روش های تأمین امنیت فضای ذخیره‌ سازی ابجکت‌ها (Object Storage)

فضای ذخیره‌‌سازی ابجکت‌ها (Object Storage) یک راه‌حل پیشرفته و کار آمد است که برای ذخیره‌‌سازی داده‌ها از آن استفاده می‌شود و به کاربران این قابلیت را می‌دهد که اطلاعات خود را به صورت مطمئن و به‌صرفه ذخیره کنند. این سرویس به‌خصوص برای داده‌های غیر ساختار یافته‌ای مانند تصاویر، ویدئوها و داده‌های تحلیلی بسیار مناسب است و به شما این اجازه را می‌دهد که حجم نا محدودی از داده‌ها را بدون نگرانی از محدودیت فضا ذخیره کنید.

همین حالا، فایل‌های خودتون رو در فضایی سریع، پایدار و مقیاس‌پذیر ذخیره کنید.
✅ سازگار با Amazon S3 ✅ عملکرد بالا ✅۲.۵ گیگ فضای رایگان
خرید فضای ذخیره‌سازی ابری

آنچه در ادامه خواهید خواند:

• مسئولیت‌ های امنیتی
• وظایف امنیتی اولیه
• سیاست های IAM
• کنترل دسترسی فضای ذخیره‌ سازی ابجکت‌ ها
• Cloud Guard در Object Storage
• Security Zones در Object Storage
• رمز نگاری داده ها در فضای ذخیره‌ سازی ابجکت‌ ها
• ماندگاری داده ها در فضای ذخیره‌ سازی ابجکت‌ ها
• امنیت شبکه دسترسی در فضای ذخیره‌ سازی ابجکت‌ ها (Object Storage)
• بازبینی دسترسی به گزارش‌های لاگ های امنیتی در Object Storage
• سوالات متداول
• جمع بندی

مسئولیت‌ های امنیتی

برای این که بتوانید به راحتی از سرویس Object Storage استفاده کنید، باید با مسئولیت‌های امنیتی و رعایت استاندار‌های مربوطه آن به‌صورت کامل آشنا شوید. به‌صورت کلی، اوراکل (Oracle) مسئول امنیت زیر ساخت‌ها و عملیات‌های ابری است، مانند کنترل دسترسی به اپراتورهای ابری و اعمال به‌روز‌رسانی‌های امنیتی بر روی زیر ساخت‌ها است. اما مسئولیت پیکربندی منابع ابری بر عهده شما می‌باشد. امنیت در فضای ابری مسئولیتی مشترک بین شما و اوراکل است که این وظیفه به‌صورت یکسان تقسیم شده است.

اوراکل مسئولیت‌های امنیتی زیر را انجام می‌دهد.

• امنیت فیزیکی: اوراکل مسئول محافظت از زیر ساخت‌های جهانی است که تمامی خدمات موجود در Oracle Cloud Infrastructure را اجرا می‌کند. این زیر ساخت شامل سخت افزار، نرم افزار، شبکه ها و تاسیساتی است که از خدمات Oracle Cloud Infrastructure پشتیبانی می‌کند.
• کنترل دسترسی: دسترسی‌ها را به حداقل می‌رساند و فقط به کاربرانی دسترسی را می‌دهد که برای انجام وظایف خود به آن سطح دسترسی نیاز دارند.
• رمز نگاری و محرمانگی: از کلیدها و رمزهای قدرتمند برای حفاظت از داده‌ها و اتصال به منابع مطمئن استفاده می‌کند و رمزها را به‌صورت منظم تغییر می‌دهد.

راهنمای جامع بودجه خزش (Crawl Budget) و نقش آن در بهینه‌ سازی سایت
بودجه خزش (Crawl Budget)

وظایف امنیتی اولیه

برای تأمین امنیت فضای ذخیره‌‌سازی ابجکت‌ها (Object Storage) در محیط Oracle Cloud Infrastructure، می‌توانید از فهرست‌های زیر برای شناسایی و انجام وظایف لازم بهره برداری کنید.

