A NAS-megosztási engedélyek ismertetése az Azure NetApp Filesban
Az Azure NetApp Files számos módszert kínál a NAS-adatok védelmére. A biztonság egyik aspektusa az engedélyek. A NAS-ban az engedélyek két kategóriára bonthatók:
- A hozzáférési engedélyek korlátozásának korlátozása, hogy ki csatlakoztathat NAS-kötetet. Az NFS-vezérlők IP-cím vagy gazdagépnév használatával osztják meg a hozzáférési engedélyeket. Az SMB ezt felhasználói és csoportszintű hozzáférés-vezérlési listákon (ACL-ekkel) vezérli.
- A fájlhozzáférés-engedélyek korlátozzák a felhasználók és csoportok által a NAS-kötetek csatlakoztatása után elvégezhető műveleteket. A fájlhozzáférés engedélyeit az egyes fájlokra és mappákra alkalmazza a rendszer.
Az Azure NetApp Files-engedélyek NAS-szabványokra támaszkodnak, ami leegyszerűsíti a biztonsági NAS-kötetek folyamatát a rendszergazdák és a végfelhasználók számára ismerős módszerekkel.
Feljegyzés
Ha a megosztásokon és fájlokon ütköző engedélyek szerepelnek, a rendszer a legkorlátozóbb engedélyt alkalmazza. Ha például egy felhasználó csak a megosztási szinten rendelkezik olvasási hozzáféréssel, és teljes hozzáféréssel rendelkezik a fájl szintjén, a felhasználó minden szinten olvasási hozzáférést kap.
Hozzáférési engedélyek megosztása
A NAS-környezetben a kezdeti belépési pont maga a megosztáshoz való hozzáférés. A legtöbb esetben a hozzáférést csak azokra a felhasználókra és csoportokra kell korlátozni, amelyeknek hozzáférésre van szükségük a megosztáshoz. Megosztási hozzáférési engedélyekkel zárolhatja, hogy ki csatlakoztathatja a megosztást.
Mivel a legkorlátozóbb engedélyek felülbírálják a többi engedélyt, és a megosztás a kötet fő belépési pontja (a legkevesebb hozzáférés-vezérléssel), a megosztási engedélyeknek egy tölcsérlogikát kell alkalmazniuk, ahol a megosztás több hozzáférést tesz lehetővé, mint a mögöttes fájlok és mappák. A tölcsérlogika részletesebb, korlátozóbb vezérlőket léptet életbe.
NFS-exportálási szabályzatok
Az Azure NetApp Files köteteit az NFS-ügyfelek osztják meg egy ügyfél vagy ügyfélcsoport számára elérhető elérési út exportálásával. Az NFSv3 és az NFSv4.x is ugyanezt a módszert használja az NFS-megosztáshoz való hozzáférés korlátozására az Azure NetApp Filesban: exportálási szabályzatok.
Az exportálási szabályzatok olyan hozzáférési szabályok tárolói, amelyek a kívánt hozzáférés sorrendjében vannak felsorolva. Ezek a szabályok ügyfél IP-címek vagy alhálózatok használatával szabályozzák az NFS-megosztásokhoz való hozzáférést. Ha egy ügyfél nem szerepel az exportálási szabályzatban – vagy engedélyezi vagy kifejezetten megtagadja a hozzáférést –, akkor az ügyfél nem tudja csatlakoztatni az NFS-exportálást. Mivel a szabályok olvasása szekvenciális sorrendben történik, ha egy ügyfélre (például egy alhálózaton) szigorúbb szabályzatszabályt alkalmaz, akkor a rendszer először felolvassa és alkalmazza. A további hozzáférést lehetővé tevő szabályzatszabályok figyelmen kívül lesznek hagyva. Ez az ábra egy 10.10.10.10 IP-címével rendelkező ügyfelet mutat be, amely írásvédett hozzáférést kap egy kötethez, mert a 0.0.0.0/0 alhálózat (minden alhálózat minden ügyfele) írásvédettre van állítva, és a szabályzatban elsőként szerepel.
Az Azure NetApp Filesban elérhető szabályzatszabály-beállítások exportálása
Az Azure NetApp Files-kötetek létrehozásakor számos beállítás konfigurálható az NFS-kötetekhez való hozzáférés szabályozására.
- Index: azt a sorrendet határozza meg, amelyben egy exportálási szabályzatszabály kiértékelése történik. Ha egy ügyfél több szabály alá tartozik a szabályzatban, akkor az első alkalmazandó szabály az ügyfélre vonatkozik, és a rendszer figyelmen kívül hagyja az azt követő szabályokat.
