ファイル・ストレージのセキュリティについて

ファイル・ストレージ・サービスでは、5つの異なるレイヤーのアクセス制御が使用されています。各レイヤーには、その他のレイヤーとは別の独自の認可エンティティおよびメソッドがあります。

ヒント

ファイル・ストレージのセキュリティに関するビデオを視聴してください。

Oracle Cloud Infrastructure (OCI)ポリシー・レイヤーは、ポリシーを使用してOracle Cloud Infrastructure内でユーザーが実行できる操作(インスタンス、VCNとそのセキュリティ・ルール、マウント・ターゲット、ファイル・システムの作成など)を制御します。

ネットワーク・セキュリティ・レイヤーによって、ホスト・ファイル・システムに接続できるインスタンスIPアドレスまたはCIDRブロックが制御されます。マウント・ターゲットへのトラフィックを許可または拒否し、その結果関連するファイル・システムへのアクセスを許可するために、VCNのセキュリティ・リスト・ルールが使用されます。

NFSエクスポート・オプション・レイヤーは、ネットワーク・セキュリティ・レイヤーとNFS v.3 UNIXセキュリティ・レイヤーをブリッジするソースIPアドレスに基づいて、ファイル・システムごとのアクセス制御エクスポートを適用する方法です。

NFS v.3 UNIXセキュリティおよびNFS v.3 Kerberosセキュリティ・レイヤーは、ファイルおよびディレクトリの読取りや書込みなど、ユーザーがインスタンスで実行できる操作を制御します。

セキュリティ・レイヤー... 使用内容... 制御するアクション...
Oracle Cloud Infrastructure Identity and Access Management ユーザーおよびポリシー インスタンスおよびVCNの作成。ファイル・システムとマウント・ターゲットの作成、リストおよび関連付け。
ネットワーク・セキュリティ IPアドレス、CIDRブロック、セキュリティ・リスト マウント・ターゲットへのクライアント・インスタンスの接続。
NFS v.3 UNIXセキュリティ UNIXユーザー、ファイルモードビット ファイルおよびディレクトリの読取りおよび書込み。
NFS v.3 Kerberosセキュリティ UNIXユーザーにマップされたKerberosプリンシパル、ファイル・モード・ビット ファイルおよびディレクトリの読取りおよび書込み。
NFSエクスポート・オプション ファイル・システムのエクスポート、IPアドレス、UNIXユーザー 特権ソース・ポート接続、ファイルの読取りおよび書込み、エクスポートごとのルート・ユーザー・アクセスの制限。

Oracle Cloud Infrastructure Identity and Access Management

Oracle Cloud Infrastructureでユーザーおよびグループを作成できます。ポリシーを使用すると、リソース(ファイル・システム、マウント・ターゲット、スナップショット、アウトバウンド・コネクタ、エクスポート・オプションなど)を作成、アクセスまたは変更できるユーザーおよびグループを指定できます。アクセスの設定方法の詳細は、アイデンティティおよびアクセス管理の概要を参照してください。

ネットワーク・セキュリティ

ネットワーク・セキュリティ・レイヤーを使用すると、VCNネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・ルールを使用して特定のIPアドレスやCIDRブロックから適切なポートをブロックし、ホストへのアクセスを制限できます。ただし、「すべてまたはなし」の基準に基づいています。つまり、クライアントは、マウント・ターゲットにアクセスできるかできないかのいずれかです。VCNセキュリティ・グループ、セキュリティ・リストおよびルールの一般情報は、ネットワークを保護する方法を参照してください。ファイル・ストレージに必要な特定のセキュリティ・ルールの詳細は、ファイル・ストレージに対するVCNセキュリティ・ルールの構成を参照してください。

NFS v.3 UNIXセキュリティー

ファイル・ストレージ・サービスは、リモートNFSクライアント・リクエストのAUTH_SYS形式の認証および権限チェックをサポートしています。ファイル・システムをマウントする際は、-nosuidオプションを使用することをお薦めします。このオプションは、set-user-identifierビットまたはset-group-identifierビットを無効にします。リモート・ユーザーは、setuidプログラムを使用してより高い権限を得ることができません。詳細は、ファイル・システムのマウントを参照してください。

