مشاركة عبر

فهم أذونات مشاركة NAS في Azure NetApp Files

  • مقالة

توفر Azure NetApp Files عدة طرق لتأمين بيانات NAS. أحد جوانب هذا الأمان هو الأذونات. في NAS، يمكن تقسيم الأذونات إلى فئتين:

  • مشاركة حد أذونات الوصول لمن يمكنه تحميل وحدة تخزين NAS. تشارك عناصر تحكم NFS أذونات الوصول عبر عنوان IP أو اسم المضيف. يتحكم SMB في ذلك عبر قوائم التحكم في الوصول إلى المستخدم والمجموعة (ACLs).
  • تحد أذونات الوصول إلى الملفات مما يمكن للمستخدمين والمجموعات القيام به بمجرد تحميل وحدة تخزين NAS. يتم تطبيق أذونات الوصول إلى الملفات على الملفات والمجلدات الفردية.

تعتمد أذونات Azure NetApp Files على معايير NAS، ما يبسط عملية وحدات تخزين NAS للأمان للمسؤولين والمستخدمين النهائيين الذين لديهم أساليب مألوفة.

إشعار

إذا كانت الأذونات المتعارضة مدرجة على المشاركة والملفات، يتم تطبيق الإذن الأكثر تقييدا. على سبيل المثال، إذا كان لدى المستخدم حق الوصول للقراءة فقط على مستوى المشاركة والتحكم الكامل على مستوى الملف، يتلقى المستخدم حق الوصول للقراءة على جميع المستويات.

مشاركة أذونات الوصول

نقطة الإدخال الأولية المراد تأمينها في بيئة NAS هي الوصول إلى المشاركة نفسها. في معظم الحالات، يجب أن يقتصر الوصول على المستخدمين والمجموعات التي تحتاج إلى الوصول إلى المشاركة فقط. باستخدام أذونات الوصول للمشاركة، يمكنك تأمين من يمكنه تحميل المشاركة في المقام الأول.

نظرا لأن الأذونات الأكثر تقييدا تتجاوز الأذونات الأخرى، والمشاركة هي نقطة الإدخال الرئيسية إلى وحدة التخزين (بأقل عناصر تحكم في الوصول)، يجب أن تلتزم أذونات المشاركة بمنطق قمع، حيث تسمح المشاركة بالوصول بشكل أكبر من الملفات والمجلدات الأساسية. يسن منطق القمع ضوابط أكثر دقة وتقييدية.

Diagram of inverted pyramid of file access hierarchy.

نهج تصدير NFS

تتم مشاركة وحدات التخزين في Azure NetApp Files مع عملاء NFS عن طريق تصدير مسار يمكن للعميل أو مجموعة من العملاء الوصول إليه. يستخدم كل من NFSv3 وNFSv4.x نفس الأسلوب للحد من الوصول إلى مشاركة NFS في Azure NetApp Files: نهج التصدير.

نهج التصدير هو حاوية لمجموعة من قواعد الوصول المدرجة بترتيب الوصول المطلوب. تتحكم هذه القواعد في الوصول إلى مشاركات NFS باستخدام عناوين IP للعميل أو الشبكات الفرعية. إذا لم يكن العميل مدرجا في قاعدة نهج التصدير - إما السماح بالوصول أو رفضه صراحة - فلن يتمكن هذا العميل من تحميل تصدير NFS. نظرا لأن القواعد تتم قراءتها بترتيب تسلسلي، إذا تم تطبيق قاعدة نهج أكثر تقييدا على عميل (على سبيل المثال، عن طريق شبكة فرعية)، فسيتم قراءتها وتطبيقها أولا. يتم تجاهل قواعد النهج اللاحقة التي تسمح بمزيد من الوصول. يظهر هذا الرسم التخطيطي عميلا لديه عنوان IP 10.10.10.10 يحصل على حق الوصول للقراءة فقط إلى وحدة تخزين لأن الشبكة الفرعية 0.0.0.0/0 (كل عميل في كل شبكة فرعية) تم تعيينها للقراءة فقط ويتم سردها أولا في النهج.

