오라클 클라우드를 위한 디자인 전략 패턴 #3(데이터보호)

안녕하세요. 테크넷 마스터 김재벌 입니다.

 

오늘은 오라클 클라우드 OCI를 위한 디자인 전략 중 데이터 보호 영역에 대한 주제를 다루어 볼까 합니다.

클라우드를 사용함에 있어서 가장 우려되는 것은 정보의 노출이고, 그중에 네트워크 설정이나 데이터 암호호 및 미설정으로 인한 데이터 누출이 가장 심각한 문제가 되고 있습니다.

오라클은 이러한 위협으로 부터 Oracle Vault 서비스를 제공하여 데이터 암호화, 키 관리 등을 수행 합니다.

데이터 보호 (Protect Data at Rest) 

Oracle Cloud Infrastructure는 블록, 객체 및 파일과 같은 다양한 저장 영역 옵션을 제공합니다. 데이터는 유휴 상태 및 전송 중에도 암호화됩니다. 

 

저장소 리소스 삭제에 대한 권한 제한

데이터 아키텍트, 보안 설계자

클라우드의 데이터를 실수로 또는 악의적으로 삭제할 위험을 최소화하려면 다음 표에 나열된 권한을 해당 권한이 필요한 사용자에게만 부여 해야 합니다. 필요 이상의 권한은 여러 잠재위험을 발생시킬 수 있습니다.

 

 

서비스제한해야 하는 권한

블록 볼륨	VOLUME_DELETE VOLUME_ATTACHMENT_DELETE VOLUME_BACKUP_DELETE
파일 저장소	FILE_SYSTEM_DELETE MOUNT_TARGET_DELETE EXPORT_SET_DELETE
객체 스토리지	BUCKET_DELETE OBJECT_DELETE

 

파일 스토리지에 대한 보안 액세스 보장

 

허가되지 않은 액세스로부터 파일 스토리지를 보호하려면 아래와 같이 구성할 수 있습니다.

• Oracle Cloud Infrastructure File Storage는 NFSv3 엔드포인트를 각 서브넷의 마운트 대상으로 표시합니다. 마운트 대상은 DNS 이름으로 식별되고 IP 주소에 매핑됩니다. 마운트 대상의 서브넷 보안 목록을 사용하여 권한이 부여된 IP 주소에서만 마운트 대상에 대한 네트워크 액세스를 구성합니다.
• all_squash 옵션과 같이 잘 알려진 NFS 보안 모범 사례를 사용하여 모든 사용자를 nfsnobody에 매핑하고, NFS ACL을 사용하여 마운트된 파일 시스템에 대한 액세스 제어를 적용합니다.

 

 오브젝트 스토리지에 대한 보안 접근 보장

 

허가되지 않은 액세스로부터 객체 스토리지를 보호하려면 아래와 같이 구성할 수 있습니다.

• 오브젝트 스토리지 버킷은 공용 또는 전용이 될 수 있습니다. 퍼블릭 버킷은 버킷의 모든 객체에 대해 인증되지 않은 읽기와 익명의 읽기를 허용합니다. 프라이빗 버킷을 생성하고 사전 인증된 요청(PAR)을 사용하여 IAM 인증서가 없는 사용자에게 버킷에 저장된 객체에 대한 액세스를 제공할 수 있습니다.
• 버킷이 부주의하거나 악의적으로 발생할 가능성을 최소화하려면 최소 IAM 사용자 집합에 BUCKET_UPDATE 권한을 부여할 수 있습니다.

 

블록 볼륨의 데이터 암호화

 

Oracle Cloud Infrastructure Block Volumes 서비스는 AES(Advanced Encryption Standard) 알고리즘을 256비트 키와 함께 사용하여 모든 블록 볼륨 및 유휴 상태의 부팅 볼륨을 항상 암호화합니다. 필요에 따라 다음과 같은 추가 암호화 옵션을 고려하십시오.

• 소유하고 있는 키를 사용하여 모든 볼륨과 해당 백업을 암호화하고, Oracle Cloud Infrastructure Vault 서비스를 사용하여 키를 관리할 수 있습니다.
• 내부 고도의 보안 네트워크를 통해 인스턴스와 연결된 블록 볼륨 간에 데이터가 전송됩니다. 가상 머신 인스턴스에서 반가상화된 볼륨 연결에 대해 전송 중인 암호화를 사용으로 설정할 수 있습니다.

 

파일 스토리지에서 데이터 암호화

 

Oracle Cloud Infrastructure File Storage 서비스는 모든 유휴 데이터를 암호화합니다. 기본적으로 파일 시스템은 Oracle 관리 암호화 키를 사용하여 암호화됩니다.

소유한 키를 사용하여 모든 파일 시스템을 암호화합니다. Oracle Cloud Infrastructure Vault 서비스를 사용하여 키를 관리할 수 있습니다.

 

객체 스토리지에서 데이터 암호화

 

Oracle Cloud Infrastructure Object Storage 서비스는 AES(Advanced Encryption Standard) 알고리즘과 256비트 키를 사용하여 모든 객체를 암호화합니다. 각 객체는 별도의 키를 사용하여 암호화됩니다.

• 객체 암호화 키는 각 버킷에 지정되는 Oracle 관리 마스터 암호화 키를 사용하여 암호화됩니다.
• Oracle Cloud Infrastructure Vault 서비스에 저장하는 자체 마스터 암호화 키를 사용하고 정의된 일정에 따라 회전하도록 버킷을 구성합니다.

 

Oracle Cloud Infrastructure Vault에서 애플리케이션 암호 유지 관리

 

Oracle Cloud Infrastructure Vault는 애플리케이션이 리소스에 액세스하는 데 사용할 수 있는 암호, ssh 키 및 인증서와 같은 암호를 저장하는 데 사용할 수 있습니다. Vault에 암호를 저장하면 코드 또는 로컬 파일을 사용하는 것보다 더 안전합니다.

• 특정 키를 정의하여 암호를 암호화하고 정기적으로 회전합니다.
• Oracle Cloud Infrastructure Vault에 액세스하는 리소스를 전용 서브넷으로 제한합니다.
• 암호가 노출될 경우 영향을 줄이기 위해 정기적으로 암호 내용을 회전합니다.
• 암호의 여러 버전에서 보안 컨텐츠를 재사용하지 않도록 하려면 암호 재사용 규칙을 정의합니다.
• 암호 버전을 사용할 수 있는 기간을 제한하는 암호 만료 규칙을 정의합니다.