A NAS-megosztási engedélyek ismertetése az Azure NetApp Filesban

  • Cikk

Az Azure NetApp Files számos módszert kínál a NAS-adatok védelmére. A biztonság egyik aspektusa az engedélyek. A NAS-ban az engedélyek két kategóriára bonthatók:

  • A hozzáférési engedélyek korlátozásának korlátozása, hogy ki csatlakoztathat NAS-kötetet. Az NFS-vezérlők IP-cím vagy gazdagépnév használatával osztják meg a hozzáférési engedélyeket. Az SMB ezt felhasználói és csoportszintű hozzáférés-vezérlési listákon (ACL-ekkel) vezérli.
  • A fájlhozzáférés-engedélyek korlátozzák a felhasználók és csoportok által a NAS-kötetek csatlakoztatása után elvégezhető műveleteket. A fájlhozzáférés engedélyeit az egyes fájlokra és mappákra alkalmazza a rendszer.

Az Azure NetApp Files-engedélyek NAS-szabványokra támaszkodnak, ami leegyszerűsíti a biztonsági NAS-kötetek folyamatát a rendszergazdák és a végfelhasználók számára ismerős módszerekkel.

Feljegyzés

Ha a megosztásokon és fájlokon ütköző engedélyek szerepelnek, a rendszer a legkorlátozóbb engedélyt alkalmazza. Ha például egy felhasználó csak a megosztási szinten rendelkezik olvasási hozzáféréssel, és teljes hozzáféréssel rendelkezik a fájl szintjén, a felhasználó minden szinten olvasási hozzáférést kap.

Hozzáférési engedélyek megosztása

A NAS-környezetben a kezdeti belépési pont maga a megosztáshoz való hozzáférés. A legtöbb esetben a hozzáférést csak azokra a felhasználókra és csoportokra kell korlátozni, amelyeknek hozzáférésre van szükségük a megosztáshoz. Megosztási hozzáférési engedélyekkel zárolhatja, hogy ki csatlakoztathatja a megosztást.

Mivel a legkorlátozóbb engedélyek felülbírálják a többi engedélyt, és a megosztás a kötet fő belépési pontja (a legkevesebb hozzáférés-vezérléssel), a megosztási engedélyeknek egy tölcsérlogikát kell alkalmazniuk, ahol a megosztás több hozzáférést tesz lehetővé, mint a mögöttes fájlok és mappák. A tölcsérlogika részletesebb, korlátozóbb vezérlőket léptet életbe.

Diagram of inverted pyramid of file access hierarchy.

NFS-exportálási szabályzatok

Az Azure NetApp Files köteteit az NFS-ügyfelek osztják meg egy ügyfél vagy ügyfélcsoport számára elérhető elérési út exportálásával. Az NFSv3 és az NFSv4.x is ugyanezt a módszert használja az NFS-megosztáshoz való hozzáférés korlátozására az Azure NetApp Filesban: exportálási szabályzatok.

Az exportálási szabályzatok olyan hozzáférési szabályok tárolói, amelyek a kívánt hozzáférés sorrendjében vannak felsorolva. Ezek a szabályok ügyfél IP-címek vagy alhálózatok használatával szabályozzák az NFS-megosztásokhoz való hozzáférést. Ha egy ügyfél nem szerepel az exportálási szabályzatban – vagy engedélyezi vagy kifejezetten megtagadja a hozzáférést –, akkor az ügyfél nem tudja csatlakoztatni az NFS-exportálást. Mivel a szabályok olvasása szekvenciális sorrendben történik, ha egy ügyfélre (például egy alhálózaton) szigorúbb szabályzatszabályt alkalmaz, akkor a rendszer először felolvassa és alkalmazza. A további hozzáférést lehetővé tevő szabályzatszabályok figyelmen kívül lesznek hagyva. Ez az ábra egy 10.10.10.10 IP-címével rendelkező ügyfelet mutat be, amely írásvédett hozzáférést kap egy kötethez, mert a 0.0.0.0/0 alhálózat (minden alhálózat minden ügyfele) írásvédettre van állítva, és a szabályzatban elsőként szerepel.

Diagram modeling export policy rule hierarchy.

Az Azure NetApp Filesban elérhető szabályzatszabály-beállítások exportálása

Az Azure NetApp Files-kötetek létrehozásakor számos beállítás konfigurálható az NFS-kötetekhez való hozzáférés szabályozására.

