Documentação do Oracle Cloud Infrastructure

Criando um Sistema de Arquivos Seguro

Use o Security Advisor para criar um sistema de arquivos seguro no File Storage. Nesse contexto, um sistema de arquivos seguro é criptografado com uma chave gerenciada pelo cliente e, portanto, atende aos requisitos mínimos de segurança estabelecidos pelas zonas de segurança.

Além de criar o sistema de arquivos, você cria a chave do Vault a ser usada para criptografar o sistema de arquivos e, em seguida, designa a chave ao sistema de arquivos. (Você não pode usar o Security Advisor para designar chaves de criptografia existentes, mas pode usar um vault existente para criar uma nova chave.)

O uso do Security Advisor para criar um sistema de arquivos tem algumas limitações. Não é possível usar o Security Advisor para criar um sistema de arquivos com um novo destino de montagem. Você deve reutilizar um ponto de acesso NFS existente.

Outras considerações de segurança existem fora do Security Advisor, como o uso de recursos depois de criá-los. Incentivamos você a aprender mais sobre os recursos e as melhores práticas de segurança do serviço File Storage e, em seguida, implementá-los com os recursos recém-criados. Para obter mais informações, consulte Protegendo o Serviço File Storage e Sobre Segurança.

Usando a Console

Antes de criar um sistema de arquivos seguro, você deve ter as permissões necessárias e um ponto de acesso NFS deve existir.

  1. Abra o menu de navegação , selecione Identidade e Segurança e, em seguida, selecione Security Advisor.
  2. Clique em Criar Sistema de Arquivos Seguro.
  3. Verifique os pré-requisitos para começar e clique em Próximo.
  4. Na página Selecionar Vault, selecione uma das opções a seguir.
    • Para criar uma chave de criptografia principal em um vault existente, selecione Escolher Vault Existente.
    • Para criar uma chave principal de criptografia em um novo vault, selecione Criar Novo Vault.
  5. Dependendo da sua escolha na etapa anterior, execute uma das ações a seguir.
    • Se você optou por usar um vault existente, selecione o compartimento no qual o vault reside e selecione o vault.
    • Se você optou por criar um vault, selecione o compartimento no qual deseja criar o vault e, em seguida, digite um nome para exibição para identificar o vault. Evite digitar informações confidenciais. Opcionalmente, torne o vault um vault privado virtual marcando a caixa de seleção Torná-lo um vault privado virtual. Para obter mais informações sobre tipos de vault, consulte Conceitos de Gerenciamento de Chaves e Segredos.
  6. Clique em Próximo.
  7. Na página Criar Chave, digite um nome para identificar a chave.

    Evite digitar informações confidenciais.

    O valor de Configuração da Chave: Tamanho é fixado em 256 bits para maximizar a segurança com base no tamanho da chave.

    O valor de Forma da Chave: Algoritmo é definido como AES (Advanced Encryption Standard).

  8. (Opcional) Se você estiver usando um vault existente e quiser importar o material da chave para criar uma chave, marque a caixa de seleção Importar chave externa.

    A importação do material da chave exige que você primeiro gere o material da chave e o encapsule usando a chave de encapsulamento pública de um vault. Essa opção não está disponível ao criar um novo vault. Para obter mais informações sobre como importar chaves, consulte Importando Chaves e Versões de Chaves.

  9. Para aplicar tags à chave, clique em Mostrar Opções de Tag.
  10. Clique em Próximo.
  11. Na página Criar Sistema de Arquivos, especifique os atributos do sistema de arquivos.

    • Compartimento: Selecione o compartimento no qual você deseja que o sistema de arquivos reside. Escolha um compartimento que contenha o destino de montagem existente que você deseja usar.

    • Nome: Informe um nome para exibição do sistema de arquivos. O File Storage gera um nome padrão que reflete o ano, o mês, o dia e a hora atuais, usando o formato FileSystem-YYMMDD-HHMM-SS. Se preferir, altere o nome padrão. O nome não precisa ser exclusivo porque um OCID (Oracle Cloud Identifier) identifica exclusivamente o sistema de arquivos. Evite digitar informações confidenciais.

    • Domínio de Disponibilidade: Selecione o domínio de disponibilidade na região atual em que você deseja colocar o sistema de arquivos.

    • Caminho de Exportação: O serviço File Storage cria um caminho de exportação padrão usando o nome do sistema de arquivos. Opcionalmente, substitua o nome do caminho de exportação padrão por um novo nome de caminho precedido por uma barra (/). Por exemplo, /fss. Esse valor especifica o caminho de montagem para o sistema de arquivos (relativo ao endereço IP ou nome do host do ponto de acesso NFS).

      O caminho de exportação deve começar com uma barra (/) seguida por uma sequência de zero ou mais elementos separados por barra. Se houver muitos sistemas de arquivos associados a um único destino de montagem, a sequência do caminho de exportação para o primeiro sistema de arquivos não poderá conter a sequência completa do elemento do caminho da segunda sequência do caminho de exportação do sistema de arquivos. Os caminhos de exportação não podem terminar com uma barra. Nenhum elemento de caminho de exportação pode ser um ponto (.) ou dois pontos em sequência (..). Nenhum caminho de exportação pode exceder 1.024 bytes. Por fim, nenhum elemento do caminho de exportação pode exceder 255 bytes.

      Exemplos válidos:

      • /example e /path
      • /example e /example2

      Exemplos inválidos:

      • /example e /example/path
      • / e /example
      • /example/
      • /example/path/../example1

      Não é possível editar os caminhos de exportação após a criação da exportação. Para usar um caminho de exportação diferente, você deve criar uma nova exportação com o caminho apropriado. Opcionalmente, você poderá excluir a exportação com o caminho antigo.

      Cuidado

      Se um sistema de arquivos associado a um destino de montagem tiver "/" especificado como um caminho de exportação, não será possível associar outro sistema de arquivos a esse destino de montagem.

      Para obter mais informações, consulte Caminhos em Sistemas de Arquivos.

    • Usar Opções de Exportação Segura: Selecione para definir as opções de exportação a fim de exigir que os clientes NFS usem uma porta privilegiada (1-1023) como porta de origem. Essa opção aumenta a segurança porque somente um cliente com privilégios raiz pode usar uma porta de origem privilegiada. Após a criação da exportação, você pode editar as opções de exportação para ajustar a segurança. Para obter mais informações, consulte Como Trabalhar com Opções de Exportação do NFS.

      Cuidado

      Deixar a definição Usar Opções de Exportação Segura desmarcada permite que usuários sem privilégios leiam e alterem qualquer arquivo ou diretório no sistema de arquivos de destino.

    • Selecionar Ponto de Acesso NFS: Os sistemas de arquivos devem ser associados a um ponto de acesso NFS a ser montado por uma instância. Se você não tiver um destino de montagem no domínio de disponibilidade selecionado no compartimento, escolha outro domínio de disponibilidade ou crie o sistema de arquivos em um compartimento e domínio de disponibilidade no qual você tenha um destino de montagem.

    • Mostrar Opções de Tag: Opcionalmente, aplique tags ao sistema de arquivos. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

  12. Clique em Próximo.
  13. (Opcional) Para salvar essa configuração como pilha no Resource Manager, clique em Salvar como pilha.

    Para obter mais informações, consulte Criando uma Pilha em uma Página de Criação de Recurso

  14. Analise o resumo dos recursos que o Security Advisor cria e clique em Criar Sistema de Arquivos Seguro.