Partilhar via

Compreender as permissões de partilha de NAS nos Ficheiros NetApp do Azure

  • Artigo

Os Arquivos NetApp do Azure fornecem várias maneiras de proteger seus dados NAS. Um aspeto dessa segurança são as permissões. No NAS, as permissões podem ser divididas em duas categorias:

  • Limite de permissões de acesso de compartilhamento quem pode montar um volume NAS. O NFS controla as permissões de acesso de compartilhamento por meio de endereço IP ou nome de host. O SMB controla isso por meio de listas de controle de acesso (ACLs) de usuários e grupos.
  • As permissões de acesso a arquivos limitam o que os usuários e grupos podem fazer quando um volume NAS é montado. As permissões de acesso a ficheiros são aplicadas a ficheiros e pastas individuais.

As permissões dos Arquivos NetApp do Azure dependem de padrões NAS, simplificando o processo de segurança de volumes NAS para administradores e usuários finais com métodos familiares.

Nota

Se as permissões conflitantes estiverem listadas em compartilhamento e arquivos, a permissão mais restritiva será aplicada. Por exemplo, se um usuário tiver acesso somente leitura no nível de compartilhamento e controle total no nível de arquivo, o usuário receberá acesso de leitura em todos os níveis.

Permissões de acesso de compartilhamento

O ponto de entrada inicial a ser protegido em um ambiente NAS é o acesso ao próprio compartilhamento. Na maioria dos casos, o acesso deve ser restrito apenas aos usuários e grupos que precisam acessar o compartilhamento. Com permissões de acesso de compartilhamento, você pode bloquear quem pode até mesmo montar o compartilhamento em primeiro lugar.

Como as permissões mais restritivas substituem outras permissões, e um compartilhamento é o principal ponto de entrada para o volume (com o menor número de controles de acesso), as permissões de compartilhamento devem obedecer a uma lógica de funil, onde o compartilhamento permite mais acesso do que os arquivos e pastas subjacentes. A lógica do funil executa controles mais granulares e restritivos.

Diagram of inverted pyramid of file access hierarchy.

Políticas de exportação de NFS

Os volumes nos Arquivos NetApp do Azure são compartilhados com clientes NFS exportando um caminho acessível a um cliente ou conjunto de clientes. Tanto o NFSv3 quanto o NFSv4.x usam o mesmo método para limitar o acesso a um compartilhamento NFS no Azure NetApp Files: políticas de exportação.

Uma política de exportação é um contêiner para um conjunto de regras de acesso listadas em ordem de acesso desejado. Essas regras controlam o acesso a compartilhamentos NFS usando endereços IP ou sub-redes do cliente. Se um cliente não estiver listado em uma regra de política de exportação, permitindo ou negando explicitamente o acesso, esse cliente não poderá montar a exportação NFS. Como as regras são lidas em ordem sequencial, se uma regra de política mais restritiva for aplicada a um cliente (por exemplo, por meio de uma sub-rede), ela será lida e aplicada primeiro. As regras de política subsequentes que permitem mais acesso são ignoradas. Este diagrama mostra um cliente que tem um IP de 10.10.10.10 obtendo acesso somente leitura a um volume porque a sub-rede 0.0.0.0/0 (cada cliente em cada sub-rede) está definida como somente leitura e é listada primeiro na política.

Diagram modeling export policy rule hierarchy.

Opções de regra de política de exportação disponíveis nos Arquivos NetApp do Azure

Ao criar um volume de Arquivos NetApp do Azure, há várias opções configuráveis para controle de acesso a volumes NFS.

  • Índice: especifica a ordem na qual uma regra de política de exportação é avaliada. Se um cliente se enquadrar em várias regras na política, a primeira regra aplicável se aplicará ao cliente e as regras subsequentes serão ignoradas.
  • Clientes permitidos: especifica a quais clientes uma regra se aplica. Esse valor pode ser um endereço IP do cliente, uma lista separada por vírgulas de endereços IP ou uma sub-rede que inclua vários clientes. Os valores hostname e netgroup não são suportados nos Arquivos NetApp do Azure.
  • Acesso: especifica o nível de acesso permitido a usuários não-root. Para volumes NFS sem Kerberos habilitado, as opções são: Somente leitura, Leitura & gravação ou Sem acesso. Para volumes com Kerberos habilitado, as opções são: Kerberos 5, Kerberos 5i ou Kerberos 5p.
  • Acesso raiz: especifica como o usuário raiz é tratado nas exportações NFS para um determinado cliente. Se definido como "On", a raiz é root. Se definido como "Desativado", a raiz é esmagada para o ID de usuário anônimo 65534.
  • Modo Chown: Controla o que os usuários podem executar Alterar comandos de propriedade na exportação (chown). Se definido como "Restrito", somente o usuário root pode executar o chown. Se definido como "Sem restrições", qualquer usuário com as permissões de arquivo/pasta adequadas pode executar comandos chown.

Regra de política padrão nos Arquivos NetApp do Azure

Ao criar um novo volume, uma regra de política padrão é criada. A política padrão impede um cenário em que um volume é criado sem regras de política, o que restringiria o acesso de qualquer cliente que tentasse acessar a exportação. Se não houver regras, não há acesso.

