Share via

Descripción de los permisos de recurso compartido de NAS en Azure NetApp Files

  • Artículo

Azure NetApp Files proporciona varias maneras de proteger los datos nas. Un aspecto de esa seguridad es los permisos. En NAS, los permisos se pueden dividir en dos categorías:

  • Compartir el límite de permisos de acceso que pueden montar un volumen NAS. Los controles NFS comparten permisos de acceso a través de la dirección IP o el nombre de host. SMB controla esto a través de listas de control de acceso (ACL) de usuarios y grupos.
  • Los permisos de acceso a archivos limitan lo que los usuarios y grupos pueden hacer una vez que se monta un volumen NAS. Los permisos de acceso a archivos se aplican a archivos y carpetas individuales.

Los permisos de Azure NetApp Files dependen de los estándares NAS, lo que simplifica el proceso de seguridad de los volúmenes de NAS para administradores y usuarios finales con métodos conocidos.

Nota:

Si se muestran permisos en conflicto en el recurso compartido y los archivos, se aplica el permiso más restrictivo. Por ejemplo, si un usuario tiene acceso de solo lectura en el nivel de recurso compartido y control total en el nivel de archivo , el usuario recibe acceso de lectura en todos los niveles.

Uso compartido de permisos de acceso

El punto de entrada inicial que se va a proteger en un entorno NAS es el acceso al propio recurso compartido. En la mayoría de los casos, el acceso debe restringirse solo a los usuarios y grupos que necesitan acceso al recurso compartido. Con los permisos de acceso a recursos compartidos, puede bloquear quién puede incluso montar el recurso compartido en primer lugar.

Dado que los permisos más restrictivos invalidan otros permisos y un recurso compartido es el punto de entrada principal del volumen (con los menos controles de acceso), los permisos de recurso compartido deben cumplir una lógica de embudo, donde el recurso compartido permite más acceso que los archivos y carpetas subyacentes. La lógica de embudo aplica controles más granulares y restrictivos.

Diagram of inverted pyramid of file access hierarchy.

Directivas de exportación de NFS

Los volúmenes de Azure NetApp Files se comparten en clientes NFS mediante la exportación de una ruta de acceso accesible a un cliente o conjunto de clientes. Tanto NFSv3 como NFSv4.x usan el mismo método para limitar el acceso a un recurso compartido NFS en Azure NetApp Files: directivas de exportación.

Una directiva de exportación es un contenedor para un conjunto de reglas de acceso que aparecen en orden de acceso deseado. Estas reglas controlan el acceso a recursos compartidos NFS mediante direcciones IP de cliente o subredes. Si un cliente no aparece en una regla de directiva de exportación (ya sea permitir o denegar explícitamente el acceso), ese cliente no puede montar la exportación NFS. Dado que las reglas se leen en orden secuencial, si se aplica una regla de directiva más restrictiva a un cliente (por ejemplo, mediante una subred), se leen y se aplican primero. Se omiten las reglas de directiva posteriores que permiten más acceso. En este diagrama se muestra un cliente que tiene una dirección IP de 10.10.10.10 que obtiene acceso de solo lectura a un volumen porque la subred 0.0.0.0.0/0 (cada cliente de cada subred) está establecida en solo lectura y se muestra primero en la directiva.

Diagram modeling export policy rule hierarchy.

Exportar opciones de reglas de directiva disponibles en Azure NetApp Files

Al crear un volumen de Azure NetApp Files, hay varias opciones configurables para controlar el acceso a volúmenes NFS.

