Sicherheit in File Storage
File Storage Service verwendet fünf verschiedene Layer der Zugriffskontrolle. Jeder Layer weist eigene Autorisierungsentitys und Methoden auf, die von den anderen Layern getrennt sind.
Sehen Sie sich ein Video zum Thema Sicherheit in File Storage an, und lesen Sie das Sicherheitshandbuch zu File Storage.
Der Oracle Cloud Infrastructure-(OCI-)Policy-Layer verwendet Policys, um zu steuern, welche Aktionen Benutzer in Oracle Cloud Infrastructure ausführen können, wie z.B. das Erstellen von Instanzen, Erstellen eines VCN und der zugehörigen Sicherheitsregeln, Erstellen von Mountzielen und Dateisystemen.
Der Netzwerksicherheitslayer steuert, welche Instanz-IP-Adressen oder CIDR-Blöcke eine Verbindung mit einem Hostdateisystem herstellen können. Er verwendet VCN-Sicherheitslistenregeln, um Traffic zum Mountziel und damit den Zugriff auf jedes verknüpfte Dateisystem zuzulassen oder zu verweigern.
Der NFS-Exportoptionslayer ist ein Verfahren zur Zugriffskontrolle pro Dateisystemexport basierend auf der Quell-IP-Adresse, die den Netzwerksicherheitslayer und NFS v.3-Sicherheitslayer für UNIX verbindet.
Die Schichten NFS v.3 UNIX Security und NFS v.3 Kerberos Security steuern, welche Aktionen Benutzer auf der Instanz ausführen können, wie das Lesen und Schreiben von Dateien und Verzeichnissen.
| Dieser Sicherheitslayer... | Verwendet diese Elemente... | Zum Steuern von Aktionen wie... |
|---|---|---|
| Oracle Cloud Infrastructure Identity and Access Management | Benutzer und Policys | Instanzen und VCNs erstellen Dateisysteme und Mountziele erstellen, auflisten und verknüpfen |
| Netzwerksicherheit | IP-Adressen, CIDR-Blöcke, Sicherheitslisten | Clientinstanz mit dem Mountziel verbinden |
| NFS v. 3-Unix-Sicherheit | UNIX-Benutzer, Modusbits | Lesen und Schreiben von Dateien und Verzeichnissen. |
| NFS v.3-Kerberos-Sicherheit | Kerberos-Principals, die UNIX-Benutzern zugeordnet sind, Dateimodusbits | Lesen und Schreiben von Dateien und Verzeichnissen. |
| NFS-Exportoptionen | Dateisystemexporte, IP-Adressen, UNIX-Benutzer | Privilegierte Quellportverbindung, Dateien lesen und schreiben und Root-Benutzerzugriff pro Export einschränken |
Oracle Cloud Infrastructure Identity and Access Management
Sie können in Oracle Cloud Infrastructure Benutzer und Gruppen erstellen. Anschließend können Sie Policys verwenden, um anzugeben, welche Benutzer und Gruppen Ressourcen wie Dateisysteme, Mountziele, Snapshots, ausgehende Connectors und Exportoptionen erstellen, aufrufen oder ändern können. Weitere Informationen zum Einrichten des Zugriffs finden Sie unter Überblick über Identity and Access Management.
Netzwerksicherheit
Mit dem Netzwerksicherheitslayer können Sie anhand von VCN-Netzwerksicherheitsgruppen (NSGs) und Sicherheitsregeln die entsprechenden Ports für bestimmte IP-Adressen und CIDR-Blöcke sperren und den Hostzugriff einschränken. Der Zugriff erfolgt jedoch nach "Alles oder nichts" - der Client kann entweder auf das Mountziel und damit auf alle ihm zugeordneten Dateisysteme zugreifen oder nicht. Allgemeine Informationen zu VCN-Sicherheitsgruppen, Sicherheitslisten und Regeln finden Sie unter Möglichkeiten zum Sichern des Netzwerks. Spezifische Informationen zu den Sicherheitsregeln, die für File Storage erforderlich sind, finden Sie unter VCN-Sicherheitsregeln für File Storage konfigurieren.
NFS v.3 UNIX-Sicherheit
File Storage Service unterstützt den AUTH_SYS-Stil der Authentifizierung und Berechtigungsprüfung für NFS-Remoteclientanforderungen. Beim Mounten von Dateisystemen wird empfohlen, die Option -nosuid zu verwenden. Diese Option deaktiviert die set-user-identifier- oder set-group-identifier-Bits. Mit einemsetuid -Programm wird verhindert, dass Remotebenutzer höhere Berechtigungen erhalten. Weitere Informationen finden Sie unter Dateisysteme mounten.
