A propos de la sécurité de File Storage
Le service File Storage utilise cinq couches différentes de contrôle d'accès. Chaque couche dispose de ses propres méthodes et entités d'autorisation, qui sont séparées des autres couches.
La couche Stratégie Oracle Cloud Infrastructure (OCI) utilise des stratégies pour contrôler ce que les utilisateurs peuvent faire dans Oracle Cloud Infrastructure, comme la création d'instances, d'un réseau cloud virtuel et de ses règles de sécurité, de cibles de montage et de systèmes de fichiers.
La couche Sécurité réseau contrôle les adresses IP d'instance et les blocs CIDR qui peuvent se connecter à un système de fichiers hôte. Elle utilise les règles de liste de sécurité du réseau cloud virtuel pour autoriser ou refuser le trafic vers la cible de montage, et donc l'accès à tout système de fichiers associé.
La couche Option d'exportation NFS est une méthode d'application du contrôle d'accès par export de système de fichiers sur la base d'une adresse IP source qui gère la couche Sécurité réseau et la couche Sécurité UNIX NFS v.3.
Les couches Sécurité UNIX NFS v.3 et Sécurité Kerberos NFS v.3 contrôlent ce que les utilisateurs peuvent faire sur l'instance, comme la lecture et l'écriture de fichiers et de répertoires.
| Cette couche de sécurité... | Utilise ces méthodes... | Pour contrôler les actions telles que les suivantes... |
|---|---|---|
| Oracle Cloud Infrastructure Identity and Access Management | Stratégies et utilisateurs | Création d'instances et de réseaux cloud virtuels. Création, liste et association de systèmes de fichiers et de cibles de montage. |
| Sécurité réseau | Adresses IP, blocs CIDR, listes de sécurité | Connexion de l'instance client à la cible de montage. |
| Sécurité Unix NFS v.3 | Utilisateurs UNIX, bits de mode de fichier | Lecture et écriture de fichiers et de répertoires. |
| Sécurité Kerberos NFS v.3 | Principaux Kerberos mappés avec des utilisateurs UNIX, bits de mode de fichier | Lecture et écriture de fichiers et de répertoires. |
| Options d'export NFS | Exports de système de fichiers, adresses IP, utilisateurs UNIX | Connexion de port source privilégié, lecture et écriture de fichiers et limitation de l'accès de l'utilisateur racine par exportation. |
Oracle Cloud Infrastructure Identity and Access Management
Vous pouvez créer des utilisateurs et des groupes dans Oracle Cloud Infrastructure. Ensuite, vous pouvez utiliser des stratégies pour indiquer quels utilisateurs et groupes peuvent créer ou modifier des ressources, telles que des systèmes de fichiers, des cibles de montage, des clichés, des connecteurs sortants et des options d'export. Pour en savoir plus sur la configuration de l'accès, reportez-vous à Présentation d'Identity and Access Management.
Sécurité réseau
La couche de sécurité réseau permet d'utiliser les groupes de sécurité réseau et les règles de sécurité du réseau cloud virtuel pour bloquer les ports appropriés à partir d'adresses IP et de blocs CIDR spécifiques, et limiter l'accès à l'hôte. Elle repose toutefois sur la base du "tout ou rien" : le client peut ou ne peut pas accéder à la cible de montage, et donc à tous les systèmes de fichiers qui lui sont associés. Pour obtenir des informations générales sur les règles, les listes de sécurité et les groupes de sécurité de réseau cloud virtuel, reportez-vous à Moyens de sécuriser le réseau. Pour obtenir des informations spécifiques relatives aux règles de sécurité nécessaires pour File Storage, reportez-vous à Configuration des règles de sécurité de réseaux cloud virtuels pour File Storage.
Sécurité UNIX NFS v.3
Le service File Storage prend en charge le style AUTH_SYS d'authentification et de vérification des droits d'accès pour les demandes de clients NFS distants. Lors du montage de systèmes de fichiers, nous recommandons d'utiliser l'option -nosuid. Cette option désactive les bits set-user-identifier ou set-group-identifier. Les utilisateurs distants ne peuvent pas obtenir de privilèges plus élevés à l'aide d'un programme setuid. Pour plus d'informations, reportez-vous à Montage de systèmes de fichiers.
