保護 Rest 的資料
Oracle Cloud Infrastructure 提供多個儲存選項:區塊、物件及檔案。這些服務會靜態和傳輸中資料。使用下列機制來套用其他最佳做法,確保雲端中的資料安全無虞。
限制刪除儲存資源的權限
企業規劃總監、安全規劃總監、資料規劃總監
若要將意外或惡意刪除雲端資料的風險降到最低,請只將下表中所列的權限授予需要這些權限的使用者:
服務 | 您應限制的權限 |
---|---|
區塊磁碟區 |
|
檔案儲存 |
|
物件儲存 |
|
確保檔案儲存的安全存取
企業規劃總監、安全規劃總監、資料規劃總監
採取步驟以確保檔案儲存體受到保護,避免未經授權的存取。
- Oracle Cloud Infrastructure File Storage 會將 NFSv3 端點公開為您每個子網路中的掛載目標。掛載目標由 DNS 名稱識別,並對應至 IP 位址。使用掛載目標子網路的安全清單,只從授權的 IP 位址設定掛載目標的網路存取。
- 使用已知的 NFS 安全最佳做法 (例如
all_squash
選項) 將所有使用者對應至nfsnobody
,並使用 NFS ACL 對掛載的檔案系統強制實行存取控制。
確保對物件儲存的安全存取
企業規劃總監、安全規劃總監、資料規劃總監
採取步驟以確保物件儲存受保護,避免未經授權的存取。
- 物件儲存的儲存桶可以是公用或專用。公用儲存桶允許未經認證和匿名讀取儲存桶中的所有物件。建立專用儲存桶並使用預先認證的要求 (PAR),為沒有 IAM 證明資料的使用者提供儲存桶中儲存之物件的存取權。
- 若要將不小心或惡意設為公用之儲存桶的可能性降到最低,請將
BUCKET_UPDATE
權限授予一組 IAM 使用者。
加密區塊磁碟區中的資料
企業規劃總監、安全規劃總監、資料規劃總監
Oracle Cloud Infrastructure Block Volumes 服務一律會使用進階加密標準 (AES) 演算法搭配 256 位元金鑰,將所有區塊磁碟區和開機磁碟區靜態加密。可考慮使用以下額外的加密選項。
- 使用您擁有的金鑰來加密您所有的磁碟區及其備份,您也可以使用 Oracle Cloud Infrastructure Vault 服務來管理金鑰。
- 資料會透過高安全性的內部網路,在執行處理與連附的區塊磁碟區之間傳輸。您可以為虛擬機器執行處理上的半虛擬化磁碟區連附項啟用傳輸中加密。
加密檔案儲存中的資料
企業規劃總監、安全規劃總監、資料規劃總監
Oracle Cloud Infrastructure File Storage 服務會加密靜態的所有資料。依照預設,會使用 Oracle 管理的加密金鑰來加密檔案系統。
使用您擁有的金鑰來加密所有檔案系統。您可以使用 Oracle Cloud Infrastructure Vault 服務來管理金鑰。
加密物件儲存中的資料
企業規劃總監、安全規劃總監、資料規劃總監
Oracle Cloud Infrastructure Object Storage 服務會使用具有 256 位元金鑰的進階加密標準 (AES) 演算法來加密所有物件。每個物件都會使用個別的金鑰加密。
- 物件加密金鑰則是使用指派給每個儲存桶的 Oracle 管理的主要加密金鑰來進行加密。
- 設定儲存桶,以使用您自己的主要加密金鑰儲存在 Oracle Cloud Infrastructure Vault 服務中,並依據您定義的排程進行輪換。
在 Oracle Cloud Infrastructure Vault 中維護應用程式密碼
企業規劃總監、安全規劃總監、資料規劃總監
Oracle Cloud Infrastructure Vault 可用來儲存密碼、SSH 金鑰以及應用程式用來存取資源的憑證等加密密碼。將加密密碼儲存在 Vault 中比使用程式碼或本機檔案更為安全。
- 定義特定金鑰以加密密碼並定期循環。
- 將存取 Oracle Cloud Infrastructure Vault 的資源限制在專用子網路。
- 定期旋轉密碼內容,以減少公開密碼時的影響。
- 定義「加密密碼重複使用規則」,以避免在不同版本的加密密碼重複使用加密密碼內容。
- 定義「加密密碼到期規則」,以限制可使用加密密碼版本的期間。