Proteger Dados em Rest
O Oracle Cloud Infrastructure oferece várias opções de armazenamento: bloco, objeto e arquivo. Os dados são criptografados no armazenamento e em trânsito para esses serviços. Use os mecanismos a seguir para aplicar melhores práticas adicionais para garantir que seus dados na nuvem estejam seguros.
Restringir Permissões para Exclusão de Recursos de Armazenamento
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados
Serviço | Permissões que você deve restringir |
---|---|
Volumes em Blocos |
|
Armazenamento do Arquivo |
|
Serviço Object Storage |
|
Garantir o Acesso Seguro ao Armazenamento de Arquivos
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados
- O Oracle Cloud Infrastructure File Storage expõe um ponto final NFSv3 como ponto de acesso NFS em cada uma das suas sub-redes. O ponto de acesso NFS é identificado por um nome DNS e é mapeado para um endereço IP. Use os grupos de segurança de rede da sub-rede do destino de montagem para configurar o acesso da rede ao destino de montagem somente por meio de endereços IP autorizados.
- Use melhores práticas de segurança NFS conhecidas, como a opção
all_squash
, para mapear todos os usuários paranfsnobody
, e use ACLs NFS, para impor o controle de acesso ao sistema de arquivos montado.
Garantir o Acesso Seguro ao Armazenamento de Objetos
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados
- Os buckets de armazenamento de objetos podem ser públicos ou privados. Um bucket público permite leituras não autenticadas e anônimas em todos os objetos do bucket. Crie buckets privados e use solicitações pré-autenticadas (PARs) para permitir o acesso a objetos armazenados em buckets aos usuários que não têm credenciais do IAM.
- Para minimizar a possibilidade de os buckets se tornarem públicos inadvertentemente ou maliciosamente, conceda a permissão
BUCKET_UPDATE
a um conjunto mínimo de usuários do IAM. - Certifique-se de que o controle de versão esteja ativado para buckets de armazenamento de objetos.
Criptografar Dados em Volumes em Blocos
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados
- Criptografe todos os seus volumes e seus backups usando as chaves que você possui e você pode gerenciar as chaves usando o serviço Oracle Cloud Infrastructure Vault.
- Os dados são transferidos entre uma instância e o volume em blocos anexado por meio de uma rede interna altamente segura. Você pode ativar a criptografia em trânsito para anexos de volume paravirtualizados em instâncias de máquina virtual.
Criptografar Dados no Armazenamento de Arquivos
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados
Criptografe todos os seus sistemas de arquivos usando chaves que você possui. Você pode gerenciar as chaves usando o serviço Oracle Cloud Infrastructure Vault.
Em implantações entre regiões, certifique-se de que as chaves sejam replicadas entre regiões.
Criptografar Dados no Serviço Object Storage
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados
- As chaves de criptografia de objeto são, por sua vez, criptografadas usando uma chave de criptografia principal gerenciada pela Oracle designada a cada bucket.
- Configure buckets para usar sua própria chave de criptografia principal que você armazena no serviço Oracle Cloud Infrastructure Vault e rotacione de acordo com a programação definida. Considere o uso de regras de retenção de dados.
Manter Chaves e Segredos no Oracle Cloud Infrastructure Vault
Arquiteto Enterprise, Arquiteto de Segurança, Arquiteto de Dados
- Simplifique o gerenciamento de chaves armazenando e gerenciando centralmente chaves de criptografia.
- Defina uma chave específica para criptografar segredos e rotacioná-los periodicamente.
- Proteja os dados em repouso e em trânsito, suportando vários tipos de chave de criptografia, incluindo chaves simétricas e chaves assimétricas.
- Limite os recursos que acessam o Oracle Cloud Infrastructure Vault a sub-redes privadas.
- Rotacione periodicamente o conteúdo do segredo para reduzir o impacto se um segredo for exposto.
- Defina uma Regra de Reutilização de Segredo para impedir a reutilização de conteúdo de segredo em diferentes versões de um segredo.
- Defina uma Regra de Expiração de Segredo para limitar o período em que uma versão de segredo pode ser usada.
- Integre a criptografia com outros serviços do OCI, como armazenamento, banco de dados ou aplicações para proteger dados armazenados nesses serviços.