سیاست‌ های IAM برای اعطای دسترسی به کاربران و منابع

با استفاده از سیاست‌های IAM، می‌توانید تعیین کنید که هر کاربر یا گروه به کدام مدل از منابع دسترسی داشته باشد و چه کارهایی را بتواند انجام دهد. این سیاست‌ها به شما کمک می‌کنند تا دسترسی‌ها را دقیق، کنترل‌شده و مطابق با نیاز هر کاربر تعریف کنید.

رمز گذاری منابع با استفاده از یک کلید سفارشی

توصیه لیارا به شما این است که برای محافظت از داده هایتان، از کلیدهای رمزنگاری سفارشی استفاده کنید. با این کار، اطلاعات ذخیره‌شده در Object Storage کاملا ایمن می‌شود و تنها افرادی که کلید مناسب را دارند می‌توانند به آن‌ها دسترسی داشته باشند.

تأمین امنیت دسترسی شبکه به منابع

برای جلوگیری از دسترسی‌های غیرمجاز به منابع، باید تنظیمات امنیتی خاصی را در شبکه انجام دهید. این دسترسی‌ها شامل محدود کردن دسترسی‌های شبکه‌ای و استفاده از فایروال‌ها برای جلوگیری از تهدیدات بیرونی می‌شود.

فعال‌ سازی و پیکربندی Cloud Guard

Cloud Guard یک ابزار امنیتی است که به شناسایی و پاسخ به تهدیدات امنیتی در محیط ابری کمک می‌کند. با فعال‌سازی این ابزار، می‌توانید مشکلات امنیتی را خودکار شناسایی و رفع کنید.

ساخت یک منطقه امنیتی

ساخت مناطق امنیتی به شما این قابلیت را می‌دهد که منابع خود را در محیطی مطمئن قرار دهید. این عمل باعث افزایش کنترل بر امنیت منابع و کاهش خطرات احتمالی می‌شود.

از این فهرست برای شناسایی وظایف خود در راستای تأمین امنیت فضای ذخیره‌‌سازی ابجکت‌ها (Object Storage) استفاده کنید.

وظیفه	اطلاعات بیشتر
تعیین دسترسی کاربران با سیاست‌های IAM	مشخص کنید چه کسانی با چه منابعی دسترسی‌های لازم را دارند و چه اقداماتی می‌توانند انجام دهند.
رمزگذاری منابع با کلید سفارشی	برای محافظت بیشتر، منابع حساس را با استفاده از کلیدهای رمزگذاری اختصاصی رمزگذاری کنید.
رمزگذاری داده‌ها	از رمزگذاری برای محافظت از داده‌های ذخیره‌شده و در حال انتقال استفاده کنید.
ایمن‌سازی دسترسی‌های شبکه	دسترسی به منابع را از طریق تنظیمات امنیتی شبکه محدود و کنترل کنید.
فعال‌سازی Cloud Guard (اختیاری)	برای شناسایی تهدیدها و مدیریت رویدادهای امنیتی، Cloud Guard را فعال و تنظیم کنید.
ساخت منطقه امنیتی (اختیاری)	با تعریف مناطق امنیتی، مطمئن شوید که منابع ابری فقط تحت شرایطی که امنیت بر قرار باشد ایجاد یا تغییر می‌کنند.

مدیریت چالش‌های توسعه؛ مهارت فنی یا درک عمیق؟
چالش‌های توسعه

سیاست های IAM

سیاست‌های IAM به شما این امکان را می‌دهند که دسترسی به منابع Object Storage خود را محدود کرده و کنترل دقیقی بر این منابع اعمال کنید. هر سیاست IAM مشخص می‌کند چه افرادی و با چه سطح دسترسی می‌توانند به فضای ذخیره‌سازی ابجکت‌ها دسترسی داشته باشند.

