Documentazione di Oracle Cloud Infrastructure

Creazione di un file system sicuro

Utilizzare Security Advisor per creare un file system sicuro nello storage di file. In questo contesto, un file system sicuro è un file system cifrato con una chiave gestita dal cliente e pertanto soddisfa i requisiti di sicurezza minimi stabiliti dalle zone di sicurezza.

Oltre a creare il file system, è possibile creare la chiave Vault da utilizzare per cifrare il file system, quindi assegnare la chiave al file system. Non è possibile utilizzare Security Advisor per assegnare chiavi di cifratura esistenti, ma è possibile utilizzare un vault esistente per creare una nuova chiave.

L'utilizzo di Security Advisor per creare un file system presenta alcune limitazioni. Non è possibile utilizzare Security Advisor per creare un file system con una nuova destinazione di accesso. È necessario riutilizzare una destinazione di accesso esistente.

Al di fuori di Security Advisor esistono altre considerazioni sulla sicurezza, ad esempio l'uso delle risorse dopo la creazione. Ti invitiamo a saperne di più sulle funzioni e sulle best practice di sicurezza dello storage di file, quindi a implementarle con le risorse appena create. Per ulteriori informazioni, vedere Protezione dello storage di file e Informazioni sulla sicurezza.

Utilizzo di Console

Prima di creare un file system sicuro, è necessario disporre delle autorizzazioni necessarie e deve esistere una destinazione di accesso.

  1. Aprire il menu di navigazione , selezionare Identità e sicurezza, quindi selezionare Security Advisor.
  2. Fare clic su Create Secure File System.
  3. Rivedere i prerequisiti per iniziare, quindi fare clic su Avanti.
  4. Nella pagina Seleziona vault selezionare una delle opzioni seguenti.
    • Per creare una chiave di cifratura master in un vault esistente, selezionare Scegli vault esistente.
    • Per creare una chiave di cifratura master in un nuovo vault, selezionare Crea nuovo vault.
  5. A seconda della scelta effettuata nel passo precedente, eseguire una delle seguenti azioni.
    • Se si è scelto di utilizzare un vault esistente, selezionare il compartimento in cui risiede il vault, quindi selezionare quello desiderato.
    • Se si è scelto di creare un vault, selezionare il compartimento in cui si desidera creare il vault, quindi immettere un nome visualizzato per identificare il vault. Evitare di fornire informazioni riservate. Facoltativamente, impostare il vault come vault privato virtuale selezionando la casella di controllo Crea vault privato virtuale. Per ulteriori informazioni sui tipi di vault, vedere Concetti di gestione delle chiavi e dei segreti.
  6. Fare clic su Successivo.
  7. Nella pagina Crea chiave immettere un nome per identificare la chiave.

    Evitare di fornire informazioni riservate.

    Il valore di Forma chiave: Lunghezza è fissato a 256 bit per ottimizzare la sicurezza in base alla lunghezza della chiave.

    Il valore di Forma chiave: algoritmo è impostato su Advanced Encryption Standard (AES).

  8. (Facoltativo) Se si utilizza un vault esistente e si desidera importare il materiale chiave per creare una chiave, selezionare la casella di controllo Importa chiave esterna.

    L'importazione del materiale delle chiavi richiede in primo luogo di generare il materiale delle chiavi e di avvolgerlo utilizzando la chiave di wrapping pubblica di un vault. Questa opzione non è disponibile quando si crea un nuovo vault. Per ulteriori informazioni sull'importazione delle chiavi, vedere Importazione di chiavi e versioni delle chiavi.

  9. Per applicare le tag alla chiave, fare clic su Mostra opzioni di applicazione tag.
  10. Fare clic su Successivo.
  11. Nella pagina Crea file system specificare gli attributi del file system.

    • Compartimento: selezionare il compartimento in cui si desidera che risieda il file system. Scegliere un compartimento contenente la destinazione di accesso esistente che si desidera utilizzare.

