Documentação do Oracle Cloud Infrastructure

Sobre a Segurança do Serviço File Storage

O serviço File Storage usa cinco camadas diferentes de controle de acesso. Cada camada tem suas próprias entidades de autorização e métodos que são separados das outras camadas.

Dica

Assista a um vídeo sobre segurança no Serviço File Storage.

A camada de política do Oracle Cloud Infrastructure (OCI) usa políticas para controlar o que os usuários podem fazer no Oracle Cloud Infrastructure, como criar instâncias, uma VCN e suas regras de segurança, pontos de acesso NFS e sistemas de arquivos.

A camada Segurança de rede controla quais endereços IP da instância ou blocos CIDR podem se conectar a um sistema de arquivos do host. Ela usa as regras da lista de segurança da VCN para permitir ou negar tráfego ao ponto de acesso NFS e, portanto, acessar qualquer sistema de arquivos associado.

A camada de opção de exportação NFS é um método de aplicar a exportação do sistema de controle de acesso por arquivo com base no endereço IP de origem que liga a camada Segurança de Rede e a camada Segurança NFS v.3 UNIX.

As camadas de segurança UNIX v.3 NFS e segurança v.3 Kerberos NFS controlam o que os usuários podem fazer na instância, como ler e gravar arquivos e diretórios.

Esta camada de segurança... Usa estes... Para controlar ações como...
Oracle Cloud Infrastructure Identity and Access Management Usuários e políticas do Criar instâncias e VCNs. Criar, listar e associar sistemas de arquivos e pontos de acesso NFS.
Segurança de rede Endereços IP, blocos CIDR, listas de segurança Conectar a instância do cliente ao ponto de acesso NFS.
Segurança do NFS v.3 Unix Usuários UNIX, bits do modo de arquivo Ler e gravar arquivos e diretórios.
Segurança Kerberos do NFS v.3 Principais do Kerberos mapeados para usuários UNIX, bits do modo de arquivo Ler e gravar arquivos e diretórios.
Opções de exportação NFS Exportações do sistema de arquivos, endereços IP, usuários UNIX Conexão de porta de origem privilegiada, leitura e gravação de arquivos e limitação do acesso do usuário raiz por exportação.

Oracle Cloud Infrastructure Identity and Access Management

Você pode criar usuários e grupos no Oracle Cloud Infrastructure. Em seguida, você pode usar políticas para especificar quais usuários e grupos podem criar, acessar ou alterar recursos, como sistemas de arquivos, pontos de acesso NFS, snapshots, conectores de saída e opções de exportação. Consulte Visão Geral do Identity and Access Management para saber mais sobre como configurar o acesso.

Segurança da Rede

A camada de segurança de rede permite usar grupos de segurança de rede (NSGs) da VCN e regras de segurança para bloquear as portas apropriadas de endereços IP específicos e blocos CIDR e restringir o acesso ao host. No entanto, ela se baseia em "tudo ou nada" - o cliente pode ou não acessar o destino de montagem e, portanto, todos os sistemas de arquivos associados a ele. Consulte Maneiras de Proteger Sua Rede para obter informações gerais sobre grupos de segurança, listas de segurança e regras da VCN. Consulte Configurando Regras de Segurança da VCN para o Serviço File Storage para obter informações específicas sobre as regras de segurança necessárias para o serviço File Storage.

Segurança UNIX v.3 NFS

O serviço File Storage suporta o estilo AUTH_SYS de autenticação e verificação de permissão para solicitações remotas clientes NFS. Ao montar sistemas de arquivos, recomendamos o uso da opção -nosuid. Esta opção desativa os bits set-user-identifier ou set-group-identifier. Os usuários remotos são impedidos de obter privilégios mais altos usando um programa setuid. Para obter mais informações, consulte Montando Sistemas de Arquivos.