  • Índice: especifica el orden en el que se evalúa una regla de directiva de exportación. Si un cliente está bajo varias reglas de la directiva, la primera regla aplicable se aplica al cliente y se omiten las reglas posteriores.
  • Clientes permitidos: especifica a qué clientes se aplica una regla. Este valor puede ser una dirección IP de cliente, una lista separada por comas de direcciones IP o una subred, incluidos varios clientes. Los valores hostname y netgroup no se admiten en Azure NetApp Files.
  • Acceso: especifica el nivel de acceso permitido a los usuarios que no son raíz. Para volúmenes NFS sin Kerberos habilitados, las opciones son: Solo lectura, Lectura y escritura o Sin acceso. En el caso de los volúmenes con Kerberos habilitado, las opciones son: Kerberos 5, Kerberos 5i o Kerberos 5p.
  • Acceso raíz: especifica cómo se trata el usuario raíz en las exportaciones NFS para un cliente determinado. Si se establece en "Activado", la raíz es raíz. Si se establece en "Desactivado", la raíz se aplasta en el identificador de usuario anónimo 65534.
  • modo chown: controla qué usuarios pueden ejecutar comandos de propiedad de cambio en la exportación (chown). Si se establece en "Restringido", solo el usuario raíz puede ejecutar chown. Si se establece en "Sin restricciones", cualquier usuario con los permisos adecuados de archivo o carpeta puede ejecutar comandos de chown.

Regla de directiva predeterminada en Azure NetApp Files

Al crear un nuevo volumen, se crea una regla de directiva predeterminada. La directiva predeterminada impide un escenario en el que se crea un volumen sin reglas de directiva, lo que restringiría el acceso a cualquier cliente que intente acceder a la exportación. Si no hay ninguna regla, no hay acceso.

La regla predeterminada tiene los siguientes valores:

  • Índice = 1
  • Clientes permitidos = 0.0.0.0/0 (todos los clientes permiten el acceso)
  • Access = Lectura y escritura
  • Acceso raíz = Activado
  • Modo Chown = Restringido

Estos valores se pueden cambiar en la creación del volumen o después de crear el volumen.

Exportación de reglas de directiva con NFS Kerberos habilitado en Azure NetApp Files

NFS Kerberos solo se puede habilitar en volúmenes mediante NFSv4.1 en Azure NetApp Files. Kerberos proporciona seguridad agregada al ofrecer diferentes modos de cifrado para montajes NFS, en función del tipo Kerberos en uso.

Cuando Kerberos está habilitado, los valores de las reglas de directiva de exportación cambian para permitir la especificación del modo Kerberos que se debe permitir. Se pueden habilitar varios modos de seguridad kerberos en la misma regla si necesita acceso a más de uno.

Estos modos de seguridad incluyen:

  • Kerberos 5: solo se cifra la autenticación inicial.
  • Kerberos 5i: autenticación de usuario más comprobación de integridad.
  • Kerberos 5p: autenticación de usuario, comprobación de integridad y privacidad. Todos los paquetes están cifrados.

Solo los clientes habilitados para Kerberos pueden acceder a volúmenes con reglas de exportación que especifican Kerberos; no se permite el AUTH_SYS acceso cuando Kerberos está habilitado.

Squashing raíz

Hay algunos escenarios en los que desea restringir el acceso raíz a un volumen de Azure NetApp Files. Dado que la raíz tiene acceso sin restricciones a cualquier cosa de un volumen NFS , incluso cuando se deniega explícitamente el acceso a la raíz mediante bits de modo o ACL, la única manera de limitar el acceso raíz es indicar al servidor NFS que raíz de un cliente específico ya no es raíz.

En las reglas de directiva de exportación, seleccione "Acceso raíz: desactivado" para aplastar la raíz a un identificador de usuario anónimo no raíz de 65534. Esto significa que la raíz de los clientes especificados ahora es el identificador de usuario 65534 (normalmente nfsnobody en clientes NFS) y tiene acceso a archivos y carpetas en función de los bits de modo y ACL especificados para ese usuario. En el caso de los bits de modo, los permisos de acceso suelen estar bajo los derechos de acceso "Todos". Además, los archivos escritos como "raíz" de los clientes afectados por las reglas de squash raíz crean archivos y carpetas como el nfsnobody:65534 usuario. Si necesita que la raíz sea raíz, establezca "Acceso raíz" en "Activado".

