Compreender a segurança do plano de dados dos Arquivos NetApp do Azure

Saiba mais sobre os diferentes recursos de segurança do plano de dados nos Arquivos NetApp do Azure para entender o que está disponível para melhor atender às suas necessidades.

Conceitos de segurança do plano de dados

Compreender o plano de dados é crucial ao trabalhar com os Arquivos NetApp do Azure. O plano de dados é responsável pelas operações de armazenamento e gestão de dados, desempenhando um papel vital na manutenção da segurança e eficiência. Os Arquivos NetApp do Azure fornecem um conjunto abrangente de recursos de segurança do plano de dados, incluindo gerenciamento de permissões, criptografia de dados (em voo e em repouso), criptografia LDAP (Lightweight Directory Access Protocol) e segurança de rede para garantir o manuseio e o armazenamento seguros de dados.

Gerir permissões

Os Arquivos NetApp do Azure protegem os dados de armazenamento conectado à rede (NAS) por meio de permissões, categorizados em tipos NFS (Network File System) e SMB (Server Message Block). A primeira camada de segurança é o acesso compartilhado, limitado aos usuários e grupos necessários. As permissões de compartilhamento, sendo as menos restritivas, devem seguir uma lógica de funil, permitindo um acesso mais amplo no nível de compartilhamento e controles mais granulares para arquivos e pastas subjacentes.

Proteger seus dados NAS nos Arquivos NetApp do Azure envolve o gerenciamento de permissões de forma eficaz. As permissões são categorizadas em dois tipos principais:

  • Permissões de acesso de compartilhamento: essas permissões controlam quem pode montar um volume NAS e permissões básicas para leitura/gravação.

    • Exportações NFS: usa endereços IP ou nomes de host para controlar o acesso.
    • Compartilhamentos SMB: usa listas de controle de acesso (ACLs) de usuários e grupos.

  • Permissões de acesso a arquivos: elas determinam o que os usuários e grupos podem fazer quando um volume NAS é montado. Eles são:

    • aplicado a arquivos e pastas individuais.
    • mais granular do que as permissões de compartilhamento.

Permissões de acesso para partilhar

Políticas de exportação de NFS:

  • Os volumes são partilhados aos clientes NFS através da exportação de um caminho acessível a um cliente ou conjunto de clientes.
  • As políticas de exportação controlam o acesso. As políticas de exportação são contêineres para um conjunto de regras de acesso listadas na ordem de acesso desejado. As regras de prioridade mais alta são lidas e aplicadas primeiro e as regras subsequentes para um cliente são ignoradas.
  • As regras usam endereços IP ou sub-redes do cliente para controlar o acesso. Se um cliente não estiver listado em uma regra de política de exportação, ele não poderá montar a exportação NFS.
  • As políticas de exportação controlam como o usuário raiz é apresentado a um cliente. Se o utilizador root estiver "limitado" (Acesso Root = Desativado), o root para clientes nessa regra será resolvido para o UID anónimo 65534.

Ações SMB:

  • O acesso é controlado por meio de ACLs de usuário e grupo.
  • As permissões podem incluir leitura, alteração e controle total.

Para obter mais informações, consulte Compreender as permissões de compartilhamento NAS.

Permissões de acesso a ficheiros

Permissões de arquivo SMB:

  • Os atributos incluem leitura, gravação, exclusão, alteração de permissões, apropriação e permissões mais granulares suportadas pelo Windows.
  • As permissões podem ser herdadas de pastas pai para objetos filho.

Permissões de arquivo NFS:

  • NFSv3 e NFSv4.x usam permissões de arquivo UNIX tradicionais que são representadas por bits de modo.
  • O NFSv4.1 também suporta permissões avançadas usando ACLs NFSv4.1.

Para obter mais informações sobre permissões de acesso a arquivos, consulte Compreender permissões de arquivo NAS e Entender permissões de arquivo SMB.

Herança de permissões

A herança de permissões permite que uma pasta pai aplique automaticamente suas permissões a todos os seus objetos filho, incluindo arquivos e subdiretórios. Quando você define permissões em um diretório pai, essas mesmas permissões são aplicadas a quaisquer novos arquivos e subdiretórios criados nele.

SMB:

  • Controlado na visualização avançada de permissões.
  • Os sinalizadores de herança podem ser configurados para propagar permissões de pastas pai para objetos filho.

NFS:

  • NFSv3 usa os sinalizadores umask e setgid para imitar herança.
  • O NFSv4.1 usa indicadores de herança em ACLs.

