Compartir a través de

Comprenda la seguridad del plano de datos de Azure NetApp Files

Obtenga información sobre las diferentes características de seguridad del plano de datos de Azure NetApp Files para comprender lo que está disponible para satisfacer mejor sus necesidades.

Conceptos de seguridad del plano de datos

Comprender el plano de datos es fundamental al trabajar con Azure NetApp Files. El plano de datos es responsable de las operaciones de administración y almacenamiento de datos, desempeñando un papel fundamental en el mantenimiento de la seguridad y la eficacia. Azure NetApp Files proporciona un conjunto completo de características de seguridad del plano de datos, como la administración de permisos, el cifrado de datos (en curso y en reposo), el cifrado LDAP (protocolo ligero de acceso a directorios) y la seguridad de red para garantizar la seguridad en el control y almacenamiento de datos.

Administración de permisos

Azure NetApp Files protege los datos de almacenamiento conectado a la red (NAS) mediante permisos, clasificados en los tipos Sistema de archivos de red (NFS) y Bloque de mensajes del servidor (SMB). La primera capa de seguridad es el acceso compartido, limitado a los usuarios y grupos necesarios. Los permisos de recurso compartido, que son los menos restrictivos, deben seguir una lógica de embudo, lo que permite un acceso más amplio en el nivel de recurso compartido y controles más granulares para los archivos y carpetas subyacentes.

Proteger los datos NAS en Azure NetApp Files implica administrar los permisos de forma eficaz. Los permisos se clasifican en dos tipos principales:

  • Compartir permisos de acceso: estos permisos controlan quién puede montar un volumen NAS y permisos básicos para lectura y escritura.

    • Exportaciones de NFS: usa direcciones IP o nombres de host para controlar el acceso.
    • Recursos compartidos de SMB: usa listas de control de acceso (ACL) de usuarios y grupos.

  • Permisos de acceso a archivos: determinan lo que los usuarios y grupos pueden hacer una vez montado un volumen NAS. Son las siguientes:

    • aplicado a archivos y carpetas individuales.
    • más granular que los permisos de uso compartido.

Uso compartido de permisos de acceso

Directivas de exportación de NFS:

  • Los volúmenes se comparten en clientes NFS mediante la exportación de una ruta de acceso accesible a un cliente o conjunto de clientes.
  • Exportar directivas controlan el acceso. Las directivas de exportación son contenedores para un conjunto de reglas de acceso enumeradas en orden de acceso deseado. Las reglas de mayor prioridad se leen y aplican primero y las reglas posteriores de un cliente se omiten.
  • Las reglas usan direcciones IP de cliente o subredes para controlar el acceso. Si un cliente no aparece en una regla de directiva de exportación, no puede montar la exportación NFS.
  • Las directivas de exportación controlan cómo se presenta el usuario raíz a un cliente. Si el usuario raíz es "squashed" (Acceso raíz = Desactivado), la raíz de los clientes de esa regla se resuelve en UID 65534 anónimo.

Recursos compartidos de SMB:

  • El acceso se controla a través de ACL de usuario y grupo.
  • Los permisos pueden incluir lectura, cambio y control total.

Para obtener más información, consulte Comprender los permisos de recursos compartidos de NAS.

Permisos de acceso de archivos

Permisos de archivo SMB:

  • Entre los atributos se incluyen los permisos de lectura, escritura, eliminación, modificación y toma de propiedad, así como otros permisos más granulares admitidos por Windows.
  • Los permisos se pueden heredar de carpetas primarias a objetos secundarios.

Permisos de archivo NFS:

  • NFSv3 y NFSv4.x usan permisos de archivo UNIX tradicionales representados por bits de modo.
  • NFSv4.1 también admite permisos avanzados mediante las ACL de NFSv4.1.

Para obtener más información sobre los permisos de acceso a archivos, consulte Comprender los permisos de archivos NAS y Comprender los permisos de archivos SMB.

Herencia de permisos

La herencia de permisos permite que una carpeta principal aplique automáticamente sus permisos a todos sus objetos secundarios, incluidos los archivos y subdirectorios. Al establecer permisos en un directorio primario, esos mismos permisos se aplican a los nuevos archivos y subdirectorios creados en él.

SMB:

  • Controlado en la vista de permisos avanzados.
  • Las marcas de herencia se pueden establecer para propagar permisos de carpetas principales a objetos secundarios.

NFS:

  • NFSv3 usa marcas umask y setgid para imitar la herencia.
  • NFSv4.1 usa marcas de herencia en las ACL.

