Informazioni sulla sicurezza dello storage di file
Il servizio di storage di file utilizza cinque diversi livelli di controllo dell'accesso. Ogni livello dispone delle proprie entità e metodi di autorizzazione separati dagli altri livelli.
Guarda un video sulla sicurezza nello storage di file e consulta la guida sulla sicurezza dello storage di file.
Il livello Oracle Cloud Infrastructure (OCI) utilizza i criteri per controllare le azioni che gli utenti possono eseguire all'interno di Oracle Cloud Infrastructure, come la creazione di istanze, una VCN e le relative regole di sicurezza, destinazioni di accesso e file system.
Il livello Sicurezza di rete controlla gli indirizzi IP o i blocchi CIDR dell'istanza che possono connettersi a un file system host. Utilizza le regole della lista di sicurezza della VCN per consentire o negare il traffico alla destinazione di accesso e, di conseguenza, accedere a qualsiasi file system associato.
Il layer opzione di esportazione NFS consente di applicare il controllo dell'accesso per esportazione del sistema in base all'indirizzo IP di origine che collega il layer di sicurezza di rete e il layer di sicurezza UNIX NFS v.3.
I livelli di sicurezza UNIX NFS v.3 e sicurezza Kerberos NFS v.3 controllano le azioni che gli utenti possono eseguire sull'istanza, ad esempio la lettura e la scrittura di file e directory.
| Questo livello di sicurezza... | Utilizza questi... | Per controllare azioni come... |
|---|---|---|
| Oracle Cloud Infrastructure Identity and Access Management | Utenti e criteri | Creazione di istanze e VCN. Creazione, elenco e associazione di file system e destinazioni di accesso. |
| Sicurezza della rete | Indirizzi IP, blocchi CIDR, liste di sicurezza | Connessione dell'istanza client alla destinazione di accesso. |
| Sicurezza Unix NFS v.3 | Utenti UNIX, bit di modalità file | Lettura e scrittura di file e directory. |
| Sicurezza di NFS v.3 Kerberos | Principi Kerberos mappati agli utenti UNIX, bit di modalità file | Lettura e scrittura di file e directory. |
| Opzioni di esportazione NFS | Esportazioni di file system, indirizzi IP, utenti UNIX | Connessione alla porta di origine con privilegi, lettura e scrittura di file e limitazione dell'accesso utente root per ogni esportazione. |
Oracle Cloud Infrastructure Identity and Access Management
Puoi creare utenti e gruppi in Oracle Cloud Infrastructure. È quindi possibile utilizzare i criteri per specificare quali utenti e gruppi possono creare, accedere o modificare risorse quali file system, destinazioni di accesso, snapshot, connettori in uscita e opzioni di esportazione. Per ulteriori informazioni su come impostare l'accesso, vedere Panoramica di Identity and Access Management.
Sicurezza della rete
Il livello di sicurezza della rete consente di utilizzare i gruppi di sicurezza della rete VCN (NSG) e le regole di sicurezza per bloccare le porte appropriate da indirizzi IP e blocchi CIDR specifici e limitare l'accesso all'host. Tuttavia, è basato su "tutto o niente": il client può o non può accedere alla destinazione di accesso, quindi tutti i file system ad essa associati. Per informazioni generali sui gruppi di sicurezza, sugli elenchi di sicurezza e sulle regole della VCN, vedere Modalità di protezione della rete. Per informazioni specifiche sulle regole di sicurezza necessarie per lo storage dei file, vedere Configuring VCN Security Rules for File Storage.
Sicurezza UNIX NFS v.3
Il servizio di storage di file supporta lo stile AUTH_SYS di autenticazione e controllo delle autorizzazioni per le richieste client NFS remote. Durante l'attivazione dei file system, si consiglia di utilizzare l'opzione -nosuid. Questa opzione disabilita i bit set-user-identifier o set-group-identifier. Agli utenti remoti viene impedito di ottenere privilegi più elevati utilizzando un programma setuid. Per ulteriori informazioni, vedere Attivazione dei file system.
