Olvasás angol nyelven

Megosztás a következőn keresztül:

Az Azure NetApp Files adatsík-biztonságának ismertetése

  • Cikk

Az Azure NetApp Files különböző adatsík-biztonsági funkcióinak megismerése az igényeinek leginkább megfelelő lehetőségek megismeréséhez.

Az adatsík biztonsági fogalmai

Az adatsík ismerete kulcsfontosságú az Azure NetApp Files használatakor. Az adatsík felelős az adattárolási és felügyeleti műveletekért, és nélkülözhetetlen szerepet játszik mind a biztonság, mind a hatékonyság fenntartásában. Az Azure NetApp Files az adatsíkok biztonsági funkcióinak átfogó csomagját kínálja, beleértve az engedélyek kezelését, az adattitkosítást (a repülés közbeni és a inaktív állapotban), az LDAP (Lightweight Directory Access Protocol) titkosítást és a hálózati biztonságot a biztonságos adatkezelés és tárolás érdekében.

Engedélyek kezelése

Az Azure NetApp Files engedélyeken keresztül biztosítja a hálózati csatolva lévő tároló (NAS) adatait, és hálózati fájlrendszer (NFS) és kiszolgálói üzenetblokk (SMB) típusok szerint kategorizálva. Az első biztonsági réteg a megosztási hozzáférés, amely a szükséges felhasználókra és csoportokra korlátozódik. A legkevésbé korlátozó megosztási engedélyeknek tölcsérlogikát kell követniük, amely szélesebb körű hozzáférést tesz lehetővé a megosztás szintjén, és részletesebb vezérlőket biztosít az alapul szolgáló fájlokhoz és mappákhoz.

A NAS-adatok Védelme az Azure NetApp Filesban az engedélyek hatékony kezelését foglalja magában. Az engedélyek két fő típusba vannak kategorizálva:

  • Hozzáférési engedélyek megosztása: Ezek az engedélyek szabályozzák, hogy ki csatlakoztathat NAS-kötetet, és hogy ki tud alapszintű engedélyeket írni/olvasni.

    • NFS-exportálás: IP-címeket vagy gazdagépneveket használ a hozzáférés szabályozásához.
    • SMB-megosztások: Felhasználói és csoportszintű hozzáférés-vezérlési listákat (ACL-eket) használ.

  • Fájlhozzáférés-engedélyek: Ezek határozzák meg, hogy mit tehetnek a felhasználók és csoportok a NAS-kötet csatlakoztatása után. Ezek a következők:

    • alkalmazás az egyes fájlokra és mappákra.
    • részletesebb, mint a megosztási engedélyek.

Hozzáférési engedélyek megosztása

NFS-exportálási szabályzatok:

  • A köteteket az NFS-ügyfelek osztják meg egy ügyfél vagy ügyfélcsoport számára elérhető elérési út exportálásával.
  • Az exportálási szabályzatok szabályozzák a hozzáférést. Az exportálási szabályzatok tárolók a kívánt hozzáférés sorrendjében felsorolt hozzáférési szabályokhoz. A magasabb prioritású szabályok elsőként olvasásra és alkalmazásra kerülnek, az ügyfél későbbi szabályai pedig figyelmen kívül lesznek hagyva.
  • A szabályok ügyfél IP-címeket vagy alhálózatokat használnak a hozzáférés szabályozásához. Ha egy ügyfél nem szerepel egy exportálási szabályzat szabályában, nem tudja csatlakoztatni az NFS-exportálást.
  • Az exportálási szabályzatok szabályozzák, hogy a gyökérfelhasználó hogyan jelenjen meg az ügyfél számára. Ha a gyökérfelhasználó "összenyomva" (Root Access = Off) van, a szabályban szereplő ügyfelek gyökere a 65534-es névtelen UID-ra lesz feloldva.

SMB-megosztások:

  • A hozzáférés vezérlése a felhasználó és a csoport ACL-je alapján történik.
  • Az engedélyek tartalmazhatnak olvasást, módosítást és teljes vezérlést.

További információ: A NAS-megosztási engedélyek ismertetése.

