保护静态数据
Oracle Cloud Infrastructure 提供了多种存储选项:块、对象和文件。这些服务在静态数据和传输中加密数据。使用以下机制来应用其他优秀实践,从而确保您的云端数据安全无忧。
限制删除存储资源的权限
企业架构师、安全架构师、数据架构师
要最大限度地减少在云中无意中删除或恶意删除数据的风险,请仅将下表中列出的权限授予需要这些权限的用户:
| 服务 | 应限制的权限 |
|---|---|
| 块存储卷 |
|
| 文件存储 |
|
| 对象存储 |
|
确保对文件存储的安全访问
企业架构师、安全架构师、数据架构师
采取步骤确保文件存储不受未经授权的访问。
- Oracle Cloud Infrastructure 文件存储将 NFSv3 端点公开为每个子网中的挂载目标。挂载目标由 DNS 名称标识,并映射到 IP 地址。使用挂载目标子网的安全列表可以仅从授权的 IP 地址配置对挂载目标的网络访问。
- 使用众所周知的 NFS 安全最佳实践(例如
all_squash选项)将所有用户映射到nfsnobody,并使用 NFS ACL 强制对已挂载的文件系统进行访问控制。
确保对对象存储的安全访问
企业架构师、安全架构师、数据架构师
采取步骤确保对象存储不受未经授权的访问影响。
- 对象存储桶可以是公共存储桶或专用存储桶。公共存储桶允许对存储桶中的所有对象进行未经验证和匿名读取。创建专用存储桶并使用预先验证的请求 (PAR) 向没有 IAM 身份证明的用户提供对存储在存储桶中的对象的访问权限。
- 要尽量减少意外或恶意公开存储桶的可能性,请向一组最少的 IAM 用户授予
BUCKET_UPDATE权限。
加密块存储卷中的数据
企业架构师、安全架构师、数据架构师
Oracle Cloud Infrastructure Block Volumes 服务始终使用带 256 位密钥的高级加密标准 (Advanced Encryption Standard, AES) 算法对所有块存储卷和静态引导卷进行加密。请考虑以下附加加密选项。
- 使用您拥有的密钥加密所有卷及其备份,您可以使用 Oracle Cloud Infrastructure Vault 服务管理密钥。
- 数据是通过高度安全的内部网络在实例与连接的块存储卷之间传输的。您可以为虚拟机实例上的半虚拟化卷附件启用在途加密。
加密文件存储中的数据
企业架构师、安全架构师、数据架构师
Oracle Cloud Infrastructure 文件存储服务加密休息时的所有数据。默认情况下,使用 Oracle 管理的加密密钥对文件系统进行加密。
使用您拥有的密钥对所有文件系统进行加密。可以使用 Oracle Cloud Infrastructure Vault 服务管理密钥。
在对象存储中加密数据
企业架构师、安全架构师、数据架构师
Oracle Cloud Infrastructure Object Storage 服务使用带 256 位密钥的高级加密标准 (Advanced Encryption Standard, AES) 算法对所有对象进行加密。每个对象都使用单独的密钥进行加密。
- 反过来,对象加密密钥将使用分配给每个存储桶的 Oracle 管理的主加密密钥进行加密。
- 配置存储桶以使用您自己存储在 Oracle Cloud Infrastructure Vault 服务中的主加密密钥,并根据您定义的调度进行旋转。
在 Oracle Cloud Infrastructure Vault 中维护应用程序密钥
企业架构师、安全架构师、数据架构师
Oracle Cloud Infrastructure Vault 可用于存储密码、ssh 密钥和应用程序可用于访问资源的证书等密钥。将机密存储在 Vault 中比使用代码或本地文件提供更大的安全性。
- 定义特定密钥以加密并定期旋转密钥。
- 将访问 Oracle Cloud Infrastructure Vault 的资源限制为专用子网。
- 定期旋转机密内容,以减少泄露机密时的影响。
- 定义密钥重用规则,以防止在不同版本的密钥之间重用密钥内容。
- 定义密钥到期规则以限制可以使用密钥版本的时间段。