ファイル・ストレージのセキュリティについて
ファイル・ストレージ・サービスでは、5つの異なるレイヤーのアクセス制御が使用されています。各レイヤーには、その他のレイヤーとは別の独自の認可エンティティおよびメソッドがあります。
Oracle Cloud Infrastructure (OCI)ポリシー・レイヤーは、ポリシーを使用してOracle Cloud Infrastructure内でユーザーが実行できる操作(インスタンス、VCNとそのセキュリティ・ルール、マウント・ターゲット、ファイル・システムの作成など)を制御します。
ネットワーク・セキュリティ・レイヤーによって、ホスト・ファイル・システムに接続できるインスタンスIPアドレスまたはCIDRブロックが制御されます。マウント・ターゲットへのトラフィックを許可または拒否し、その結果関連するファイル・システムへのアクセスを許可するために、VCNのセキュリティ・リスト・ルールが使用されます。
NFSエクスポート・オプション・レイヤーは、ネットワーク・セキュリティ・レイヤーとNFS v.3 UNIXセキュリティ・レイヤーをブリッジするソースIPアドレスに基づいて、ファイル・システムごとのアクセス制御エクスポートを適用する方法です。
NFS v.3 UNIXセキュリティおよびNFS v.3 Kerberosセキュリティ・レイヤーは、ファイルおよびディレクトリの読取りや書込みなど、ユーザーがインスタンスで実行できる操作を制御します。
| セキュリティ・レイヤー... | 使用内容... | 制御するアクション... |
|---|---|---|
| Oracle Cloud Infrastructure Identity and Access Management | ユーザーおよびポリシー | インスタンスおよびVCNの作成。ファイル・システムとマウント・ターゲットの作成、リストおよび関連付け。 |
| ネットワーク・セキュリティ | IPアドレス、CIDRブロック、セキュリティ・リスト | マウント・ターゲットへのクライアント・インスタンスの接続。 |
| NFS v.3 UNIXセキュリティ | UNIXユーザー、ファイルモードビット | ファイルおよびディレクトリの読取りおよび書込み。 |
| NFS v.3 Kerberosセキュリティ | UNIXユーザーにマップされたKerberosプリンシパル、ファイル・モード・ビット | ファイルおよびディレクトリの読取りおよび書込み。 |
| NFSエクスポート・オプション | ファイル・システムのエクスポート、IPアドレス、UNIXユーザー | 特権ソース・ポート接続、ファイルの読取りおよび書込み、エクスポートごとのルート・ユーザー・アクセスの制限。 |
Oracle Cloud Infrastructure Identity and Access Management
Oracle Cloud Infrastructureでユーザーおよびグループを作成できます。ポリシーを使用すると、リソース(ファイル・システム、マウント・ターゲット、スナップショット、アウトバウンド・コネクタ、エクスポート・オプションなど)を作成、アクセスまたは変更できるユーザーおよびグループを指定できます。アクセスの設定方法の詳細は、アイデンティティおよびアクセス管理の概要を参照してください。
ネットワーク・セキュリティ
ネットワーク・セキュリティ・レイヤーを使用すると、VCNネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・ルールを使用して特定のIPアドレスやCIDRブロックから適切なポートをブロックし、ホストへのアクセスを制限できます。ただし、「すべてまたはなし」の基準に基づいています。つまり、クライアントは、マウント・ターゲットにアクセスできるかできないかのいずれかです。VCNセキュリティ・グループ、セキュリティ・リストおよびルールの一般情報は、ネットワークを保護する方法を参照してください。ファイル・ストレージに必要な特定のセキュリティ・ルールの詳細は、ファイル・ストレージに対するVCNセキュリティ・ルールの構成を参照してください。
NFS v.3 UNIXセキュリティー
ファイル・ストレージ・サービスは、リモートNFSクライアント・リクエストのAUTH_SYS形式の認証および権限チェックをサポートしています。ファイル・システムをマウントする際は、-nosuidオプションを使用することをお薦めします。このオプションは、set-user-identifierビットまたはset-group-identifierビットを無効にします。リモート・ユーザーは、setuidプログラムを使用してより高い権限を得ることができません。詳細は、ファイル・システムのマウントを参照してください。
