Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo explica como você pode criptografar dados em trânsito para compartilhamentos de arquivos do Azure NFS.
Importante
- A criptografia em trânsito para compartilhamentos de arquivos do Azure NFS v4.1 está atualmente em versão prévia.
- Consulte os termos de uso da versão prévia | Microsoft Azure.
Os volumes NFS v4.1 do Azure Files aprimoram a segurança de rede ao habilitar conexões TLS seguras, protegendo dados em trânsito contra interceptações, incluindo ataques MITM.
Usando o Stunnel, um wrapper TLS de software livre, os Arquivos do Azure criptografam o fluxo TCP entre o cliente NFS e os Arquivos do Azure com criptografia forte usando o AES-GCM, sem precisar do Kerberos. Isso garante a confidencialidade dos dados, eliminando a necessidade de configurações complexas ou sistemas de autenticação externos, como o Active Directory.
O pacote do utilitário AZNFS simplifica as montagens criptografadas instalando e configurando o Stunnel no cliente. Disponível em packages.microsoft.com, o AZNFS cria um ponto de extremidade seguro local que encaminha de forma transparente solicitações de cliente NFS por uma conexão criptografada. Os principais componentes arquitetônicos incluem:
Auxiliar de Montagem do AZNFS: um pacote utilitário cliente que abstrai a complexidade de estabelecer túneis seguros para o tráfego NFSv4.1.
Processo do Stunnel: processo de cliente por conta de armazenamento que escuta o tráfego do cliente NFS em uma porta local e o encaminha com segurança pelo TLS para o servidor NFS dos Arquivos do Azure.
Watchdog do AZNFS: o pacote do AZNFS executa um trabalho em segundo plano que garante que os processos de stunnel estejam em execução, reinicie automaticamente os túneis encerrados e limpe os processos não utilizados depois que todas as montagens NFS associadas forem desmontadas.
Regiões com suporte
Todas as regiões que dão suporte aos Arquivos Premium do Azure agora dão suporte à criptografia em trânsito.
Registrar-se para a versão prévia
Para habilitar a criptografia em trânsito para seus compartilhamentos NFS, você deve se registrar para o recurso de visualização.
Registre-se por meio do portal do Azure pesquisando "Criptografia em trânsito para compartilhamentos de arquivos NFS do Azure" em Recursos de Visualização.
Para obter mais informações, consulte Configurar recursos de visualização na assinatura do Azure.
Impor criptografia em trânsito
Ao habilitar a configuração de transferência segura necessária na conta de armazenamento, você pode garantir que todas as montagens nos volumes NFS na conta de armazenamento sejam criptografadas.
No entanto, para os usuários que preferem manter a flexibilidade entre conexões TLS e não TLS na mesma conta de armazenamento, a configuração de transferência segura deve permanecer OFF.
Como criptografar dados em trânsito para compartilhamentos NFS (versão prévia)
Siga estas etapas para criptografar dados em trânsito:
- Verifique se o pacote auxiliar de montagem do AZNFS necessário está instalado no cliente.
- Monte o compartilhamento de arquivos NFS com criptografia TLS.
- Verifique se a criptografia de dados foi bem-sucedida.
Etapa 1: Verificar a instalação do pacote auxiliar de montagem do AZNFS
Para verificar se o pacote auxiliar de montagem do AZNFS está instalado no cliente, execute o seguinte comando:
systemctl is-active --quiet aznfswatchdog && echo -e "\nAZNFS mounthelper is installed! \n"
Se o pacote estiver instalado, você verá a mensagem AZNFS mounthelper is installed!