اجازه دسترسی به یک پوشه خاص برای کاربر

یک سیاست مشخص می‌کند که چه کسانی می‌توانند به منابع Oracle Cloud Infrastructure دسترسی داشته باشند. با استفاده از سیاست‌ها می‌توانید دسترسی به منابع را محدود کرده و کنترل دقیقی را بر آن‌ها اعمال کنید. برای هر گروه کاربری، باید حداقل سطح دسترسی مورد نیاز برای انجام مسئولیت‌هایشان تعیین شود. هر سیاست با یک فعل شروع می‌شود که مشخص می‌کند گروه مربوطه، مجاز به انجام چه اقداماتی خواهد بود. افعال موجود، از کمترین تا بیشترین سطح دسترسی، عبارت‌اند از:

• بازبینی (Inspect)
• خواندن (Read)
• استفاده (Use)
• مدیریت (Manage)

در ادامه دو مدل پر کاربرد آن را توضیح خواهیم داد.

بازبینی (Inspect)

وقتی از این فعل استفاده می‌کنید، تنها می‌توانید اطلاعات مربوط به منابع را مشاهده کنید. به عنوان مثال، با استفاده از فعل inspect، می‌توانید بررسی کنید که آیا یک باکت وجود دارد یا خیر به عنوان مثال درخواست HeadBucket. همچنین می‌توانید فهرستی از باکت‌ها را در یک compartment خاص مشاهده کنید به عنوان مثال درخواست ListBucket. این دسترسی فقط به شما امکان مشاهده منابع را می‌دهد و هیچ‌گونه تغییر یا دسترسی به محتوای داخل آن‌ها را نخواهید داشت.

مدیریت (Manage)

این فعل بالاترین سطح دسترسی را به کاربر می‌دهد و این قابلیت را برای شما فعال می‌کند تا بتوانید، تمامی عملیات‌ها را بر روی یک منبع انجام دهید و به این معنی است که شما می‌توانید آن منبع را ایجاد کنید، تغییر دهید، حذف کنید یا هر اقدام دیگری که نیاز باشد را انجام دهید. به‌عنوان مثال، با استفاده از manage می‌توانید یک باکت را کاملا مدیریت کنید، این مدیریت می‌تواند شامل اضافه یا حذف کردن اشیا داخل آن باشد.

در کلامی ساده inspect به شما این اجازه را می‌دهد که منابع را مشاهده و بررسی کنید بدون اینکه تغییری در آن‌ها ایجاد کنید، در حالی که manage تمامی مجوزها را برای انجام هر عملیاتی روی منابع فراهم می‌کند.

بهتر است که مجوزهای DELETE را فقط به حداقل تعداد کاربران و گروه‌های IAM اختصاص دهید. این کار از بروز مشکل حذف تصادفی داده‌ها توسط کاربران مجاز یا مهاجمان جلوگیری می‌کند. فقط مدیران tenancy و compartment باید مجوز DELETE را داشته باشند.

همچنین، برای دادن دسترسی به یک پوشه خاص در یک باکت، می‌توانید ترکیبی از نام باکت مانند target.bucket.name و الگوی خاص اشیاء مانند target.object.name استفاده کنید. می‌توانید از علامت ستاره (*) نیز به‌عنوان جایگزین برای تطبیق هر دنباله‌ای از کاراکترها استفاده کنید، به عنوان مثال /name/*, /name/*/name/. البته باید بدانید که محدود کردن دسترسی به یک پوشه با الگوی شی، دسترسی به تمامی اشیاء موجود در آن باکت را محدود نمی‌کند.

ALLOW any-user TO manage objects IN TENANCY where all {target.bucket.name = 'test-bucket', target.object.name = 'prod/*', request.user.id='ocid1.user.oc1..exampleuniqueID'}

محدود کردن دسترسی گروه به باکت های خاص

شما می‌توانید دسترسی یک گروه را به یک باکت خاص با استفاده از نام دقیق باکت target.bucket.name، برچسب‌های تعریف‌شده target.tag.definition.name یا از علامت ستاره به‌عنوان جایگزین برای تطبیق هر دنباله‌ای از کاراکترها /name/, /name/, /name/ محدود کنید.

در مثال زیر، دسترسی گروه BucketUsers به یک باکت خاص محدود شده است. به آن توجه کنید!

