Informazioni sulla sicurezza dello storage di file
Il servizio di storage di file utilizza cinque diversi livelli di controllo dell'accesso. Ogni livello dispone delle proprie entità e metodi di autorizzazione separati dagli altri livelli.
Guarda un video sulla sicurezza nello storage di file e consulta la guida sulla sicurezza dello storage di file.
Il livello del criterio di Oracle Cloud Infrastructure (OCI) usa i criteri per controllare cosa gli utenti possono fare all'interno di Oracle Cloud Infrastructure, come la creazione di istanze, una VCN e le relative regole di sicurezza, le destinazioni di MOUNT e i file system.
Il layer Sicurezza di rete controlla quali indirizzi IP dell'istanza o blocchi CIDR possono essere connessi a un file system host. Utilizza le regole della lista di sicurezza della VCN per consentire o negare il traffico alla destinazione di accesso e quindi l'accesso a qualsiasi file system associato.
Il layer opzione di esportazione NFS consente di applicare il controllo dell'accesso per esportazione del sistema in base all'indirizzo IP di origine che collega il layer di sicurezza di rete e il layer di sicurezza UNIX NFS v.3.
I livelli di sicurezza UNIX NFS v.3 e sicurezza Kerberos NFS v.3 controllano le azioni che gli utenti possono eseguire sull'istanza, ad esempio la lettura e la scrittura di file e directory.
| Questo livello di sicurezza... | Utilizza questi... | Per controllare azioni come... |
|---|---|---|
| Oracle Cloud Infrastructure Identity and Access Management | Utenti e criteri | Creazione di istanze e VCN. Creazione, elenco e associazione di file system e destinazioni di accesso. |
| Sicurezza della rete | Indirizzi IP, blocchi CIDR, liste di sicurezza | Connessione dell'istanza client alla destinazione di accesso. |
| Sicurezza di NFS v.3 Unix | Utenti UNIX, bit di modalità file | Lettura e scrittura di file e directory. |
| Sicurezza di NFS v.3 Kerberos | Principi Kerberos mappati agli utenti UNIX, bit di modalità file | Lettura e scrittura di file e directory. |
| Opzioni esportazione NFS | Esportazioni di file system, indirizzi IP, utenti UNIX | Connessione alla porta di origine con privilegi, lettura e scrittura di file e limitazione dell'accesso utente root per ogni esportazione. |
Oracle Cloud Infrastructure Identity and Access Management
Puoi creare utenti e gruppi in Oracle Cloud Infrastructure. È quindi possibile utilizzare i criteri per specificare quali utenti e gruppi possono creare, accedere o modificare risorse quali file system, destinazioni di accesso, snapshot, connettori in uscita e opzioni di esportazione. Per ulteriori informazioni su come impostare l'accesso, vedere Panoramica di Identity and Access Management.
Sicurezza della rete
Il livello di sicurezza di rete consente di utilizzare i gruppi di sicurezza di rete VCN (NSG) e le regole di sicurezza per bloccare le porte appropriate da indirizzi IP e blocchi CIDR specifici e limitare l'accesso all'host. Tuttavia, è su una base 'tutto o niente' - il client può o non può accedere alla destinazione di accesso, e quindi tutti i file system associati ad esso. Per informazioni generali sui gruppi di sicurezza, le liste di sicurezza e le regole della VCN, vedere Modalità di protezione della rete. Per informazioni specifiche sulle regole di sicurezza necessarie per lo storage di file, vedere Configurazione delle regole di sicurezza VCN per lo storage di file.
Sicurezza UNIX NFS v.3
Il servizio di storage di file supporta lo stile AUTH_SYS di autenticazione e controllo delle autorizzazioni per le richieste client NFS remote. Quando si attivano i file system, è consigliabile utilizzare l'opzione -nosuid. Questa opzione disabilita i bit set-user-identifier o set-group-identifier. Agli utenti remoti viene impedito di ottenere privilegi più elevati utilizzando un programma setuid. Per ulteriori informazioni, vedere Attivazione dei file system.
