos

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

O serviço Oracle Cloud Infrastructure File Storage criptografa todos os dados em repouso. Por padrão, os sistemas de arquivos são criptografados com chaves de criptografia gerenciadas pela Oracle.

Criptografe todos os seus sistemas de arquivos usando chaves que você possui. Você pode gerenciar as chaves usando o serviço Oracle Cloud Infrastructure Vault.

Em implantações entre regiões, certifique-se de que as chaves sejam replicadas entre regiões.

Criptografar Dados no Serviço Object Storage

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

O serviço Oracle Cloud Infrastructure Object Storage criptografará todos os seus objetos usando o algoritmo Padrão de Criptografia Avançado (AES) com chaves de 256 bits. Cada objeto é criptografado usando uma chave separada.
  • As chaves de criptografia de objeto são, por sua vez, criptografadas usando uma chave de criptografia principal gerenciada pela Oracle designada a cada bucket.
  • Configure buckets para usar sua própria chave de criptografia principal que você armazena no serviço Oracle Cloud Infrastructure Vault e rotacione de acordo com a programação definida. Considere o uso de regras de retenção de dados.

Manter Chaves e Segredos no Oracle Cloud Infrastructure Vault

Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados

O Oracle Cloud Infrastructure Vault pode ser usado para armazenar segredos como senhas, chaves ssh, chaves de criptografia e certificados que os aplicativos podem usar para acessar recursos. Armazenar segredos em um vault oferece mais segurança do que usar código ou arquivos locais.
  • Simplifique o gerenciamento de chaves armazenando e gerenciando centralmente chaves de criptografia.
  • Defina uma chave específica para criptografar segredos e rotacioná-los periodicamente.
  • Proteja os dados em repouso e em trânsito, suportando vários tipos de chave de criptografia, incluindo chaves simétricas e chaves assimétricas.
  • Limite os recursos que acessam o Oracle Cloud Infrastructure Vault a sub-redes privadas.
  • Rotacione periodicamente o conteúdo do segredo para reduzir o impacto se um segredo for exposto.
  • Defina uma Regra de Reutilização de Segredo para impedir a reutilização de conteúdo de segredo em diferentes versões de um segredo.
  • Defina uma Regra de Expiração de Segredo para limitar o período em que uma versão de segredo pode ser usada.
  • Integre a criptografia com outros serviços do OCI, como armazenamento, banco de dados ou aplicações para proteger dados armazenados nesses serviços.