  • Index: azt a sorrendet határozza meg, amelyben egy exportálási szabályzatszabály kiértékelése történik. Ha egy ügyfél több szabály alá tartozik a szabályzatban, akkor az első alkalmazandó szabály az ügyfélre vonatkozik, és a rendszer figyelmen kívül hagyja az azt követő szabályokat.
  • Engedélyezett ügyfelek: meghatározza, hogy mely ügyfelekre vonatkozik egy szabály. Ez az érték lehet ügyfél IP-címe, az IP-címek vesszővel tagolt listája, vagy egy alhálózat, amely több ügyfelet is tartalmaz. A gazdagépnév és a netgroup értékei nem támogatottak az Azure NetApp Filesban.
  • Hozzáférés: a nem gyökérfelhasználók számára engedélyezett hozzáférési szintet határozza meg. Kerberos-kompatibilis NFS-kötetek esetén a beállítások a következők: Írásvédett, Olvasás és írás, vagy Nincs hozzáférés. A Kerberos-kompatibilis kötetek esetében a lehetőségek a következők: Kerberos 5, Kerberos 5i vagy Kerberos 5p.
  • Gyökérhozzáférés: meghatározza, hogy a gyökérfelhasználó hogyan legyen kezelve egy adott ügyfél NFS-exportálásaiban. Ha "Be" értékre van állítva, a gyökér gyökér. Ha "Ki" értékre van állítva, a gyökér a 65534-ös névtelen felhasználói azonosítóra lesz állítva .
  • chown mód: szabályozza, hogy a felhasználók milyen módosítási tulajdonosi parancsokat futtathatnak az exportáláson (chown). Ha a "Korlátozott" értékre van állítva, csak a gyökérfelhasználó futtathat csokorkorgást. Ha "Korlátlan" értékre van állítva, a megfelelő fájl-/mappaengedélyekkel rendelkező felhasználók futtathatnak csokorparancsokat.

Alapértelmezett szabályzatszabály az Azure NetApp Filesban

Új kötet létrehozásakor létrejön egy alapértelmezett házirendszabály. Az alapértelmezett házirend megakadályozza, hogy egy kötet házirendszabályok nélkül legyen létrehozva, ami korlátozza az exportáláshoz hozzáférést megkísérlő ügyfelek hozzáférését. Ha nincsenek szabályok, nincs hozzáférés.

Az alapértelmezett szabály a következő értékeket tartalmazza:

  • Index = 1
  • Engedélyezett ügyfelek = 0.0.0.0/0 (minden ügyfél számára engedélyezett hozzáférés)
  • Access = Olvasás és írás
  • Gyökérelérés = Bekapcsolva
  • Chown mód = Korlátozott

Ezek az értékek a kötet létrehozásakor vagy a kötet létrehozása után módosíthatók.

Szabályzatszabályok exportálása az Azure NetApp Filesban engedélyezett NFS Kerberosszal

Az NFS Kerberos csak NFSv4.1-et használó köteteken engedélyezhető az Azure NetApp Filesban. A Kerberos a használatban lévő Kerberos típustól függően különböző titkosítási módokat kínál az NFS-csatlakoztatásokhoz.

Ha a Kerberos engedélyezve van, az exportálási szabályzat szabályainak értékei módosulnak, így meg kell határozni, hogy melyik Kerberos mód legyen engedélyezve. Több Kerberos biztonsági mód is engedélyezhető ugyanabban a szabályban, ha többhez is hozzá kell férnie.

Ezek a biztonsági módok a következők:

  • Kerberos 5: Csak a kezdeti hitelesítés van titkosítva.
  • Kerberos 5i: Felhasználói hitelesítés és integritás-ellenőrzés.
  • Kerberos 5p: Felhasználói hitelesítés, integritás-ellenőrzés és adatvédelem. Minden csomag titkosítva van.

Csak a Kerberos-kompatibilis ügyfelek férhetnek hozzá a Kerberost meghatározó exportálási szabályokkal rendelkező kötetekhez; a Kerberos engedélyezése esetén nem AUTH_SYS engedélyezett a hozzáférés.

Gyökérpréselés

Vannak olyan esetek, amikor korlátozni szeretné az Azure NetApp Files-kötetek gyökérhozzáférését. Mivel a gyökérprogram korlátlan hozzáféréssel rendelkezik az NFS-kötetek minden eleméhez – még akkor is, ha a gyökérhöz való hozzáférést kifejezetten megtagadja módbitek vagy ACL-ek használatával –, a gyökérhozzáférés korlátozásának egyetlen módja, ha közli az NFS-kiszolgálóval, hogy egy adott ügyfél gyökére már nem gyökér.

Az exportálási szabályzat szabályaiban válassza a "Gyökérhozzáférés: kikapcsolva" lehetőséget a gyökér gyökérének a 65534-ben megadott, nem gyökérszintű, névtelen felhasználói azonosítóra való összecsukásához. Ez azt jelenti, hogy a megadott ügyfelek gyökere mostantól a 65534-ös felhasználóazonosító (általában nfsnobody NFS-ügyfeleken), és az adott felhasználóhoz megadott ACL-ek/módbitek alapján rendelkezik hozzáféréssel a fájlokhoz és mappákhoz. A módbitek esetében a hozzáférési engedélyek általában a "Mindenki" hozzáférési jogosultságok alá tartoznak. Emellett a gyökérszintű fallabda-szabályok által érintett ügyfelek "gyökérként" írt fájljai felhasználóként nfsnobody:65534 fájlokat és mappákat is létrehoznak. Ha a gyökér gyökérként való megadását igényli, állítsa a "Gyökérhozzáférés" értéket "Be" értékre.

