Go to main content
Guía de seguridad de Oracle MiniCluster S7-2

Salir de la Vista de impresión

Actualización: Octubre de 2016
 
 

Control de acceso

Para proteger los datos de las aplicaciones, las cargas de trabajo y la infraestructura subyacente en la que funciona todo el sistema, MiniCluster ofrece capacidades de control de acceso completas y flexibles para los usuarios y para los administradores. MiniCluster utiliza Oracle Solaris para una variedad de métodos de control de acceso para los usuarios y las aplicaciones que acceden a los servicios del sistema. Aunque los pares tradicionales de nombre de usuario y contraseña todavía se usan ampliamente, es posible integrar métodos de autenticación más seguros de manera sencilla por medio de la arquitectura de módulos de autenticación conectables (PAM) de Oracle Solaris, que permiten el uso de LDAP, Kerberos y la autenticación de clave pública. El entorno de cálculo de MiniCluster se basa en una utilidad de control de acceso basado en roles (RBAC) completa que permite a las organizaciones tener la flexibilidad de delegar el acceso de usuario o de administrador según sea necesario. Dado que elimina la noción de un superusuario omnipotente, la capacidad RBAC de Oracle Solaris permite la separación de tareas y admite la noción de roles administrativos, autorizaciones, privilegios más específicos y perfiles de derechos, que se usan en conjunto para asignar derechos a usuarios y administradores. RBAC está integrado con otros servicios principales de Oracle Solaris, incluidas la utilidad de gestión de servicios (SMF) de Oracle Solaris y las máquinas virtuales, para proporcionar una arquitectura coherente que permite satisfacer todas las necesidades de control de acceso en el nivel de sistema operativo. MiniCluster utiliza la capacidad RBAC de Oracle Solaris como base para la arquitectura de control de acceso, lo que permite a las organizaciones gestionar, controlar y auditar el acceso al sistema operativo y a la gestión de la virtualización desde una autoridad centralizada. Todas las operaciones esenciales se realizan con un principio de separación de tareas respaldado por un flujo de trabajo de autorización de varias personas. El sistema requiere que dos o más personas aprueben cada operación que conlleve riesgos para la seguridad. De manera colectiva, estas capacidades se pueden usar para proporcionar un alto grado de seguridad con respecto a la identidad de los usuarios y a su manejo de las operaciones comerciales críticas.

Todos los dispositivos del sistema MiniCluster incluyen la capacidad de limitar el acceso de red a los servicios por medio de métodos de arquitectura (por ejemplo, aislamiento de redes) o por medio de listas de control de acceso o filtros de paquetes para limitar la comunicación entre los dispositivos físicos y virtuales, además de los servicios expuestos por el sistema. MiniCluster despliega una postura seguridad por defecto, por medio de la cual ningún servicio, excepto el shell seguro (SSH), puede aceptar tráfico de red entrante. Otros servicios de red activados reciben internamente las solicitudes del sistema operativo Oracle Solaris (zona o máquina virtual). Esto garantiza que todos los servicios de red estén desactivados por defecto o se configuren para recibir solo comunicaciones del sistema local. Las organizaciones tienen la libertad de personalizar esta configuración según sus requisitos. MiniCluster viene preconfigurado con filtros de paquetes de capa de red y de transporte (con estado) que usan la función de filtro IP de Oracle Solaris. El filtro IP ofrece una matriz amplia de capacidades de red basadas en host, incluidos los filtros de paquetes con estado, la traducción de direcciones de red y la traducción de direcciones de puertos.