Para más información sobre la administración de directivas de exportación, consulte Configuración de directivas de exportación para volúmenes nfS o de protocolo dual.

Ordenación de reglas de exportación de directivas

El orden de las reglas de directiva de exportación determina cómo se aplican. La primera regla de la lista que se aplica a un cliente NFS es la regla que se usa para ese cliente. Cuando se usan intervalos o subredes CIDR para las reglas de directiva de exportación, un cliente NFS de ese intervalo puede recibir acceso no deseado debido al intervalo en el que se incluye.

Considere el ejemplo siguiente:

Screenshot of two export policy rules.

  • La primera regla del índice incluye todos los clientes de todas las subredes mediante la regla de directiva predeterminada con 0.0.0.0/0 como entrada Clientes permitidos . Esa regla permite el acceso de "lectura y escritura" a todos los clientes para ese volumen NFSv3 de Azure NetApp Files.
  • La segunda regla del índice enumera explícitamente el cliente NFS 10.10.10.10 y está configurado para limitar el acceso a "Solo lectura", sin acceso raíz (la raíz está aplastada).

Como está, el cliente 10.10.10.10 recibe acceso debido a la primera regla de la lista. La siguiente regla nunca se evalúa para las restricciones de acceso, por lo que 10.10.10.10 obtiene acceso de lectura y escritura aunque se desee "Solo lectura". La raíz también es raíz, en lugar de ser aplastada.

Para corregir esto y establecer el acceso al nivel deseado, las reglas se pueden volver a ordenar para colocar la regla de acceso de cliente deseada encima de cualquier regla cidR o subred. Puede reordenar las reglas de directiva de exportación en Azure Portal arrastrando las reglas o usando los comandos Mover en el ... menú de la fila para cada regla de directiva de exportación.

Nota:

Puede usar la CLI de Azure NetApp Files o la API REST solo para agregar o quitar reglas de directiva de exportación.

Recursos compartidos de SMB

Los recursos compartidos SMB permiten a los usuarios finales acceder a volúmenes SMB o de protocolo dual en Azure NetApp Files. Los controles de acceso para recursos compartidos SMB están limitados en el plano de control de Azure NetApp Files a solo las opciones de seguridad de SMB, como la enumeración basada en acceso y la funcionalidad de recursos compartidos no explorables. Estas opciones de seguridad se configuran durante la creación del volumen con la funcionalidad Editar volumen .

Screenshot of share-level permissions.

Las ACL de permisos de nivel de recurso compartido se administran a través de una consola MMC de Windows en lugar de a través de Azure NetApp Files.

Azure NetApp Files ofrece varias propiedades de recurso compartido para mejorar la seguridad de los administradores.

Enumeración basada en acceso

La enumeración basada en acceso es una característica de volumen SMB de Azure NetApp Files que limita la enumeración de archivos y carpetas (es decir, enumerar el contenido) en SMB solo a los usuarios con acceso permitido en el recurso compartido. Por ejemplo, si un usuario no tiene acceso para leer un archivo o carpeta en un recurso compartido con la enumeración basada en acceso habilitada, el archivo o carpeta no se muestra en las listas de directorios. En el ejemplo siguiente, un usuario (smbuser) no tiene acceso para leer una carpeta denominada "ABE" en un volumen SMB de Azure NetApp Files. Solo contosoadmin tiene acceso.

Screenshot of access-based enumeration properties.

En el ejemplo siguiente, la enumeración basada en acceso está deshabilitada, por lo que el usuario tiene acceso al ABE directorio de SMBVolume.

Screenshot of directory without access-bassed enumeration.

En el ejemplo siguiente, la enumeración basada en acceso está habilitada, por lo que el ABE directorio de SMBVolume no se muestra para el usuario.

Screenshot of directory with two sub-directories.

