JavaScript is required to for searching.
Ignora collegamenti di spostamento
Esci da visualizzazione stampa
Guida per la sicurezza di Oracle® ZFS Storage Appliance
Oracle Technology Network
Raccolta
PDF
Visualizzazione stampa
Feedback
search filter icon
search icon

Informazioni sul documento

Panoramica sulla sicurezza di Oracle ZFS Storage Appliance

Installazione iniziale

Sicurezza fisica

Modello amministrativo

Utenti di ZFSSA

Liste di controllo dell'accesso (ACL, Access Control List)

SAN (Storage Area Network)

Servizi di dati

Opzioni di autenticazione e cifratura NFS

Modalità di sicurezza

Tipi Kerberos

iSCSI

Supporto RADIUS

SMB (Server Message Block)

Autenticazione della modalità AD (Active Directory)

Autenticazione della modalità Workgroup

Gruppi locali e privilegi

Operazioni amministrative tramite Microsoft Management Console (MMC)

Virus Scan

Motore ritardato per attacchi temporizzati

Cifratura dei dati in rete

Protocollo FTP (File Transfer Protocol)

Protocollo HTTP (Hypertext Transfer Protocol)

Protocollo NDMP (Network Data Management Protocol)

Replica remota

Migrazione shadow

Protocollo SFTP (SSH File Transfer Protocol)

Protocollo TFTP (Trivial File Transfer Protocol)

Servizi di directory

Impostazioni del sistema

Accesso amministrativo remoto

Log

Ulteriori informazioni

Mapping alla documentazione

SMB (Server Message Block)

Il protocollo SMB (anche denominato CIFS (Common Internet File System)) fornisce in primo luogo l'accesso condiviso ai file su una rete Microsoft Windows. Fornisce anche l'autenticazione.

Le opzioni SMB elencate di seguito presentano implicazioni relativamente alla sicurezza.

Autenticazione della modalità AD (Active Directory)

In modalità Domain gli utenti vengono definiti in Active Directory. I client SMB possono connettersi all'appliance ZFSSA utilizzando l'autenticazione Kerberos o NTLM.

Quando un utente si connette con un nome host ZFSSA, i client Windows nello stesso dominio o in un dominio sicuro utilizzano l'autenticazione Kerberos; altrimenti utilizzano l'autenticazione NTLM.

Quando un client SMB utilizza l'autenticazione NTLM per connettersi all'appliance ZFSSA, le credenziali dell'utente vengono inoltrate al controller del dominio AD per l'autenticazione. Questo tipo di autenticazione è denominata autenticazione pass-through.

Se i criteri di sicurezza Windows che limitano l'autenticazione NTLM sono definiti, i client Windows devono connettersi a ZFSSA con un nome host completamente qualificato. Per ulteriori informazioni, consultare questo articolo di MSDN: http://technet.microsoft.com/en-us/library/jj865668%28v=ws.10%29.aspx.

Dopo l'autenticazione viene creato un "contesto di sicurezza" per la sessione SMB dell'utente. L'utente rappresentato dal contesto di sicurezza ha un descrittore di sicurezza (SID) univoco. Il SID denota la proprietà del file e viene utilizzato per determinare i privilegi di accesso al file.

Autenticazione della modalità Workgroup

In modalità Workgroup gli utenti vengono definiti nell'appliance ZFSSA. Quando un client SMB si connette a un'appliance ZFSSA in modalità Workgroup, gli hash del nome utente e della password di tale utente vengono utilizzati per autenticare l'utente in locale.

Il livello di compatibilità con LAN Manager (LM) viene utilizzato per specificare il protocollo utilizzato quando l'appliance ZFSSA è in modalità Workgroup.

L'elenco seguente mostra il comportamento dell'appliance ZFSSA per ciascun livello di compatibilità con LM.

Una volta autenticato correttamente l'utente Workgroup, viene creato un contesto di sicurezza. Viene creato un SID univoco per gli utenti definiti nell'appliance ZFSSA utilizzando una combinazione del SID del computer e dell'UID dell'utente. Tutti gli utenti locali sono definiti come utenti UNIX.

Gruppi locali e privilegi

I gruppi locali sono i gruppi di utenti del dominio che forniscono privilegi aggiuntivi a tali utenti. Gli amministratori possono ignorare le autorizzazioni del file per modificare la proprietà dei file. Gli operatori di backup possono ignorare i controlli di accesso ai file per il backup e il ripristino dei file.

Operazioni amministrative tramite Microsoft Management Console (MMC)

Per accertarsi che l'accesso alle operazioni amministrative sia consentito solo agli utenti appropriati, esistono alcune limitazioni di accesso alle operazioni eseguite in remoto utilizzando MMC.

L'elenco riportato di seguito mostra gli utenti e le relative operazioni consentite.

Virus Scan

Il servizio Virus Scan esegue la scansione per individuare i virus a livello di file system. Quando si accede a un file da un protocollo qualsiasi, il servizio Virus Scan esegue la scansione del file e, se viene rilevato un virus, nega l'accesso e mette il file in quarantena. La scansione viene eseguita da un motore esterno contattato dall'appliance ZFSSA. Il motore esterno non è incluso nel software ZFSSA.

Una volta eseguita la scansione del file con le ultime definizioni dei virus, non vengono eseguite nuove scansioni finché il file non viene modificato. La scansione antivirus viene fornita principalmente per i client SMB che potrebbero introdurre virus. È possibile utilizzare la scansione antivirus anche per i client NFS, ma a causa della modalità di funzionamento del protocollo NFS, non è possibile rilevare un virus rapidamente come nel client SMB.

Motore ritardato per attacchi temporizzati

SMB non implementa alcun motore ritardato per impedire gli attacchi temporizzati. Si basa sulla struttura crittografica di Solaris.

Cifratura dei dati in rete

Il servizio SMB utilizza la versione 1 del protocollo SMB, che non supporta la cifratura dei dati in rete.