Utilisation du cryptage TLS en transit
Le cryptage en transit à l'aide de oci-fss-utils
ou de stunnel permet de sécuriser les données entre les instances et les systèmes de fichiers montés à l'aide du cryptage TLS v.1.2 (Transport Layer Security). Associé à d'autres méthodes de sécurité comme Oracle Cloud Infrastructure Vault et le cryptage au repos de File Storage, le cryptage en transit offre une sécurité de bout en bout.
Si vous utilisez Kerberos pour l'authentification, l'option de sécurité KRB5P fournit l'authentification sur NFS, l'intégrité des données (modification non autorisée des données en transit) et la confidentialité des données en tant qu'autre option de chiffrement en transit.
- Pour obtenir des informations générales sur les premiers pas avec les systèmes de fichiers, reportez-vous à Présentation de File Storage.
- Pour plus d'informations sur le service Vault, reportez-vous à Présentation de Vault.
- Pour plus d'informations sur la sécurisation de votre système de fichiers, reportez-vous à A propos de la sécurité de File Storage et à la référence Sécurisation de File Storage du guide de sécurité.
Le cryptage en transit à l'aide de oci-fss-utils
ou de stunnel ne nécessite aucune mise à jour de la configuration d'export ou de cible de montage de votre système de fichiers, mais les étapes diffèrent pour les utilisateurs Linux et les utilisateurs Windows.
Prérequis
Ajoutez les nouvelles règles suivantes à la liste de sécurité pour le sous-réseau de la cible de montage. Vous pouvez également ajouter les règles suivantes à un groupe de sécurité réseau, puis ajouter la cible de montage au groupe. Pour plus d'informations et d'instructions sur l'ajout de règles de liste de sécurité pour File Storage, reportez-vous à Configuration des règles de sécurité de réseaux cloud virtuels pour File Storage.
- Une règle entrante avec conservation de statut autorisant le trafic TCP vers une plage de ports de destination de 2051.
- Une règle sortante avec conservation de statut autorisant le trafic TCP à partir d'une plage de ports source de 2051.
L'accès standard (non crypté) aux cibles de montage File Storage requiert l'accès aux ports suivants :
- Entrée avec conservation de statut sur les ports TCP 111, 2048, 2049 et 2050
- Entrée avec conservation de statut sur les ports UDP 111 et 2048
- Sortie avec conservation de statut des ports TCP 111, 2048, 2049 et 2050
- Sortie avec conservation de statut du port UDP 111
Si vous avez déjà configuré des règles pour l'accès standard et que vous voulez mettre en application un accès crypté uniquement, vous pouvez désactiver les ports d'accès standard.
Seules les règles sur le port TCP 2051 sont requises pour l'accès crypté.
Cryptage en transit pour les utilisateurs Linux
Pour activer le cryptage en transit, vous devez installer un package nommé oci-fss-utils
sur l'instance. oci-fss-utils
est disponible pour les types d'instance suivants :
Type d'instance | RPM |
---|---|
Oracle Linux, CentOS 7 x86 | oci-fss-utils-3.0-0.el7.x86_64.rpm |
Oracle Linux, CentOS 8 x86 | oci-fss-utils-3.0-0.el8.x86_64.rpm |
Oracle Linux, CentOS 7 Arm* | oci-fss-utils-3.0-0.el7.aarch64.rpm |
Oracle Linux, CentOS 8 Arm* | oci-fss-utils-3.0-0.el8.aarch64.rpm |
*Oracle propose une plate-forme de calcul reposant sur Arm et basée sur le processeur Ampere Altra. Pour plus d'informations, reportez-vous à Calcul reposant sur Arm.
Mode d'activation du cryptage en transit
Le package oci-fss-utils
crée un espace de noms réseau et une interface réseau virtuelle sur l'instance, et fournit une adresse NFS locale. Le package oci-fss-utils
exécute également un processus retransmetteur en arrière-plan nommé oci-fss-forwarder
.
L'espace de noms réseau isole le processus retransmetteur de l'environnement réseau de l'instance. L'interface réseau virtuelle fournit une adresse IP unique au processus retransmetteur. L'adresse NFS locale fournit la fonction de connexion NFS.