Para obter mais detalhes sobre herança de permissões, consulte Compreender permissões de arquivo NAS, Compreender bits de modo NFS e Compreender ACLs NFSv4.x.

Considerações

  • Aplicam-se as permissões mais restritivas: quando as permissões conflitantes estão presentes, a permissão mais restritiva tem precedência. Por exemplo, se um usuário tiver acesso somente leitura no nível de compartilhamento, mas controle total no nível de arquivo, o usuário só terá acesso somente leitura.
  • Lógica de funil: as permissões de compartilhamento devem ser mais permissivas do que as permissões de arquivo e pasta. Aplique controles mais granulares e restritivos no nível do arquivo.

Encriptação de dados em trânsito

A criptografia dos Arquivos NetApp do Azure em trânsito refere-se à proteção de dados enquanto se movem entre o seu cliente e o serviço Arquivos NetApp do Azure. A criptografia garante que os dados estejam seguros e não possam ser intercetados ou lidos por partes não autorizadas durante a transmissão.

Protocolos e métodos de encriptação

O NFSv4.1 dá suporte à criptografia usando Kerberos com criptografia AES-256, garantindo que os dados transferidos entre clientes NFS e o volume Azure NetApp Files sejam seguros.

  • Modos Kerberos: Os Arquivos NetApp do Azure suportam os modos de criptografia Kerberos krb5, krb5i e krb5p. Estes modos fornecem vários níveis de segurança, com o krb5p a oferecer o mais elevado nível de proteção através da encriptação dos dados e das verificações de integridade.

Para obter mais informações sobre criptografia NFSv4.1, consulte Compreender a criptografia de dados e Configurar a criptografia Kerberos NFSv4.1.

O SMB3 suporta encriptação utilizando algoritmos AES-CCM e AES-GCM, proporcionando uma transferência segura de dados através da rede.

  • Criptografia de ponta a ponta: a criptografia SMB é conduzida de ponta a ponta. Toda a conversação SMB - abrangendo todos os pacotes de dados trocados entre o cliente e o servidor - é criptografada.
  • Algoritmos de encriptação: os Ficheiros NetApp do Azure suportam pacotes criptográficos AES-256-GCM, AES-128-CCM para encriptação SMB. Esses algoritmos fornecem segurança robusta para dados em trânsito.
  • Versões do protocolo: A criptografia SMB está disponível com as versões do protocolo SMB 3.x. Isso garante a compatibilidade com os padrões de criptografia modernos e fornece recursos de segurança aprimorados.

Para obter mais informações sobre criptografia SMB, consulte Compreender a criptografia de dados.

Criptografia de dados em repouso

A encriptação em repouso protege os seus dados enquanto estão armazenados no disco. Mesmo que a mídia de armazenamento físico seja acessada por pessoas não autorizadas, os dados permanecem ilegíveis sem as chaves de descriptografia adequadas.

Há dois tipos de criptografia em repouso nos Arquivos NetApp do Azure:

  • A criptografia única usa criptografia baseada em software para proteger os dados em repouso. Os Arquivos NetApp do Azure empregam chaves de criptografia AES-256, que são compatíveis com o padrão FIPS (Federal Information Processing Standards) 140-2.

  • A encriptação dupla fornece dois níveis de proteção de encriptação: uma camada de encriptação baseada em hardware (unidades SSD encriptadas) e uma camada de encriptação de software. A camada de criptografia baseada em hardware reside no nível de armazenamento físico, usando unidades certificadas FIPS 140-2. A camada de criptografia baseada em software está no nível de volume, completando o segundo nível de proteção de criptografia.

Para obter mais informações sobre criptografia de dados em repouso, consulte Compreender a criptografia de dados e Criptografia dupla em repouso.

Gestão de chaves

O plano de dados gerencia as chaves de criptografia usadas para criptografar e descriptografar dados. Essas chaves podem ser gerenciadas pela plataforma ou pelo cliente:

  • As chaves gerenciadas pela plataforma são gerenciadas automaticamente pelo Azure, garantindo armazenamento seguro e rotação de chaves.
  • As chaves gerenciadas pelo cliente são armazenadas no Cofre de Chaves do Azure, permitindo que você gerencie o ciclo de vida, as permissões de uso e a auditoria de suas chaves de criptografia.
  • As chaves geridas pelo cliente com um HSM (Módulo de Segurança de Hardware) gerido são uma extensão das chaves geridas pelo cliente para a funcionalidade de criptografia de volumes do Azure NetApp Files. Esta extensão HSM permite-lhe armazenar as suas chaves de encriptação num HSM FIPS 140-2 Nível 3 mais seguro em vez do serviço FIPS 140-2 Nível 1 ou Nível 2 utilizado pelo Azure Key Vault (AKV).