Fájlhozzáférés engedélyei

SMB-fájlengedélyek:

  • Az attribútumok közé tartozik az olvasás, az írás, a törlés, az engedélyek módosítása, valamint a Tulajdonjog átvétele és a Windows által támogatott részletesebb engedélyek.
  • Az engedélyek örökölhetők a szülőmappáktól a gyermekobjektumokig.

NFS-fájlengedélyek:

  • Az NFSv3 és az NFSv4.x hagyományos UNIX-fájlengedélyeket használ, amelyeket módbitek jelölnek.
  • Az NFSv4.1 támogatja a speciális engedélyeket is az NFSv4.1 ACL-ek használatával.

A fájlelérési engedélyekről további információt a NAS-fájlengedélyek és az SMB-fájlengedélyek ismertetése című témakörben talál.

Engedélyek öröklése

Az engedélyöröklés lehetővé teszi, hogy a szülőmappa automatikusan alkalmazza az engedélyeit az összes gyermekobjektumára, beleértve a fájlokat és alkönyvtárakat is. Ha egy szülőkönyvtár engedélyeit állítja be, a rendszer ugyanezeket az engedélyeket alkalmazza a benne létrehozott új fájlokra és alkönyvtárakra.

SMB:

  • Speciális engedély nézetben vezérelve.
  • Az öröklési jelzők beállíthatók úgy, hogy a szülőmappákból a gyermekobjektumokra propagálja az engedélyeket.

NFS:

  • Az NFSv3 az öröklés utánzását használja umask és setgid jelöli.
  • Az NFSv4.1 öröklési jelzőket használ az ACL-eken.

Az engedélyöröklésről további információt a NAS-fájlengedélyek ismertetése, az NFS-mód bitjeinek ismertetése és az NFSv4.x ACL-ek ismertetése című témakörben talál.

Megfontolások

  • A legtöbb korlátozó engedély érvényes: Ha ütköző engedélyek vannak jelen, a legkorlátozóbb engedély élvez elsőbbséget. Ha például egy felhasználó csak olvasási hozzáféréssel rendelkezik a megosztás szintjén, de teljes hozzáféréssel rendelkezik a fájl szintjén, a felhasználó csak írásvédett hozzáféréssel rendelkezik.
  • Tölcsérlogika: A megosztási engedélyeknek megengedőbbnek kell lenniük, mint a fájl- és mappaengedélyek. Részletesebb és korlátozóbb vezérlőket alkalmazhat fájlszinten.

Adattitkosítás átvitel közben

Az átvitel alatt álló Azure NetApp Files-titkosítás az adatok védelmét jelenti az ügyfél és az Azure NetApp Files szolgáltatás között. A titkosítás biztosítja, hogy az adatok biztonságosak legyenek, és ne legyenek illetéktelen felek elfogva vagy beolvasva az átvitel során.

Protokollok és titkosítási módszerek

Az NFSv4.1 támogatja a Kerberos AES-256 titkosítással történő titkosítását, így biztosítva az NFS-ügyfelek és az Azure NetApp Files-kötetek közötti adatátvitelt.

  • Kerberos módok: Az Azure NetApp Files támogatja a Kerberos titkosítási módokat krb5, krb5i és krb5p. Ezek a módok különböző biztonsági szinteket biztosítanak, és a krb5p a legmagasabb szintű védelmet nyújtja az adatok és az integritás-ellenőrzések titkosításával.

További információ az NFSv4.1 titkosításról: Az adattitkosítás és az NFSv4.1 Kerberos-titkosítás konfigurálása.

Az SMB3 az AES-CCM és az AES-GCM algoritmusok használatával támogatja a titkosítást, így biztonságos adatátvitelt biztosít a hálózaton keresztül.

