À propos de la sécurité du stockage de fichiers
Le service File Storage utilise cinq couches de contrôle d'accès. Chaque couche comporte ses propres entités et méthodes d'autorisation, qui sont séparées des autres couches.
Regardez une vidéo sur la sécurité du service de stockage de fichiers et consultez le guide de sécurité du service de stockage de fichiers.
La couche de politique Oracle Cloud Infrastructure (OCI) utilise des politiques pour contrôler les actions que les utilisateurs peuvent effectuer dans Oracle Cloud Infrastructure, par exemple créer des instances, un réseau VCN et ses règles de sécurité, des cibles de montage et des systèmes de fichiers.
La couche de sécurité du réseau détermine les adresses IP d'instance ou les blocs CIDR qui peuvent se connecter à un système de fichiers hôte. Elle utilise les règles de sécurité de réseau VCN pour autoriser ou refuser le trafic vers la cible de montage et donc l'accès à tout système de fichiers associé.
La couche d'options d'exportation NFS est une méthode permettant d'appliquer le contrôle d'accès par exportation de système de fichiers basée sur l'adresse IP source, qui relie la couche de sécurité réseau et la couche de sécurité NFS v. 3 d'UNIX.
Les couches de sécurité NFS v.3 UNIX et de sécurité NFS v.3 Kerberos contrôlent ce que les utilisateurs peuvent faire sur l'instance, comme la lecture et l'écriture de fichiers et de répertoires.
| Cette couche de sécurité... | Utilise ces éléments... | Pour contrôler des actions comme... |
|---|---|---|
| Service de gestion des identités et des accès pour Oracle Cloud Infrastructure | Utilisateurs et politiques | Création d'instances et de réseaux en nuage virtuels. Création, listage et association de systèmes de fichiers et de cibles de montage. |
| Sécurité du réseau | Adresses IP, blocs CIDR, listes de sécurité | Connexion de l'instance de client à la cible de montage. |
| Sécurité Unix NFS v.3 | Utilisateurs UNIX, bits de mode de fichier | Lecture et écriture de fichiers et de répertoires. |
| Sécurité Kerberos NFS v.3 | Principaux Kerberos mappés aux utilisateurs UNIX, bits de mode fichier | Lecture et écriture de fichiers et de répertoires. |
| Options d'exportation NFS | Exportations de système de fichiers, adresses IP, utilisateurs UNIX | Connexion au port source avec privilèges, lecture et écriture de fichiers, et limitation de l'accès de l'utilisateur racine par exportation. |
Service de gestion des identités et des accès pour Oracle Cloud Infrastructure
Vous créez des utilisateurs et des groupes dans Oracle Cloud Infrastructure. Vous pouvez ensuite utiliser des politiques pour spécifier quels utilisateurs et groupes peuvent créer, modifier ou modifier des ressources telles que des systèmes de fichiers, des cibles de montage, des instantanés, des connecteurs sortants et des options d'exportation. Voir Aperçu du service de gestion des identités et des accès pour en savoir plus sur la configuration de l'accès.
Sécurité du réseau
La couche de sécurité du réseau vous permet d'utiliser des groupes de sécurité de réseau et des règles de sécurité de réseau VCN pour bloquer l'accès de certains ports depuis des adresses IP et des blocs CIDR spécifiques et ainsi restreindre l'accès à l'hôte. Il s'agit d'un accès "tout ou rien", c'est-à-dire que le client peut ou non accéder à la cible de montage, et donc à tous les systèmes de fichiers qui lui sont associés. Voir Méthodes de sécurisation du réseau pour des informations générales sur les groupes de sécurité, les listes de sécurité et les règles du VCN. Voir Configuration de règles de sécurité de réseau VCN pour le service de stockage de fichiers pour plus d'informations sur les règles de sécurité nécessaires pour le service Stockage de fichiers.
Sécurité UNIX NFS v.3
Le service de stockage de fichiers prend en charge le style AUTH_SYS d'authentification et de vérification des autorisations pour les demandes de client NFS distantes. Lors du montage des systèmes de fichiers, nous vous recommandons d'utiliser l'option -nosuid. Cette option désactive les bits set-user-identifier ou set-group-identifier. Les utilisateurs distants ne peuvent pas obtenir des privilèges supérieurs en utilisant un programme setuid . Pour plus d'informations, voir Montage de systèmes de fichiers.
