Oracle Cloud Infrastructureドキュメント

セキュリティについて

この項では、ファイル・システムの保護に使用できる様々なメソッドについて説明します。

ヒント

ファイル・ストレージのセキュリティについて「ビデオ」を見てください。

アクセス制御

Oracle Cloud Infrastructure (OCI)のIdentity and Access Management (IAM)」 「ポリシーを使用」:インスタンス、VCNとそのセキュリティ・ルールの作成、ターゲットのマウント、ファイル・システムなど、Oracle Cloud Infrastructure内でユーザーが実行できる操作を制御します。

「ネットワーク・セキュリティ」は、ホスト・ファイルシステムに接続できるインスタンスIPアドレスまたはCIDRブロックを制御します。 VCN 「セキュリティ・リストのルール」を使用して、マウント・ターゲットへのトラフィックを許可または拒否し、関連するファイル・システムにアクセスします。

「NFSエクスポート・オプション」では、ソースIPアドレスに基づいて各ファイルシステム・エクスポートにアクセス制御が適用されます。

「NFS v.3 Unixセキュリティ」では、アプリケーションのインストール、ディレクトリの作成、ローカル・マウント・ポイントによる外部ファイル・システムのマウント、ファイルの読取りと書込みなど、インスタンスに対してユーザーが実行できる操作を制御します。

このセキュリティ・レイヤー... これらを使用... 次のようなアクションを制御する...
Oracle Cloud Infrastructure (Oracle Cloud Infrastructure) OCIユーザーとポリシー インスタンスとVCNの作成。 ファイル・システムの作成、リスト、および関連付け、およびターゲットのマウント。
ネットワーク・セキュリティ IPアドレス、CIDRブロック、セキュリティ・リスト クライアント・インスタンスをマウント・ターゲットに接続します。
NFSエクスポート・オプション ファイル・システムのエクスポート、IPアドレス、Unixユーザー 特権付きソース・ポート接続、ファイルの読み取りと書き込み、およびファイル単位のシステム単位でのrootユーザー・アクセスの制限。
NFS v.3 Unixセキュリティ Unixユーザー、ファイル・モード・ビット ファイル・システムのマウント、ファイルの読み取りと書き込み。

Oracle Cloud Infrastructureでユーザーとグループを作成します。 次に、ポリシーを使用して、ファイル・システム、ターゲットのマウント、およびオプションのエクスポートなど、リソースを作成、アクセス、または変更できるユーザーとグループを指定できます。

ネットワーク・セキュリティ・レイヤーを使用すると、VCNセキュリティ・リストを使用して特定のIPアドレスとCIDRブロックから適切なポートをブロックし、ホスト・アクセスを制限できます。 ただし、これは'all or nothing'ベースです - クライアントはマウント・ターゲットにアクセスできます。したがって、それに関連付けられているすべてのファイル・システムにアクセスできます。 ファイル・システムごとに細かいコントロールを指定するには、「NFSエクスポート・オプションの使用」を参照してください。

ファイル・ストレージ・サービスは、AUTH_UNIX形式の認証と、リモートNFSクライアント・リクエストに対するアクセス権の検査をサポートしています。 ファイル・システムをマウントするときは、-nosuidオプションを使用することをお勧めします。 このオプションは、set-user-identifierビットまたはset-group-identifierビットをディセーブルにします。 リモート・ユーザーは、setuid プログラムを使用してより高い特権を得ることができません。 詳細は、「ファイル・システムのマウント」を参照してください。

UNIXのユーザーは、Oracle Cloud Infrastructureのユーザーとは異なることに注意してください - それらはリンクされておらず、関連付けられていません。 Oracle Cloud Infrastructureポリシー・レイヤーは、ファイルシステム内で発生するものを制御しません。UNIXセキュリティ・レイヤーが制御します。 反対に、UNIXセキュリティ・レイヤーは、Oracle Cloud Infrastructureのファイル・システムの作成やターゲットのマウントを管理しません。

NFSエクスポート・オプションは、ネットワーク・セキュリティ・レイヤーとNFS v.3 Unixセキュリティ・レイヤーでアクセス制御を適用するメソッドです。 NFSエクスポート・オプションを使用して、関連付けられたマウント・ターゲットのエクスポートを介して複数のファイル・システムに接続するIPアドレスまたはCIDRブロックによるアクセス・レベルを制限することができます。 アクセスを制限して、各クライアントのファイル・システムがアクセス不能になり、他方が不可視になり、管理されたホスト環境のセキュリティが可能になります。 さらに、ファイルシステムの読み取り専用、読み取り/書き込み、またはroot-squashのアクセス権を設定できます。 詳細については、「NFSエクスポート・オプションの使用」を参照してください。

暗号化

Oracle Cloud Infrastructure 「ファイル・ストレージ」サービスでは、すべてのファイル・システムが即時に暗号化されます。 デフォルトでは、Oracleで提供される暗号化キーを使用してすべてのファイルシステムが暗号化されます。

「キー管理」サービスを使用して所有し、管理するキーを使用して、すべてのファイルシステムを暗号化することもできます。 詳細は、「Key Managementの概要」を参照してください。 「キー管理」サービスを使用するようにファイル・システムを構成しない場合、または後でファイル・システムからキーを割当て解除した場合、「ファイル・ストレージ」サービスはOracleで提供される暗号化キーをかわりに使用します。 新しいファイルシステムに独自のキーを使用する方法については、「ファイル・システムの作成」を参照してください。 既存のファイル・システムにキーを割り当てる方法またはキーを変更する方法については、「ファイル・システムにキーを割り当てるには」を参照してください。