Diagram modeling export policy rule hierarchy.

خيارات قاعدة نهج التصدير المتوفرة في Azure NetApp Files

عند إنشاء وحدة تخزين Azure NetApp Files، هناك العديد من الخيارات القابلة للتكوين للتحكم في الوصول إلى وحدات تخزين NFS.

  • الفهرس: يحدد الترتيب الذي يتم به تقييم قاعدة نهج التصدير. إذا كان العميل يقع ضمن قواعد متعددة في النهج، فإن القاعدة الأولى القابلة للتطبيق تنطبق على العميل ويتم تجاهل القواعد اللاحقة.
  • العملاء المسموح لهم: يحدد العملاء الذين تنطبق عليه القاعدة. يمكن أن تكون هذه القيمة عنوان IP للعميل أو قائمة مفصولة بفواصل من عناوين IP أو شبكة فرعية تتضمن عملاء متعددين. لا يتم دعم قيم اسم المضيف ومجموعة netgroup في Azure NetApp Files.
  • الوصول: يحدد مستوى الوصول المسموح به للمستخدمين غير الجذر. بالنسبة لوحدات تخزين NFS دون تمكين Kerberos، الخيارات هي: للقراءة فقط أو القراءة والكتابة أو عدم الوصول. بالنسبة إلى وحدات التخزين مع تمكين Kerberos، الخيارات هي: Kerberos 5 أو Kerberos 5i أو Kerberos 5p.
  • الوصول الجذر: يحدد كيفية معاملة المستخدم الجذر في عمليات تصدير NFS لعميل معين. إذا تم تعيين إلى "تشغيل"، فإن الجذر هو الجذر. إذا تم تعيينه إلى "إيقاف التشغيل" ، يتم سحق الجذر إلى معرف المستخدم المجهول 65534.
  • وضع chown: يتحكم في ما يمكن للمستخدمين تشغيل أوامر تغيير الملكية على التصدير (chown). إذا تم تعيينه إلى "مقيد"، يمكن للمستخدم الجذر فقط تشغيل chown. إذا تم تعيينه إلى "غير مقيد"، يمكن لأي مستخدم له أذونات الملف/المجلد المناسبة تشغيل أوامر chown.

قاعدة النهج الافتراضية في Azure NetApp Files

عند إنشاء وحدة تخزين جديدة، يتم إنشاء قاعدة نهج افتراضية. يمنع النهج الافتراضي سيناريو يتم فيه إنشاء وحدة تخزين دون قواعد النهج، ما قد يقيد الوصول لأي عميل يحاول الوصول إلى التصدير. إذا لم تكن هناك قواعد، فلن يكون هناك وصول.

تحتوي القاعدة الافتراضية على القيم التالية:

  • الفهرس = 1
  • العملاء المسموح لهم = 0.0.0.0/0 (يسمح جميع العملاء بالوصول)
  • Access = قراءة وكتابة
  • الوصول الجذر = تشغيل
  • وضع Chown = مقيد

يمكن تغيير هذه القيم عند إنشاء وحدة التخزين أو بعد إنشاء وحدة التخزين.

تصدير قواعد النهج مع تمكين NFS Kerberos في Azure NetApp Files

يمكن تمكين NFS Kerberos فقط على وحدات التخزين باستخدام NFSv4.1 في Azure NetApp Files. يوفر Kerberos أمانا إضافيا من خلال تقديم أوضاع مختلفة من التشفير لتركيبات NFS، اعتمادا على نوع Kerberos المستخدم.

عند تمكين Kerberos، تتغير قيم قواعد نهج التصدير للسماح بمواصفات وضع Kerberos الذي يجب السماح به. يمكن تمكين أوضاع أمان Kerberos المتعددة في نفس القاعدة إذا كنت بحاجة إلى الوصول إلى أكثر من واحد.

