Protección de File Storage

El servicio File Storage expone un punto final de NFSv3 como un destino de montaje en la subred de VCN de cada cliente. El destino de montaje se identifica mediante un nombre de DNS y se asigna a una dirección IP. Oracle recomienda utilizar las listas de seguridad de VCN (de la subred del destino de montaje) para configurar el acceso de red al destino de montaje solo desde direcciones IP autorizadas.

Puede montar un sistema de archivos mediante la consola o desde una línea de comandos de Linux mediante utilidades de NFS. Puede autorizar que los usuarios monten sistemas de archivos con las políticas de seguridad de IAM, pero esto solo se aplica a la consola.

Para la duración de los datos, Oracle recomienda que tome instantáneas periódicas del sistema de archivos. Para minimizar la supresión accidental de los datos, restrinja el conjunto de usuarios que tienen privilegios para suprimir destinos de montaje, sistemas de archivos e instantáneas.

Todos los datos del sistema de archivos se cifran cuando están inactivos.

El acceso a los sistemas de archivos NFS montados desde un host remoto está determinado por los permisos de usuario y grupo de POSIX. Oracle recomienda que utilice las mejores prácticas de seguridad NFS conocidas, como la opción all_squash para asignar todos los usuarios a nfsnobody y las ACL de NFS para aplicar el control de acceso al sistema de archivos montado.

Ejemplos de política de seguridad

Impedir la supresión de sistemas de archivos y destinos de montaje

El siguiente ejemplo evita que el grupo FileUsers suprima destinos de montaje y sistemas de archivos.

Allow group FileUsers to manage file-systems in tenancy
 where request.permission!='FILE_SYSTEM_DELETE' 
Allow group FileUsers to manage mount-targets in tenancy
 where request.permission!='MOUNT_TARGET_DELETE' 
Allow group FileUsers to manage export-sets in tenancy
 where request.permission!='EXPORT_SET_DELETE'