Az exportálási szabályzatok kezelésével kapcsolatos további információkért lásd : Exportálási szabályzatok konfigurálása NFS-hez vagy kétprotokollos kötetekhez.

Szabályzatszabály-rendezés exportálása

Az exportálási szabályzat szabályainak sorrendje határozza meg az alkalmazásuk módját. Az NFS-ügyfélre vonatkozó lista első szabálya az adott ügyfélhez használt szabály. Ha CIDR-tartományokat/alhálózatokat használ az exportszabályzat-szabályokhoz, az abban a tartományban lévő NFS-ügyfél nem kívánt hozzáférést kaphat a tartomány miatt, amelyben szerepel.

Vegyük a következő példát:

Screenshot of two export policy rules.

  • Az index első szabálya az összes alhálózat összes ügyfelet tartalmazza az alapértelmezett házirendszabály alapján, amely a 0.0.0.0/0 értéket használja engedélyezett ügyfélbejegyzésként. Ez a szabály lehetővé teszi az "Olvasás és írás" hozzáférést az adott Azure NetApp Files NFSv3-kötet összes ügyféléhez.
  • Az index második szabálya kifejezetten felsorolja az NFS-ügyfél 10.10.10.10-et, és úgy van konfigurálva, hogy korlátozza a hozzáférést az "Írásvédett" értékre, gyökérhozzáférés nélkül (a gyökér össze van állítva).

A jelenlegi állapotban az ügyfél 10.10.10.10 hozzáférést kap a listában szereplő első szabály miatt. A rendszer soha nem értékeli ki a következő szabályt a hozzáférési korlátozások szempontjából, így a 10.10.10.10 olvasási és írási hozzáférést kap annak ellenére, hogy "Csak olvasás" a cél. A gyökér is gyökér, nem pedig összenyomva.

Ennek kijavításához és a kívánt szinthez való hozzáférés beállításához a szabályok újrarendelhetők, hogy a kívánt ügyfélelérési szabályt bármely alhálózati/CIDR-szabály fölé helyezze. Az exportálási szabályzatszabályokat az Azure Portalon átrendezheti a szabályok húzásával, vagy az ... egyes exportálási szabályzatok sorában található menü Áthelyezés parancsaival.

Feljegyzés

Az Azure NetApp Files CLI-vel vagy a REST API-val csak exportálási szabályzatszabályokat vehet fel vagy távolíthat el.

SMB-megosztások

Az SMB-megosztások lehetővé teszik, hogy a végfelhasználók hozzáférjenek az SMB-hez vagy a kétprotokollos kötetekhez az Azure NetApp Filesban. Az SMB-megosztások hozzáférés-vezérlése az Azure NetApp Files vezérlősíkján csak az SMB biztonsági beállításaira korlátozódik, például a hozzáférés-alapú enumerálásra és a nem böngészhető megosztási funkciókra. Ezek a biztonsági beállítások a kötet létrehozásakor konfigurálhatók a Kötet szerkesztése funkcióval.

Screenshot of share-level permissions.

A megosztási szintű jogosultsági ACL-ek kezelése windowsos MMC-konzolon keresztül történik, nem pedig az Azure NetApp Fileson keresztül.

Az Azure NetApp Files több megosztási tulajdonságot is kínál a rendszergazdák biztonságának növelése érdekében.

Hozzáférés-alapú enumerálás

A hozzáférés-alapú enumerálás egy Azure NetApp Files SMB-kötetfunkció, amely csak a megosztáson engedélyezett hozzáféréssel rendelkező felhasználók számára korlátozza az SMB-ben lévő fájlok és mappák (azaz a tartalmak felsorolása) számbavételét. Ha például egy felhasználó nem rendelkezik hozzáférés-alapú számbavételi jogosultsággal rendelkező megosztások fájljának vagy mappájának olvasásához, akkor a fájl vagy mappa nem jelenik meg a címtárak listájában. Az alábbi példában egy felhasználó (smbuser) nem rendelkezik hozzáféréssel az "ABE" nevű mappa olvasásához egy Azure NetApp Files SMB-kötetben. Csak contosoadmin hozzáféréssel rendelkezik.

Screenshot of access-based enumeration properties.

Az alábbi példában a hozzáférés-alapú számbavétel le van tiltva, így a felhasználó hozzáfér a ABE következő könyvtárhoz SMBVolume: .

Screenshot of directory without access-bassed enumeration.

