Documentación de Oracle Cloud Infrastructure

Creación de un sistema de archivos seguro

Utilice Security Advisor para crear un sistema de archivos seguro en File Storage. En este contexto, un sistema de archivos seguro es un sistema cifrado con una clave gestionada por el cliente y, por lo tanto, cumple los requisitos de seguridad mínimos establecidos por las zonas de seguridad.

Además de crear el sistema de archivos, cree la clave de Vault que se utilizará para cifrar el sistema de archivos y, a continuación, asigne la clave al sistema de archivos. (No puede utilizar Security Advisor para asignar claves de cifrado existentes, pero puede utilizar un almacén existente para crear una nueva clave.)

El uso de Security Advisor para crear un sistema de archivos tiene algunas limitaciones. No puede utilizar el asesor de seguridad para crear un sistema de archivos con un nuevo destino de montaje. Debe reutilizar un destino de montaje existente.

Existen otras consideraciones de seguridad fuera del Asesor de Seguridad, como el uso de recursos después de crearlos. Le animamos a que obtenga más información sobre las funciones de seguridad y las mejores prácticas del almacenamiento de archivos y, a continuación, las implante con los recursos recién creados. Para obtener más información, consulte Protección de File Storage y Acerca de la seguridad.

Uso de la consola

Antes de crear un sistema de archivos seguro, debe tener los permisos necesarios y debe existir un destino de montaje.

  1. Abra el menú de navegación , seleccione Identidad y seguridad y, a continuación, seleccione Security Advisor.
  2. Haga clic en Crear sistema de archivos seguro.
  3. Revise los requisitos para comenzar y, a continuación, haga clic en Siguiente.
  4. En la página Seleccionar almacén, seleccione una de las siguientes opciones.
    • Para crear una clave de cifrado maestra en un almacén existente, seleccione Seleccionar almacén existente.
    • Para crear una clave de cifrado maestra en un nuevo almacén, seleccione Crear nuevo almacén.
  5. En función de su elección en el paso anterior, realice una de las siguientes acciones.
    • Si decide utilizar un almacén existente, seleccione el compartimento en el que reside el almacén y, a continuación, seleccione el almacén.
    • Si decide crear un almacén, seleccione el compartimento en el que desea crear el almacén y, a continuación, introduzca un nombre mostrado para identificar el almacén. Evite introducir información confidencial. Si lo desea, haga que el almacén sea un almacén privado virtual seleccionando la casilla de control Convertir en almacén privado virtual. Para obtener más información sobre los tipos de almacén, consulte Conceptos de gestión de claves y secretos.
  6. Haga clic en Next.
  7. En la página Crear clave, introduzca un nombre para identificar la clave.

    Evite introducir información confidencial.

    El valor de Unidad de clave: longitud se fija en 256 bits para maximizar la seguridad en función de la longitud de la clave.

    El valor de Unidad de clave: algoritmo está establecido en Estándar de cifrado avanzado (AES).

  8. (Opcional) Si utiliza un almacén existente y desea importar material de claves para crear una clave, seleccione la casilla de control Importar clave externa.

    Para importar material de claves, primero debe generar el material de claves y encapsularlo mediante una clave de encapsulado pública de un almacén. Esta opción no está disponible cuando se crea un nuevo almacén. Para obtener más información sobre la importación de claves, consulte Importación de claves y versiones de claves.

  9. Para aplicar etiquetas a la clave, haga clic en Mostrar opciones de etiquetado.
  10. Haga clic en Siguiente.
  11. En la página Crear sistema de archivos, especifique los atributos del sistema de archivos.

    • Compartimento: seleccione el compartimento en el que desea que reside el sistema de archivos. Debe seleccionar un compartimento que contenga el destino de montaje existente que desea utilizar.

    • Nombre: Introduzca un nombre mostrado para el sistema de archivos. File Storage genera un nombre por defecto que refleja el año, mes, día y hora actuales con el formato FileSystem-YYMMDD-HHMM-SS. También puede cambiar el nombre por defecto. El nombre no tiene que ser único porque un identificador Oracle Cloud (OCID) identifica de manera única el sistema de archivos. Evite introducir información confidencial.

    • Dominio de disponibilidad: seleccione el dominio de disponibilidad de la región actual en la que desea colocar el sistema de archivos.

    • Ruta de exportación: el servicio File Storage crea una ruta de exportación por defecto con el nombre del sistema de archivos. También puede sustituir el nombre de la ruta de exportación por defecto por un nuevo nombre de la ruta, precedido por una barra (/). Por ejemplo, /fss. Este valor especifica la ruta de montaje del sistema de archivos (relativa a la dirección IP o el nombre de host del destino de montaje).

      La ruta de exportación debe comenzar por una barra (/) seguida de una secuencia de cero o más barras separadas. Si hay muchos sistemas de archivos asociados a un único destino de montaje, la secuencia de ruta de exportación del primer sistema de archivos no puede contener la secuencia de elementos de ruta completa de la segunda secuencia de ruta de exportación del sistema de archivos. Las rutas de exportación no pueden terminar en una barra. Ningún elemento de ruta de exportación puede ser un punto (.) ni dos puntos consecutivos (..). Ninguna ruta de exportación puede superar los 1024 bytes. Finalmente, ningún elemento de ruta de exportación puede superar los 255 bytes.

      Ejemplos válidos:

      • /example y /path
      • /example y /example2

      Ejemplos no válidos:

      • /example y /example/path
      • / y /example
      • /example/
      • /example/path/../example1

      Las rutas de exportación no se pueden editar una vez creada la exportación. Para utilizar una ruta de exportación diferente, debe crear una nueva exportación con la ruta adecuada. Opcionalmente, puede suprimir la exportación con la antigua ruta.

      Atención

      Si en un sistema de archivos asociado a un destino de montaje se especifica "/" como ruta de exportación, no puede asociar otro sistema de archivos a ese destino de montaje.

      Para obtener más información, consulte Rutas en sistemas de archivos.

    • Utilizar opciones de exportación segura: seleccione esta opción para configurar las opciones de exportación y requerir que los clientes NFS utilicen un puerto con privilegios (1-1023) como puerto de origen. Esta opción mejora la seguridad porque solo un cliente con privilegios de raíz puede utilizar un puerto de origen con privilegios. Una vez creada la exportación, puede editar las opciones de exportación para ajustar la seguridad. Para obtener más información, consulte Trabajar con opciones de exportación NFS.

      Atención

      Si no se selecciona la opción Utilizar opciones de exportación segura, los usuarios sin privilegios podrán leer y cambiar cualquier archivo o directorio del sistema de archivos de destino.

    • Seleccionar destino de montaje: los sistemas de archivos se deben asociar a un destino de montaje para que una instancia lo monte. Si no tiene un destino de montaje en el dominio de disponibilidad seleccionado en el compartimento, debe seleccionar un dominio de disponibilidad diferente o crear el sistema de archivos en un compartimento y un dominio de disponibilidad donde tenga un destino de montaje.

    • Mostrar opciones de etiquetado: si lo desea, aplique etiquetas al sistema de archivos. Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.

  12. Haga clic en Siguiente.
  13. (Opcional) Para guardar esta configuración como una pila en Resource Manager, haga clic en Guardar como pila.

    Para obtener más información, consulte Creating a Stack from a Resource Creation Page.

  14. Revise el resumen de los recursos que crea el asesor de seguridad y, a continuación, haga clic en Crear sistema de archivos seguro.