Le système de fichiers est monté à l'aide d'une commande spéciale qui lance le cryptage. Une fois le système de fichiers monté, le processus oci-fss-forwarder
connecte le client NFS local à l'adresse NFS. Le processus reçoit ensuite des demandes du client NFS, les crypte et les envoie à la cible de montage à l'aide d'un tunnel TLS.
Les étapes générales de configuration du cryptage en transit sont les suivantes :
- Veillez à respecter les prérequis avant de configurer le cryptage en transit.
- Téléchargez le package
oci-fss-utils
. Pour obtenir des instructions, reportez-vous à Tâche 1 : téléchargement du package OCI-FSS-UTILS. - Installez le package
oci-fss-utils
sur l'instance. Pour obtenir des instructions, reportez-vous à Tâche 2 : installation du package OCI-FSS-UTILS sur Oracle Linux ou CentOS. - Utilisez la commande de cryptage en transit pour monter le système de fichiers. Pour obtenir des instructions, reportez-vous à Tâche 3 : montage du système de fichiers à l'aide de la commande de cryptage
Limites et remarques
- Le package d'installation du cryptage en transit est distribué en tant que RPM pour Oracle Linux et CentOS, et peut être téléchargé à l'adresse cloud-infrastructure-file-storage-downloads.html
- Vous devez installer le package
oci-fss-utils
sur chaque instance qui requiert un accès crypté à une cible de montage. - Le nombre de connexions NFS/TLS cryptées pour une cible de montage unique est limité à 64. Cette limite est due aux exigences de mémoire TLS. Contrairement aux connexions NFS, les connexions TLS ne partagent pas de mémoire tampon. Ainsi, une fois qu'une connexion TLS est établie, la mémoire allouée reste dédiée à cette connexion.
- Les noms d'hôte DNS ne sont pas pris en charge pour le montage de systèmes de fichiers cryptés avec
oci-fss-forwarder
. Utilisez l'adresse IP de cible de montage pour monter des systèmes de fichiers cryptés.
Si vous n'utilisez pas la dernière version du package
oci-fss-utils
, des échecs de connexion SSL peuvent survenir. Les échecs de connexion SSL peuvent entraîner l'échec des opérations NFSv3. Nous vous recommandons de toujours effectuer la mise à niveau vers la dernière version du package oci-fss-utils
dès qu'elle est disponible. Reportez-vous à Notes sur la version de File Storage pour plus d'informations sur les nouvelles versions de RPM.
Configuration du cryptage en transit pour Linux
Un accès Internet est requis pour télécharger le package d'installation RPM. Si l'instance de destination ne dispose pas d'un accès Internet, vous pouvez télécharger le RPM vers une instance intermédiaire sur le réseau, puis utiliser la commande scp
pour copier en toute sécurité le RPM à partir de l'instance intermédiaire vers l'instance de destination.
La commande scp
requiert une paire de clés SSH pour authentifier un utilisateur distant. Si vos instances sont des systèmes de type UNIX, l'utilitaire ssh-keygen
est probablement déjà installé. Pour déterminer s'il est installé, ouvrez un shell ou un terminal, puis saisissez ssh-keygen
sur la ligne de commande. S'il n'est pas installé, vous pouvez obtenir OpenSSH pour UNIX sur http://www.openssh.com/portable.html.
-
(Facultatif) Créez un répertoire pour le package d'installation RPM sur l'instance de destination. Par exemple :
sudo mkdir -p /<rpm_directory_name>
-
Téléchargez le package
oci-fss-utils
à l'adresse cloud-infrastructure-file-storage-downloads.html dans le répertoire de l'instance de destination ou dans une instance intermédiaire sur le réseau.Si vous avez téléchargé le package directement sur l'instance de destination, ignorez l'étape suivante et passez directement à Tâche 2 : installation du package OCI-FSS-UTILS sur Oracle Linux ou CentOS.
Si vous avez téléchargé le package vers une instance intermédiaire, passez à l'étape suivante de ces instructions.
