Inzicht in NAS-sharemachtigingen in Azure NetApp Files

  • Artikel

Azure NetApp Files biedt verschillende manieren om uw NAS-gegevens te beveiligen. Een aspect van die beveiliging is machtigingen. In NAS kunnen machtigingen worden onderverdeeld in twee categorieën:

  • Toegangsmachtigingen delen beperken wie een NAS-volume kan koppelen. NFS bepaalt toegangsmachtigingen voor delen via IP-adres of hostnaam. SMB bepaalt dit via toegangsbeheerlijsten voor gebruikers en groepen (ACL's).
  • Machtigingen voor bestandstoegang beperken wat gebruikers en groepen kunnen doen zodra een NAS-volume is gekoppeld. Machtigingen voor bestandstoegang worden toegepast op afzonderlijke bestanden en mappen.

Azure NetApp Files-machtigingen zijn afhankelijk van NAS-standaarden, waardoor het proces van beveiligings-NAS-volumes voor beheerders en eindgebruikers met vertrouwde methoden wordt vereenvoudigd.

Notitie

Als conflicterende machtigingen worden vermeld op share en bestanden, wordt de meest beperkende machtiging toegepast. Als een gebruiker bijvoorbeeld alleen-lezentoegang heeft op shareniveau en volledig beheer op bestandsniveau, ontvangt de gebruiker leestoegang op alle niveaus.

Toegangsmachtigingen delen

Het eerste toegangspunt dat moet worden beveiligd in een NAS-omgeving is toegang tot de share zelf. In de meeste gevallen moet de toegang worden beperkt tot alleen de gebruikers en groepen die toegang nodig hebben tot de share. Met sharetoegangsmachtigingen kunt u vergrendelen wie de share zelfs kan koppelen.

Aangezien de meest beperkende machtigingen andere machtigingen overschrijven en een share het belangrijkste toegangspunt is voor het volume (met de minste toegangsbeheer), moeten machtigingen voor delen zich houden aan een trechterlogica, waarbij de share meer toegang biedt dan de onderliggende bestanden en mappen. De trechterlogica voert gedetailleerdere, beperkende besturingselementen uit.

Diagram of inverted pyramid of file access hierarchy.

NFS-exportbeleid

Volumes in Azure NetApp Files worden gedeeld met NFS-clients door een pad te exporteren dat toegankelijk is voor een client of set clients. Zowel NFSv3 als NFSv4.x gebruiken dezelfde methode om de toegang tot een NFS-share in Azure NetApp Files te beperken: exportbeleidsregels.

Een exportbeleid is een container voor een set toegangsregels die worden vermeld in volgorde van gewenste toegang. Deze regels beheren de toegang tot NFS-shares met behulp van client-IP-adressen of subnetten. Als een client niet wordt vermeld in een exportbeleidsregel (toegang toestaan of expliciet weigeren), kan die client de NFS-export niet koppelen. Omdat de regels in opeenvolgende volgorde worden gelezen, wordt het eerst gelezen en toegepast als een meer beperkende beleidsregel wordt toegepast op een client (bijvoorbeeld via een subnet). Volgende beleidsregels die meer toegang toestaan, worden genegeerd. In dit diagram ziet u een client met een IP-adres van 10.10.10.10 dat alleen-lezentoegang krijgt tot een volume omdat het subnet 0.0.0.0/0 (elke client in elk subnet) is ingesteld op alleen-lezen en als eerste in het beleid wordt vermeld.

Diagram modeling export policy rule hierarchy.

Beleidsregelopties exporteren die beschikbaar zijn in Azure NetApp Files

Bij het maken van een Azure NetApp Files-volume zijn er verschillende opties die kunnen worden geconfigureerd voor het beheer van de toegang tot NFS-volumes.

