Acerca de la seguridad de File Storage
El servicio File Storage utiliza cinco capas diferentes de control de acceso. Cada capa cuenta con sus propias entidades y métodos de autorización, que son independientes del resto de capas.
La capa de política de Oracle Cloud Infrastructure (OCI) utiliza políticas para controlar lo que los usuarios pueden hacer en Oracle Cloud Infrastructure, como crear instancias, una VCN y sus reglas de seguridad, destinos de montaje y sistemas de archivos.
La capa Seguridad de red controla qué direcciones IP o bloques de CIDR de la instancia pueden conectarse a un sistema de archivos del host. Utiliza las reglas de listas de seguridad de VCN para permitir o denegar el tráfico al destino de montaje y, por lo tanto, acceder a cualquier sistema de archivos asociado.
La capa de opciones de exportación NFS es un método de aplicación de control de acceso por exportación de sistema de archivos basado en la dirección IP de origen que vincula la capa de seguridad de red y la capa de seguridad de NFS v.3 de UNIX.
Las capas NFS v.3 UNIX security y NFS v.3 Kerberos security controlan lo que los usuarios pueden hacer en la instancia, como leer y escribir archivos y directorios.
Esta capa de seguridad... | Utiliza... | Para controlar acciones como... |
---|---|---|
Oracle Cloud Infrastructure Identity and Access Management | Usuarios y políticas | Creación de instancias y VCN. Creación, visualización y asociación de sistemas de archivos y destinos de montaje. |
Seguridad de la red | Direcciones IP, bloques de CIDR, listas de seguridad | Conexión de la instancia de cliente al destino de montaje. |
Seguridad de Unix de la versión 3 de NFS | Usuarios de UNIX, bits de modo de archivo | Lectura y escritura de archivos y directorios. |
Seguridad de Kerberos v.3 de NFS | Principales de Kerberos asignados a usuarios de UNIX, bits de modo de archivo | Lectura y escritura de archivos y directorios. |
Opciones de exportación NFS | Exportaciones del sistema de archivos, direcciones IP, usuarios UNIX | Conexión de puerto de origen con privilegios, lectura y escritura de archivos y limitación del acceso de usuario raíz por exportación. |
Oracle Cloud Infrastructure Identity and Access Management
Puede crear usuarios y grupos en Oracle Cloud Infrastructure. A continuación, puede utilizar políticas para especificar qué usuarios y grupos pueden crear, acceder o cambiar recursos como sistemas de archivos, destinos de montaje, instantáneas, conectores de salida y opciones de exportación. Consulte Visión general de Identity and Access Management para obtener más información sobre cómo configurar el acceso.
Seguridad de la red
La capa de seguridad de red permite utilizar grupos de seguridad de red (NSG) y reglas de seguridad de la VCN para bloquear los puertos correspondientes de direcciones IP específicas y bloques de CIDR, y restringir el acceso del host. Sin embargo, se basa en "todo o nada", es decir, el cliente puede o no puede acceder al destino de montaje y, por lo tanto, a todos los sistemas de archivos asociados. Consulte Formas de proteger la red para obtener información general sobre grupos de seguridad, listas de seguridad y reglas de la VCN. Consulte Configuración de reglas de seguridad de VCN para File Storage para obtener información específica sobre las reglas de seguridad necesarias para File Storage.
Seguridad UNIX v.3 de NFS
El servicio File Storage admite el estilo AUTH_SYS de comprobación de permisos y autenticación para solicitudes de cliente NFS remoto. Al montar sistemas de archivos, se recomienda utilizar la opción -nosuid
. Esta opción desactiva los bits set-user-identifier o set-group-identifier. Los usuarios remotos no pueden obtener privilegios más altos mediante un programa setuid
. Para obtener más información, consulte Montaje de sistemas de archivos.
Recuerde que los usuarios de UNIX no son los mismos que los de Oracle Cloud Infrastructure, no están vinculados ni asociados de ninguna manera. La capa de política de Oracle Cloud Infrastructure no controla nada que ocurra dentro del sistema de archivos, pero sí en la capa de seguridad de UNIX. Por el contrario, la capa de seguridad de UNIX no controla la creación de sistemas de archivos ni los destinos de montaje en Oracle Cloud Infrastructure.
File Storage no soporta listas de control de acceso (ACL) a nivel de archivo. Solo están soportados los permisos user
, group
y world
, incluidos SUID y SGID. File Storage utiliza el protocolo NFSv3, que no incluye soporte para ACL. Se produce un fallo de setfacl
en los sistemas de archivos montados. getfacl
solo devuelve permisos estándar.
Seguridad de Kerberos v.3 de NFS
El servicio File Storage admite la autenticación de Kerberos mediante RPCSEC_GSS (RFC2203) con las siguientes opciones de seguridad:
- KRB5 para autenticación a través de NFS
- KRB5I para la autenticación mediante NFS y la integridad de los datos (modificación no autorizada de los datos en tránsito)
- KRB5P para la autenticación mediante NFS, integridad de datos y privacidad de datos (cifrado en tránsito)
Cuando Kerberos está configurado para un destino de montaje, se utiliza para probar la identidad del usuario que realiza la solicitud. Después de la autenticación, File Storage se pone en contacto con el servidor LDAP para obtener información sobre los permisos que utiliza para las comprobaciones de autorización. Para obtener más información, consulte Using LDAP for Authorization y Using Kerberos Authentication.
Opciones de exportación NFS
Las opciones de exportación NFS son un método de aplicación de control de acceso tanto en la capa de seguridad de red como en la capa de seguridad NFS v. 3. Puede utilizar opciones de exportación NFS para limitar el acceso a la exportación por direcciones IP o bloques de CIDR a través de un destino de montaje asociado. El acceso a cada sistema de archivos se puede restringir a un juego limitado de clientes, lo que permite la seguridad del entorno alojado gestionado. Además, puede definir permisos de la capa de seguridad de NFS v.3 de solo lectura, lectura/ escritura o root squash para sus sistemas de archivos. Consulte Trabajar con exportaciones y opciones de exportación NFS para obtener más información.
Cifrado
En Oracle Cloud Infrastructure
Actualmente, solo están soportadas las claves simétricas del Estándar de cifrado avanzado (AES) para el cifrado del sistema de archivos.
En tránsito entre instancias y sistemas de archivos montados
File Storage soporta los dos métodos siguientes de cifrado en tránsito:
- Cifrado en tránsito a través de TLS (seguridad de capa de transporte) mediante el paquete de cliente
oci-fss-utils
o stunnel - Cifrado en tránsito mediante autenticación Kerberos con la opción KRB5P
El cifrado en tránsito mediante oci-fss-utils
o stunnel proporciona una manera de proteger los datos entre instancias y sistemas de archivos montados mediante el cifrado TLS versión 1.2. El cifrado en tránsito de TLS requiere la instalación de un paquete de cliente en la instancia de Linux o el túnel en Windows.
El paquete de Linux crea un punto final de NFS, un espacio de nombres de red y una interfaz de red. La instalación y configuración de stunnel cifra solicitudes de forma similar y utiliza un túnel TLS.
La autenticación Kerberos y la opción de seguridad KRB5P
, que ofrece privacidad de datos (cifrado en tránsito), le permiten utilizar la confidencialidad a una escala que no es posible con NFS a través de TLS. Para obtener más información, consulte limitaciones y consideraciones del cifrado TLS para usuarios de Linux y limitaciones y consideraciones del cifrado TLS para usuarios de Windows.