UNIXのユーザーは、Oracle Cloud Infrastructureのユーザーとは異なり、リンクされたり、関連付けられたりしないことに注意してください。Oracle Cloud Infrastructureのポリシー・レイヤーでは、ファイル・システムの内部で行われる処理は制御されず、UNIXセキュリティ・レイヤーで制御されます。逆に、UNIXセキュリティ・レイヤーでは、Oracle Cloud Infrastructureでファイル・システムまたはマウント・ターゲットの作成は行われません。

ファイル・ストレージは、ファイル・レベルのアクセス制御リスト(ACL)をサポートしていません。SUIDおよびSGIDを含む、usergroupおよびworld権限のみがサポートされています。ファイル・ストレージでは、ACLのサポートを含まないNFSv3プロトコルが使用されます。setfaclは、マウントされたファイル・システムでは失敗します。getfaclは、標準権限のみを返します。

NFS v.3 Kerberosセキュリティ

ファイル・ストレージ・サービスでは、次のセキュリティ・オプションを使用して、RPCSEC_GSS (RFC2203)を介したKerberos認証をサポートしています:

  • NFSを介した認証の場合はKRB5
  • KRB5I: NFSを介した認証およびデータ整合性(転送中のデータの無許可の変更)
  • KRB5P: NFSを介した認証、データ整合性およびデータ・プライバシ(転送中暗号化)

Kerberosがマウント・ターゲット用に構成されている場合、リクエストを行うユーザーのアイデンティティを証明するために使用されます。認証後、ファイル・ストレージは、認可チェックに使用する権限情報をLDAPサーバーに接続します。詳細は、「LDAPを使用した認可」および「Kerberos認証の使用」を参照してください。

NFSエクスポート・オプション

NFSエクスポート・オプションは、ネットワーク・セキュリティ・レイヤーとNFS v.3セキュリティ・レイヤーの両方でアクセス制御を適用する方法です。NFSエクスポート・オプションを使用すると、関連付けられたマウント・ターゲットを介して、IPアドレスまたはCIDRブロック別にエクスポートへのアクセスを制限できます。各ファイル・システムへのアクセスは、限定されたクライアント・セットに制限できるため、管理対象のホスト環境セキュリティを実現できます。さらに、ファイル・システムの読取り専用、読取り/書込みまたはroot-squashのNFS v.3セキュリティ・レイヤーの権限を設定できます。詳細は、NFSエクスポートおよびエクスポート・オプションの作業を参照してください。

暗号化

Oracle Cloud Infrastructure

すべてのデータは保存中に暗号化されます。すべての暗号化関連の問題をOracleに残すことも、Oracle Cloud Infrastructure Vaultサービスを使用して独自の暗号化を管理することもできます。Vaultを使用すると、マスター暗号化キーとデータ暗号化キーを作成し、キーをローテーションして新しい暗号化データを生成したり、暗号化操作で使用するキーを有効化または無効化したり、ファイル・システムにキーを割り当てたり、暗号化と暗号化にキーを使用したりできます。
ノート

現在、ファイル・システムの暗号化では、対称Advanced Encryption Standard (AES)キーのみがサポートされています。
詳細は、ファイル・システムの暗号化およびVaultの概要を参照してください。

インスタンスとマウントされたファイル・システム間の転送中

ファイル・ストレージでは、次の2つの転送中暗号化方法がサポートされています:

oci-fss-utilsまたはstunnelを使用した転送中暗号化では、TLS v. 1.2暗号化を使用して、インスタンスとマウントされたファイル・システムの間でデータを保護できます。TLSの転送中暗号化では、Linuxインスタンスにクライアント・パッケージをインストールするか、Windowsにstunnelをインストールする必要があります。

Linuxパッケージは、NFSエンドポイント、ネットワーク・ネームスペースおよびネットワーク・インタフェースを作成します。stunnelをインストールして構成すると、リクエストも同様に暗号化され、TLSトンネルが使用されます。

データ・プライバシを提供するKerberos認証およびKRB5Pセキュリティ・オプション(転送中暗号化)により、NFS over TLSでは不可能な規模で機密性を使用できます。詳細は、LinuxユーザーのTLS暗号化の制限と考慮事項およびWindowsユーザーのTLS暗号化の制限と考慮事項を参照してください。