  • Index: hiermee geeft u de volgorde op waarin een exportbeleidsregel wordt geëvalueerd. Als een client onder meerdere regels in het beleid valt, is de eerste toepasselijke regel van toepassing op de client en worden volgende regels genegeerd.
  • Toegestane clients: hiermee geeft u op op welke clients een regel van toepassing is. Deze waarde kan een client-IP-adres, een door komma's gescheiden lijst met IP-adressen of een subnet met meerdere clients zijn. De hostnaam en netgroup-waarden worden niet ondersteund in Azure NetApp Files.
  • Toegang: hiermee geeft u het toegangsniveau op dat is toegestaan voor niet-hoofdgebruikers. Voor NFS-volumes zonder Kerberos ingeschakeld zijn de opties: Alleen-lezen, Lezen en schrijven of Geen toegang. Voor volumes waarvoor Kerberos is ingeschakeld, zijn de opties: Kerberos 5, Kerberos 5i of Kerberos 5p.
  • Hoofdtoegang: geeft aan hoe de hoofdgebruiker wordt behandeld in NFS-exports voor een bepaalde client. Als deze optie is ingesteld op 'Aan', is de hoofdmap. Als deze optie is ingesteld op 'Uit', wordt de hoofdmap geplet op de anonieme gebruikers-id 65534.
  • chown-modus: bepaalt welke gebruikers eigendomsopdrachten kunnen uitvoeren op de export (chown). Als deze optie is ingesteld op 'Beperkt', kan alleen de hoofdgebruiker een chown uitvoeren. Als deze optie is ingesteld op 'Onbeperkt', kan elke gebruiker met de juiste machtigingen voor bestanden/mappen chown-opdrachten uitvoeren.

Standaardbeleidsregel in Azure NetApp Files

Wanneer u een nieuw volume maakt, wordt er een standaardbeleidsregel gemaakt. Het standaardbeleid voorkomt een scenario waarin een volume wordt gemaakt zonder beleidsregels, waardoor de toegang wordt beperkt voor elke client die toegang probeert te krijgen tot de export. Als er geen regels zijn, is er geen toegang.

De standaardregel heeft de volgende waarden:

  • Index = 1
  • Toegestane clients = 0.0.0.0/0 (alle clients toegestane toegang)
  • Access = Lezen en schrijven
  • Hoofdtoegang = Aan
  • Modus Chown = Beperkt

Deze waarden kunnen worden gewijzigd bij het maken van het volume of nadat het volume is gemaakt.

Beleidsregels exporteren waarvoor NFS Kerberos is ingeschakeld in Azure NetApp Files

NFS Kerberos kan alleen worden ingeschakeld op volumes die gebruikmaken van NFSv4.1 in Azure NetApp Files. Kerberos biedt extra beveiliging door verschillende versleutelingsmodi voor NFS-koppels aan te bieden, afhankelijk van het Kerberos-type dat wordt gebruikt.

Wanneer Kerberos is ingeschakeld, worden de waarden voor de exportbeleidsregels gewijzigd om specificatie toe te staan van welke Kerberos-modus moet worden toegestaan. Meerdere Kerberos-beveiligingsmodi kunnen in dezelfde regel worden ingeschakeld als u toegang nodig hebt tot meer dan één.

Deze beveiligingsmodi zijn onder andere:

  • Kerberos 5: Alleen initiële verificatie wordt versleuteld.
  • Kerberos 5i: Gebruikersverificatie plus integriteitscontrole.
  • Kerberos 5p: Gebruikersverificatie, integriteitscontrole en privacy. Alle pakketten worden versleuteld.

Alleen kerberos-clients hebben toegang tot volumes met exportregels die Kerberos opgeven; geen AUTH_SYS toegang is toegestaan wanneer Kerberos is ingeschakeld.

Root squashen

Er zijn enkele scenario's waarin u de hoofdtoegang tot een Azure NetApp Files-volume wilt beperken. Omdat de hoofdmap geen toegang heeft tot iets in een NFS-volume, zelfs wanneer de toegang tot root-bits of ACL's expliciet wordt geweigerd, is de enige manier om de toegang tot de hoofdmap te beperken, de NFS-server te vertellen dat root van een specifieke client niet langer root is.

In exportbeleidsregels selecteert u 'Hoofdtoegang: uit' om de hoofdmap naar een niet-hoofdgebruikers-id van 65534 te verpletteren. Dit betekent dat de hoofdmap op de opgegeven clients nu gebruikers-id 65534 is (meestal nfsnobody op NFS-clients) en toegang heeft tot bestanden en mappen op basis van de ACL's/modus bits die voor die gebruiker zijn opgegeven. Voor modus-bits vallen de toegangsmachtigingen over het algemeen onder de toegangsrechten Iedereen. Daarnaast maken bestanden die zijn geschreven als 'root' van clients die worden beïnvloed door root-squashregels bestanden en mappen als de nfsnobody:65534 gebruiker. Als u wilt dat de hoofdmap root is, stelt u 'Hoofdtoegang' in op 'Aan'.

