Oracle Cloud Infrastructure - Dokumentation

Sicherheit in File Storage

File Storage Service verwendet fünf verschiedene Layer der Zugriffskontrolle. Jeder Layer weist eigene Autorisierungsentitys und Methoden auf, die von den anderen Layern getrennt sind.

Tipp

Sehen Sie sich ein Video zum Thema Sicherheit in File Storage an, und lesen Sie das Sicherheitshandbuch zu File Storage.

Der Oracle Cloud Infrastructure-(OCI-)Policy-Layer verwendet Policys, um zu steuern, welche Funktionen Benutzer in Oracle Cloud Infrastructure ausführen können, wie z.B. das Erstellen von Instanzen, eines VCN und der zugehörigen Sicherheitsregeln, Mountziele und Dateisysteme.

Der Netzwerksicherheitslayer steuert, welche Instanz-IP-Adressen oder CIDR-Blöcke eine Verbindung mit einem Hostdateisystem herstellen können. Er verwendet VCN-Sicherheitslistenregeln, um Traffic zum Mountziel und damit den Zugriff auf jedes verknüpfte Dateisystem zuzulassen oder zu verweigern.

Der NFS-Exportoptionslayer ist ein Verfahren zur Zugriffskontrolle pro Dateisystemexport basierend auf der Quell-IP-Adresse, die den Netzwerksicherheitslayer und NFS v.3-Sicherheitslayer für UNIX verbindet.

Die Schichten NFS v.3 UNIX Security und NFS v.3 Kerberos Security steuern, welche Aktionen Benutzer auf der Instanz ausführen können, wie das Lesen und Schreiben von Dateien und Verzeichnissen.

Dieser Sicherheitslayer... Verwendet diese Elemente... Zum Steuern von Aktionen wie...
Oracle Cloud Infrastructure Identity and Access Management Benutzer und Policys Instanzen und VCNs erstellen Dateisysteme und Mountziele erstellen, auflisten und verknüpfen
Netzwerksicherheit IP-Adressen, CIDR-Blöcke, Sicherheitslisten Clientinstanz mit dem Mountziel verbinden
NFS v. 3-Unix-Sicherheit UNIX-Benutzer, Modusbits Lesen und Schreiben von Dateien und Verzeichnissen.
NFS v.3-Kerberos-Sicherheit Kerberos-Principals, die UNIX-Benutzern zugeordnet sind, Dateimodusbits Lesen und Schreiben von Dateien und Verzeichnissen.
NFS-Exportoptionen Dateisystemexporte, IP-Adressen, UNIX-Benutzer Privilegierte Quellportverbindung, Dateien lesen und schreiben und Root-Benutzerzugriff pro Export einschränken

Oracle Cloud Infrastructure Identity and Access Management

Sie können in Oracle Cloud Infrastructure Benutzer und Gruppen erstellen. Anschließend können Sie Policys verwenden, um anzugeben, welche Benutzer und Gruppen Ressourcen wie Dateisysteme, Mountziele, Snapshots, ausgehende Connectors und Exportoptionen erstellen, aufrufen oder ändern können. Weitere Informationen zum Einrichten des Zugriffs finden Sie unter Überblick über Identity and Access Management.

Netzwerksicherheit

Mit dem Netzwerksicherheitslayer können Sie anhand von VCN-Netzwerksicherheitsgruppen (NSGs) und Sicherheitsregeln die entsprechenden Ports für bestimmte IP-Adressen und CIDR-Blöcke sperren und den Hostzugriff einschränken. Der Client kann entweder auf das Mountziel und damit auf alle ihn zugeordneten Dateisysteme zugreifen oder nicht. Allgemeine Informationen zu VCN-Sicherheitsgruppen, Sicherheitslisten und Regeln finden Sie unter Möglichkeiten zum Sichern des Netzwerks. Weitere Informationen über die für File Storage erforderlichen Sicherheitsregeln finden Sie unter VCN-Sicherheitsregeln für File Storage konfigurieren.

NFS v.3 UNIX-Sicherheit

File Storage Service unterstützt den AUTH_SYS-Stil der Authentifizierung und Berechtigungsprüfung für Remote-NFS-Clientanforderungen. Beim Mounten von Dateisystemen wird empfohlen, die Option -nosuid zu verwenden. Diese Option deaktiviert die set-user-identifier- oder set-group-identifier-Bits. Mit einem setuid-Programm wird verhindert, daß Remotebenutzer höhere Berechtigungen erhalten. Weitere Informationen finden Sie unter Dateisysteme mounten.

Beachten Sie, dass Benutzer in UNIX nicht mit Benutzern in Oracle Cloud Infrastructure identisch sind. Sie sind auf keine Weise miteinander verknüpft oder verbunden. Der Oracle Cloud Infrastructure-Policy-Layer regelt keine der Vorgänge im Dateisystem. Das übernimmt der UNIX-Sicherheitslayer. Umgekehrt steuert der UNIX-Sicherheitslayer nicht das Erstellen von Dateisystemen oder Mountzielen in Oracle Cloud Infrastructure.

