保護靜態資料

Oracle Cloud Infrastructure 提供多個儲存選項：區塊、物件及檔案。這些服務的資料會在靜態和傳輸中加密。請使用下列機制套用其他最佳做法，確保雲端中的資料安全無虞。

Data Architect - 安全性規劃總監

為了將不慎或惡意刪除雲端資料的風險降到最低，或滿足不可變儲存的需求 (例如資料庫備份)，請只將下表中列出的權限授予需要這些權限的使用者：

服務	您應限制的權限
區塊磁碟區	`VOLUME_DELETE` `VOLUME_ATTACHMENT_DELETE` `VOLUME_BACKUP_DELETE`
檔案儲存	`FILE_SYSTEM_DELETE` `MOUNT_TARGET_DELETE` `EXPORT_SET_DELETE`
物件儲存	`BUCKET_DELETE` `OBJECT_DELETE`

Data Architect - 安全性規劃總監

採取步驟，確保檔案儲存受到保護，避免未經授權的存取。

Oracle Cloud Infrastructure File Storage 會將 NFSv3 端點公開為每個子網路中的掛載目標。掛載目標是以 DNS 名稱識別，並且會對應至 IP 位址。使用掛載目標子網路的網路安全群組，設定只從授權的 IP 位址存取掛載目標的網路。
使用已知的 NFS 安全最佳措施 (例如 all_squash 選項) 將所有使用者對應至 nfsnobody，以及使用 NFS ACL 來強制實施已掛載檔案系統的存取控制。

Data Architect - 安全性規劃總監

Object Storage 為靜態資料提供 AES-256 加密。採取步驟，確保物件儲存不受未經授權的存取。

物件儲存的儲存桶可以是公用或專用。公用儲存桶允許對儲存桶中的所有物件進行未經認證和匿名讀取。建立專用儲存桶並使用預先認證的要求 (PAR)，對沒有 IAM 證明資料的使用者提供儲存桶中儲存之物件的存取。
為了將儲存桶不慎公開或惡意的可能性降到最低，請將 BUCKET_UPDATE 權限授予最少的一組 IAM 使用者。
確定已對物件儲存的儲存桶啟用版本控制。

Data Architect - 安全性規劃總監

Oracle Cloud Infrastructure Block Volumes 服務一律使用具有 256 位元金鑰的進階加密標準 (AES) 演算法，對靜態的所有區塊磁碟區和開機磁碟區進行加密。可考慮使用下列其他加密選項。

Data Architect - 安全性規劃總監

Oracle Cloud Infrastructure File Storage 服務會加密所有靜態資料。檔案系統預設會使用 Oracle 管理的加密金鑰來加密。

使用您擁有的金鑰來加密所有檔案系統。您可以使用 Oracle Cloud Infrastructure Vault 服務來管理金鑰。

在跨區域部署中，請確保跨區域複寫金鑰。

Data Architect - 安全性規劃總監

Oracle Cloud Infrastructure Object Storage 服務使用進階加密標準 (AES) 演算法搭配 256 位元金鑰，對您的所有物件進行加密。每個物件都會使用個別金鑰加密。

物件加密金鑰接著會使用指派給每個儲存桶的 Oracle 管理主要加密金鑰來加密。
設定儲存桶以使用儲存在 Oracle Cloud Infrastructure Vault 服務中的自有主要加密金鑰，並依您定義的排程輪換。考慮使用資料保留規則。

Data Architect - 安全性規劃總監

Oracle Cloud Infrastructure Vault 可用於儲存密碼，例如密碼、SSH 金鑰、加密金鑰，以及應用程式可用來存取資源的憑證。將加密儲存在 Vault 中可提供比使用代碼或本端檔案更高的安全性。