Zie Exportbeleid configureren voor NFS- of dual-protocolvolumes voor meer informatie over het beheren van exportbeleid.

Volgorde van beleidsregels exporteren

De volgorde van exportbeleidsregels bepaalt hoe deze worden toegepast. De eerste regel in de lijst die van toepassing is op een NFS-client, is de regel die voor die client wordt gebruikt. Wanneer u CIDR-bereiken/subnetten gebruikt voor exportbeleidsregels, kan een NFS-client in dat bereik ongewenste toegang krijgen vanwege het bereik waarin deze is opgenomen.

Kijk een naar het volgende voorbeeld:

Screenshot of two export policy rules.

  • De eerste regel in de index bevat alle clients in alle subnetten via de standaardbeleidsregel met 0.0.0.0/0 als de vermelding Toegestane clients . Deze regel staat lees- en schrijftoegang toe tot alle clients voor dat Azure NetApp Files NFSv3-volume.
  • De tweede regel in de index bevat expliciet een lijst met NFS-client 10.10.10.10 en is geconfigureerd om de toegang tot Alleen-lezen te beperken, zonder hoofdtoegang (root is verpletterd).

Zoals het is, ontvangt de client 10.10.10.10 toegang vanwege de eerste regel in de lijst. De volgende regel wordt nooit geëvalueerd voor toegangsbeperkingen, dus 10.10.10.10 krijgen lees- en schrijftoegang, ook al is alleen-lezen gewenst. Wortel is ook wortel, in plaats van te worden geplet.

U kunt dit oplossen en de toegang tot het gewenste niveau instellen door de regels opnieuw te orden om de gewenste clienttoegangsregel boven alle subnet-/CIDR-regels te plaatsen. U kunt de volgorde van exportbeleidsregels in Azure Portal wijzigen door de regels te slepen of door de opdrachten Verplaatsen in het ... menu in de rij voor elke exportbeleidsregel te gebruiken.

Notitie

U kunt de Azure NetApp Files CLI of REST API alleen gebruiken om exportbeleidsregels toe te voegen of te verwijderen.

SMB-shares

Met SMB-shares hebben eindgebruikers toegang tot SMB- of dual-protocolvolumes in Azure NetApp Files. Besturingselementen voor toegang voor SMB-shares zijn beperkt in het besturingsvlak van Azure NetApp Files tot alleen SMB-beveiligingsopties, zoals opsomming op basis van toegang en niet-wenkbrauwbare sharefunctionaliteit. Deze beveiligingsopties worden geconfigureerd tijdens het maken van het volume met de functionaliteit Volume bewerken.

Screenshot of share-level permissions.

Machtigings-ACL's op shareniveau worden beheerd via een Windows MMC-console in plaats van via Azure NetApp Files.

Azure NetApp Files biedt meerdere shareeigenschappen om de beveiliging voor beheerders te verbeteren.

Opsomming op basis van toegang

Opsomming op basis van toegang is een Azure NetApp Files SMB-volumefunctie die de opsomming van bestanden en mappen (dat wil gezegd de inhoud weergeven) in SMB beperkt tot gebruikers met toegestane toegang op de share. Als een gebruiker bijvoorbeeld geen toegang heeft tot het lezen van een bestand of map in een share waarvoor opsomming op basis van toegang is ingeschakeld, wordt het bestand of de map niet weergegeven in mapvermeldingen. In het volgende voorbeeld heeft een gebruiker (smbuser) geen toegang tot het lezen van een map met de naam ABE in een Azure NetApp Files SMB-volume. Alleen contosoadmin toegang.

Screenshot of access-based enumeration properties.

In het onderstaande voorbeeld wordt opsomming op basis van toegang uitgeschakeld, zodat de gebruiker toegang heeft tot de ABE map van SMBVolume.

Screenshot of directory without access-bassed enumeration.

In het volgende voorbeeld is opsomming op basis van toegang ingeschakeld, dus de ABE map met SMBVolume wordt niet weergegeven voor de gebruiker.

Screenshot of directory with two sub-directories.