. Se ele não estiver instalado, você precisará usar o comando apropriado para instalar o pacote auxiliar de montagem do AZNFS em seu cliente.
curl -sSL -O https://packages.microsoft.com/config/$(source /etc/os-release && echo "$ID/$VERSION_ID")/packages-microsoft-prod.deb
sudo dpkg -i packages-microsoft-prod.deb
rm packages-microsoft-prod.deb
sudo apt-get update
sudo apt-get install aznfs
Importante
As distribuições do Linux com suporte do AZNFS são:
- Ubuntu (18.04 LTS, 20.04 LTS, 22.04 LTS, 24.04 LTS)
- Centos7, Centos8
- RedHat7, RedHat8, RedHat9
- Rocky8
- SUSE (SLES 15)
- Oracle Linux
- Alma Linux
Etapa 2: Montar o compartilhamento de arquivos NFS
Para montar o compartilhamento de arquivos NFS com criptografia TLS:
- Crie um diretório em seu cliente.
sudo mkdir -p /mount/<storage-account-name>/<share-name>
- Monte o compartilhamento NFS usando o cmdlet a seguir. Substitua
<storage-account-name>
pelo nome da sua conta de armazenamento e substitua<share-name>
pelo nome do compartilhamento de arquivos.
sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4
Para montar o compartilhamento NFS sem criptografia TLS:
sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4,notls
Para que o compartilhamento seja montado automaticamente na reinicialização, crie uma entrada no arquivo /etc/fstab
adicionando a seguinte linha:
<storage-account-name>.file.core.windows.net:/<storage-account-name>/<container-name> /nfsdata aznfs defaults,sec=sys,vers=4.1,nolock,proto=tcp,nofail,_netdev 0 2
Observação
Antes de executar o comando de montagem, verifique se a variável de ambiente AZURE_ENDPOINT_OVERRIDE está definida. Isso é necessário ao montar compartilhamentos de arquivos em regiões de nuvem não públicas do Azure ou ao usar configurações de DNS personalizadas.
Por exemplo, para o Azure China Cloud: export AZURE_ENDPOINT_OVERRIDE="chinacloudapi.cn"
Etapa 3: Verificar se a criptografia de dados em trânsito foi bem-sucedida
Execute o comando df -Th
.
Indica que o cliente está conectado por meio da porta local 127.0.0.1, não de uma rede externa. O processo de stunnel escuta em 127.0.0.1 (localhost) para o tráfego NFS de entrada do cliente NFS. O Stunnel intercepta esse tráfego e o encaminha com segurança por TLS para o servidor NFS de Arquivos do Azure no Azure.
Para verificar se o tráfego para o servidor NFS está criptografado, use o tcpdump
comando para capturar pacotes na porta 2049.
sudo tcpdump -i any port 2049 -w nfs_traffic.pcap
Quando você abrir a captura no Wireshark, o conteúdo será exibido como "Dados do Aplicativo" em vez de texto legível.
Observação
Todo o tráfego de uma máquina virtual para o mesmo ponto de extremidade do servidor usa uma única conexão. O auxiliar de montagem do AZNFS garante que você não possa misturar configurações TLS e não TLS ao montar compartilhamentos nesse servidor. Essa regra se aplica a compartilhamentos da mesma conta de armazenamento e contas de armazenamento diferentes que resolvem para o mesmo endereço IP.
Resolução de problemas
Uma operação de montagem não TLS (notls) poderá falhar se uma montagem criptografada por TLS anterior no mesmo servidor tiver sido encerrada antes de ser concluída com êxito. Embora o serviço aznfswatchdog limpe automaticamente entradas obsoletas após um tempo limite, a tentativa de uma nova montagem não TLS antes da limpeza ser concluída pode falhar.
Para resolver esse problema, monte novamente o compartilhamento usando a opção de limpeza, que limpa imediatamente todas as entradas obsoletas.
sudo mount -t aznfs <storage-account-name>.file.core.windows.net:/<storage-account-name>/<share-name> /mount/<storage-account-name>/<share-name> -o vers=4,minorversion=1,sec=sys,nconnect=4,notls,clean
Se os problemas de montagem continuarem, verifique os arquivos de log para obter mais detalhes de solução de problemas:
-
Montar logs do Auxiliar e do Watchdog:
/opt/microsoft/aznfs/data/aznfs.log
-
Logs do Stunnel:
/etc/stunnel/microsoft/aznfs/nfsv4_fileShare/logs