UNIXのユーザーは、Oracle Cloud Infrastructureのユーザーとは異なり、リンクされたり、関連付けられたりしないことに注意してください。Oracle Cloud Infrastructureのポリシー・レイヤーでは、ファイル・システムの内部で行われる処理は制御されず、UNIXセキュリティ・レイヤーで制御されます。逆に、UNIXセキュリティ・レイヤーでは、Oracle Cloud Infrastructureでファイル・システムまたはマウント・ターゲットの作成は行われません。
ファイル・ストレージは、ファイル・レベルのアクセス制御リスト(ACL)をサポートしていません。SUIDおよびSGIDを含む、user、groupおよびworld権限のみがサポートされています。ファイル・ストレージでは、ACLのサポートを含まないNFSv3プロトコルが使用されます。setfaclは、マウントされたファイル・システムでは失敗します。getfaclは、標準権限のみを返します。
NFS v.3 Kerberosセキュリティ
ファイル・ストレージ・サービスでは、次のセキュリティ・オプションを使用して、RPCSEC_GSS (RFC2203)を介したKerberos認証をサポートしています:
- NFSを介した認証の場合はKRB5
- KRB5I: NFSを介した認証およびデータ整合性(転送中のデータの無許可の変更)
- KRB5P: NFSを介した認証、データ整合性およびデータ・プライバシ(転送中暗号化)
Kerberosがマウント・ターゲット用に構成されている場合、リクエストを行うユーザーのアイデンティティを証明するために使用されます。認証後、ファイル・ストレージは、認可チェックに使用する権限情報をLDAPサーバーに接続します。詳細は、「LDAPを使用した認可」および「Kerberos認証の使用」を参照してください。
NFSエクスポート・オプション
NFSエクスポート・オプションは、ネットワーク・セキュリティ・レイヤーとNFS v.3セキュリティ・レイヤーの両方でアクセス制御を適用する方法です。NFSエクスポート・オプションを使用すると、関連付けられたマウント・ターゲットを介して、IPアドレスまたはCIDRブロック別にエクスポートへのアクセスを制限できます。各ファイル・システムへのアクセスは、限定されたクライアント・セットに制限できるため、管理対象のホスト環境セキュリティを実現できます。さらに、ファイル・システムの読取り専用、読取り/書込みまたはroot-squashのNFS v.3セキュリティ・レイヤーの権限を設定できます。詳細は、NFSエクスポートおよびエクスポート・オプションの作業を参照してください。
暗号化
Oracle Cloud Infrastructure内
現在、ファイル・システムの暗号化では、対称Advanced Encryption Standard (AES)キーのみがサポートされています。
インスタンスとマウントされたファイル・システム間の転送中
ファイル・ストレージでは、次の2つの転送中暗号化方法がサポートされています:
oci-fss-utilsクライアント・パッケージまたはスタネルを使用したTLS経由の転送中暗号化(トランスポート・レイヤー・セキュリティ)- KRB5Pオプションを指定したKerberos認証の使用転送中暗号化
oci-fss-utilsまたはstunnelを使用した転送中暗号化では、TLS v. 1.2暗号化を使用して、インスタンスとマウントされたファイル・システムの間でデータを保護できます。TLSの転送中暗号化では、Linuxインスタンスにクライアント・パッケージをインストールするか、Windowsにstunnelをインストールする必要があります。
Linuxパッケージは、NFSエンドポイント、ネットワーク・ネームスペースおよびネットワーク・インタフェースを作成します。stunnelをインストールして構成すると、リクエストも同様に暗号化され、TLSトンネルが使用されます。
データ・プライバシを提供するKerberos認証およびKRB5Pセキュリティ・オプション(転送中暗号化)により、NFS over TLSでは不可能な規模で機密性を使用できます。詳細は、LinuxユーザーのTLS暗号化の制限と考慮事項およびWindowsユーザーのTLS暗号化の制限と考慮事項を参照してください。