Los permisos también se extienden a archivos individuales. En el ejemplo siguiente, la enumeración basada en acceso está deshabilitada y ABE-file se muestra al usuario.

Screenshot of directory with two-files.

Con la enumeración basada en acceso habilitada, ABE-file no se muestra al usuario.

Screenshot of directory with one file.

Recursos compartidos no explorables

La característica recursos compartidos no explorables en Azure NetApp Files limita la exploración de clientes de un recurso compartido de SMB ocultando el recurso compartido desde la vista en el Explorador de Windows o al enumerar los recursos compartidos en "net view". Solo los usuarios finales que conocen las rutas de acceso absolutas al recurso compartido pueden encontrar el recurso compartido.

En la imagen siguiente, la propiedad share no explorable no está habilitada para SMBVolume, por lo que el volumen se muestra en la lista del servidor de archivos (mediante \\servername).

Screenshot of a directory that includes folder SMBVolume.

Con los recursos compartidos SMBVolumeno explorables habilitados en SMBVolume En Azure NetApp Files, la misma vista del servidor de archivos excluye .

En la siguiente imagen, el recurso compartido SMBVolume tiene recursos compartidos no explorables habilitados en Azure NetApp Files. Cuando está habilitado, esta es la vista del nivel superior del servidor de archivos.

Screenshot of a directory with two sub-directories.

Aunque no se puede ver el volumen de la lista, sigue siendo accesible si el usuario conoce la ruta de acceso del archivo.

Screenshot of Windows Explorer with file path highlighted.

Cifrado SMB3

El cifrado SMB3 es una característica de volumen SMB de Azure NetApp Files que aplica el cifrado a través de la conexión para los clientes SMB para mayor seguridad en entornos NAS. En la imagen siguiente se muestra una captura de pantalla del tráfico de red cuando el cifrado SMB está deshabilitado. La información confidencial (como los nombres de archivo y los identificadores de archivo) está visible.

Screenshot of packet capture with SMB encryption disabled.

Cuando el cifrado SMB está habilitado, los paquetes se marcan como cifrados y no se puede ver información confidencial. En su lugar, se muestra como "Datos SMB3 cifrados".

Screenshot of packet capture with SMB encryption enabled.

ACL de recursos compartidos de SMB

Los recursos compartidos SMB pueden controlar el acceso a quién puede montar y acceder a un recurso compartido, así como controlar los niveles de acceso a usuarios y grupos de un dominio de Active Directory. El primer nivel de permisos que se evalúan son listas de control de acceso compartido (ACL).

Los permisos de recursos compartidos SMB son más básicos que los permisos de archivo: solo aplican permisos de lectura, cambio o control total. Los permisos de recurso compartido se pueden invalidar mediante permisos de archivo y permisos de archivo se pueden invalidar mediante permisos de recurso compartido; el permiso más restrictivo es el que se cumple. Por ejemplo, si el grupo "Todos" tiene control total sobre el recurso compartido (el comportamiento predeterminado) y los usuarios específicos tienen acceso de solo lectura a una carpeta a través de una ACL de nivel de archivo, el acceso de lectura se aplica a esos usuarios. Cualquier otro usuario que no aparezca explícitamente en la ACL tiene control total

Por el contrario, si el permiso de recurso compartido se establece en "Leer" para un usuario específico, pero el permiso de nivel de archivo se establece en control total para ese usuario, se aplica el acceso de lectura.

En entornos NAS de protocolo dual, las ACL de recurso compartido de SMB solo se aplican a los usuarios de SMB. Los clientes NFS aprovechan las directivas y reglas de exportación para compartir reglas de acceso. Por lo tanto, el control de permisos en el nivel de archivo y carpeta es preferible a las ACL de nivel de recurso compartido, especialmente para volúmenes NAS dual=protocol.

Para obtener información sobre cómo configurar las ACL, consulte Administración de ACL de recursos compartidos de SMB en Azure NetApp Files.

Pasos siguientes