Gardez à l'esprit que les utilisateurs UNIX ne sont pas identiques aux utilisateurs Oracle Cloud Infrastructure : ils ne sont pas liés ni associés. La couche de stratégie Oracle Cloud Infrastructure ne régit pas les actions qui se produisent dans le système de fichiers ; c'est la couche de sécurité UNIX qui s'en occupe. Inversement, la couche de sécurité UNIX ne régit pas la création des systèmes de fichiers et ne monte aucune cible dans Oracle Cloud Infrastructure.
File Storage ne prend pas en charge les listes de contrôle d'accès au niveau du fichier. Seuls les droits d'accès user, group et world sont pris en charge, y compris SUID et SGID. File Storage utilise le protocole NFSv3, qui n'inclut pas la prise en charge des listes de valeurs. setfacl échoue sur les systèmes de fichiers montés. getfacl renvoie uniquement les droits d'accès standard.
Sécurité Kerberos NFS v.3
Le service File Storage prend en charge l'authentification Kerberos via RPCSEC_GSS (RFC2203) avec les options de sécurité suivantes :
- KRB5 pour l'authentification via NFS
- KRB5I pour l'authentification via NFS et l'intégrité des données (modification non autorisée des données en transit)
- KRB5P pour l'authentification via NFS, l'intégrité des données et la confidentialité des données (cryptage en transit)
Lorsque Kerberos est configuré pour une cible de montage, il est utilisé pour prouver l'identité de l'utilisateur qui effectue la demande. Après l'authentification, File Storage contacte le serveur LDAP pour obtenir les informations d'autorisation qu'il utilise pour les vérifications d'autorisation. Pour plus d'informations, reportez-vous aux sections Using LDAP for Authorization et Using Kerberos Authentication.
Options d'export NFS
Les options d'exportation NFS sont une méthode d'application du contrôle d'accès à la couche de sécurité réseau et à la couche de sécurité NFS v.3. Vous pouvez utiliser les options d'export NFS afin de limiter l'accès à l'export en fonction d'adresses IP ou de blocs CIDR par le biais d'une cible de montage associée. L'accès à chaque système de fichiers peut être limité à un ensemble limité de clients, ce qui permet la sécurité des environnements hébergés gérés. Par ailleurs, vous pouvez définir des droits d'accès de couche de sécurité NFS v.3 en lecture seule, lecture/écriture ou root-squash sur vos systèmes de fichiers. Pour plus d'informations, reportez-vous à Utilisation des exports NFS et des options d'export.
Cryptage
Dans Oracle Cloud Infrastructure
Actuellement, seules les clés AES (Advanced Encryption Standard) symétriques sont prises en charge pour le cryptage du système de fichiers.
En transit entre les instances et les systèmes de fichiers montés
File Storage prend en charge les deux méthodes de cryptage en transit suivantes :
- Cryptage en transit sur TLS (Transport Layer Security) à l'aide du package client
oci-fss-utilsou de l'entonnoir - Chiffrement en transit à l'aide de l'authentification Kerberos avec l'option KRB5P
Le cryptage en transit à l'aide de oci-fss-utils ou de l'entonnoir permet de sécuriser les données entre les instances et les systèmes de fichiers montés à l'aide du cryptage TLS 1.2. Le cryptage en transit de TLS nécessite l'installation d'un package client sur l'instance Linux ou de stunnel sous Windows.
Le package Linux crée une adresse NFS, un espace de noms réseau et une interface réseau. De la même manière, l'installation et la configuration de stunnel permettent de crypter les demandes et d'utiliser un tunnel TLS.
L'authentification Kerberos et l'option de sécurité KRB5P, qui offre la confidentialité des données (cryptage en transit), vous permettent d'utiliser la confidentialité à une échelle qui n'est pas possible avec NFS sur TLS. Pour plus d'informations, reportez-vous aux sections limitations et considérations relatives au cryptage TLS pour les utilisateurs Linux et limitations et considérations relatives au cryptage TLS pour les utilisateurs Windows.