Beachten Sie, dass Benutzer in UNIX nicht mit Benutzern in Oracle Cloud Infrastructure identisch sind. Sie sind auf keine Weise miteinander verknüpft oder verbunden. Der Oracle Cloud Infrastructure-Policy-Layer regelt keine der Vorgänge im Dateisystem. Das übernimmt der UNIX-Sicherheitslayer. Umgekehrt steuert der UNIX-Sicherheitslayer nicht das Erstellen von Dateisystemen oder Mountzielen in Oracle Cloud Infrastructure.
File Storage unterstützt keine Access-Control-Listen auf Dateiebene (ACLs). Nur user-, group- und world-Berechtigungen werden unterstützt, einschließlich SUID und SGID. File Storage verwendet das Protokoll NFSv3, das keine Unterstützung für ACLs enthält. setfacl ist auf gemounteten Dateisystemen nicht erfolgreich. getfacl gibt nur Standardberechtigungen zurück.
NFS v.3-Kerberos-Sicherheit
Der File Storage-Service unterstützt die Kerberos-Authentifizierung über RPCSEC_GSS (RFC2203) mit den folgenden Sicherheitsoptionen:
- KRB5 zur Authentifizierung über NFS
- KRB5I für Authentifizierung über NFS und Datenintegrität (nicht autorisierte Änderung von Daten während der Übertragung)
- KRB5P für Authentifizierung über NFS, Datenintegrität und Datenschutz (Verschlüsselung während der Übertragung)
Wenn Kerberos für ein Mountziel konfiguriert ist, wird damit die Identität des Benutzers nachgewiesen, der die Anforderung stellt. Nach der Authentifizierung kontaktiert File Storage Ihren LDAP-Server, um Berechtigungsinformationen zu erhalten, die er für Autorisierungsprüfungen verwendet. Weitere Informationen finden Sie unter LDAP für Autorisierung verwenden und Kerberos-Authentifizierung verwenden.
NFS-Exportoptionen
NFS-Exportoptionen sind ein Verfahren zur Anwendung der Zugriffskontrolle sowohl auf der Netzwerksicherheitsebene als auch auf der NFS v. 3-Sicherheitsschicht. Mit NFS-Exportoptionen können Sie den Zugriff auf den Export über IP-Adressen oder CIDR-Blöcke über ein verknüpftes Mountziel einschränken. Der Zugriff auf jedes Dateisystem kann auf eine begrenzte Anzahl von Clients beschränkt werden, was die Sicherheit der verwalteten gehosteten Umgebung ermöglicht. Darüber hinaus können Sie Berechtigungen der NFS v.3-Sicherheitsschicht für Lesezugriff, Lese/Schreiben oder Root-Squash für Ihre Dateisysteme festlegen. Weitere Informationen finden Sie unter Mit NFS-Exporten und -Exportoptionen arbeiten.
Verschlüsselung
In Oracle Cloud Infrastructure
Derzeit werden für die Verschlüsselung eines Dateisystems nur symmetrische Advanced Encryption Standard-(AES-)Schlüssel unterstützt.
Unterwegsbestand zwischen Instanzen und gemounteten Dateisystemen
File Storage unterstützt die folgenden beiden Methoden der Verschlüsselung während der Übertragung:
- Verschlüsselung während der Übertragung über TLS (Transport Layer Security) mit dem Clientpackage oder stunnel
oci-fss-utils - Verschlüsselung während der Übertragung mit Kerberos-Authentifizierung mit der Option KRB5P
Die Verschlüsselung während der Übertragung mit oci-fss-utils oder Stunnel bietet eine Möglichkeit, Ihre Daten zwischen Instanzen und gemounteten Dateisystemen mit TLS v.1.2-Verschlüsselung zu sichern. Verschlüsselung während der Übertragung von TLS erfordert die Installation eines Clientpackages auf Ihrer Linux-Instanz oder von stunnel unter Windows.
Das Linux-Package erstellt einen NFS-Endpunkt, einen Netzwerk-Namespace und eine Netzwerkschnittstelle. Durch die Installation und Konfiguration von stunnel werden Anforderungen ähnlich verschlüsselt und ein TLS-Tunnel verwendet.
Mit der Kerberos-Authentifizierung und der Sicherheitsoption KRB5P, die Datenschutz (Verschlüsselung während der Übertragung) bietet, können Sie die Vertraulichkeit in einer Größenordnung verwenden, die mit NFS über TLS nicht möglich ist. Weitere Informationen finden Sie unter Einschränkungen und Überlegungen zur TLS-Verschlüsselung für Linux-Benutzer und Einschränkungen und Überlegungen zur TLS-Verschlüsselung für Windows-Benutzer.