V dnešním světě založeném na datech je zabezpečení vašich informací prvořadé. Tento blogový příspěvek zkoumá, jak Oracle Cloud Infrastructure (OCI) pomáhá podnikům chránit jejich data pomocí triády CIA: Důvěrnost, integrita a dostupnost.
Pochopení triády CIA
Většina podniků je regulována tak, aby zajistila co nejlepší zabezpečení nejdůležitějšího aktiva dat.
Národní institut pro standardy a technologie (NIST) popisuje pilíře informační bezpečnosti s následujícími atributy:
- Důvěrnost: Zachování povolených omezení přístupu k informacím a jejich zveřejňování, včetně prostředků na ochranu soukromí a chráněných informací.
- Integrita: Chrání před nevhodnou úpravou nebo zničením informací a pomáhá zajistit nepopiratelnost a autenticitu informací.
- Dostupnost: Včasný a spolehlivý přístup k informacím a jejich použití.
Destruktivní malware, ransomware, zákeřná činnost zasvěcených osob a dokonce i poctivé chyby – to vše je základem toho, proč musí organizace detekovat a reagovat na událost, která má dopad na integritu dat. Podniky si musí být jisti, že tyto události jsou včas odhaleny a vhodně na ně reagují.
Zatímco OCI Vault řeší důvěrnost a integritu, funkce jako replikace úložiště v OCI Block Volume mohou řešit dostupnost. Pojďme dát obojí dohromady.
Šifrování v OCI
OCI automaticky šifruje vaše data, obvykle pomocí klíčů spravovaných Oracle. Mnoho zákazníků však dává přednost flexibilitě používání klíčů spravovaných zákazníkem, které mohou efektivně replikovat pro zvýšení bezpečnosti.
Další podrobnosti o šifrování, které služby OCI nabízejí, naleznete v následujících zdrojích:
- Oracle Cloud Infrastructure Vault: Block Volume Encryption
- Správa šifrovacích klíčů trezoru pro svazek bloků
- Jak vám Oracle Cloud Infrastructure (OCI) pomáhá chránit data pomocí výchozího šifrování
Klíč pro šifrování dat je zásadní pro zabezpečení vašich dat, zatímco hlavní šifrovací klíč šifruje DEK.
Nyní, když rozumíme úrovním šifrování v OCI, pojďme prozkoumat osvědčené postupy pro správu klíčů.
Nejlepší postupy správy klíčů
Příručky řešení, Best practices framework pro Oracle Cloud Infrastructure a Encrypt Data in Block Volumes doporučujeme používat klíče spravované zákazníkem. Na základě rámce osvědčených postupů pro OCI vám doporučujeme pravidelně střídat tajný obsah, abyste snížili dopad v případě odhalení tajemství.
Pokud chcete své tajemství otočit, aktualizujete hlavní šifrovací klíč, což znamená, že musíte znovu zašifrovat svůj šifrovací klíč dat připojený k hlavnímu klíči. Aktualizace hlavního klíče nezmění základní klíč pro šifrování dat zděděný ze svazku, který je nutný pro přístup k datům. Tato změna se týká pouze klíčů spravovaných zákazníkem v trezoru, nikoli hlavního klíče pro doménu dostupnosti. K rotaci hlavního klíče domény dostupnosti dochází při stávajících aktivitách střídání klíčů.
Střídání klíče znamená aktualizaci verze klíče. V současné době nejsou podporovány automatické aktualizace klíčů spravovaných zákazníkem Block Storage ve službě Key Management Service (KMS). Když tedy otočíte klíč KMS na novou verzi ve službě OCI Vault, svazky budou nadále používat starou verzi klíče. Když otočíte klíčem KMS v aplikaci Vault, můžete spustit operaci svazku aktualizace na svazku bloku a použít novou verzi. Klíč KMS můžete aktualizovat na nový klíč nebo stejný klíč, který používá nejnovější verzi v Sejfu, aniž by došlo k výpadkům.
Na základě rámce osvědčených postupů pro Oracle Cloud Infrastructure vás žádáme, abyste pravidelně střídali tajný obsah, aby se snížil dopad v případě odhalení tajemství.
Aktualizace se týká pouze hlavního šifrovacího klíče (MEK), což znamená opětovné zašifrování šifrovacího klíče dat (DEK) pomocí daného MEK. To nemění základní šifrovací klíč dat (DEK) zděděný ze svazku (který je nutný pro přístup k datům). Tato změna je pouze pro klíč KMS v trezoru, nikoli pro hlavní klíč AD. Střídání hlavního klíče AD je zajištěno stávajícími aktivitami střídání klíčů.
Střídání klíče znamená aktualizaci verze klíče. V současné době nepodporujeme automatickou aktualizaci verzí klíčů spravovaných zákazníkem (KMS) Block Storage. Jinými slovy, když zákazník otočí svůj klíč KMS (na novou verzi) ve službě OCI Vault Service, svazky budou před otočením nadále používat klíč KMS staré verze. Když se klíč KMS otočí ve službě Vault Service, zákazník může spustit operaci „aktualizace svazku“ na svazku Blokovat a použít novou verzi. Klíč KMS může zákazník aktualizovat na nový klíč nebo stejný klíč (který bude používat nejnovější verzi ve službě Vault Service) bez jakéhokoli výpadku.
Nyní, když rozumíme osvědčeným postupům správy klíčů, pojďme diskutovat o nastavení replikace mezi regiony.
Meziregionální replikace
Pojďme prozkoumat příklad replikace mezi regiony.
Máme následující aktiva:
- Zdrojový region: Frankfurt
- Objem zdrojového bloku (umístěný ve Frankfurtu)
- Zdrojový trezor (umístěný ve Frankfurtu)
- Zdrojový hlavní šifrovací klíč
- Šifrovací klíč zdrojových dat
- Cílová oblast: Londýn
- Zásady zálohování s cílem kopírování napříč regiony: Londýn
Nezbytným předpokladem je replikace klíče pro šifrování dat do cílové oblasti. Podrobnosti o tom, jak replikovat svůj trezor, včetně hlavního klíče a klíče pro šifrování dat, najdete v kurzu na GitHubu. Tato replikace vám poskytne OCID cílového klíče šifrování dat v cílové oblasti, Londýn.
Výukový program na GitHubu, ve výchozím nastavení Cloud Resilience, představuje automatizovanou meziregionální replikaci blokových svazků. Nyní musíme pouze přidat OCID cílového šifrovacího klíče dat, abychom mohli nastavit server s odolností ve výchozím nastavení pomocí Oracle Cloud Console. Chcete-li tento proces automatizovat pomocí rozhraní OCI CLI, přečtěte si téma Nastavení serveru s odolností ve výchozím nastavení pomocí rozhraní CLI.
Tento proces vám umožňuje automatizovat vaše produkční prostředí a zlepšit důvěrnost, integritu a dostupnost všech vašich serverů. Můžete sledovat všechny technické detaily, jak vám OCI pomáhá optimalizovat ochranu vašich dat.
Závěr
Se službami OCI můžete splnit svůj cíl optimální důvěrnosti, integrity a dostupnosti pro zabezpečení vašich informací. Hlavní produktový manažer Max Verun poskytuje více podrobností v příspěvku na blogu, podporu klíčů spravovaných zákazníkem pro replikaci svazků mezi regiony a plánovanou záložní kopii založenou na zásadách.
Můžete se na nás spolehnout. Jsme tu, abychom vám pomohli uspět ve vašich bezpečnostních potřebách. Pro další informace nás neváhejte kontaktovat.
Zdroj: Oracle