Allow group BucketUsers to use buckets in tenancy
 where target.bucket.name='BucketFoo'

شما می‌توانید این سیاست را تغییر دهید تا دسترسی کاربران گروه BucketUsers را به تمام باکت هایی که نام آنها با پیشوند ProjectA_ شروع می‌شود، محدود شوند.

Allow group BucketUsers to use buckets in tenancy
 where target.bucket.name=/ProjectA_*/

شما می‌توانید دسترسی را با استفاده از پسوند /*_ProjectA/ یا زیررشته /ProjectA/ تطبیق دهید.

محدود کردن دسترسی گروه به خواندن یا نوشتن اشیاء در یک باکت خاص

در مثال زیر، به گروه BucketUsers اجازه داده می‌شود تا اشیاء را از یک باکت خاص به نام BucketFoo فهرست کرده و بخوانند.

Allow group BucketUsers to read buckets in tenancy
Allow group BucketUsers to manage objects in tenancy
 where all {target.bucket.name='BucketFoo', 
            any {request.permission='OBJECT_INSPECT', 
                 request.permission='OBJECT_READ'}}

سیاست زیر سیاست قبلی را تغییر می‌دهد و به گروه BucketUsers اجازه می‌دهد تا اشیاء را در BucketFoo فهرست کرده و بنویسند.

Allow group BucketUsers to read buckets in tenancy 
Allow group BucketUsers to manage objects in tenancy
 where all {target.bucket.name='BucketFoo', 
            any {request.permission='OBJECT_INSPECT', 
                 request.permission='OBJECT_CREATE'}}

شما می‌توانید این سیاست را به‌جای اینکه به یک باکت خاص اختصاص دهید، می‌توانید با استفاده از عبارات منظم (regular expressions) یا برچسب‌ها (tags) آن را محدود کنید.

محدود کردن دسترسی گروه به خواندن یا نوشتن اشیاء بر اساس برچسب‌های باکت

در مثال زیر، به گروه BucketUsers اجازه داده می‌شود تا اشیاء را از تمام باکت‌هایی که برچسب تعریف‌شده MyTagNamespace.TagKey = MyTagValue را دارند، فهرست کرده و آن‌ها را بخوانند.

Allow group BucketUsers to read buckets in tenancy
Allow group BucketUsers to manage objects in tenancy
 where all {target.bucket.tag.MyTagNamespace.TagKey='MyTagValue', 
            any {request.permission='OBJECT_INSPECT', 
                 request.permission='OBJECT_READ'}}

سیاست زیر، سیاست قبلی را تغییر می‌دهد و به گروه BucketUsers این اجازه را می‌دهد که اشیاء را در تمامی باکت‌هایی که برچسب آن‌ها با برچسب گروه کاربر مطابقت دارد، مشاهده و تغییر دهند.

Allow group BucketUsers to read buckets in tenancy 
Allow group BucketUsers to manage objects in tenancy
 where all {request.principal.group.tag.MyTagNamespace.TagKey=target.bucket.tag.MyTagNamespace.TagKey, 
            any {request.permission='OBJECT_INSPECT', 
                 request.permission='OBJECT_CREATE'}}

محدود کردن دسترسی به منابع برای یک کاربر خاص

شما می‌توانید دسترسی به فضای ذخیره‌سازی ابجکت‌ها (Object Storage) را برای یک کاربر خاص محدود کنید، با اضافه کردن یک شرط به سیاست که OCID یا همان شناسه اختصاصی کاربر می‌توانید این عمل را انجام دهید.

سیاست زیر دسترسی به منابع موجود در compartment ObjectStorage را محدود می‌کند و تنها به OCID کاربری که مشخص شده است، اجازه دسترسی به این منابع را می‌دهد.

Allow any-user to read object-family in compartment ObjectStorage where request.user.id ='ocid1.user.oc1..<user_OCID>'

محدود کردن دسترسی به درخواست های که از یک آدرس IP مجاز

شما می‌توانید دسترسی به منابع را تنها به درخواست‌هایی که از یک آدرس IP خاص وارد می‌شوند، محدود کنید. برای این کار، ابتدا باید یک منبع شبکه‌ای ایجاد کرده و آدرس‌های IP مجاز را در آن مشخص کنید. سپس یک شرط به سیاست خود اضافه کنید تا دسترسی را تنها به آدرس‌های IP موجود در این منبع شبکه محدود کنید.