وتشمل أوضاع الأمان هذه ما يلي:

  • Kerberos 5: يتم تشفير المصادقة الأولية فقط.
  • Kerberos 5i: مصادقة المستخدم بالإضافة إلى التحقق من التكامل.
  • Kerberos 5p: مصادقة المستخدم وفحص التكامل والخصوصية. جميع الحزم مشفرة.

يمكن فقط للعملاء الذين يدعمون Kerberos الوصول إلى وحدات التخزين مع قواعد التصدير التي تحدد Kerberos؛ لا AUTH_SYS يسمح بالوصول عند تمكين Kerberos.

سحق الجذر

هناك بعض السيناريوهات حيث تريد تقييد الوصول الجذر إلى وحدة تخزين Azure NetApp Files. نظرا لأن الجذر لديه وصول غير مقيد إلى أي شيء في وحدة تخزين NFS - حتى عند رفض الوصول صراحة إلى الجذر باستخدام وحدات بت الوضع أو قوائم التحكم في الوصول - فإن الطريقة الوحيدة للحد من الوصول إلى الجذر هي إخبار خادم NFS أن الجذر من عميل معين لم يعد جذرا.

في قواعد نهج التصدير، حدد "الوصول الجذر: إيقاف التشغيل" ل squash root إلى معرف مستخدم مجهول غير جذر 65534. وهذا يعني أن الجذر على العملاء المحددين هو الآن معرف المستخدم 65534 (عادة على nfsnobody عملاء NFS) ولديه حق الوصول إلى الملفات والمجلدات استنادا إلى وحدات بت ACLs/الوضع المحددة لهذا المستخدم. بالنسبة لوحدات بت الوضع، تقع أذونات الوصول بشكل عام ضمن حقوق الوصول "الجميع". بالإضافة إلى ذلك، تنشئ الملفات المكتوبة باسم "الجذر" من العملاء المتأثرين بقواعد squash الجذر الملفات والمجلدات كمستخدم nfsnobody:65534 . إذا كنت تحتاج إلى الجذر ليكون الجذر، فقم بتعيين "الوصول الجذر" إلى "تشغيل".

لمعرفة المزيد حول إدارة نهج التصدير، راجع تكوين نهج التصدير لوحدات تخزين NFS أو البروتوكول المزدوج.

ترتيب قاعدة نهج التصدير

يحدد ترتيب قواعد نهج التصدير كيفية تطبيقها. القاعدة الأولى في القائمة التي تنطبق على عميل NFS هي القاعدة المستخدمة لهذا العميل. عند استخدام نطاقات CIDR/الشبكات الفرعية لقواعد نهج التصدير، قد يتلقى عميل NFS في هذا النطاق وصولا غير مرغوب فيه بسبب النطاق الذي تم تضمينه فيه.

تأمل المثال التالي:

Screenshot of two export policy rules.

  • تتضمن القاعدة الأولى في الفهرس جميع العملاء في جميع الشبكات الفرعية عن طريق قاعدة النهج الافتراضية باستخدام 0.0.0.0/0 كإدخل العملاء المسموح لهم. تسمح هذه القاعدة بوصول "القراءة والكتابة" إلى جميع العملاء لوحدات التخزين NFSv3 لملفات Azure NetApp.
  • تسرد القاعدة الثانية في الفهرس بشكل صريح عميل NFS 10.10.10.10 ويتم تكوينها للحد من الوصول إلى "للقراءة فقط"، دون الوصول إلى الجذر (يتم سحق الجذر).

كما هو الحال، يتلقى العميل 10.10.10.10 حق الوصول بسبب القاعدة الأولى في القائمة. لا يتم تقييم القاعدة التالية أبدا لقيود الوصول، وبالتالي 10.10.10.10 الحصول على حق الوصول للقراءة والكتابة على الرغم من أن "القراءة فقط" مطلوب. الجذر هو أيضا الجذر، بدلا من أن يتم سحقه.