- Engedélyezett ügyfelek: meghatározza, hogy mely ügyfelekre vonatkozik egy szabály. Ez az érték lehet ügyfél IP-címe, az IP-címek vesszővel tagolt listája, vagy egy alhálózat, amely több ügyfelet is tartalmaz. A gazdagépnév és a netgroup értékei nem támogatottak az Azure NetApp Filesban.
- Hozzáférés: a nem gyökérfelhasználók számára engedélyezett hozzáférési szintet határozza meg. Kerberos-kompatibilis NFS-kötetek esetén a beállítások a következők: Írásvédett, Olvasás és írás, vagy Nincs hozzáférés. A Kerberos-kompatibilis kötetek esetében a lehetőségek a következők: Kerberos 5, Kerberos 5i vagy Kerberos 5p.
- Gyökérhozzáférés: meghatározza, hogy a gyökérfelhasználó hogyan legyen kezelve egy adott ügyfél NFS-exportálásaiban. Ha "Be" értékre van állítva, a gyökér gyökér. Ha "Ki" értékre van állítva, a gyökér a 65534-ös névtelen felhasználói azonosítóra lesz állítva .
- chown mód: szabályozza, hogy a felhasználók milyen módosítási tulajdonosi parancsokat futtathatnak az exportáláson (chown). Ha a "Korlátozott" értékre van állítva, csak a gyökérfelhasználó futtathat csokorkorgást. Ha "Korlátlan" értékre van állítva, a megfelelő fájl-/mappaengedélyekkel rendelkező felhasználók futtathatnak csokorparancsokat.
Alapértelmezett szabályzatszabály az Azure NetApp Filesban
Új kötet létrehozásakor létrejön egy alapértelmezett házirendszabály. Az alapértelmezett házirend megakadályozza, hogy egy kötet házirendszabályok nélkül legyen létrehozva, ami korlátozza az exportáláshoz hozzáférést megkísérlő ügyfelek hozzáférését. Ha nincsenek szabályok, nincs hozzáférés.
Az alapértelmezett szabály a következő értékeket tartalmazza:
- Index = 1
- Engedélyezett ügyfelek = 0.0.0.0/0 (minden ügyfél számára engedélyezett hozzáférés)
- Access = Olvasás és írás
- Gyökérelérés = Bekapcsolva
- Chown mód = Korlátozott
Ezek az értékek a kötet létrehozásakor vagy a kötet létrehozása után módosíthatók.
Szabályzatszabályok exportálása az Azure NetApp Filesban engedélyezett NFS Kerberosszal
Az NFS Kerberos csak NFSv4.1-et használó köteteken engedélyezhető az Azure NetApp Filesban. A Kerberos a használatban lévő Kerberos típustól függően különböző titkosítási módokat kínál az NFS-csatlakoztatásokhoz.
Ha a Kerberos engedélyezve van, az exportálási szabályzat szabályainak értékei módosulnak, így meg kell határozni, hogy melyik Kerberos mód legyen engedélyezve. Több Kerberos biztonsági mód is engedélyezhető ugyanabban a szabályban, ha többhez is hozzá kell férnie.
Ezek a biztonsági módok a következők:
- Kerberos 5: Csak a kezdeti hitelesítés van titkosítva.
- Kerberos 5i: Felhasználói hitelesítés és integritás-ellenőrzés.
- Kerberos 5p: Felhasználói hitelesítés, integritás-ellenőrzés és adatvédelem. Minden csomag titkosítva van.
Csak a Kerberos-kompatibilis ügyfelek férhetnek hozzá a Kerberost meghatározó exportálási szabályokkal rendelkező kötetekhez; a Kerberos engedélyezése esetén nem AUTH_SYS
engedélyezett a hozzáférés.
Gyökérpréselés
Vannak olyan esetek, amikor korlátozni szeretné az Azure NetApp Files-kötetek gyökérhozzáférését. Mivel a gyökérprogram korlátlan hozzáféréssel rendelkezik az NFS-kötetek minden eleméhez – még akkor is, ha a gyökérhöz való hozzáférést kifejezetten megtagadja módbitek vagy ACL-ek használatával –, a gyökérhozzáférés korlátozásának egyetlen módja, ha közli az NFS-kiszolgálóval, hogy egy adott ügyfél gyökére már nem gyökér.
