ファイル・ストレージ・セキュリティについて
ファイル・ストレージ・サービスでは、5つの異なるレイヤーのアクセス制御が使用されています。各レイヤーには、その他のレイヤーとは別の独自の認可エンティティおよびメソッドがあります。
Oracle Cloud Infrastructure (OCI)ポリシー・レイヤーは、ポリシーを使用して、Oracle Cloud Infrastructure内でユーザーが実行できる操作(インスタンス、VCNとそのセキュリティ・ルール、マウント・ターゲット、ファイル・システムの作成など)を制御します。
ネットワーク・セキュリティ・レイヤーによって、ホスト・ファイル・システムに接続できるインスタンスIPアドレスまたはCIDRブロックが制御されます。マウント・ターゲットへのトラフィックを許可または拒否し、その結果関連するファイル・システムへのアクセスを許可するために、VCNのセキュリティ・リスト・ルールが使用されます。
NFSエクスポート・オプション・レイヤーは、ネットワーク・セキュリティ・レイヤーとNFS v.3 UNIXセキュリティ・レイヤーをブリッジするソースIPアドレスに基づいて、ファイル・システムごとのアクセス制御エクスポートを適用する方法です。
NFS v.3 UNIX securityおよびNFS v.3 Kerberos securityレイヤーは、ファイルおよびディレクトリの読取りや書込みなど、ユーザーがインスタンスで実行できる操作を制御します。
| セキュリティ・レイヤー... | 使用内容... | 制御するアクション... |
|---|---|---|
| Oracle Cloud Infrastructure Identity and Access Management | ユーザーおよびポリシー | インスタンスおよびVCNの作成。ファイル・システムとマウント・ターゲットの作成、リストおよび関連付け。 |
| ネットワーク・セキュリティ | IPアドレス、CIDRブロック、セキュリティ・リスト | マウント・ターゲットへのクライアント・インスタンスの接続。 |
| NFS v.3 UNIXセキュリティ | UNIXユーザー、ファイルモードビット | ファイルとディレクトリの読み取りと書き込み。 |
| NFS v.3 Kerberosセキュリティ | UNIXユーザー、ファイルモードビットにマップされた Kerberos主体 | ファイルとディレクトリの読み取りと書き込み。 |
| NFSエクスポート・オプション | ファイル・システムのエクスポート、IPアドレス、UNIXユーザー | 特権ソース・ポート接続、ファイルの読取りおよび書込み、エクスポートごとのルート・ユーザー・アクセスの制限。 |
Oracle Cloud Infrastructure Identity and Access Management
Oracle Cloud Infrastructureでユーザーおよびグループを作成できます。ポリシーを使用すると、リソース(ファイル・システム、マウント・ターゲット、スナップショット、アウトバウンド・コネクタ、エクスポート・オプションなど)を作成、アクセスまたは変更できるユーザーおよびグループを指定できます。アクセスの設定方法の詳細は、アイデンティティおよびアクセス管理の概要を参照してください。
ネットワーク・セキュリティ
ネットワーク・セキュリティ・レイヤーを使用すると、VCNネットワーク・セキュリティ・グループ(NSG)およびセキュリティ・ルールを使用して特定のIPアドレスやCIDRブロックから適切なポートをブロックし、ホストへのアクセスを制限できます。ただし、これは「すべてまたはなし」の基準に基づいています。つまり、クライアントは、マウント・ターゲットにアクセスできるかできないかのいずれかです。このため、マウント・ターゲットに関連付けられているすべてのファイル・システムにアクセスできます。VCNセキュリティ・グループ、セキュリティ・リストおよびルールの一般情報は、ネットワークを保護する方法を参照してください。ファイル・ストレージに必要な特定のセキュリティ・ルールの詳細は、ファイル・ストレージに対するVCNセキュリティ・ルールの構成を参照してください。
NFS v.3 UNIXセキュリティ
ファイル・ストレージ・サービスは、リモートNFSクライアント・リクエストのAUTH_SYS形式の認証および権限チェックをサポートしています。ファイル・システムをマウントする際は、-nosuidオプションを使用することをお薦めします。このオプションは、set-user-identifierビットまたはset-group-identifierビットを無効にします。リモート・ユーザーは、setuidプログラムを使用してより高い権限を取得できなくなります。詳細は、ファイル・システムのマウントを参照してください。