Para obtener más detalles sobre la herencia de permisos, consulte Comprender los permisos de archivos NAS, Comprender los bits de modo NFS y Comprender las ACL de NFSv4.x.

Consideraciones

  • Se aplican permisos más restrictivos: cuando hay permisos en conflicto, el permiso más restrictivo tiene prioridad. Por ejemplo, si un usuario tiene acceso de solo lectura en el nivel de recurso compartido pero control total en el nivel de archivo, el usuario solo tendrá acceso de solo lectura.
  • Lógica de embudo: los permisos de recurso compartido deben ser más permisivos que los permisos de archivos y carpetas. Aplique controles más granulares y restrictivos en el nivel de archivo.

Cifrado de datos en tránsito

El cifrado de Azure NetApp Files en tránsito hace referencia a la protección de datos a medida que se mueve entre el cliente y el servicio Azure NetApp Files. El cifrado garantiza que los datos son seguros y no se pueden interceptar ni leer por partes no autorizadas durante la transmisión.

Protocolos y métodos de cifrado

NFSv4.1 admite el cifrado mediante Kerberos con cifrado AES-256, lo que garantiza que los datos transferidos entre los clientes NFS y el volumen de Azure NetApp Files sean seguros.

  • Modos Kerberos: Azure NetApp Files admite los modos de cifrado de Kerberos krb5, krb5i y krb5p. Estos modos proporcionan varios niveles de seguridad, con krb5p ofreciendo el mayor nivel de protección mediante el cifrado de los datos y las comprobaciones de integridad.

Para obtener más información sobre el cifrado NFSv4.1, consulte Comprender el cifrado de datos y Configuración del cifrado NFSv4.1 de Kerberos.

SMB3 admite el cifrado mediante algoritmos AES-CCM y AES-GCM, lo que proporciona una transferencia de datos segura a través de la red.

  • Cifrado de un extremo a otro: el cifrado de SMB se lleva a cabo de un extremo a otro. Toda la conversación de SMB, que abarca todos los paquetes de datos intercambiados entre el cliente y el servidor, se cifra.
  • Algoritmos de cifrado: Azure NetApp Files admite conjuntos criptográficos AES-256-GCM, AES-128-CCM para el cifrado de SMB. Estos algoritmos proporcionan una seguridad sólida para los datos en tránsito.
  • Versiones de protocolo: el cifrado de SMB está disponible con versiones de protocolo de SMB 3.x. Esto garantiza la compatibilidad con los estándares de cifrado modernos y proporciona características de seguridad mejoradas.

Para obtener más información sobre el cifrado de SMB, consulte Comprender el cifrado de datos.

Cifrado de datos en reposo

El cifrado en reposo protege sus datos mientras están almacenados en el disco. Aunque personas no autorizadas accedan a los medios físicos de almacenamiento, los datos seguirán siendo ilegibles sin las claves de descifrado adecuadas.

Hay dos tipos de cifrado en reposo en Azure NetApp Files:

  • El cifrado único usa el cifrado basado en software para proteger los datos en reposo. Azure NetApp Files emplea claves de cifrado AES-256, que son compatibles con el estándar FIPS (Estándar federal de procesamiento de información) 140-2.

  • El cifrado doble ofrece dos niveles de protección: una capa de cifrado basada en hardware (unidades SSD cifradas) y una capa de cifrado por software. La capa de cifrado basada en hardware reside en el nivel de almacenamiento físico, mediante unidades certificadas FIPS 140-2. La capa de cifrado basada en software se encuentra en el nivel de volumen, completando el segundo nivel de protección de cifrado.

Para obtener más información sobre el cifrado de datos en reposo, consulte Comprender el cifrado de datos y Cifrado doble en reposo.

Administración de claves

El plano de datos administra las claves de cifrado usadas para cifrar y descifrar datos. Estas claves pueden ser administradas por la plataforma o administradas por el cliente:

  • Las claves administradas por la plataforma se administran automáticamente mediante Azure, lo que garantiza el almacenamiento seguro y la rotación de claves.
  • Las claves administradas por el cliente se almacenan en Azure Key Vault, lo que le permite administrar el ciclo de vida, los permisos de uso y la auditoría de las claves de cifrado.
  • Las claves administradas por el cliente con el módulo de seguridad de hardware administrado (HSM) son una extensión de las claves administradas por el cliente para la característica de cifrado de volumen de Azure NetApp Files. Esta extensión HSM permite almacenar las claves de cifrado en un servicio FIPS 140-2 de nivel 3 HSM más seguro en lugar del servicio FIPS 140-2 nivel 1 o nivel 2 que usa Azure Key Vault (AKV).