Az exportálási szabályzat szabályaiban válassza a "Gyökérhozzáférés: kikapcsolva" lehetőséget a gyökér gyökérének a 65534-ben megadott, nem gyökérszintű, névtelen felhasználói azonosítóra való összecsukásához. Ez azt jelenti, hogy a megadott ügyfelek gyökere mostantól a 65534-ös felhasználóazonosító (általában nfsnobody
NFS-ügyfeleken), és az adott felhasználóhoz megadott ACL-ek/módbitek alapján rendelkezik hozzáféréssel a fájlokhoz és mappákhoz. A módbitek esetében a hozzáférési engedélyek általában a "Mindenki" hozzáférési jogosultságok alá tartoznak. Emellett a gyökérszintű fallabda-szabályok által érintett ügyfelek "gyökérként" írt fájljai felhasználóként nfsnobody:65534
fájlokat és mappákat is létrehoznak. Ha a gyökér gyökérként való megadását igényli, állítsa a "Gyökérhozzáférés" értéket "Be" értékre.
Az exportálási szabályzatok kezelésével kapcsolatos további információkért lásd : Exportálási szabályzatok konfigurálása NFS-hez vagy kétprotokollos kötetekhez.
Szabályzatszabály-rendezés exportálása
Az exportálási szabályzat szabályainak sorrendje határozza meg az alkalmazásuk módját. Az NFS-ügyfélre vonatkozó lista első szabálya az adott ügyfélhez használt szabály. Ha CIDR-tartományokat/alhálózatokat használ az exportszabályzat-szabályokhoz, az abban a tartományban lévő NFS-ügyfél nem kívánt hozzáférést kaphat a tartomány miatt, amelyben szerepel.
Vegyük a következő példát:
- Az index első szabálya az összes alhálózat összes ügyfelet tartalmazza az alapértelmezett házirendszabály alapján, amely a 0.0.0.0/0 értéket használja engedélyezett ügyfélbejegyzésként. Ez a szabály lehetővé teszi az "Olvasás és írás" hozzáférést az adott Azure NetApp Files NFSv3-kötet összes ügyféléhez.
- Az index második szabálya kifejezetten felsorolja az NFS-ügyfél 10.10.10.10-et, és úgy van konfigurálva, hogy korlátozza a hozzáférést az "Írásvédett" értékre, gyökérhozzáférés nélkül (a gyökér össze van állítva).
A jelenlegi állapotban az ügyfél 10.10.10.10 hozzáférést kap a listában szereplő első szabály miatt. A rendszer soha nem értékeli ki a következő szabályt a hozzáférési korlátozások szempontjából, így a 10.10.10.10 olvasási és írási hozzáférést kap annak ellenére, hogy "Csak olvasás" a cél. A gyökér is gyökér, nem pedig összenyomva.
Ennek kijavításához és a kívánt szinthez való hozzáférés beállításához a szabályok újrarendelhetők, hogy a kívánt ügyfélelérési szabályt bármely alhálózati/CIDR-szabály fölé helyezze. Az exportálási szabályzatszabályokat az Azure Portalon átrendezheti a szabályok húzásával, vagy az ...
egyes exportálási szabályzatok sorában található menü Áthelyezés parancsaival.
Feljegyzés
Az Azure NetApp Files CLI-vel vagy a REST API-val csak exportálási szabályzatszabályokat vehet fel vagy távolíthat el.
SMB-megosztások
Az SMB-megosztások lehetővé teszik, hogy a végfelhasználók hozzáférjenek az SMB-hez vagy a kétprotokollos kötetekhez az Azure NetApp Filesban. Az SMB-megosztások hozzáférés-vezérlése az Azure NetApp Files vezérlősíkján csak az SMB biztonsági beállításaira korlátozódik, például a hozzáférés-alapú enumerálásra és a nem böngészhető megosztási funkciókra. Ezek a biztonsági beállítások a kötet létrehozásakor konfigurálhatók a Kötet szerkesztése funkcióval.
A megosztási szintű jogosultsági ACL-ek kezelése windowsos MMC-konzolon keresztül történik, nem pedig az Azure NetApp Fileson keresztül.
Biztonsággal kapcsolatos megosztási tulajdonságok
Az Azure NetApp Files több megosztási tulajdonságot is kínál a rendszergazdák biztonságának növelése érdekében.
Hozzáférés-alapú enumerálás
A hozzáférés-alapú enumerálás egy Azure NetApp Files SMB-kötetfunkció, amely csak a megosztáson engedélyezett hozzáféréssel rendelkező felhasználók számára korlátozza az SMB-ben lévő fájlok és mappák (azaz a tartalmak felsorolása) számbavételét. Ha például egy felhasználó nem rendelkezik hozzáférés-alapú számbavételi jogosultsággal rendelkező megosztások fájljának vagy mappájának olvasásához, akkor a fájl vagy mappa nem jelenik meg a címtárak listájában. Az alábbi példában egy felhasználó (smbuser
) nem rendelkezik hozzáféréssel az "ABE" nevű mappa olvasásához egy Azure NetApp Files SMB-kötetben. Csak contosoadmin
hozzáféréssel rendelkezik.