لإصلاح هذا وتعيين الوصول إلى المستوى المطلوب، يمكن إعادة ترتيب القواعد لوضع قاعدة وصول العميل المطلوبة فوق أي قواعد شبكة فرعية/CIDR. يمكنك إعادة ترتيب قواعد نهج التصدير في مدخل Microsoft Azure عن طريق سحب القواعد أو استخدام أوامر النقل في ... القائمة في الصف لكل قاعدة نهج تصدير.

إشعار

يمكنك استخدام Azure NetApp Files CLI أو REST API فقط لإضافة قواعد نهج التصدير أو إزالتها.

مشاركات SMB

تمكن مشاركات SMB المستخدمين النهائيين من الوصول إلى وحدات تخزين SMB أو البروتوكول المزدوج في Azure NetApp Files. تقتصر عناصر التحكم في الوصول لمشاركات SMB في مستوى التحكم Azure NetApp Files على خيارات أمان SMB فقط مثل التعداد المستند إلى الوصول ووظائف المشاركة غير القابلة للاستعراض. يتم تكوين خيارات الأمان هذه أثناء إنشاء وحدة التخزين باستخدام وظيفة تحرير وحدة التخزين .

Screenshot of share-level permissions.

تتم إدارة قوائم التحكم بالوصول على مستوى المشاركة من خلال وحدة تحكم Windows MMC بدلا من من خلال Azure NetApp Files.

توفر Azure NetApp Files خصائص مشاركة متعددة لتحسين الأمان للمسؤولين.

التعداد المستند إلى الوصول

التعداد المستند إلى الوصول هو ميزة وحدة تخزين Azure NetApp Files SMB التي تحد من تعداد الملفات والمجلدات (أي سرد المحتويات) في SMB فقط للمستخدمين الذين لديهم حق الوصول المسموح به على المشاركة. على سبيل المثال، إذا لم يكن لدى المستخدم حق الوصول لقراءة ملف أو مجلد في مشاركة مع تمكين التعداد المستند إلى الوصول، فلن يظهر الملف أو المجلد في قوائم الدليل. في المثال التالي، لا يملك المستخدم (smbuser) حق الوصول لقراءة مجلد يسمى "ABE" في وحدة تخزين Azure NetApp Files SMB. لديه حق الوصول فقط contosoadmin .

Screenshot of access-based enumeration properties.

في المثال أدناه، يتم تعطيل التعداد المستند إلى الوصول، لذلك يمكن للمستخدم الوصول إلى ABE دليل SMBVolume.

Screenshot of directory without access-bassed enumeration.

في المثال التالي، يتم تمكين التعداد المستند إلى الوصول، لذلك ABE لا يتم عرض دليل SMBVolume للمستخدم.

Screenshot of directory with two sub-directories.

تمتد الأذونات أيضا إلى الملفات الفردية. في المثال أدناه، يتم تعطيل التعداد المستند إلى الوصول ويعرض ABE-file للمستخدم.

Screenshot of directory with two-files.

مع تمكين التعداد المستند إلى الوصول، ABE-file لا يتم عرضه للمستخدم.

Screenshot of directory with one file.

مشاركات غير قابلة للاستعراض

تحد ميزة المشاركات غير القابلة للاستعراض في Azure NetApp Files العملاء من الاستعراض لمشاركة SMB عن طريق إخفاء المشاركة من طريقة العرض في مستكشف Windows أو عند سرد المشاركات في "طريقة العرض الصافية". يمكن فقط للمستخدمين النهائيين الذين يعرفون المسارات المطلقة للمشاركة العثور على المشاركة.

في الصورة التالية، لم يتم تمكين خاصية المشاركة غير القابلة للاستعراض ل SMBVolume، لذلك يتم عرض وحدة التخزين في قائمة خادم الملفات (باستخدام \\servername).