A következő példában engedélyezve van a hozzáférés-alapú enumerálás, így a ABE címtár SMBVolume nem jelenik meg a felhasználó számára.

Screenshot of directory with two sub-directories.

Az engedélyek az egyes fájlokra is kiterjednek. Az alábbi példában a hozzáférés-alapú számbavétel le van tiltva, és ABE-file megjelenik a felhasználó számára.

Screenshot of directory with two-files.

Ha engedélyezve van a hozzáférés-alapú számbavétel, ABE-file nem jelenik meg a felhasználó számára.

Screenshot of directory with one file.

Nem böngészhető megosztások

Az Azure NetApp Files nem böngészhető megosztási funkciója korlátozza az ügyfelek számára az SMB-megosztások böngészését azáltal, hogy elrejti a megosztást a Windows Intéző nézetéből, vagy ha a megosztásokat a "net nézetben" listázzuk. Csak azok a végfelhasználók találják meg a megosztást, amelyek ismerik a megosztás abszolút elérési útját.

Az alábbi képen a nem böngészhető megosztási tulajdonság nincs engedélyezve SMBVolume, így a kötet megjelenik a fájlkiszolgáló (a használatával \\servername) listájában.

Screenshot of a directory that includes folder SMBVolume.

Ha a nem böngészhető megosztások engedélyezve lesznek az SMBVolume Azure NetApp Filesban, a fájlkiszolgáló nézete kizárja SMBVolume.

A következő képen a megosztás SMBVolume nem böngészhető megosztásokat engedélyez az Azure NetApp Filesban. Ha ez engedélyezve van, ez a fájlkiszolgáló legfelső szintjének nézete.

Screenshot of a directory with two sub-directories.

Annak ellenére, hogy a lista kötete nem látható, akkor is elérhető marad, ha a felhasználó ismeri a fájl elérési útját.

Screenshot of Windows Explorer with file path highlighted.

SMB3-titkosítás

Az SMB3-titkosítás egy Azure NetApp Files SMB-kötetfunkció, amely az SMB-ügyfeleknél a titkosítást a vezetéken keresztül kényszeríti ki a NAS-környezetek nagyobb biztonsága érdekében. Az alábbi képen a hálózati forgalom képernyőfelvétele látható, amikor az SMB-titkosítás le van tiltva. A bizalmas információk – például a fájlnevek és a fájlleírók – láthatók.

Screenshot of packet capture with SMB encryption disabled.

Ha az SMB-titkosítás engedélyezve van, a csomagok titkosítottként vannak megjelölve, és nem láthatók bizalmas információk. Ehelyett "Titkosított SMB3-adatokként" jelenik meg.

Screenshot of packet capture with SMB encryption enabled.

SMB-megosztási ACL-ek

Az SMB-megosztások szabályozhatják a megosztások csatlakoztatására és elérésére jogosult felhasználók hozzáférését, valamint szabályozhatják az Active Directory-tartományban lévő felhasználók és csoportok hozzáférési szintjét. A kiértékelt engedélyek első szintje a megosztási hozzáférés-vezérlési listák (ACL-ek).

Az SMB-megosztási engedélyek alapszintűbbek, mint a fájlengedélyek: csak olvasási, módosítási vagy teljes körű vezérlést alkalmaznak. A megosztási engedélyeket felül lehet bírálni fájlengedélyekkel, a fájlengedélyeket pedig felül lehet bírálni megosztási engedélyekkel; a legszigorúbb engedély az, amelyik betartja. Ha például a "Mindenki" csoport teljes hozzáféréssel rendelkezik a megosztáson (az alapértelmezett viselkedés), és az adott felhasználók csak olvasási hozzáféréssel rendelkeznek egy mappához egy fájlszintű ACL-n keresztül, akkor az olvasási hozzáférés ezekre a felhasználókra lesz alkalmazva. Az ACL-ben kifejezetten nem szereplő többi felhasználó teljes hozzáféréssel rendelkezik

Ezzel szemben, ha a megosztási engedély "Olvasás" értékre van állítva egy adott felhasználó esetében, de a fájlszintű engedély teljes hozzáférésre van állítva az adott felhasználó számára, az "Olvasás" hozzáférés kényszerítve lesz.

Kétprotokollos NAS-környezetekben az SMB-megosztási ACL-ek csak az SMB-felhasználókra vonatkoznak. Az NFS-ügyfelek exportálási szabályzatokat és szabályokat használnak a megosztási hozzáférési szabályokhoz. Ezért a fájl- és mappaszintű engedélyek vezérlése előnyben részesíti a megosztási szintű ACL-eket, különösen a kettős protokollú NAS-kötetek esetében.

Az ACL-ek konfigurálásáról további információt az SMB-megosztási ACL-ek kezelése az Azure NetApp Filesban című témakörben talál.

Következő lépések