File Storage unterstützt keine Access-Control-Listen auf Dateiebene (ACLs). Nur user-, group- und world-Berechtigungen werden unterstützt, einschließlich SUID und SGID. File Storage verwendet das Protokoll NFSv3, das keine Unterstützung für ACLs enthält. setfacl ist auf gemounteten Dateisystemen nicht erfolgreich. getfacl gibt nur Standardberechtigungen zurück.

NFS v.3-Kerberos-Sicherheit

Der File Storage-Service unterstützt die Kerberos-Authentifizierung über RPCSEC_GSS (RFC2203) mit den folgenden Sicherheitsoptionen:

  • KRB5 zur Authentifizierung über NFS
  • KRB5I für Authentifizierung über NFS und Datenintegrität (nicht autorisierte Änderung von Daten während der Übertragung)
  • KRB5P für Authentifizierung über NFS, Datenintegrität und Datenschutz (Verschlüsselung während der Übertragung)

Wenn Kerberos für ein Mountziel konfiguriert ist, wird es verwendet, um die Identität des Benutzers zu beweisen, der die Anforderung erstellt hat. Nach der Authentifizierung kontaktiert File Storage den LDAP-Server für Berechtigungsinformationen, die er für Autorisierungsprüfungen verwendet. Weitere Informationen finden Sie unter LDAP für Autorisierung verwenden und Kerberos-Authentifizierung verwenden.

NFS-Exportoptionen

NFS-Exportoptionen sind ein Verfahren zur Anwendung der Zugriffskontrolle im Netzwerksicherheitslayer und NFS-v.3-Sicherheitslayer. Sie können NFS-Exportoptionen verwenden, um den Zugriff auf den Export durch IP-Adressen oder CIDR-Blöcke über ein verknüpftes Mountziel zu begrenzen. Der Zugriff auf jedes Dateisystem kann auf eine begrenzte Gruppe von Clients beschränkt werden, was die Sicherheit der verwalteten gehosteten Umgebung ermöglicht. Darüber hinaus können Sie für Ihre Dateisysteme Berechtigungen für NFS v.3-Sicherheitslayer für Lesezugriff, Lese-/Schreibzugriff oder Root-Squash festlegen. Weitere Informationen finden Sie unter Mit NFS-Exporten und Exportoptionen arbeiten.

Verschlüsselung

In Oracle Cloud Infrastructure

Alle Daten werden im Ruhezustand verschlüsselt. Sie können die Verschlüsselung Oracle oder Ihre eigene Verschlüsselung mit dem Oracle Cloud Infrastructure Vault-Service verwalten. Mit Vault können Sie Master-Verschlüsselungsschlüssel und Datenverschlüsselungsschlüssel erstellen, Schlüssel rotieren, um neues kryptografisches Material zu generieren, Schlüssel für die Verwendung in Verschlüsselungsvorgängen aktivieren oder deaktivieren, Schlüssel Dateisystemen zuweisen sowie Schlüssel für Verschlüsselung und Entschlüsselung verwenden.
Hinweis

Derzeit werden für die Verschlüsselung eines Dateisystems nur symmetrische Advanced Encryption Standard-(AES-)Schlüssel unterstützt.
Weitere Informationen finden Sie unter Dateisystem verschlüsseln und Überblick über Vault.

Unterwegsbestand zwischen Instanzen und gemounteten Dateisystemen

File Storage unterstützt die folgenden beiden Methoden der Verschlüsselung während der Übertragung:

Die Verschlüsselung während der Übertragung mit oci-fss-utils oder Stunnel bietet eine Möglichkeit, Ihre Daten zwischen Instanzen und gemounteten Dateisystemen mit TLS v.1.2-Verschlüsselung zu sichern. Verschlüsselung während der Übertragung von TLS erfordert die Installation eines Clientpackages auf Ihrer Linux-Instanz oder von stunnel unter Windows.

Das Linux-Package erstellt einen NFS-Endpunkt, einen Netzwerk-Namespace und eine Netzwerkschnittstelle. Durch die Installation und Konfiguration von stunnel werden Anforderungen ähnlich verschlüsselt und ein TLS-Tunnel verwendet.

Mit der Kerberos-Authentifizierung und der Sicherheitsoption KRB5P, die Datenschutz (Verschlüsselung während der Übertragung) bietet, können Sie die Vertraulichkeit in einer Größenordnung verwenden, die mit NFS über TLS nicht möglich ist. Weitere Informationen finden Sie unter Einschränkungen und Überlegungen zur TLS-Verschlüsselung für Linux-Benutzer und Einschränkungen und Überlegungen zur TLS-Verschlüsselung für Windows-Benutzer.