Screenshot of a directory that includes folder SMBVolume.

مع تمكين المشاركات غير القابلة للاستعراض في SMBVolume Azure NetApp Files، تستبعد طريقة العرض نفسها لخادم الملفات SMBVolume.

في الصورة التالية، تحتوي المشاركة SMBVolume على مشاركات غير قابلة للاستعراض ممكنة في Azure NetApp Files. عند تمكين ذلك، هذه هي طريقة عرض المستوى الأعلى لخادم الملفات.

Screenshot of a directory with two sub-directories.

على الرغم من أنه لا يمكن رؤية وحدة التخزين في القائمة، فإنه يظل من الممكن الوصول إليها إذا كان المستخدم يعرف مسار الملف.

Screenshot of Windows Explorer with file path highlighted.

تشفير SMB3

تشفير SMB3 هو ميزة وحدة تخزين Azure NetApp Files SMB التي تفرض التشفير عبر السلك لعملاء SMB لمزيد من الأمان في بيئات NAS. تعرض الصورة التالية لقطة شاشة لحركة مرور الشبكة عند تعطيل تشفير SMB. المعلومات الحساسة - مثل أسماء الملفات ومقابض الملفات - مرئية.

Screenshot of packet capture with SMB encryption disabled.

عند تمكين تشفير SMB، يتم وضع علامة على الحزم على أنها مشفرة، ولا يمكن رؤية أي معلومات حساسة. بدلا من ذلك، يتم عرضها على أنها "بيانات SMB3 مشفرة".

Screenshot of packet capture with SMB encryption enabled.

قوائم التحكم في الوصول لمشاركة SMB

يمكن لمشاركات SMB التحكم في الوصول إلى من يمكنه تحميل مشاركة والوصول إليها، بالإضافة إلى التحكم في مستويات الوصول إلى المستخدمين والمجموعات في مجال Active Directory. المستوى الأول من الأذونات التي يتم تقييمها هو مشاركة قوائم التحكم في الوصول (ACLs).

تعد أذونات مشاركة SMB أكثر أساسية من أذونات الملف: فهي تطبق القراءة أو التغيير أو التحكم الكامل فقط. يمكن تجاوز أذونات المشاركة بواسطة أذونات الملف ويمكن تجاوز أذونات الملفات بواسطة أذونات المشاركة؛ الإذن الأكثر تقييدا هو الذي التزم به. على سبيل المثال، إذا تم منح المجموعة "الجميع" التحكم الكامل في المشاركة (السلوك الافتراضي)، وكان لدى مستخدمين محددين حق الوصول للقراءة فقط إلى مجلد عبر قائمة التحكم بالوصول على مستوى الملف، فسيتم تطبيق الوصول للقراءة على هؤلاء المستخدمين. أي مستخدمين آخرين غير مدرجين بشكل صريح في قائمة التحكم بالوصول لديهم تحكم كامل

وعلى العكس من ذلك، إذا تم تعيين إذن المشاركة إلى "قراءة" لمستخدم معين، ولكن تم تعيين إذن مستوى الملف إلى التحكم الكامل لهذا المستخدم، يتم فرض الوصول "قراءة".

في بيئات NAS ثنائية البروتوكول، يتم تطبيق قوائم ACL لمشاركة SMB فقط على مستخدمي SMB. يستفيد عملاء NFS من نهج التصدير وقواعد قواعد الوصول للمشاركة. على هذا النحو، يفضل التحكم في الأذونات على مستوى الملف والمجلد على قوائم التحكم في الوصول على مستوى المشاركة، خاصة لوحدات تخزين NAS ثنائية البروتوكول.

لمعرفة كيفية تكوين قوائم التحكم في الوصول، راجع إدارة قوائم التحكم في الوصول لمشاركة SMB في Azure NetApp Files.

الخطوات التالية