سیاست زیر، دسترسی را تنها به آدرس‌های IP موجود در منبع شبکه‌ای به نام corpnet که آدرس‌های IP مجاز را تعریف کرده است، محدود می‌کند.

Allow group CorporateUsers to manage object-family in tenancy where request.networkSource.name='corpnet'

جلوگیری از حذف باکت‌ ها یا اشیاء

در مثال زیر، گروه BucketUsers می‌تواند تمامی عملیات‌ها را روی باکت‌ها و اشیاء انجام دهد، اما قادر به حذف آن‌ها نخواهد بود.

Allow group BucketUsers to manage objects in tenancy
 where request.permission!='OBJECT_DELETE' 
Allow group BucketUsers to manage buckets in tenancy
 where request.permission!='BUCKET_DELETE'

مثال زیر حذف اشیاء را از باکت خاص (BucketFoo) بیشتر محدود می‌کند.

Allow group BucketUsers to manage objects in tenancy
  where any {target.bucket.name!='BucketFoo', 
             all {target.bucket.name='BucketFoo',
                  request.permission!='OBJECT_DELETE'}}

همین الان، بدون کمترین پیچیدگی، سرور مجازی خودتون رو در کمتر از ۳۰ ثانیه، راه‌اندازی کنید.
✅ عملکرد پایدار ✅ ترافیک نامحدود ✅ هزینه به‌صرفه
خرید سرور مجازی ابری

نحوه استفاده از Nmap برای اسکن پورت‌های باز
Nmap 

کنترل دسترسی فضای ذخیره‌ سازی ابجکت‌ها

علاوه بر ساخت سیاست‌های IAM، می‌توانید با استفاده از قابلیت‌هایی مانند درخواست‌های پیش احراز هویت (pre-authenticated requests) دسترسی به Object Storage را محدود کنید.

باکت های عمومی

باکت عمومی به افراد ناشناس و بدون احراز هویت اجازه می‌دهد تا همه‌ی اشیای داخل آن را مشاهده کنند. پیش از فعال‌سازی باکت عمومی، لازم است کاربرد مورد نظر آن به‌دقت بررسی شود.

برای عمومی کردن یک باکت موجود، می‌توان نوع دسترسی آن را به ObjectRead یا ObjectReadWithoutList تغییر داد. برای کاهش ریسک عمومی شدن باکت‌ها به‌صورت تصادفی یا مخرب، باید دسترسی به مجوز BUCKET_UPDATE فقط به گروه‌های IAM مشخص و محدودی داده شود.

دستور CLI زیر نوع دسترسی عمومی تخصیص داده شده به یک باکت را برمی‌گرداند.

oci os bucket get -ns <your_namespace> --bucket-name <bucket_name> | grep "public-access-type"

اگر مقدار ویژگی public-access-type برابر با NoPublicAccess باشد، باکت خصوصی نام برده می‌شود. هر مقدار دیگری مانند ObjectRead نشان‌دهنده‌ی عمومی بودن باکت است.

درخواست‌ های پیش‌ احراز هویت (Pre-Authenticated Requests)

در این نوع درخواست، یک کاربر با دسترسی‌های خاص می‌تواند لینک‌هایی بسازد که به بتواند اجازه دسترسی موقت به فایل‌ها یا اشیاء ذخیره‌شده را بدهد. این لینک‌ها برای مدت زمان محدودی فعال هستند.

