セキュリティについて

アクセス制御

ファイル・ストレージ・サービスでは、4つの異なるレイヤーのアクセス制御が使用されています。各レイヤーには、その他のレイヤーとは別の独自の認可エンティティおよびメソッドがあります。

ヒント

ファイル・ストレージのセキュリティに関するビデオを視聴してください。

Oracle Cloud Infrastructure (OCI)ポリシー・レイヤーは、ポリシーを使用して、Oracle Cloud Infrastructure内でユーザーが実行できる操作(インスタンス、VCNとそのセキュリティ・ルール、マウント・ターゲット、ファイル・システムの作成など)を制御します。

ネットワーク・セキュリティ・レイヤーによって、ホスト・ファイル・システムに接続できるインスタンスIPアドレスまたはCIDRブロックが制御されます。マウント・ターゲットへのトラフィックを許可または拒否し、その結果関連するファイル・システムへのアクセスを許可するために、VCNのセキュリティ・リスト・ルールが使用されます。

NFSエクスポート・オプション・レイヤーは、ネットワーク・セキュリティ・レイヤーとNFS v.3 UNIXセキュリティ・レイヤーを結ぶソースIPアドレスに基づいて、ファイル・システム・エクスポートごとのアクセス制御を適用する方法です。

NFS v.3 Unixセキュリティ・レイヤーは、アプリケーションのインストール、ディレクトリの作成、ローカル・マウント・ポイントによる外部ファイル・システムのマウント、ファイルの読取りと書込みなど、ユーザーがインスタンスで実行できる操作を制御します。

セキュリティ・レイヤー... 使用内容... 制御するアクション...
Oracle Cloud Infrastructure Identity and Access Management ユーザーおよびポリシー インスタンスおよびVCNの作成。ファイル・システムとマウント・ターゲットの作成、リストおよび関連付け。
ネットワーク・セキュリティ IPアドレス、CIDRブロック、セキュリティ・リスト マウント・ターゲットへのクライアント・インスタンスの接続。
NFS v.3 UNIXセキュリティ UNIXユーザー、ファイル・モード・ビット ファイル・システムのマウント、ファイルの読取りおよび書込み。
NFSエクスポート・オプション ファイル・システム・エクスポート、IPアドレス、UNIXユーザー 特権ソース・ポート接続、ファイルの読取りおよび書込み、ファイル・システムごとのルート・ユーザー・アクセスの制限。

Oracle Cloud Infrastructure Identity and Access Management

Oracle Cloud Infrastructureでユーザーおよびグループを作成できます。次に、ポリシーを使用して、ファイル・システム、マウント・ターゲット、スナップショットなどのリソースおよびエクスポート・オプションを、作成、アクセスまたは変更できるユーザーおよびグループを指定できます。アクセスの設定方法の詳細は、Identity and Access Managementの概要を参照してください。

ネットワーク・セキュリティ

ネットワーク・セキュリティ・レイヤーを使用すると、VCNネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・ルールを使用して特定のIPアドレスやCIDRブロックから適切なポートをブロックし、ホストへのアクセスを制限できます。ただし、「すべてまたはなし」の基準に基づいています。つまり、クライアントは、マウント・ターゲットにアクセスできるかできないかのいずれかです。アクセスできるクライアントでは、マウント・ターゲットに関連付けられているすべてのファイル・システムにアクセスできます。VCNセキュリティ・グループ、セキュリティ・リストおよびルールの一般情報は、ネットワークを保護する方法を参照してください。ファイル・ストレージに必要な特定のセキュリティ・ルールの詳細は、ファイル・ストレージに対するVCNセキュリティ・ルールの構成を参照してください。

NFS v.3 UNIXセキュリティ

ファイル・ストレージ・サービスは、リモートNFSクライアント・リクエストのAUTH_UNIX形式の認証および権限チェックをサポートしています。ファイル・システムをマウントする際は、-nosuidオプションを使用することをお薦めします。このオプションは、set-user-identifierビットまたはset-group-identifierビットを無効にします。リモート・ユーザーは、setuidプログラムを使用してより高い権限を取得することはできません。詳細は、ファイル・システムのマウントを参照してください。