Ricorda che gli utenti di UNIX non sono gli stessi degli utenti di Oracle Cloud Infrastructure: non sono collegati o associati in alcun modo. Il livello dei criteri di Oracle Cloud Infrastructure non regola tutto ciò che accade all'interno del file system, lo fa il livello di sicurezza UNIX. Al contrario, il livello di sicurezza UNIX non regola la creazione di file system o le destinazioni di MOUNT in Oracle Cloud Infrastructure.
Lo storage di file non supporta le liste di controllo dell'accesso (ACL, Access Control List) a livello di file. Sono supportate solo le autorizzazioni user, group e world, inclusi SUID e SGID. Lo storage di file utilizza il protocollo NFSv3, che non include il supporto per le ACL. L'esecuzione di setfacl non riesce nei file system attivati. getfacl restituisce solo le autorizzazioni standard.
Sicurezza di NFS v.3 Kerberos
Il servizio di storage di file supporta l'autenticazione Kerberos tramite RPCSEC_GSS (RFC2203) con le opzioni di sicurezza riportate di seguito.
- KRB5 per l'autenticazione tramite NFS
- KRB5I per l'autenticazione tramite NFS e l'integrità dei dati (modifica non autorizzata dei dati in transito)
- KRB5P per l'autenticazione tramite NFS, l'integrità e la privacy dei dati (crittografia in transito)
Quando Kerberos è configurato per una destinazione di accesso, viene utilizzato per provare l'identità dell'utente che effettua la richiesta. Dopo l'autenticazione, lo storage di file contatta il server LDAP per le informazioni sulle autorizzazioni utilizzate per i controlli di autorizzazione. Per ulteriori informazioni, vedere Using LDAP for Authorization e Using Kerberos Authentication.
Opzioni di esportazione NFS
Le opzioni di esportazione NFS sono un metodo per applicare il controllo dell'accesso sia al livello di sicurezza di rete che al livello di sicurezza NFS v.3. È possibile utilizzare le opzioni di esportazione NFS per limitare l'accesso all'esportazione da parte di indirizzi IP o blocchi CIDR tramite una destinazione di accesso associata. L'accesso a ciascun file system può essere limitato a un set limitato di client, garantendo così la sicurezza dell'ambiente gestito in hosting. Inoltre, è possibile impostare le autorizzazioni del livello di sicurezza NFS v.3 per i file system di sola lettura, lettura/scrittura o root-squash. Per ulteriori informazioni, vedere Utilizzo delle opzioni di esportazione e esportazione NFS.
Cifratura
All'interno di Oracle Cloud Infrastructure
Al momento, per la cifratura del file system sono supportate solo le chiavi AES (Symmetric Advanced Encryption Standard).
In transito tra istanze e file system con MOUNT eseguito
Lo storage di file supporta i due metodi di cifratura in transito riportati di seguito.
-
Cifratura in transito su TLS (Transport Layer Security) mediante il pacchetto client
oci-fss-utilso stunnel - Cifratura in transito utilizzando l'autenticazione Kerberos con l'opzione KRB5P
La cifratura in transito che utilizza oci-fss-utils o stunnel fornisce un modo per proteggere i dati tra le istanze e i file system attivati utilizzando la cifratura TLS v. 1.2. La crittografia in transito di TLS richiede l'installazione di un pacchetto client sulla tua istanza Linux o stunnel su Windows.
Il pacchetto Linux crea un endpoint NFS, uno spazio di nomi di rete e un'interfaccia di rete. L'installazione e la configurazione di stunnel cifrano le richieste e utilizza un tunnel TLS.
L'autenticazione Kerberos e l'opzione di sicurezza KRB5P, che offre la privacy dei dati (crittografia in transito), consentono di utilizzare la riservatezza su una scala che non è possibile con NFS a TLS. Per ulteriori informazioni, vedere limitazioni e considerazioni sulla cifratura TLS per gli utenti Linux e limitazioni e considerazioni sulla cifratura TLS per gli utenti Windows.