Acerca de la seguridad

Control de acceso

El servicio File Storage utiliza cuatro capas diferentes de control de acceso. Cada capa cuenta con sus propias entidades y métodos de autorización, que son independientes del resto de capas.

Consejo

Vea un vídeo sobre la seguridad en File Storage.

La capa de política de Oracle Cloud Infrastructure (OCI) utiliza políticas para controlar lo que los usuarios pueden hacer en Oracle Cloud Infrastructure, como crear instancias, una VCN y sus reglas de seguridad, destinos de montaje y sistemas de archivos.

La capa Seguridad de red controla qué direcciones IP o bloques de CIDR de la instancia pueden conectarse a un sistema de archivos del host. Utiliza las reglas de listas de seguridad de VCN para permitir o denegar el tráfico al destino de montaje y, por lo tanto, acceder a cualquier sistema de archivos asociado.

La capa de opciones de exportación NFS es un método de aplicación de control de acceso por exportación de sistema de archivos basado en la dirección IP de origen que vincula la capa de seguridad de red y la capa de seguridad de NFS v. 3 de Unix.

La capa de seguridad Unix de la versión 3 de NFS controla lo que pueden hacer los usuarios en la instancia, como la instalación de aplicaciones, la creación de directorios, el montaje de sistemas de archivos externos mediante un punto de montaje local, y la lectura y escritura de archivos.

Esta capa de seguridad... Utiliza... Para controlar acciones como...
Oracle Cloud Infrastructure Identity and Access Management Usuarios y políticas Creación de instancias y VCN. Creación, visualización y asociación de sistemas de archivos y destinos de montaje.
Seguridad de la red Direcciones IP, bloques de CIDR, listas de seguridad Conexión de la instancia de cliente al destino de montaje.
Seguridad de Unix de la versión 3 de NFS Usuarios de Unix, bits de modo de archivo Montaje de sistemas de archivos, lectura y escritura de archivos.
Opciones de exportación NFS Exportaciones del sistema de archivos, direcciones IP, usuarios de Unix Conexión de puerto de origen con privilegios, lectura y escritura de archivos y limitación del acceso de usuario raíz por sistema de archivos.

Oracle Cloud Infrastructure Identity and Access Management

Puede crear usuarios y grupos en Oracle Cloud Infrastructure. A continuación, puede utilizar políticas para especificar qué usuarios y grupos pueden crear, acceder o modificar recursos, como sistemas de archivos, destinos de montaje, instantáneas y opciones de exportación. Consulte Descripción general de gestión de identidad y acceso para obtener más información sobre cómo configurar el acceso.

Seguridad de la red

La capa de seguridad de red permite utilizar grupos de seguridad de red (NSG) y reglas de seguridad de la VCN para bloquear los puertos correspondientes de direcciones IP específicas y bloques de CIDR, y restringir el acceso del host. Sin embargo, se basa en "todo o nada", es decir, el cliente puede o no puede acceder al destino de montaje y, por lo tanto, a todos los sistemas de archivos asociados. Consulte Formas de proteger la red para obtener información general sobre grupos de seguridad, listas de seguridad y reglas de la VCN. Consulte Configuración de reglas de seguridad de VCN para File Storage para obtener información específica sobre las reglas de seguridad necesarias para File Storage.

Seguridad de Unix de la versión 3 de NFS

El servicio File Storage admite el estilo AUTH_UNIX de autenticación y comprobación de permisos para solicitudes de cliente NFS remoto. Al montar sistemas de archivos, se recomienda utilizar la opción -nosuid. Esta opción desactiva los bits set-user-identifier o set-group-identifier. Los usuarios remotos no pueden obtener privilegios superiores mediante un programa setuid. Para obtener más información, consulte Montaje de sistemas de archivos.

Recuerde que los usuarios de UNIX no son los mismos que los de Oracle Cloud Infrastructure, no están vinculados ni asociados de ninguna manera. La capa de política de Oracle Cloud Infrastructure no controla nada que ocurra dentro del sistema de archivos, pero sí en la capa de seguridad de UNIX. Por el contrario, la capa de seguridad de UNIX no controla la creación de sistemas de archivos ni los destinos de montaje en Oracle Cloud Infrastructure.

File Storage no soporta listas de control de acceso (ACL) a nivel de archivo. Solo están soportados los permisos user, group y world. File Storage utiliza el protocolo NFSv3, que no incluye soporte para ACL. Se produce un fallo de setfacl en los sistemas de archivos montados. getfacl solo devuelve permisos estándar.

Nota

Algunas implantaciones pueden ampliar el protocolo NFSv3 y agregar soporte para ACL como parte de un programa rpc independiente.
Ejemplo de error de SETFACL

En este ejemplo, se muestra un ejemplo de error setfacl:

[opc@example setfacl_testing]$ ls -ld test
drwxr--r--. 2 opc opc 0 Jul  2 10:31 test
[opc@example setfacl_testing]$ setfacl -m u:applmgr:r test
setfacl: test: Operation not supported
[opc@example setfacl_testing]$ 
[opc@example setfacl_testing]$ getfacl test
# file: test
# owner: opc
# group: opc
user::rwx
group::r--
other::r--
[opc@example setfacl_testing]$

Opciones de exportación NFS

Las opciones de exportación NFS son un método de aplicación de control de acceso tanto en la capa de seguridad de red como en la capa de seguridad de Unix de la versión 3 de NFS. Puede utilizar las opciones de exportación NFS para limitar los niveles de acceso por direcciones IP o bloques de CIDR que se conectan a varios sistemas de archivos mediante la exportación de un destino de montaje asociado. El acceso se puede restringir de forma que los sistemas de archivos del cliente sean inaccesibles e invisibles entre sí, lo que permite que la seguridad del entorno alojado se pueda gestionar. Además, puede definir permisos de seguridad de NFS v.3 Unix de solo lectura, lectura/escritura o root-squash para sus sistemas de archivos. Consulte Trabajar con opciones de exportación NFS para obtener más información.

Cifrado

En Oracle Cloud Infrastructure

Todos los datos se cifran cuando están estáticos. Puede dejar todos los asuntos relacionados con el cifrado en Oracle o puede gestionar su propio cifrado mediante el servicio Oracle Cloud Infrastructure Vault (KMS). Puede utilizar KMS para crear claves de cifrado maestras y claves de cifrado de datos, rotar claves para generar un nuevo material criptográfico, activar o desactivar claves para su uso en operaciones criptográficas, asignar claves a los sistemas de archivos y utilizar claves para el cifrado y descifrado.
Nota

Actualmente, solo se admiten claves de estándar de cifrado avanzado (AES) simétricas para el cifrado del sistema de archivos.
Para obtener más información, consulte Visión general de Vault.

Entre instancias y sistemas de archivos montados

El cifrado en tránsito proporciona una manera de proteger los datos entre instancias y sistemas de archivos montados mediante el cifrado TLS v. 1.2 (seguridad de capa de transporte).

El cifrado en tránsito se activa al instalar un paquete de cliente en la instancia de Linux o en el túnel en Windows.

El paquete Linux crea un punto final de NFS, un espacio de nombres de red y una interfaz de red. Un proceso de reenvío recibe solicitudes del cliente NFS, las cifra y las envía al destino de montaje mediante un túnel TLS. La instalación y configuración de stunnel cifra de forma similar las solicitudes y utiliza un túnel TLS.

Para obtener más información, consulte Uso del cifrado en tránsito.