  • Végpontok közötti titkosítás: Az SMB-titkosítás a végpontok közötti titkosítást végzi. A teljes SMB-beszélgetés – amely magában foglalja az ügyfél és a kiszolgáló között kicserélt összes adatcsomagot – titkosítva van.
  • Titkosítási algoritmusok: Az Azure NetApp Files támogatja az AES-256-GCM, az AES-128-CCM titkosítási csomagokat az SMB-titkosításhoz. Ezek az algoritmusok robusztus biztonságot nyújtanak az átvitt adatok számára.
  • Protokollverziók: Az SMB-titkosítás az SMB 3.x protokollverziókkal érhető el. Ez biztosítja a modern titkosítási szabványokkal való kompatibilitást, és továbbfejlesztett biztonsági funkciókat biztosít.

Az SMB-titkosításról további információt az adattitkosítás ismertetése című témakörben talál.

Inaktív adattitkosítás

A inaktív titkosítás védi az adatokat a lemezen való tárolás során. Még akkor is, ha a fizikai tároló adathordozóhoz jogosulatlan személyek férnek hozzá, az adatok a megfelelő visszafejtési kulcsok nélkül is olvashatatlanok maradnak.

Az Azure NetApp Files kétféle titkosítási típust tartalmaz:

  • Az önálló titkosítás szoftveralapú titkosítással védi az inaktív adatokat. Az Azure NetApp Files AES-256 titkosítási kulcsokat használ, amelyek megfelelnek a FIPS (Federal Information Processing Standards) 140-2 szabványnak.

  • A kettős titkosítás két titkosítási szintet biztosít: egy hardveralapú titkosítási réteget (titkosított SSD-meghajtókat) és egy szoftveres titkosítási réteget. A hardveralapú titkosítási réteg fizikai tárolási szinten található, FIPS 140-2 minősített meghajtók használatával. A szoftveralapú titkosítási réteg a kötet szintjén van, és a titkosítási védelem második szintjét tölti ki.

További információ az inaktív adattitkosításról: Az adattitkosítás és az inaktív dupla titkosítás ismertetése.

Kulcskezelés

Az adatsík kezeli az adatok titkosításához és visszafejtéséhez használt titkosítási kulcsokat. Ezek a kulcsok lehetnek platform által felügyelt vagy ügyfél által felügyeltek:

  • A platform által felügyelt kulcsokat az Azure automatikusan felügyeli, biztosítva a kulcsok biztonságos tárolását és rotálását.
  • Az ügyfél által felügyelt kulcsokat az Azure Key Vault tárolja, így kezelheti a titkosítási kulcsok életciklusát, használati engedélyeit és naplózását.
  • A felügyelt hardveres biztonsági modullal (HSM) rendelkező ügyfél által felügyelt kulcsok az Azure NetApp Files kötettitkosítási funkciójának ügyfél által felügyelt kulcsainak kiterjesztése. Ez a HSM-bővítmény lehetővé teszi a titkosítási kulcsok biztonságosabb FIPS 140-2 3. szintű HSM-ben való tárolását az Azure Key Vault (AKV) által használt FIPS 140-2 Level 1 vagy Level 2 szolgáltatás helyett.

Az Azure NetApp Files kulcskezelésével kapcsolatos további információkért tekintse meg a titkosítási kulcsok kezelését, az ügyfél által felügyelt kulcsok konfigurálását vagy az ügyfél által felügyelt kulcsok felügyelt HSM-sel való konfigurálását ismertető témakört.

Egyszerűsített címtárelérési protokoll (LDAP) titkosítása

Az adatsík rétegének egyszerűsített címtárelérési protokoll (LDAP) titkosítása biztosítja az ügyfelek és az LDAP-kiszolgáló közötti biztonságos kommunikációt. Az LDAP-titkosítás az Azure NetApp Filesban működik

  • Titkosítási módszerek: Az LDAP-forgalom a Transport Layer Security (TLS) vagy LDAP-aláírás használatával titkosítható. A TLS a teljes kommunikációs csatornát titkosítja, míg az LDAP-aláírás digitális aláírás hozzáadásával biztosítja az üzenetek integritását.
  • TLS-konfiguráció: A StartTLS-en keresztüli LDAP a 389-ös portot használja az LDAP-kapcsolathoz. A kezdeti LDAP-kapcsolat létrehozása után a rendszer egy StartTLS OID-t cserél, és összehasonlítja a tanúsítványokat. Ezután az összes LDAP-forgalom TLS-sel van titkosítva. LDAP-aláírás: Ez a módszer egy biztonsági réteget ad hozzá az LDAP-üzenetek AES-titkosítással történő aláírásával, amely segít ellenőrizni a továbbított adatok hitelességét és integritását.
  • Integráció az Active Directoryval: Az Azure NetApp Files támogatja az Active Directoryval való integrációt, amely konfigurálható úgy, hogy az LDAP-kommunikáció biztonságossá tételéhez használja ezeket a titkosítási módszereket. Jelenleg csak az Active Directory használható LDAP-szolgáltatásokhoz.