Lembre-se de que os usuários no UNIX não são iguais aos usuários do Oracle Cloud Infrastructure - eles não são vinculados nem associados de forma alguma. A camada de política do Oracle Cloud Infrastructure não controla nada que acontece dentro do sistema de arquivos; já a camada de segurança do UNIX controla. Por outro lado, a camada de segurança do UNIX não controla a criação de sistemas de arquivos nem pontos de acesso NFS no Oracle Cloud Infrastructure.

O serviço File Storage não suporta Listas de Controle de Acesso (ACLs) em nível de arquivo. Somente permissões user, group e world são suportadas, incluindo SUID e SGID. O serviço File Storage usa o protocolo NFSv3, que não inclui suporte para ACLs. O comando setfacl falha em sistemas de arquivos montados. O comando getfacl retorna apenas permissões padrão.

Segurança do NFS v.3 Kerberos

O serviço File Storage suporta autenticação Kerberos via RPCSEC_GSS (RFC2203) com as seguintes opções de segurança:

  • KRB5 para autenticação em NFS
  • KRB5I para autenticação sobre NFS e integridade de dados (modificação não autorizada de dados em trânsito)
  • KRB5P para autenticação em relação a NFS, integridade de dados e privacidade de dados (criptografia em trânsito)

Quando o Kerberos é configurado para um ponto de acesso NFS, ele é usado para provar a identidade do usuário que está fazendo a solicitação. Após a autenticação, o serviço File Storage contata seu servidor LDAP para obter informações de permissões que ele usa para verificações de autorização. Para obter mais informações, consulte Usando LDAP para Autorização e Usando Autenticação Kerberos.

Opções de Exportação NFS

As opções de exportação do NFS são um método de aplicar o controle de acesso na camada de segurança de rede e na camada de segurança do NFS v.3. Você pode usar as opções de exportação NFS para limitar o acesso à exportação por endereços IP ou blocos CIDR por meio de um destino de montagem associado. O acesso a cada sistema de arquivos pode ser restrito a um conjunto limitado de clientes, permitindo a segurança do ambiente hospedado gerenciado. Além disso, você pode definir permissões da camada de segurança do NFS v.3 como somente leitura, leitura/gravação ou root squash para seus sistemas de arquivos. Consulte Como Trabalhar com Opções de Exportação e Exportações NFS para obter mais informações.

Criptografia

No Oracle Cloud Infrastructure

Todos os dados são criptografados em repouso. Você pode deixar todos os assuntos relacionados a criptografia para a Oracle ou pode optar por gerenciar sua própria criptografia usando o serviço Oracle Cloud Infrastructure Vault. Você pode usar o serviço Vault para criar chaves de criptografia principais e chaves de criptografia de dados, rotacionar chaves para gerar novos materiais criptográficos, ativar ou desativar chaves para uso em operações criptográficas, designar chaves a sistemas de arquivos e usar chaves para criptografia e decriptografia.
Observação

No momento, apenas chaves AES (Advanced Encryption Standard) simétricas são suportadas para criptografia de sistema de arquivos.
Para obter mais informações, consulte Visão Geral do Serviço Vault.

Em trânsito entre instâncias e sistemas de arquivos montados

O serviço File Storage suporta os dois métodos a seguir de criptografia em trânsito:

A criptografia em trânsito usando oci-fss-utils ou stunnel oferece uma maneira de proteger seus dados entre instâncias e sistemas de arquivos montados usando a criptografia TLS v. 1.2. A criptografia em trânsito do TLS requer a instalação de um pacote cliente na sua instância do Linux ou stunnel no Windows.

O pacote do Linux cria um ponto final NFS, um namespace de rede e uma interface de rede. A instalação e configuração do stunnel criptografa solicitações de forma semelhante e usa um túnel TLS.

A autenticação Kerberos e a opção de segurança KRB5P, que oferece privacidade de dados (criptografia em trânsito), permitem usar confidencialidade em uma escala que não é possível com NFS sobre TLS. Para obter mais informações, consulte limitações e considerações sobre criptografia TLS para usuários do Linux e limitações e considerações sobre criptografia TLS para usuários do Windows.