A regra padrão tem os seguintes valores:

  • Índice = 1
  • Clientes permitidos = 0.0.0.0/0 (todos os clientes têm acesso permitido)
  • Acesso = Ler e escrever
  • Acesso raiz = Ativado
  • Modo Chown = Restrito

Esses valores podem ser alterados na criação do volume ou após a criação do volume.

Exportar regras de política com Kerberos NFS habilitado nos Arquivos NetApp do Azure

O Kerberos NFS pode ser habilitado somente em volumes que usam NFSv4.1 nos Arquivos NetApp do Azure. Kerberos fornece segurança adicional, oferecendo diferentes modos de criptografia para montagens NFS, dependendo do tipo Kerberos em uso.

Quando o Kerberos está habilitado, os valores das regras de política de exportação mudam para permitir a especificação de qual modo Kerberos deve ser permitido. Vários modos de segurança Kerberos podem ser habilitados na mesma regra se você precisar acessar mais de um.

Esses modos de segurança incluem:

  • Kerberos 5: Somente a autenticação inicial é criptografada.
  • Kerberos 5i: Autenticação do usuário mais verificação de integridade.
  • Kerberos 5p: Autenticação do usuário, verificação de integridade e privacidade. Todos os pacotes são encriptados.

Somente clientes habilitados para Kerberos podem acessar volumes com regras de exportação especificando Kerberos; nenhum AUTH_SYS acesso é permitido quando o Kerberos está habilitado.

Esmagamento de raízes

Há alguns cenários em que você deseja restringir o acesso raiz a um volume de Arquivos NetApp do Azure. Como o root tem acesso irrestrito a qualquer coisa em um volume NFS – mesmo quando explicitamente nega o acesso ao root usando bits de modo ou ACLs – a única maneira de limitar o acesso root é dizer ao servidor NFS que o root de um cliente específico não é mais root.

Em regras de política de exportação, selecione "Acesso raiz: desativado" para esmagar root para um ID de usuário anônimo não raiz de 65534. Isso significa que a raiz nos clientes especificados agora é o ID de usuário 65534 (normalmente nfsnobody em clientes NFS) e tem acesso a arquivos e pastas com base nas ACLs/bits de modo especificados para esse usuário. Para bits de modo, as permissões de acesso geralmente se enquadram nos direitos de acesso "Todos". Além disso, arquivos escritos como "raiz" de clientes afetados por regras de squash raiz criam arquivos e pastas como o nfsnobody:65534 usuário. Se você precisar que o root seja root, defina "Root access" como "On".

Para saber mais sobre como gerenciar políticas de exportação, consulte Configurar políticas de exportação para volumes NFS ou de protocolo duplo.

Ordenação de regras de política de exportação

A ordem das regras da política de exportação determina como elas são aplicadas. A primeira regra na lista que se aplica a um cliente NFS é a regra usada para esse cliente. Ao usar intervalos/sub-redes CIDR para regras de política de exportação, um cliente NFS nesse intervalo pode receber acesso indesejado devido ao intervalo no qual está incluído.

Considere o seguinte exemplo:

Screenshot of two export policy rules.

  • A primeira regra no índice inclui todos os clientes em todas as sub-redes por meio da regra de política padrão usando 0.0.0.0/0 como a entrada Clientes permitidos. Essa regra permite o acesso "Read & Write" a todos os clientes para esse volume NFSv3 do Azure NetApp Files.
  • A segunda regra no índice lista explicitamente o cliente NFS 10.10.10.10 e é configurada para limitar o acesso a "Somente leitura", sem acesso root (root é esmagado).

Como está, o cliente 10.10.10.10 recebe acesso devido à primeira regra na lista. A próxima regra nunca é ser avaliada para restrições de acesso, assim, 10.10.10.10 obter acesso de leitura e gravação, mesmo que "somente leitura" seja desejado. Raiz também é raiz, em vez de ser esmagada.

Para corrigir isso e definir o acesso ao nível desejado, as regras podem ser reordenadas para colocar a regra de acesso do cliente desejada acima de qualquer regra de sub-rede/CIDR. Você pode reordenar as regras de política de exportação no portal do Azure arrastando as regras ou usando os ... comandos Mover no menu da linha para cada regra de política de exportação.

Nota

Você pode usar a CLI de Arquivos NetApp do Azure ou a API REST apenas para adicionar ou remover regras de política de exportação.

Partilhas SMB

Os compartilhamentos SMB permitem que os usuários finais possam acessar volumes SMB ou de protocolo duplo nos Arquivos NetApp do Azure. Os controles de acesso para compartilhamentos SMB são limitados no plano de controle de Arquivos NetApp do Azure a apenas opções de segurança SMB, como enumeração baseada em acesso e funcionalidade de compartilhamento não navegável. Essas opções de segurança são configuradas durante a criação do volume com a funcionalidade Editar volume .

Screenshot of share-level permissions.

As ACLs de permissão de nível de compartilhamento são gerenciadas por meio de um console MMC do Windows em vez de por meio dos Arquivos NetApp do Azure.