UNIXのユーザーは、Oracle Cloud Infrastructureのユーザーとは異なり、リンクされたり、関連付けられたりしないことに注意してください。Oracle Cloud Infrastructureのポリシー・レイヤーでは、ファイル・システムの内部で行われる処理は制御されず、UNIXセキュリティ・レイヤーで制御されます。逆に、UNIXセキュリティ・レイヤーでは、Oracle Cloud Infrastructureでファイル・システムまたはマウント・ターゲットの作成は行われません。
ファイル・ストレージは、ファイル・レベルのアクセス制御リスト(ACL)をサポートしていません。user、groupおよびworld権限(SUIDおよびSGIDを含む)のみがサポートされています。ファイル・ストレージで使用されるNFSv3プロトコルにはACLのサポートは含まれません。setfaclは、マウントされたファイル・システムでは失敗します。getfaclでは、標準の権限しか返されません。
NFS v.3 Kerberosセキュリティー
ファイル・ストレージ・サービスでは、RPCSEC_GSS (RFC2203)を介したKerberos認証が次のセキュリティ・オプションでサポートされています:
- NFS経由の認証の場合はKRB5
- NFSを介した認証とデータ整合性(転送中のデータの不正変更)のためのKRB5I
- NFSを介した認証、データ整合性およびデータ・プライバシ(転送中暗号化)の場合はKRB5P
Kerberosがマウント・ターゲット用に構成されている場合、リクエストを行うユーザーのアイデンティティを証明するために使用されます。認証後、ファイル・ストレージは、認可チェックに使用する権限情報をLDAPサーバーに接続します。詳細は、認可のためのLDAPの使用およびKerberos認証の使用を参照してください。
NFSエクスポート・オプション
NFSエクスポート・オプションは、ネットワーク・セキュリティ・レイヤーとNFS v.3セキュリティ・レイヤーの両方でアクセス制御を適用する方法です。NFSエクスポート・オプションを使用すると、関連付けられたマウント・ターゲットを介してIPアドレスまたはCIDRブロックでエクスポートへのアクセスを制限できます。各ファイル・システムへのアクセスを限られたクライアント・セットに制限できるため、管理されたホスト環境のセキュリティを実現できます。さらに、ファイル・システムの読取り専用、読取り/書込みまたはroot-squashに対してNFS v.3セキュリティ・レイヤー権限を設定できます。詳細は、NFSエクスポートおよびエクスポート・オプションの作業を参照してください。
暗号化
Oracle Cloud Infrastructure内
現在、ファイル・システムの暗号化では、対称Advanced Encryption Standard (AES)キーのみがサポートされています。
インスタンスとマウントされたファイル・システム間の移動中
ファイル・ストレージでは、次の2つの転送中暗号化方法がサポートされています:
oci-fss-utilsクライアント・パッケージまたはトンネルを使用したTLSを介した転送中暗号化(Transport Layer Security)- KRB5Pオプションを指定してKerberos認証を使用する転送中暗号化
oci-fss-utilsまたはスタックを使用した転送中暗号化では、TLS v. 1.2暗号化を使用して、インスタンスとマウントされたファイル・システム間でデータを保護できます。TLSの転送中暗号化では、Linuxインスタンスにクライアント・パッケージをインストールするか、Windowsにトンネルをインストールする必要があります。
Linuxパッケージは、NFSエンドポイント、ネットワーク・ネームスペースおよびネットワーク・インタフェースを作成します。stunnelをインストールして構成すると、リクエストも同様に暗号化され、TLSトンネルが使用されます。
Kerberos認証と KRB5Pセキュリティーオプション(データのプライバシ(転送中暗号化)により、TLSを介したNFSでは不可能なスケールで機密性を使用できます。詳細は、LinuxユーザーのTLS暗号化の制限および考慮事項およびWindowsユーザーのTLS暗号化の制限および考慮事項を参照してください。