سازنده‌ی درخواست پیش‌احراز هویت باید مجوز PAR_MANAGE و همچنین مجوزهای IAM مرتبط با نوع دسترسی مدنظر را داشته باشد. می‌توان درخواست پیش‌احراز هویتی ایجاد کرد که یکی از انواع دسترسی‌های خواندن، نوشتن یا ترکیبی از هر دو را به یکی از موارد زیر بدهد:

• همه‌ی اشیای موجود در باکت
• یک شیء خاص در باکت
• همه‌ی اشیایی که پیشوند مشخصی دارند

با دنبال کردن دستور CLI، فهرستی از درخواست های پیش از احراز هویت (PAR) مربوط به اشیاء موجود در یک باکت را نمایش می‌دهد.

oci os preauth-request list -ns <your_namespace> -bn <bucket_name>

Flowise چیست؟ ابزاری قدرتمند برای توسعه و مدیریت هوش مصنوعی
Flowise 

Cloud Guard در Object Storage

Cloud Guard را فعال کرده و از آن برای شناسایی و واکنش به مسائل امنیتی در Object Storage استفاده کنید.

در صورت شناسایی مشکلی، Cloud Guard اقدامات اصلاحی پیشنهادی را به شما ارائه خواهد داد. همچنین می‌توان آن را به شکلی تنظیم کرد که به‌صورت خودکار برخی اقدامات را انجام دهد. Cloud Guard شامل قوانین تشخیص زیر برای Object Storage است:

• باکت عمومی
• باکت Object Storage با کلید مدیریت‌شده توسط Oracle
• کلیدهای مشتری IAM

Security Zones در Object Storage

Security Zones باعث می‌شود که منابعی که در Object Storage قرار دارند با بهترین استاندارهای امنیتی مطابقت داشته باشند. Security Zone به یک یا چند محفظه و یک دستور العمل مشخص می‌شود. زمانی که منابعی را در محفظه یک Security Zone ساخته یا به روز رسانی می‌کنید، Oracle Cloud Infrastructure این عملیات را بر اساس فهرست های سیاست های امنیتی تعریف شده در دستور العمل بررسی می‌کند. اگر حتی یکی از این سیاسیت های گفته شده نقض شود. عملیات انجام نخواهد شد. برای منابع در Object Storage، سیاست های زیر در دستری خواهند بود.

• جلوگیری از عمومی‌کردن باکت‌ها (deny public_buckets)
• جلوگیری از ایجاد باکت بدون کلید ذخیره‌شده در Vault (deny buckets_without_vault_key)

رمز نگاری داده ها در فضای ذخیره‌ سازی ابجکت‌ ها

برای حفاظت از منابع فضای ذخیره‌سازی ابجکت‌ها (Object Storage)، می‌توانید از سرویس Vault برای ساخت و مدیریت کلیدهای رمزنگاری استفاده کنید. این کلیدها به صورت دوره‌ای امنیت داده‌ها را بالا می‌برند.

تمامی داده‌ها در Object Storage پیش‌فرض با الگوریتم AES-256 رمزنگاری می‌شوند و این ویژگی را نمی‌توان غیرفعال‌ کرد. هر شیء به صورت اختصاصی با یک کلید رمزنگاری منحصر رمزنگاری می‌شود، سپس این کلید با یک کلید رمزنگاری اصلی محافظت می‌شود.

برای اینکه بتوانید یک کلید رمزنگاری سفارشی را به یک باکت جدید اختصاص دهید، می‌توانید از گزینه‌های زیر استفاده کنید.

• Creating an Object Storage Bucket
• Assigning a Key to an Object Storage Bucket
• Re-encrypting an Object Storage Bucket’s Data Encryption Keys
• Re-encrypting an Object Storage Object

هر کلید رمزنگاری اصلی به صورت خودکار یک نسخه (key version) دارد. هر بار که کلید چرخش می‌کند، یک نسخه جدید از آن تولید می‌شود. چرخش دوره‌ای کلیدها باعث می‌شود که خطر هک شدن اطلاعات کمتر شود، زیرا تنها داده‌های رمزنگاری‌شده با نسخه قبلی کلید در معرض خطر قرار می‌گیرند.

اگر یک کلید رمزنگاری هک شود، چرخش آن کلید می‌تواند خطر را کاهش دهد و تأثیر آن را محدود کند. برای افزایش امنیت، توصیه می‌شود دسترسی به ایجاد، چرخش و حذف کلیدهای رمزنگاری را با استفاده از سیاست‌های IAM محدود کنید.