O Azure NetApp Files oferece várias propriedades de compartilhamento para melhorar a segurança dos administradores.

Enumeração baseada em acesso

A enumeração baseada em acesso é um recurso de volume SMB do Azure NetApp Files que limita a enumeração de arquivos e pastas (ou seja, listando o conteúdo) no SMB apenas para usuários com acesso permitido no compartilhamento. Por exemplo, se um usuário não tiver acesso para ler um arquivo ou pasta em um compartilhamento com a enumeração baseada em acesso habilitada, o arquivo ou pasta não aparecerá nas listagens de diretório. No exemplo a seguir, um usuário (smbuser) não tem acesso para ler uma pasta chamada "ABE" em um volume SMB do Azure NetApp Files. Só contosoadmin tem acesso.

Screenshot of access-based enumeration properties.

No exemplo abaixo, a enumeração baseada em acesso está desabilitada, para que o usuário tenha acesso ao ABE diretório de SMBVolume.

Screenshot of directory without access-bassed enumeration.

No próximo exemplo, a enumeração baseada em acesso está habilitada, portanto, o diretório de SMBVolume não é exibido para o ABE usuário.

Screenshot of directory with two sub-directories.

As permissões também se estendem a arquivos individuais. No exemplo abaixo, a enumeração baseada em acesso é desabilitada e ABE-file exibida para o usuário.

Screenshot of directory with two-files.

Com a enumeração baseada em acesso habilitada, ABE-file não é exibida para o usuário.

Screenshot of directory with one file.

Ações não navegáveis

O recurso de compartilhamentos não navegáveis nos Arquivos NetApp do Azure limita os clientes de procurar um compartilhamento SMB ocultando o compartilhamento do modo de exibição no Windows Explorer ou ao listar compartilhamentos em "modo de exibição de rede". Somente os usuários finais que conhecem os caminhos absolutos para o compartilhamento são capazes de encontrar o compartilhamento.

Na imagem a seguir, a propriedade de compartilhamento não navegável não está habilitada para SMBVolume, portanto, o volume é exibido na listagem do servidor de arquivos (usando \\servername).

Screenshot of a directory that includes folder SMBVolume.

Com compartilhamentos não navegáveis habilitados SMBVolume nos Arquivos NetApp do Azure, a mesma exibição do servidor de arquivos exclui SMBVolumeo .

Na imagem seguinte, o compartilhamento SMBVolume tem compartilhamentos não navegáveis habilitados nos Arquivos NetApp do Azure. Quando isso é habilitado, essa é a exibição do nível superior do servidor de arquivos.

Screenshot of a directory with two sub-directories.

Mesmo que o volume na listagem não possa ser visto, ele permanece acessível se o usuário souber o caminho do arquivo.

Screenshot of Windows Explorer with file path highlighted.

Encriptação SMB3

A criptografia SMB3 é um recurso de volume SMB do Azure NetApp Files que impõe criptografia por fio para clientes SMB para maior segurança em ambientes NAS. A imagem a seguir mostra uma captura de tela do tráfego de rede quando a criptografia SMB está desativada. Informações confidenciais, como nomes e identificadores de arquivos, são visíveis.

Screenshot of packet capture with SMB encryption disabled.

Quando a criptografia SMB está habilitada, os pacotes são marcados como criptografados e nenhuma informação confidencial pode ser vista. Em vez disso, ele é mostrado como "Dados SMB3 criptografados".

Screenshot of packet capture with SMB encryption enabled.

ACLs de compartilhamento SMB

Os compartilhamentos SMB podem controlar o acesso a quem pode montar e acessar um compartilhamento, bem como controlar os níveis de acesso a usuários e grupos em um domínio do Ative Directory. O primeiro nível de permissões que são avaliadas são ACLs (listas de controle de acesso de compartilhamento).

As permissões de compartilhamento SMB são mais básicas do que as permissões de arquivo: elas só aplicam controle de leitura, alteração ou total. As permissões de compartilhamento podem ser substituídas por permissões de arquivo e as permissões de arquivo podem ser substituídas por permissões de compartilhamento; a permissão mais restritiva é a observada. Por exemplo, se o grupo "Todos" tiver controle total sobre o compartilhamento (o comportamento padrão) e usuários específicos tiverem acesso somente leitura a uma pasta por meio de uma ACL no nível de arquivo, o acesso de leitura será aplicado a esses usuários. Quaisquer outros usuários não listados explicitamente na ACL têm controle total

Por outro lado, se a permissão de compartilhamento estiver definida como "Leitura" para um usuário específico, mas a permissão no nível de arquivo estiver definida como controle total para esse usuário, o acesso "Leitura" será imposto.

Em ambientes NAS de protocolo duplo, as ACLs de compartilhamento SMB só se aplicam a usuários SMB. Os clientes NFS aproveitam as políticas e regras de exportação para regras de acesso a compartilhamentos. Como tal, o controle de permissões no nível de arquivo e pasta é preferível às ACLs de nível de compartilhamento, especialmente para volumes NAS dual=protocol.

Para saber como configurar ACLs, consulte Manage SMB share ACLs in Azure NetApp Files.

Próximos passos