Go to main content
Guida per la sicurezza di Oracle MiniCluster S7-2

Uscire dalla vista stampa

Aggiornato: Ottobre 2016
 
 

Controllo dell'accesso

Per proteggere i dati di applicazione, i carichi di lavoro e l'infrastruttura di esecuzione di base, in MiniCluster sono disponibili funzioni di controllo dell'accesso complete e al contempo flessibili, sia per gli utenti finali che per gli amministratori. MiniCluster si basa su Oracle Solaris per numerosi metodi di controllo dell'accesso per gli utenti e per le applicazioni che accedono ai servizi del sistema. Sebbene le tradizionali coppie nome utente-password siano ancora utilizzate su larga scala, è possibile integrare con facilità metodi di autenticazione più potenti grazie all'architettura PAM (Moduli di autenticazione collegabili, Pluggable Authentication Modules) Oracle Solaris, che consente di usare l'autenticazione LDAP, Kerberos e con chiave pubblica. L'ambiente computazionale di MiniCluster è basato sulla funzione RBAC (Controllo dell'accesso basato su ruoli, Role Based Access Control), che consente alle organizzazioni di delegare l'accesso amministrativo e degli utenti in base alle esigenze. Eliminando la nozione di utente privilegiato con pieni poteri, la funzione RBAC di Oracle Solaris consente di separare i compiti e supporta la nozione di ruoli amministrativi, autorizzazioni, privilegi con filtro e profili utilizzati collettivamente per assegnare i diritti agli utenti e agli amministratori. La funzione RBAC è integrata ad altri servizi di base Oracle Solaris, comprese la funzione SMF (Funzione di gestione dei servizi, Service Management Facility) e le virtual machine, per garantire un'architettura coerente a supporto di tutte le esigenze di controllo dell'accesso a livello di sistema. MiniCluster utilizza la funzione RBAC di Oracle Solaris come elemento di base dell'architettura di controllo dell'accesso, consentendo in questo modo alle organizzazioni di gestire, controllare e sottoporre a controllo l'accesso di gestione del sistema operativo e della virtualizzazione da un'autorità centralizzata. Tutte le operazioni critiche vengono effettuate sulla base del principio di separazione dei compiti supportato da un workflow di autorizzazioni per più persone. Il sistema esige che ogni operazione inerente alla sicurezza venga approvata da due o più persone. Insieme, queste funzioni possono essere utilizzate per offrire un elevato livello di garanzia per l'identità degli utenti e per la gestione delle operazioni business critiche.

Tutti i dispositivi del sistema MiniCluster sono in grado di limitare l'accesso in rete ai servizi mediante metodi architetturali (ad esempio l'isolamento della rete) o l'utilizzo di filtri per i pacchetti e/o delle liste di controllo dell'accesso al fine di limitare la comunicazione verso, da e tra i dispositivi fisici e virtuali, nonché verso i servizi esposti dal sistema. MiniCluster implementa impostazioni di sicurezza predefinite in base alle quali nessun servizio di rete, ad eccezione di Secure Shell (SSH), è abilitato per l'accettazione del traffico di rete in entrata. Gli altri servizi di rete abilitati ascoltano internamente le richieste nell'ambito del sistema operativo (virtual machine o zona) di Oracle Solaris. Ciò garantisce che tutti i servizi di rete siano disabilitati per impostazione predefinita oppure siano impostati per l'ascolto delle sole comunicazioni di sistema locali. Le organizzazioni possono naturalmente personalizzare questa configurazione in base a esigenze specifiche. MiniCluster è preconfigurato con il filtraggio dei pacchetti dei layer di rete e di trasporto (con conservazione dello stato) che utilizza la funzione IP Filter di Oracle Solaris. IP Filter offre numerose funzioni di rete basate su host, tra le quali il filtraggio dei pacchetti con conservazione dello stato, la conversione degli indirizzi di rete e la conversione degli indirizzi di porta.