    • Nome: immettere un nome visualizzato per il file system. Lo storage di file genera un nome predefinito che riflette l'anno, il mese, il giorno e l'ora correnti, utilizzando il formato FileSystem-YYMMDD-HHMM-SS. Facoltativamente, modificare il nome predefinito. Il nome non deve essere univoco perché un OCID (Oracle Cloud Identifier) identifica in modo univoco il file system. Evitare di fornire informazioni riservate.

    • Dominio di disponibilità: selezionare il dominio di disponibilità all'interno dell'area corrente in cui si desidera posizionare il file system.

    • Percorso di esportazione: il servizio di storage di file crea un percorso di esportazione predefinito utilizzando il nome del file system. Facoltativamente, sostituire il nome del percorso di esportazione predefinito con un nuovo nome di percorso, preceduto da una barra (/). Ad esempio, /fss. Questo valore specifica il percorso di accesso al file system (relativo all'indirizzo IP o al nome host della destinazione di accesso).

      Il percorso di esportazione deve iniziare con una barra (/) seguita da una sequenza di zero o più elementi separati da barre. Se a una singola destinazione di accesso sono associati molti file system, la sequenza del percorso di esportazione per il primo file system non può contenere la sequenza completa degli elementi del percorso della sequenza del percorso di esportazione del secondo file system. I percorsi di esportazione non possono terminare con una barra. Nessun elemento del percorso di esportazione può essere un periodo (.) o due periodi in sequenza (..). Nessun percorso di esportazione può superare i 1024 byte. Infine, nessun elemento del percorso di esportazione può superare i 255 byte.

      Esempi validi:

      • /example e /path
      • /example e /example2

      Esempi non validi:

      • /example e /example/path
      • / e /example
      • /example/
      • /example/path/../example1

      Impossibile modificare i percorsi di esportazione dopo la creazione dell'esportazione. Per utilizzare un percorso di esportazione diverso, è necessario creare una nuova esportazione con il percorso appropriato. Facoltativamente, è possibile eliminare l'esportazione con il percorso precedente.

      Attenzione

      Se in un file system associato a una destinazione di accesso è stato specificato '/' come percorso di esportazione, non è possibile associare un altro file system a tale destinazione di accesso.

      Per ulteriori informazioni, vedere Percorsi nei file system.

    • Utilizza opzioni di esportazione sicure: selezionare questa opzione per impostare le opzioni di esportazione in modo da richiedere ai client NFS di utilizzare una porta con privilegi (da 1 a 1023) come porta di origine. Questa opzione migliora la sicurezza perché solo un client con privilegi root può utilizzare una porta di origine con privilegi. Dopo aver creato l'esportazione, è possibile modificare le opzioni di esportazione per modificare la sicurezza. Per maggiori informazioni, vedere Working with NFS Export Options.

      Attenzione

      Se si lascia deselezionata l'impostazione Utilizza opzioni di esportazione sicure, gli utenti senza privilegi possono leggere e modificare qualsiasi file o directory nel file system di destinazione.

    • Seleziona destinazione di accesso: i file system devono essere associati a una destinazione di accesso di cui eseguire il MOUNT da parte di un'istanza. Se non si dispone di una destinazione di accesso nel dominio di disponibilità selezionato nel compartimento, è necessario scegliere un dominio di disponibilità diverso oppure creare il file system in un compartimento e un dominio di disponibilità in cui si dispone di una destinazione di accesso.

    • Mostra opzioni di applicazione tag: è possibile applicare le tag al file system. Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag definita, è necessario disporre delle autorizzazioni per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.

  12. Fare clic su Successivo.
  13. (Facoltativo) Per salvare questa configurazione come stack in Resource Manager, fare clic su Salva come stack.

    Per ulteriori informazioni, vedere Creazione di uno stack da una pagina di creazione di risorse.

  14. Rivedere il riepilogo delle risorse create da Security Advisor, quindi fare clic su Crea file system sicuro.