Documentación de Oracle Cloud Infrastructure

Acerca de la seguridad de File Storage

El servicio File Storage utiliza cinco capas diferentes de control de acceso. Cada capa cuenta con sus propias entidades y métodos de autorización, que son independientes del resto de capas.

Consejo

Vea un vídeo sobre la seguridad en File Storage.

La capa de política de Oracle Cloud Infrastructure (OCI) utiliza políticas para controlar lo que los usuarios pueden hacer en Oracle Cloud Infrastructure, como crear instancias, una VCN y sus reglas de seguridad, destinos de montaje y sistemas de archivos.

La capa Seguridad de red controla qué direcciones IP o bloques de CIDR de la instancia pueden conectarse a un sistema de archivos del host. Utiliza las reglas de listas de seguridad de VCN para permitir o denegar el tráfico al destino de montaje y, por lo tanto, acceder a cualquier sistema de archivos asociado.

La capa de opciones de exportación NFS es un método de aplicación de control de acceso por exportación de sistema de archivos basado en la dirección IP de origen que vincula la capa de seguridad de red y la capa de seguridad de NFS v.3 de UNIX.

Las capas NFS v.3 UNIX security y NFS v.3 Kerberos security controlan lo que los usuarios pueden hacer en la instancia, como leer y escribir archivos y directorios.

Esta capa de seguridad... Utiliza... Para controlar acciones como...
Oracle Cloud Infrastructure Identity and Access Management Usuarios y políticas Creación de instancias y VCN. Creación, visualización y asociación de sistemas de archivos y destinos de montaje.
Seguridad de la red Direcciones IP, bloques de CIDR, listas de seguridad Conexión de la instancia de cliente al destino de montaje.
Seguridad de Unix de la versión 3 de NFS Usuarios de UNIX, bits de modo de archivo Lectura y escritura de archivos y directorios.
Seguridad de Kerberos v.3 de NFS Principales de Kerberos asignados a usuarios de UNIX, bits de modo de archivo Lectura y escritura de archivos y directorios.
Opciones de exportación NFS Exportaciones del sistema de archivos, direcciones IP, usuarios UNIX Conexión de puerto de origen con privilegios, lectura y escritura de archivos y limitación del acceso de usuario raíz por exportación.

Oracle Cloud Infrastructure Identity and Access Management

Puede crear usuarios y grupos en Oracle Cloud Infrastructure. A continuación, puede utilizar políticas para especificar qué usuarios y grupos pueden crear, acceder o cambiar recursos como sistemas de archivos, destinos de montaje, instantáneas, conectores de salida y opciones de exportación. Consulte Visión general de Identity and Access Management para obtener más información sobre cómo configurar el acceso.

Seguridad de la red

La capa de seguridad de red permite utilizar grupos de seguridad de red (NSG) y reglas de seguridad de la VCN para bloquear los puertos correspondientes de direcciones IP específicas y bloques de CIDR, y restringir el acceso del host. Sin embargo, se basa en "todo o nada", es decir, el cliente puede o no puede acceder al destino de montaje y, por lo tanto, a todos los sistemas de archivos asociados. Consulte Formas de proteger la red para obtener información general sobre grupos de seguridad, listas de seguridad y reglas de la VCN. Consulte Configuración de reglas de seguridad de VCN para File Storage para obtener información específica sobre las reglas de seguridad necesarias para File Storage.

Seguridad UNIX v.3 de NFS

El servicio File Storage admite el estilo AUTH_SYS de comprobación de permisos y autenticación para solicitudes de cliente NFS remoto. Al montar sistemas de archivos, se recomienda utilizar la opción -nosuid. Esta opción desactiva los bits set-user-identifier o set-group-identifier. Los usuarios remotos no pueden obtener privilegios más altos mediante un programa setuid. Para obtener más información, consulte Montaje de sistemas de archivos.