-
Ouvrez une fenêtre de terminal sur l'instance intermédiaire et utilisez la commande
scp
pour copier le RPM de l'instance intermédiaire vers l'instance de destination en toute sécurité. Par exemple :scp -i <private_key> <path_to_.rpm> <username>@<destination-public-ip-address>:/<rpm_directory_name>
Une fois le package RPM téléchargé vers l'instance cible, passez à Tâche 2 : installation du package OCI-FSS-UTILS sur Oracle Linux ou CentOS.
- Ouvrez une fenêtre de terminal sur l'instance de destination.
-
Installez le package à l'aide de la commande suivante :
sudo yum localinstall oci-fss-utils-<version>.rpm
Le package crée un espace de noms appelé ns1
dans votre instance, qui contient une interface réseau par défaut pour le trafic Ethernet. Une paire d'interfaces réseau est créée pour chaque cible de montage.
Une fois l'installation du package terminée, passez à Tâche 3 : montage du système de fichiers à l'aide de la commande de cryptage.
- Ouvrez une fenêtre de terminal dans votre instance.
-
Créez un point de montage avec l'instruction suivante, en remplaçant
yourmountpoint
par le répertoire local à partir duquel vous souhaitez accéder au système de fichiers.sudo mkdir -p /mnt/yourmountpoint
-
Montez le système de fichiers à l'aide de la commande suivante :
sudo mount -t oci-fss 10.x.x.x:/fs-export-path /mnt/yourmountpoint
Remplacez
10.x.x.x:
par l'adresse IP du sous-réseau local affectée à votre cible de montage,fs-export-path
par le chemin d'export indiqué lors de l'association du système de fichiers à la cible de montage etyourmountpoint
par le chemin d'accès au point de montage local. Le chemin d'export est le chemin d'accès au système de fichiers (relatif à l'adresse IP de la cible de montage).Si vous avez installéoci-fss-utils
version 2.0-1 ou supérieure, vous pouvez inclure-o fips
dans la commande mount afin de monter le système de fichiers en mode homologué FIPS. Par exemple :sudo mount -t oci-fss -o fips 10.x.x.x:/fs-export-path /mnt/yourmountpoint
Important
Les noms d'hôte DNS ne sont actuellement pas pris en charge pour le montage de systèmes de fichiers à l'aide de la commandemount -t oci-fss
. Vous devez utiliser l'adresse IP de cible de montage.Exemple de sortie de la commande
mount -t oci-fss
:Created symlink from /etc/systemd/system/multi-user.target.wants/oci-fss-2.service to /usr/lib/systemd/system/oci-fss-2.service.
Chaque fois que vous montez un système de fichiers à l'aide de cette commande, un nouveau service
oci-fss
est lancé avec un numéro de séquence incrémenté compris entre 2 et 255. Par exemple,oci-fss-2.service
,oci-fss-3.service
, etc.Conseil
Vous pouvez utiliser l'option
resvport
pour restreindre le client à un port réservé spécifique. Par exemple :sudo mount -t oci-fss -o resvport=900 10.x.x.x:/fs-export-path /mnt/yourmountpoint
Gestion du cryptage en transit pour Linux
Le montage automatique garantit qu'un système de fichiers est automatiquement monté de nouveau sur une instance en cas de redémarrage.
- Ouvrez une fenêtre de terminal sur l'instance. Montez le système de fichiers comme décrit dans Tâche 2 : installation du package OCI-FSS-UTILS sur Oracle Linux ou CentOS.