علاوه بر رمزنگاری خودکار توسط سیستم، می‌توانید از رمزنگاری سمت کلاینت نیز استفاده کنید. به این معنی است که قبل از ذخیره داده‌ها در باکت، داده‌ها با کلید دلخواه خودتان رمزنگاری می‌شوند.

نصب و پیکربندی Ingress Controller با استفاده از Ambassador
نصب و پیکربندی Ingress Controller

ماندگاری داده ها در فضای ذخیره‌ سازی ابجکت‌ ها

برای جلوگیری از دست رفتن داده‌ها به دلیل حذف‌های تصادفی یا مخرب، توصیه‌های لیارا به شما به این شکل است:

1. پشتیبان‌گیری منظم: به صورت منظم از داده‌های خود در فضای ذخیره‌سازی ابجکت‌ها (Object Storage) بکاپ تهیه کنید. تا در صورت بروز مشکل، امکان بازیابی داده‌ها برای شما وجود داشته باشد.
2. استفاده از نسخه‌گذاری: از نسخه‌گذاری اشیاء استفاده کنید. این ویژگی باعث می‌شود هر بار که یک شیء جدید آپلود می‌شود، یک نسخه از آن ایجاد شود. همچنین اگر یک شیء تغییر کند یا حذف شود، شما می‌توانید نسخه‌های قبلی آن را بازیابی کنید.
3. محدود کردن مجوزهای حذف: مجوزهای حذف برای باکت‌ها BUCKET_DELETE و اشیاء OBJECT_DELETE را فقط به تعداد محدودی از کاربران یا گروه‌های IAM اختصاص دهید. پیشنهاد می‌شود تنها مدیران اصلی سیستم (tenancy) اجازه حذف داشته باشند.
4. استفاده از قوانین نگهداری (WORM): برای جلوگیری از حذف یا تغییر داده‌ها، از قوانین نگهداری استفاده کنید. این قوانین در سطح باکت اعمال می‌شوند و به شما این امکان را می‌دهند که داده‌ها را به‌مدت طولانی یا حتی به صورت نامحدود نگه‌دارید، بدون اینکه امکان تغییر یا حذف آن‌ها وجود داشته باشد.

امنیت شبکه دسترسی در Object Storage

داده‌هایی که بین مشتریان (مانند SDK و CLI) و سرورهای عمومی ارسال می‌شوند، پیش‌فرض با استفاده از پروتکل TLS 1.2 رمزگذاری می‌شوند تا بتوانند امنیت اطلاعات را بالا ببرند. همچنین، با استفاده از اتصال خصوصی FastConnect، می‌توانید به فضای ذخیره‌سازی ابجکت‌ها (Object Storage) از طریق شبکه خصوصی دسترسی پیدا کنید، بدون آنکه نیازی به استفاده از اینترنت عمومی را داشته باشید.

بهترین کتابخانه‌های پایتون برای هوش مصنوعی
کتابخانه‌های پایتون

بازبینی دسترسی به گزارش‌های لاگ های امنیتی در Object Storage

سرویس نظارت (Audit) به روش خودکار تمامی درخواست‌های API که به منابع Oracle Cloud Infrastructure ارسال می‌شوند را ثبت می‌کند. شما می‌توانید از این سرویس برای نظارت بر تمامی فعالیت‌های کاربران در حساب خود استفاده کنید. این فعالیت‌ها از طریق Console , SDK و CLI انجام می‌شوند و تمام این درخواست‌ها به‌طور کامل ثبت می‌شوند. گزارش‌های نظارتی را می‌توانید از طریق API فیلتر و جستجو کنید، یا آن‌ها را به‌صورت فایل‌های گروه‌بندی‌شده از فضای ذخیره‌سازی ابجکت‌ها (Object Storage) دریافت کنید. محتوای گزارش‌ها شامل نوع فعالیت، کاربری که آن را انجام داده، تاریخ و زمان درخواست، آدرس IP منبع، شناسه کاربری و هدرهای HTTP درخواست است.

اگر سرویس Cloud Guard را در حساب خود فعال نکرده باشید، این سرویس هر گونه فعالیتی که ممکن است مشکلات امنیتی ایجاد کند را گزارش می‌کند. پس از شناسایی مشکل، Cloud Guard پیشنهاداتی برای اصلاح آن‌ها به شما خواهد داد. همچنین می‌توانید از Cloud Guard به روشی استفاده کنید که به‌صورت خودکار برخی از اقدامات اصلاحی را برای شما انجام دهد.

سوالات متداول

در ادامه به سوالاتی که امکان دارد در این زمینه برای شما بدون پاسخ بماند، جواب‌های کوتاه اما مفیدی داده‌ایم که با استفاده از آن می‌توانید به سوال خود پاسخ صحیحی را بدهید.

چگونه می‌ توانم دسترسی به منابع Object Storage را محدود کنم؟

برای محدود کردن دسترسی به منابع در Object Storage می‌توانید از کنترل دسترسی‌های مبتنی بر IAM استفاده کنید. همچنین با استفاده از درخواست‌های پیش‌احراز (pre-authenticated requests) می‌توانید دسترسی زمان‌بندی‌شده به اشیاء یا سطل‌ها بدون نیاز به احراز هویت برای کاربران فراهم کنید.

چگونه می‌ توانم امنیت داده‌ ها را در Object Storage تضمین کنم؟

تمام داده‌ها پیش‌فرض با استفاده از رمزنگاری AES-256 در حالت استراحت رمزگذاری می‌شوند. همچنین، می‌توان از کلیدهای رمزنگاری سفارشی برای حفاظت از داده‌ها استفاده کرد. علاوه بر این، با استفاده از قوانین نگهداری داده‌ها (retention rules)، می‌توان داده‌ها را طبق الزامات WORM (Write Once, Read Many) برای حفظ امنیت نگه داشت.

آیا می‌ توانم از قابلیت نسخه‌ گذاری در Object Storage استفاده کنم؟

بله، می‌توان از نسخه‌گذاری اشیاء در Object Storage استفاده کرد. با فعال کردن نسخه‌گذاری، هر بار که یک شیء جدید بارگذاری یا ویرایش می‌شود، نسخه جدیدی خودکار ایجاد می‌شود. این ویژگی کمک می‌کند تا داده‌ها در برابر حذف‌های تصادفی یا مخرب محافظت شوند.

آیا می‌ توانم داده‌ های خود را به‌ صورت خصوصی به Oracle Object Storage منتقل کنم؟

بله، می‌توان از طریق FastConnect به‌جای اینترنت عمومی، داده‌ها را از یک شبکه خصوصی به Oracle Object Storage منتقل کرد. این روش امنیت داده‌های در حال انتقال را افزایش می‌دهد و امکان انتقال امن‌تری را فراهم می‌کند.

چگونه می‌ توانم فعالیت‌ های امنیتی در Oracle Object Storage را پیگیری کنم؟

برای شناسایی و پاسخ به مشکلات امنیتی در Oracle Object Storage، می‌توان از سرویس Cloud Guard استفاده کرد. این سرویس تمامی فعالیت‌های مشکوک به امنیت را شناسایی کرده و پیشنهادات اصلاحی ارائه می‌دهد.

جمع بندی

در نتیجه، Oracle Object Storage یک راه‌حل امن و مقیاس‌پذیر برای ذخیره‌سازی داده‌ها فراهم می‌کند که پیش‌فرض از رمزنگاری و نسخه‌گذاری برای حفظ امنیت داده‌ها استفاده می‌کند. با استفاده از قابلیت‌های کنترل دسترسی، درخواست‌های پیش‌احراز و نظارت مستمر با ابزارهایی مانند Cloud Guard، کاربران می‌توانند به روش مؤثر امنیت منابع خود را مدیریت کرده و مشکلات امنیتی را شناسایی و اصلاح کنند.

آموزش نصب و راه‌اندازی فایروال UFW در سرور مجازی اوبونتو به زبان ساده
نصب و راه‌اندازی فایروال UFW در سرور مجازی اوبونتو