Recuerde que los usuarios de UNIX no son los mismos que los de Oracle Cloud Infrastructure, no están vinculados ni asociados de ninguna manera. La capa de política de Oracle Cloud Infrastructure no controla nada que ocurra dentro del sistema de archivos, pero sí en la capa de seguridad de UNIX. Por el contrario, la capa de seguridad de UNIX no controla la creación de sistemas de archivos ni los destinos de montaje en Oracle Cloud Infrastructure.

File Storage no soporta listas de control de acceso (ACL) a nivel de archivo. Solo están soportados los permisos user, group y world, incluidos SUID y SGID. File Storage utiliza el protocolo NFSv3, que no incluye soporte para ACL. Se produce un fallo de setfacl en los sistemas de archivos montados. getfacl solo devuelve permisos estándar.

Seguridad de Kerberos v.3 de NFS

El servicio File Storage admite la autenticación de Kerberos mediante RPCSEC_GSS (RFC2203) con las siguientes opciones de seguridad:

  • KRB5 para autenticación a través de NFS
  • KRB5I para la autenticación mediante NFS y la integridad de los datos (modificación no autorizada de los datos en tránsito)
  • KRB5P para la autenticación mediante NFS, integridad de datos y privacidad de datos (cifrado en tránsito)

Cuando Kerberos está configurado para un destino de montaje, se utiliza para probar la identidad del usuario que realiza la solicitud. Después de la autenticación, File Storage se pone en contacto con el servidor LDAP para obtener información sobre los permisos que utiliza para las comprobaciones de autorización. Para obtener más información, consulte Using LDAP for Authorization y Using Kerberos Authentication.

Opciones de exportación NFS

Las opciones de exportación NFS son un método de aplicación de control de acceso tanto en la capa de seguridad de red como en la capa de seguridad NFS v. 3. Puede utilizar opciones de exportación NFS para limitar el acceso a la exportación por direcciones IP o bloques de CIDR a través de un destino de montaje asociado. El acceso a cada sistema de archivos se puede restringir a un juego limitado de clientes, lo que permite la seguridad del entorno alojado gestionado. Además, puede definir permisos de la capa de seguridad de NFS v.3 de solo lectura, lectura/ escritura o root squash para sus sistemas de archivos. Consulte Trabajar con exportaciones y opciones de exportación NFS para obtener más información.

Cifrado

En Oracle Cloud Infrastructure

Todos los datos se cifran cuando están estáticos. Puede dejar todos los asuntos relacionados con el cifrado en Oracle o puede gestionar su propio cifrado mediante el servicio Oracle Cloud Infrastructure Vault. Puede utilizar Vault para crear claves de cifrado maestras y claves de cifrado de datos, rotar claves para generar un nuevo material criptográfico, activar o desactivar claves para su uso en operaciones criptográficas, asignar claves a los sistemas de archivos y utilizar claves para el cifrado y descifrado.
Nota

Actualmente, solo están soportadas las claves simétricas del Estándar de cifrado avanzado (AES) para el cifrado del sistema de archivos.
Para obtener más información, consulte Visión general de Vault.

En tránsito entre instancias y sistemas de archivos montados

File Storage soporta los dos métodos siguientes de cifrado en tránsito:

El cifrado en tránsito mediante oci-fss-utils o stunnel proporciona una manera de proteger los datos entre instancias y sistemas de archivos montados mediante el cifrado TLS versión 1.2. El cifrado en tránsito de TLS requiere la instalación de un paquete de cliente en la instancia de Linux o el túnel en Windows.

El paquete de Linux crea un punto final de NFS, un espacio de nombres de red y una interfaz de red. La instalación y configuración de stunnel cifra solicitudes de forma similar y utiliza un túnel TLS.

La autenticación Kerberos y la opción de seguridad KRB5P, que ofrece privacidad de datos (cifrado en tránsito), le permiten utilizar la confidencialidad a una escala que no es posible con NFS a través de TLS. Para obtener más información, consulte limitaciones y consideraciones del cifrado TLS para usuarios de Linux y limitaciones y consideraciones del cifrado TLS para usuarios de Windows.