De machtigingen worden ook uitgebreid naar afzonderlijke bestanden. In het onderstaande voorbeeld is opsomming op basis van toegang uitgeschakeld en ABE-file wordt deze weergegeven voor de gebruiker.

Screenshot of directory with two-files.

Als opsomming op basis van toegang is ingeschakeld, ABE-file wordt deze niet weergegeven voor de gebruiker.

Screenshot of directory with one file.

Niet-wenkbrauwbare shares

De functie voor niet-wenkbrauwende shares in Azure NetApp Files beperkt clients om te bladeren naar een SMB-share door de share te verbergen in Windows Verkenner of wanneer shares worden weergegeven in 'net view'. Alleen eindgebruikers die de absolute paden naar de share kennen, kunnen de share vinden.

In de volgende afbeelding is de eigenschap niet-wenkbrauwbare share niet ingeschakeld, SMBVolumedus het volume wordt weergegeven in de lijst met bestandsservers (met behulp van \\servername).

Screenshot of a directory that includes folder SMBVolume.

Als niet-wenkbrauwbare shares zijn ingeschakeld SMBVolume in Azure NetApp Files, wordt dezelfde weergave van de bestandsserver uitgesloten SMBVolume.

In de volgende afbeelding is voor de share SMBVolume niet-wenkbrauwbare shares ingeschakeld in Azure NetApp Files. Wanneer dat is ingeschakeld, is dit de weergave van het hoogste niveau van de bestandsserver.

Screenshot of a directory with two sub-directories.

Hoewel het volume in de vermelding niet kan worden weergegeven, blijft het toegankelijk als de gebruiker het bestandspad kent.

Screenshot of Windows Explorer with file path highlighted.

SMB3-versleuteling

SMB3-versleuteling is een Azure NetApp Files SMB-volumefunctie die versleuteling afdwingt via de kabel voor SMB-clients voor betere beveiliging in NAS-omgevingen. In de volgende afbeelding ziet u een schermopname van netwerkverkeer wanneer SMB-versleuteling is uitgeschakeld. Gevoelige informatie, zoals bestandsnamen en bestandsingangen, is zichtbaar.

Screenshot of packet capture with SMB encryption disabled.

Wanneer SMB-versleuteling is ingeschakeld, worden de pakketten gemarkeerd als versleuteld en kunnen er geen gevoelige informatie worden weergegeven. In plaats daarvan wordt deze weergegeven als 'Versleutelde SMB3-gegevens'.

Screenshot of packet capture with SMB encryption enabled.

SMB-share-ACL's

SMB-shares kunnen de toegang beheren tot wie een share kan koppelen en openen, en toegangsniveaus beheren voor gebruikers en groepen in een Active Directory-domein. Het eerste machtigingsniveau dat wordt geëvalueerd, zijn toegangsbeheerlijsten (ACL's) delen.

SMB-sharemachtigingen zijn meer eenvoudig dan bestandsmachtigingen: ze passen alleen lees-, wijzigings- of volledig beheer toe. Sharemachtigingen kunnen worden overschreven door bestandsmachtigingen en bestandsmachtigingen kunnen worden overschreven door sharemachtigingen; de meest beperkende machtiging is degene die zich houdt aan. Als de groep 'Iedereen' bijvoorbeeld volledige controle krijgt over de share (het standaardgedrag) en specifieke gebruikers alleen-lezentoegang hebben tot een map via een ACL op bestandsniveau, wordt leestoegang toegepast op die gebruikers. Andere gebruikers die niet expliciet in de ACL worden vermeld, hebben volledige controle

Als de sharemachtiging echter is ingesteld op Lezen voor een specifieke gebruiker, maar de machtiging op bestandsniveau is ingesteld op volledig beheer voor die gebruiker, wordt leestoegang afgedwongen.

In NAS-omgevingen met twee protocollen zijn SMB-share-ACL's alleen van toepassing op SMB-gebruikers. NFS-clients maken gebruik van exportbeleid en -regels voor toegangsregels voor share. Als zodanig heeft het beheren van machtigingen op bestand- en mapniveau de voorkeur boven ACL's op shareniveau, met name voor NAS-volumes met twee protocollen.

Zie SMB-share-ACL's beheren in Azure NetApp Files voor meer informatie over het configureren van ACL's.

Volgende stappen