Ricorda che gli utenti di UNIX non sono gli stessi degli utenti di Oracle Cloud Infrastructure: non sono collegati o associati in alcun modo. Il livello dei criteri di Oracle Cloud Infrastructure non regola tutto ciò che accade all'interno del file system, lo fa il livello di sicurezza UNIX. Al contrario, il livello di sicurezza UNIX non regola la creazione di file system o le destinazioni di MOUNT in Oracle Cloud Infrastructure.
Lo storage di file non supporta le liste di controllo dell'accesso (ACL, Access Control List) a livello di file. Sono supportate solo le autorizzazioni user, group e world, inclusi SUID e SGID. Lo storage di file utilizza il protocollo NFSv3, che non include il supporto per le ACL. L'esecuzione di setfacl non riesce nei file system attivati. getfacl restituisce solo le autorizzazioni standard.
Sicurezza di NFS v.3 Kerberos
Il servizio di storage di file supporta l'autenticazione Kerberos tramite RPCSEC_GSS (RFC2203) con le opzioni di sicurezza riportate di seguito.
- KRB5 per l'autenticazione tramite NFS
- KRB5I per l'autenticazione tramite NFS e l'integrità dei dati (modifica non autorizzata dei dati in transito)
- KRB5P per l'autenticazione tramite NFS, l'integrità e la privacy dei dati (crittografia in transito)
Quando Kerberos è configurato per una destinazione di accesso, viene utilizzato per provare l'identità dell'utente che effettua la richiesta. Dopo l'autenticazione, lo storage di file contatta il server LDAP per le informazioni sulle autorizzazioni utilizzate per i controlli delle autorizzazioni. Per ulteriori informazioni, vedere Uso di LDAP per l'autorizzazione e Uso dell'autenticazione Kerberos.
Opzioni di esportazione NFS
Le opzioni di esportazione NFS sono un metodo di applicazione del controllo dell'accesso sia a livello di sicurezza di rete che a livello di sicurezza NFS v.3. È possibile utilizzare le opzioni di esportazione NFS per limitare l'accesso all'esportazione in base agli indirizzi IP o ai blocchi CIDR tramite una destinazione di accesso associata. L'accesso a ciascun file system può essere limitato a un set limitato di client, consentendo la sicurezza dell'ambiente gestito in hosting. Inoltre, è possibile impostare le autorizzazioni del livello di sicurezza NFS v.3 per i file system in sola lettura, lettura/scrittura o root-squash. Per ulteriori informazioni, vedere Utilizzo delle esportazioni e delle opzioni di esportazione NFS.
Cifratura
All'interno di Oracle Cloud Infrastructure
Al momento, per la cifratura del file system sono supportate solo le chiavi AES (Symmetric Advanced Encryption Standard).
In transito tra istanze e file system con MOUNT eseguito
Lo storage di file supporta i due metodi di cifratura in transito riportati di seguito.
- Cifratura in transito su TLS (Transport Layer Security) utilizzando il package o lo stunnel del client
oci-fss-utils - Cifratura in transito che utilizza l'autenticazione Kerberos con l'opzione KRB5P.
La cifratura in transito che utilizza oci-fss-utils o stunnel fornisce un modo per proteggere i dati tra le istanze e i file system attivati utilizzando la cifratura TLS v. 1.2. La crittografia in transito di TLS richiede l'installazione di un pacchetto client sulla tua istanza Linux o stunnel su Windows.
Il pacchetto Linux crea un endpoint NFS, uno spazio di nomi di rete e un'interfaccia di rete. L'installazione e la configurazione di stunnel cifrano le richieste e utilizza un tunnel TLS.
L'autenticazione Kerberos e l'opzione di sicurezza KRB5P, che offre la privacy dei dati (crittografia in transito), consentono di utilizzare la riservatezza su una scala che non è possibile con NFS a TLS. Per ulteriori informazioni, vedere limitazioni e considerazioni sulla cifratura TLS per gli utenti Linux e limitazioni e considerazioni sulla cifratura TLS per gli utenti Windows.