Para obtener más información acerca de la administración de claves de Azure NetApp Files, consulte ¿Cómo se administran las claves de cifrado, Configurar claves administradas por el cliente, o Claves administradas por el cliente con HSM administrado.

Cifrado del protocolo ligero de acceso a directorios (LDAP)

El cifrado del protocolo ligero de acceso a directorios (LDAP) en la capa del plano de datos garantiza una comunicación segura entre los clientes y el servidor del LDAP. El cifrado del LDAP funciona en Azure NetApp Files con

  • Métodos de cifrado: el tráfico del LDAP se puede cifrar mediante la seguridad de la capa de transporte (TLS) o la firma LDAP. TLS cifra todos los canales de comunicaciones, mientras que la firma LDAP garantiza la integridad de los mensajes agregando una firma digital.
  • Configuración de TLS: LDAP a través de StartTLS usa el puerto 389 para la conexión LDAP. Una vez realizada la conexión del LDAP inicial, se intercambia un OID StartTLS y se comparan los certificados. A continuación, todo el tráfico LDAP se cifra mediante TLS. Firma LDAP: este método agrega una capa de seguridad mediante la firma de mensajes LDAP con cifrado AES, lo que ayuda a comprobar la autenticidad e integridad de los datos que se transmiten.
  • Integración con Active Directory: Azure NetApp Files admite la integración con Active Directory, que se puede configurar para usar estos métodos de cifrado para proteger las comunicaciones del LDAP. Actualmente, solo se puede usar Active Directory para los servicios del LDAP.

Para obtener más información sobre el LDAP, consulte Comprender el uso del LDAP.

Seguridad de red

Proteger los datos con Azure NetApp Files implica emplear varias capas de protección. Aprovechar los puntos de conexión privados y los grupos de seguridad de red (NSG) es esencial para garantizar que sus datos permanezcan seguros dentro de su red virtual y solo sean accesibles para el tráfico autorizado. Este enfoque combinado ofrece una estrategia de seguridad completa para proteger los datos frente a posibles amenazas.

Puntos de conexión privados

Los puntos de conexión privados son interfaces de red especializadas que facilitan una conexión segura y privada a los servicios de Azure a través de Azure Private Link. Usan una dirección IP privada dentro de la red virtual, integrando eficazmente el servicio en la estructura interna de la red.

Ventajas de seguridad

  • Aislamiento: los puntos de conexión privados garantizan que el tráfico de Azure NetApp Files permanezca dentro de la red virtual, lejos de la red pública de Internet. Este aislamiento minimiza el riesgo de exposición a amenazas externas.
  • Control de acceso: puede aplicar directivas de acceso para los volúmenes de Azure NetApp Files mediante la configuración de reglas de seguridad de red en la subred asociada al punto de conexión privado. Este control garantiza que solo el tráfico autorizado pueda interactuar con los datos.
  • Cumplimiento: los puntos de conexión privados apoyan el cumplimiento de normativas impidiendo que el tráfico de datos atraviese la Internet pública, cumpliendo los requisitos para el tratamiento seguro de datos confidenciales.

Grupos de seguridad de red (NSG)

Las NSG son conjuntos de reglas de seguridad que rigen el tráfico entrante y saliente hacia interfaces de red, máquinas virtuales (VM) y subredes dentro de Azure. Estas reglas son fundamentales para definir los controles de acceso y los patrones de tráfico dentro de la red. Los NSGs solo son compatibles cuando se utilizan las características de red estándar en Azure NetApp Files.

Ventajas de seguridad

  • Filtrado de tráfico: los NSG permiten crear reglas de filtrado de tráfico granular basadas en direcciones IP de origen y destino, puertos y protocolos. Esto garantiza que solo el tráfico permitido pueda llegar a los volúmenes de Azure NetApp Files.
  • Segmentación: mediante la aplicación del NSG a las subredes que alojan sus volúmenes Azure NetApp Files, puede segmentar y aislar el tráfico de red. La segmentación reduce eficazmente la superficie expuesta a ataques y mejora la seguridad general.
  • Supervisión y registro: los NSG ofrecen funciones de supervisión y registro a través de los registros de flujo de los grupos de seguridad de red. Estos registros son fundamentales para realizar un seguimiento de los patrones de tráfico, detectar posibles amenazas de seguridad y garantizar el cumplimiento de las directivas de seguridad.

Para obtener más información, consulte Grupos de seguridad de red y ¿Qué es un punto de conexión privado?

Más información