Para obter mais informações sobre o gerenciamento de chaves dos Arquivos NetApp do Azure, consulte Como as chaves de criptografia são gerenciadas, Configurar chaves gerenciadas pelo cliente ou chaves gerenciadas pelo cliente com HSM gerenciado.

Protocolo Leve de Acesso a Diretórios (LDAP) criptografia

A criptografia LDAP (Lightweight Directory Access Protocol) na camada do plano de dados garante uma comunicação segura entre os clientes e o servidor LDAP. A criptografia LDAP funciona nos Azure NetApp Files com

  • Métodos de criptografia: o tráfego LDAP pode ser criptografado usando Transport Layer Security (TLS) ou assinatura LDAP. O TLS criptografa todos os canais de comunicação, enquanto a assinatura LDAP garante a integridade das mensagens adicionando uma assinatura digital.
  • Configuração TLS: LDAP sobre StartTLS usa a porta 389 para a conexão LDAP. Depois que a conexão LDAP inicial é feita, um OID StartTLS é trocado e os certificados são comparados. Em seguida, todo o tráfego LDAP é criptografado usando TLS. Assinatura LDAP: Este método adiciona uma camada de segurança assinando mensagens LDAP com criptografia AES, que ajuda a verificar a autenticidade e integridade dos dados que estão sendo transmitidos.
  • Integração com o Ative Directory: o Azure NetApp Files dá suporte à integração com o Ative Directory, que pode ser configurado para usar esses métodos de criptografia para proteger as comunicações LDAP. Atualmente, apenas o Ative Directory pode ser usado para serviços LDAP.

Para obter mais informações sobre LDAP, consulte Compreender o uso de LDAP.

Segurança da rede

Proteger seus dados com o Azure NetApp Files envolve empregar várias camadas de proteção. Aproveitar pontos de extremidade privados e grupos de segurança de rede (NSGs) é essencial para garantir que seus dados permaneçam seguros em sua rede virtual e sejam acessíveis apenas ao tráfego autorizado. Esta abordagem combinada oferece uma estratégia de segurança abrangente para proteger os seus dados contra potenciais ameaças.

Terminais privados

Os pontos de extremidade privados são interfaces de rede especializadas que facilitam uma conexão segura e privada com os serviços do Azure por meio do Azure Private Link. Eles utilizam um endereço IP privado dentro da sua rede virtual, integrando efetivamente o serviço na estrutura interna da sua rede.

Benefícios de segurança

  • Isolamento: Os pontos de extremidade privados garantem que o tráfego dos Arquivos NetApp do Azure permaneça na sua rede virtual, longe da Internet pública. Este isolamento minimiza o risco de exposição a ameaças externas.
  • Controle de acesso: você pode impor políticas de acesso para seus volumes de Arquivos NetApp do Azure configurando regras de segurança de rede na sub-rede associada ao ponto de extremidade privado. Esse controle garante que apenas o tráfego autorizado possa interagir com seus dados.
  • Conformidade: os terminais privados apoiam a conformidade regulamentar, impedindo que o tráfego de dados atravesse a Internet pública, cumprindo os requisitos para o tratamento seguro de dados sensíveis.

Grupos de segurança de rede (NSGs)

NSGs são coleções de regras de segurança que regem o tráfego de entrada e saída para interfaces de rede, máquinas virtuais (VMs) e sub-redes no Azure. Essas regras são fundamentais para definir os controles de acesso e os padrões de tráfego em sua rede. Os NSGs só são suportados ao usar recursos de rede padrão nos Arquivos NetApp do Azure.

Benefícios de segurança

  • Filtragem de tráfego: os NSGs permitem a criação de regras granulares de filtragem de tráfego com base em endereços IP de origem e destino, portas e protocolos. Isso garante que apenas o tráfego permitido possa alcançar seus volumes de Arquivos NetApp do Azure.
  • Segmentação: aplicando NSGs às sub-redes que abrigam seus volumes de Arquivos NetApp do Azure, você pode segmentar e isolar o tráfego de rede. A segmentação reduz efetivamente a superfície de ataque e aumenta a segurança geral.
  • Monitorização e registo: os NSGs oferecem recursos de monitorização e registo por meio de registos de fluxo do grupo de segurança de rede. Esses logs são essenciais para rastrear padrões de tráfego, detetar possíveis ameaças à segurança e garantir a conformidade com as políticas de segurança.

Para obter mais informações, consulte Grupos de segurança de rede e O que é um ponto de extremidade privado?

Mais informações

  • Last updated on