N'oubliez pas que les utilisateurs dans UNIX ne sont pas identiques à ceux d'Oracle Cloud Infrastructure, ils ne sont liés ou associés d'aucune façon. La couche de politique Oracle Cloud Infrastructure ne régit rien de ce qui se produit dans le système de fichiers. Cela relève de la couche de sécurité UNIX. De même, la couche de sécurité UNIX ne régit pas la création de systèmes de fichiers ou de cibles de montage dans Oracle Cloud Infrastructure.
Le service de stockage de fichiers ne prend pas en charge les listes de contrôle d'accès au niveau des fichiers. Seules les autorisations user, group et world sont prises en charge, notamment SUID et SGID. Le service Stockage de fichiers utilise le protocole NFSv3, qui n'inclut pas la prise en charge des LCA. setfacl échoue sur les systèmes de fichiers montés. getfacl ne retourne que les autorisations standard.
Sécurité Kerberos NFS v.3
Le service File Storage prend en charge l'authentification Kerberos au moyen de RPCSEC_GSS (RFC2203) avec les options de sécurité suivantes :
- KRB5 pour l'authentification sur NFS
- KRB5I pour l'authentification sur NFS et l'intégrité des données (modification non autorisée des données en transit)
- KRB5P pour l'authentification sur NFS, l'intégrité des données et la confidentialité des données (chiffrement en transit)
Lorsque Kerberos est configuré pour une cible de montage, il est utilisé pour prouver l'identité de l'utilisateur qui fait la demande. Après l'authentification, File Storage contacte votre serveur LDAP pour obtenir les informations d'autorisation qu'il utilise pour les vérifications d'autorisation. Pour plus d'informations, voir Utilisation de LDAP pour l'autorisation et Utilisation de l'authentification Kerberos.
Options d'exportation NFS
Les options d'exportation NFS permettent d'appliquer un contrôle d'accès à la fois à la couche de sécurité réseau et à la couche de sécurité NFS v.3. Vous pouvez utiliser les options d'exportation NFS pour limiter l'accès à l'exportation par adresses IP ou blocs CIDR au moyen d'une cible de montage associée. L'accès à chaque système de fichiers peut être limité à un jeu limité de clients, ce qui permet une sécurité de l'environnement hébergé géré. De plus, vous pouvez définir des autorisations de la couche de sécurité NFS v.3 pour la lecture seule, la lecture-écriture ou l'écrasement de la racine pour vos systèmes de fichiers. Pour plus d'informations, voir Utilisation des options d'exportation et d'exportation NFS.
Chiffrement
Dans Oracle Cloud Infrastructure
Actuellement, seules les clés AES (Advanced Encryption Standard) symétriques sont prises en charge pour le chiffrement du système de fichiers.
En transit entre des instances et des systèmes de fichiers montés
Le service de stockage de fichiers prend en charge les deux méthodes de chiffrement en transit suivantes :
- Chiffrement en transit par TLS (Sécurité de la couche de transport) à l'aide de l'ensemble client
oci-fss-utilsou de l'étonnoir - Chiffrement en transit à l'aide de l'authentification Kerberos avec l'option KRB5P
Le chiffrement en transit à l'aide de oci-fss-utils ou de l'entonnoir permet de sécuriser vos données entre des instances et des systèmes de fichiers montés à l'aide du chiffrement TLS v.1.2. Le chiffrement en transit de TLS nécessite l'installation d'un ensemble client sur votre instance Linux ou de stunnel sur Windows.
L'ensemble Linux crée un point d'extrémité NFS, un espace de noms de réseau et une interface réseau. L'installation et la configuration de stunnel chiffre de manière similaire les demandes et utilise un tunnel TLS.
L'authentification Kerberos et l'option de sécurité KRB5P, qui offre la confidentialité des données (chiffrement en transit), vous permettent d'utiliser la confidentialité à une échelle qui n'est pas possible avec NFS sur TLS. Pour plus d'informations, voir Limites et considérations relatives au chiffrement TLS pour les utilisateurs Linux et Limites et considérations relatives au chiffrement TLS pour les utilisateurs Windows.