UNIXのユーザーは、Oracle Cloud Infrastructureのユーザーとは異なり、リンクされたり、関連付けられたりしないことに注意してください。Oracle Cloud Infrastructureのポリシー・レイヤーでは、ファイル・システムの内部で行われる処理は制御されず、UNIXセキュリティ・レイヤーで制御されます。逆に、UNIXセキュリティ・レイヤーでは、Oracle Cloud Infrastructureでファイル・システムまたはマウント・ターゲットの作成は行われません。

ファイル・ストレージでは、ファイル・レベルのアクセス制御リスト(ACL)はサポートされません。usergroupおよびworld権限のみがサポートされています。ファイル・ストレージで使用されるNFSv3プロトコルにはACLのサポートは含まれません。setfaclは、マウントされたファイル・システムでは失敗します。getfaclでは、標準の権限しか返されません。

ノート

一部の実装では、NFSv3プロトコルを拡張して、個別のrpcプログラムの一部としてACLのサポートを追加できます。
SETFACLエラーの例

これは、setfaclエラーの例です:

[opc@example setfacl_testing]$ ls -ld test
drwxr--r--. 2 opc opc 0 Jul  2 10:31 test
[opc@example setfacl_testing]$ setfacl -m u:applmgr:r test
setfacl: test: Operation not supported
[opc@example setfacl_testing]$ 
[opc@example setfacl_testing]$ getfacl test
# file: test
# owner: opc
# group: opc
user::rwx
group::r--
other::r--
[opc@example setfacl_testing]$

NFSエクスポート・オプション

NFSエクスポート・オプションは、ネットワーク・セキュリティ・レイヤーとNFS v.3 UNIXセキュリティ・レイヤーの両方でアクセス制御を適用する方法です。NFSエクスポート・オプションを使用すると、関連付けられたマウント・ターゲットのエクスポートを介して複数のファイル・システムに接続するIPアドレスまたはCIDRブロックでアクセス・レベルを制限できます。各クライアントのファイル・システムへのアクセスを不可にし、他のユーザーに表示されなくなるようにアクセスを制限できます。これにより、ホストされた環境のセキュリティの管理が可能になります。さらに、ファイル・システムの読取り専用、読取り/書込みまたはroot-squashに関してNFS v.3 Unixのセキュリティ権限を設定できます。詳細は、NFSエクスポート・オプションの作業を参照してください。

暗号化

Oracle Cloud Infrastructure

すべてのデータは保存中に暗号化されます。すべての暗号化関連の内容をOracleが設定することも、Oracle Cloud Infrastructure Vault (KMS)サービスを使用してユーザー独自の暗号化を管理することもできます。KMSを使用すると、マスター暗号化キーとデータ暗号化キーを作成し、キーをローテーションして新しい暗号化データを生成したり、暗号化操作で使用するキーを有効化または無効化したり、ファイル・システムにキーを割り当てたり、暗号化と復号化にキーを使用したりできます。
ノート

現在、対称Advanced Encryption Standard (AES)キーのみがファイル・システム暗号化でサポートされています。
詳細は、ボールトの概要を参照してください。

インスタンスとマウントされたファイル・システム間

転送中暗号化では、TLS v. 1.2 (Transport Layer Security)暗号化を使用して、インスタンスとマウントされたファイル・システムの間でデータを保護できます。

転送中暗号化を有効にするには、クライアント・パッケージをLinuxインスタンスにインストールするか、またはWindowsでトンネルをインストールします。

Linuxパッケージは、NFSエンドポイント、ネットワーク・ネームスペースおよびネットワーク・インタフェースを作成します。転送プロセスはNFSクライアントからリクエストを受信し、暗号化してTLSトンネルを使用してそれらをマウント・ターゲットに送信します。スタネルをインストールおよび構成すると、リクエストを同様に暗号化し、TLSトンネルを使用します。

詳細は、転送中暗号化の使用を参照してください。