Az alábbi példában a hozzáférés-alapú számbavétel le van tiltva, így a felhasználó hozzáfér a ABE
következő könyvtárhoz SMBVolume
: .
A következő példában engedélyezve van a hozzáférés-alapú enumerálás, így a ABE
címtár SMBVolume
nem jelenik meg a felhasználó számára.
Az engedélyek az egyes fájlokra is kiterjednek. Az alábbi példában a hozzáférés-alapú számbavétel le van tiltva, és ABE-file
megjelenik a felhasználó számára.
Ha engedélyezve van a hozzáférés-alapú számbavétel, ABE-file
nem jelenik meg a felhasználó számára.
Nem böngészhető megosztások
Az Azure NetApp Files nem böngészhető megosztási funkciója korlátozza az ügyfelek számára az SMB-megosztások böngészését azáltal, hogy elrejti a megosztást a Windows Intéző nézetéből, vagy ha a megosztásokat a "net nézetben" listázzuk. Csak azok a végfelhasználók találják meg a megosztást, amelyek ismerik a megosztás abszolút elérési útját.
Az alábbi képen a nem böngészhető megosztási tulajdonság nincs engedélyezve SMBVolume
, így a kötet megjelenik a fájlkiszolgáló (a használatával \\servername
) listájában.
Ha a nem böngészhető megosztások engedélyezve lesznek az SMBVolume
Azure NetApp Filesban, a fájlkiszolgáló nézete kizárja SMBVolume
.
A következő képen a megosztás SMBVolume
nem böngészhető megosztásokat engedélyez az Azure NetApp Filesban. Ha ez engedélyezve van, ez a fájlkiszolgáló legfelső szintjének nézete.
Annak ellenére, hogy a lista kötete nem látható, akkor is elérhető marad, ha a felhasználó ismeri a fájl elérési útját.
SMB3-titkosítás
Az SMB3-titkosítás egy Azure NetApp Files SMB-kötetfunkció, amely az SMB-ügyfeleknél a titkosítást a vezetéken keresztül kényszeríti ki a NAS-környezetek nagyobb biztonsága érdekében. Az alábbi képen a hálózati forgalom képernyőfelvétele látható, amikor az SMB-titkosítás le van tiltva. A bizalmas információk – például a fájlnevek és a fájlleírók – láthatók.
Ha az SMB-titkosítás engedélyezve van, a csomagok titkosítottként vannak megjelölve, és nem láthatók bizalmas információk. Ehelyett "Titkosított SMB3-adatokként" jelenik meg.
SMB-megosztási ACL-ek
Az SMB-megosztások szabályozhatják a megosztások csatlakoztatására és elérésére jogosult felhasználók hozzáférését, valamint szabályozhatják az Active Directory-tartományban lévő felhasználók és csoportok hozzáférési szintjét. A kiértékelt engedélyek első szintje a megosztási hozzáférés-vezérlési listák (ACL-ek).
Az SMB-megosztási engedélyek alapszintűbbek, mint a fájlengedélyek: csak olvasási, módosítási vagy teljes körű vezérlést alkalmaznak. A megosztási engedélyeket felül lehet bírálni fájlengedélyekkel, a fájlengedélyeket pedig felül lehet bírálni megosztási engedélyekkel; a legszigorúbb engedély az, amelyik betartja. Ha például a "Mindenki" csoport teljes hozzáféréssel rendelkezik a megosztáson (az alapértelmezett viselkedés), és az adott felhasználók csak olvasási hozzáféréssel rendelkeznek egy mappához egy fájlszintű ACL-n keresztül, akkor az olvasási hozzáférés ezekre a felhasználókra lesz alkalmazva. Az ACL-ben kifejezetten nem szereplő többi felhasználó teljes hozzáféréssel rendelkezik
Ezzel szemben, ha a megosztási engedély "Olvasás" értékre van állítva egy adott felhasználó esetében, de a fájlszintű engedély teljes hozzáférésre van állítva az adott felhasználó számára, az "Olvasás" hozzáférés kényszerítve lesz.
Kétprotokollos NAS-környezetekben az SMB-megosztási ACL-ek csak az SMB-felhasználókra vonatkoznak. Az NFS-ügyfelek exportálási szabályzatokat és szabályokat használnak a megosztási hozzáférési szabályokhoz. Ezért a fájl- és mappaszintű engedélyek vezérlése előnyben részesíti a megosztási szintű ACL-eket, különösen a kettős protokollú NAS-kötetek esetében.
Az ACL-ek konfigurálásáról további információt az SMB-megosztási ACL-ek kezelése az Azure NetApp Filesban című témakörben talál.