Az LDAP-ről további információt az LDAP használatának ismertetése című témakörben talál.

Hálózati biztonság

Az adatok Azure NetApp Files-fájlokkal való biztonságossá tételéhez több védelmi réteget kell alkalmazni. A privát végpontok és hálózati biztonsági csoportok (NSG-k) használata elengedhetetlen annak biztosításához, hogy az adatok biztonságosak legyenek a virtuális hálózaton belül, és csak az engedélyezett forgalom számára legyenek elérhetők. Ez az kombinált megközelítés átfogó biztonsági stratégiát kínál az adatok potenciális fenyegetések elleni védelméhez.

Privát végpontok

A privát végpontok speciális hálózati adapterek, amelyek az Azure-szolgáltatásokhoz az Azure Private Linken keresztül biztosítják a biztonságos és privát kapcsolatot. A virtuális hálózaton belül egy privát IP-címet használnak, amely hatékonyan integrálja a szolgáltatást a hálózat belső struktúrájába.

Biztonsági előnyök

  • Elkülönítés: A privát végpontok biztosítják, hogy az Azure NetApp Files-forgalom a virtuális hálózaton belül maradjon, távol a nyilvános internettől. Ez az elkülönítés minimalizálja a külső fenyegetéseknek való kitettség kockázatát.
  • Hozzáférés-vezérlés: Az Azure NetApp Files-kötetek hozzáférési szabályzatait a privát végponthoz társított alhálózat hálózati biztonsági szabályainak konfigurálásával kényszerítheti ki. Ez a vezérlő biztosítja, hogy csak az engedélyezett forgalom tudja kezelni az adatokat.
  • Megfelelőség: a privát végpontok támogatják a jogszabályi megfelelőséget azáltal, hogy megakadályozzák az adatforgalom bejárását a nyilvános internetre, betartva a bizalmas adatok biztonságos kezelésére vonatkozó követelményeket.

Hálózati biztonsági csoportok (NSG-k)

Az NSG-k olyan biztonsági szabályok gyűjteményei, amelyek a hálózati adapterek, virtuális gépek és alhálózatok felé irányuló bejövő és kimenő forgalmat szabályozzák az Azure-ban. Ezek a szabályok a hálózaton belüli hozzáférés-vezérlések és forgalmi minták meghatározásában halmazosak. Az NSG-k csak akkor támogatottak, ha az Azure NetApp Files standard hálózati funkcióját használják.

Biztonsági előnyök

  • Forgalomszűrés: Az NSG-k lehetővé teszik részletes forgalomszűrési szabályok létrehozását a forrás- és cél IP-címek, portok és protokollok alapján. Ez biztosítja, hogy csak az engedélyezett forgalom érje el az Azure NetApp Files-köteteket.
  • Szegmentálás: Ha NSG-ket alkalmaz az Azure NetApp Files-köteteket tartalmazó alhálózatokra, szegmentálhatja és elkülönítheti a hálózati forgalmat. A szegmentálás hatékonyan csökkenti a támadási felületet, és javítja az általános biztonságot.
  • Monitorozás és naplózás: Az NSG-k monitorozási és naplózási képességeket kínálnak a hálózati biztonsági csoport folyamatnaplóin keresztül. Ezek a naplók kritikus fontosságúak a forgalmi minták nyomon követéséhez, a potenciális biztonsági fenyegetések észleléséhez és a biztonsági szabályzatok betartásának biztosításához.

További információ: Hálózati biztonsági csoportok és Mi az a privát végpont?

További információ