保护静态数据

Enterprise Architect、Security Architect、Data Architect

要最大程度地降低在云中无意或恶意删除数据的风险，或满足不可变存储的要求（以数据库备份为例），请将下表中列出的权限仅授予需要这些权限的用户：

服务	应该限制的权限
块存储卷	`VOLUME_DELETE` `VOLUME_ATTACHMENT_DELETE` `VOLUME_BACKUP_DELETE`
文件存储	`FILE_SYSTEM_DELETE` `MOUNT_TARGET_DELETE` `EXPORT_SET_DELETE`
对象存储	`BUCKET_DELETE` `OBJECT_DELETE`

Enterprise Architect、Security Architect、Data Architect

采取措施确保文件存储免受未经授权的访问。

Oracle Cloud Infrastructure File Storage 将 NFSv3 端点作为每个子网中的装载目标公开。挂载目标由 DNS 名称标识并映射到 IP 地址。使用装载目标的子网的网络安全组配置仅从授权的 IP 地址对装载目标进行网络访问。
使用众所周知的 NFS 安全最佳实践（例如 all_squash 选项）将所有用户映射到 nfsnobody，并使用 NFS ACL 强制对挂载的文件系统进行访问控制。

Enterprise Architect、Security Architect、Data Architect

对象存储为静态数据提供 AES-256 加密。采取措施来确保对象存储免受未经授权的访问。

对象存储桶可以是公共存储桶，也可以是专用存储桶。公共存储桶允许对存储桶中的所有对象进行未经验证的匿名读取。创建专用存储桶并使用预先验证身份的请求 (PAR) 向没有 IAM 凭证的用户提供对存储桶中存储的对象访问权限。
为了尽可能减少无意中或恶意公开存储桶的可能性，请向最少的一组 IAM 用户授予 BUCKET_UPDATE 权限。
确保为对象存储存储桶启用了版本控制。

Enterprise Architect、Security Architect、Data Architect

Oracle Cloud Infrastructure Block Volumes 服务始终使用具有 256 位密钥的高级加密标准 (Advanced Encryption Standard，AES) 算法对所有块存储卷和引导卷进行静态加密。请考虑以下其他加密选项。

Enterprise Architect、Security Architect、Data Architect

Oracle Cloud Infrastructure File Storage 服务对所有静态数据进行加密。默认情况下，文件系统使用 Oracle 管理的加密密钥进行加密。

使用您拥有的密钥对您的所有文件系统进行加密。您可以使用 Oracle Cloud Infrastructure Vault 服务来管理密钥。

在跨区域部署中，确保跨区域复制密钥。

Enterprise Architect、Security Architect、Data Architect

Oracle Cloud Infrastructure Object Storage 服务使用具有 256 位密钥的高级加密标准 (Advanced Encryption Standard，AES) 算法加密所有对象。每个对象都使用一个单独的密钥进行加密。

而对象加密密钥则通过使用分配给每个存储桶的 Oracle 管理的主加密密钥进行加密。
配置存储桶以使用您自己存储在 Oracle Cloud Infrastructure Vault 服务中的主加密密钥，并按您定义的计划轮换。考虑使用数据保留规则。

Enterprise Architect、Security Architect、Data Architect

Oracle Cloud Infrastructure Vault 可用于存储密码、SSH 密钥、加密密钥和证书等密钥，应用可以使用这些密钥来访问资源。与使用代码或本地文件相比，将密钥存储在 Vault 中可提供更高的安全性。