-
Ouvrez le fichier
/etc/fstab
afin de le modifier :cd /etc
vi fstab
-
Ajoutez la ligne suivante au fichier fstab :
10.x.x.x:/fs-export-path /mnt/yourmountpoint oci-fss x-systemd.requires=oci-fss-init.service,defaults,nofail 0 0
Remplacez
10.x.x.x:
par l'adresse IP du sous-réseau local affectée à votre cible de montage,fs-export-path
par le chemin d'export indiqué lors de l'association du système de fichiers à la cible de montage etyourmountpoint
par le chemin d'accès au point de montage local.Si vous avez installéoci-fss-utils
version 2.0-1 ou supérieure, vous pouvez inclure-o fips
dans la commande mount afin de monter le système de fichiers en mode homologué FIPS. Par exemple :10.x.x.x:/fs-export-path /mnt/yourmountpoint oci-fss x-systemd.requires=oci-fss-init.service,defaults,nofail,fips 0 0
Important
Les noms d'hôte DNS ne sont actuellement pas pris en charge pour le montage de systèmes de fichiers à l'aide de la commandemount -t oci-fss
. Vous devez utiliser l'adresse IP de cible de montage.Conseil
Vous pouvez utiliser l'option resvport pour restreindre le client à un port réservé spécifique. Par exemple :
10.x.x.x:/fs-export-path /mnt/yourmountpoint oci-fss x-systemd.requires=oci-fss-init.service,defaults,nofail,resvport=900 0 0
Lorsque vous démontez un système de fichiers, vous devez utiliser une autre commande oci-fss-utils
pour vous assurer que l'espace de noms réseau local associé est enlevé :
- Ouvrez une fenêtre de terminal sur l'instance.
-
Utilisez la commande suivante pour démonter le système de fichiers :
sudo umount -t oci-fss /mnt/yourmountpoint
Remplacez
yourmountpoint
par le chemin d'accès au point de montage local.
- Pour commencer, démontez tous les systèmes de fichiers montés. Pour obtenir des instructions, reportez-vous à Procédure de démontage d'un système de fichiers.
- Ouvrez une fenêtre de terminal sur l'instance.
-
Entrez la commande suivante pour désinstaller le package
oci-fss
:sudo yum remove oci-fss-utils
Cryptage en transit pour les utilisateurs Windows
Les clients Windows peuvent utiliser stunnel pour activer le cryptage en transit sur les systèmes de fichiers.
Limites et remarques
- Le nombre de connexions NFS/TLS cryptées pour une cible de montage unique est limité à 64. Cette limite est due aux exigences de mémoire TLS. Contrairement aux connexions NFS, les connexions TLS ne partagent pas de mémoire tampon. Ainsi, une fois qu'une connexion TLS est établie, la mémoire allouée reste dédiée à cette connexion.
- Les noms d'hôte DNS ne sont pas pris en charge pour le montage de systèmes de fichiers cryptés. Utilisez l'adresse IP de cible de montage pour monter des systèmes de fichiers cryptés.
Configuration du cryptage en transit pour Windows
Ces instructions décrivent comment installer et configurer stunnel pour l'utilisation du cryptage en transit avec les systèmes de fichiers. Veillez à respecter les prérequis avant de configurer le cryptage en transit.
Vous pouvez automatiser le processus à l'aide d'un script de traitement par lot qui contient les étapes suivantes.
Tâches de configuration
-
Ouvrez Windows PowerShell sur l'instance cible et utilisez la commande suivante pour installer le client NFS Windows :
Install-WindowsFeature NFS-Client
Une fois le client installé, passez à la tâche 2 : téléchargement et installation de stunnel.
-
Téléchargez stunnel à partir de https://www.stunnel.org/downloads.html et installez-le.
Remarque
La dernière étape d'installation demande des informations de certificat. La saisie d'une valeur est facultative.Par défaut, stunnel est installé dans le répertoire suivant :
C:\Program Files (x86)\stunnel
-
Ouvrez le fichier
C:\Program Files (x86)\stunnel\config\stunnel.cfg
pour le modifier. Spécifiez la configuration suivante :[mount] client=yes accept=127.0.0.1:2048 connect=10.0.1.155:2051 [nfs] client=yes accept=127.0.0.1:2049 connect=10.0.1.155:2051 [nlm] client=yes accept=127.0.0.1:2050 connect=10.0.1.155:2051 [rpcbind] client=yes accept=127.0.0.1:111 connect=10.0.1.155:2051
-
Démarrez stunnel à l'aide de
C:\Program Files (x86)\stunnel\bin\tstunnel.exe
.Passez à la tâche 3 : montage et test de la connexion.
Ouvrez une invite de commande et entrez la série de commandes suivante :
-
Montez le système de fichiers:
mount \\127.0.0.1\fss z:
-
Testez la connexion au système de fichiers en répertoriant le contenu du répertoire :
dir z:
-
Démontez le système de fichiers:
umount z: