En esta página se ofrece una descripción general de las consideraciones de seguridad de Google Cloud NetApp Volumes.
Consideraciones de seguridad para las redes
Google Cloud NetApp Volumes proporciona un marco arquitectónico seguro con las siguientes capas de seguridad aisladas:
Seguridad a nivel de proyecto: la capa de seguridad administrativa que los administradores usan para gestionar recursos de volúmenes de NetApp, como grupos de almacenamiento o volúmenes, mediante la Google Cloud consola, el SDK de Google Cloud o las APIs. Los roles y permisos de gestión de identidades y accesos protegen esta capa. Para obtener más información sobre la seguridad a nivel de proyecto, consulta Configurar permisos de gestión de identidades y accesos.
Seguridad a nivel de red: la capa de red que se usa para acceder a volúmenes de datos con protocolos de almacenamiento conectado a la red (NAS) (bloque de mensajes del servidor [SMB] y sistema de archivos de red [NFS]).
Puedes acceder a los datos de los volúmenes mediante protocolos NAS a través de una red de nube privada virtual. Solo se puede acceder a todos los datos de NetApp Volumes a través de tu VPC, a menos que uses explícitamente una solución de terceros para sustituir el enrutamiento de emparejamiento de VPCs a tus VPCs.
Dentro de la VPC, puedes limitar aún más el acceso con cortafuegos y configurando mecanismos de control de acceso específicos de protocolos.
Reglas de cortafuegos para el acceso a volúmenes
Las reglas de cortafuegos protegen las Google Cloud VPC. Para habilitar el acceso de los clientes a los volúmenes de NetApp, debes permitir tráfico de red específico.
Reglas de cortafuegos para acceder a volúmenes NFS
NFS usa varios puertos para comunicarse entre el cliente y un servidor. Para que la comunicación sea correcta y los volúmenes se monten correctamente, debes habilitar los puertos en tus cortafuegos.
NetApp Volumes actúa como servidor NFS y expone los puertos de red necesarios para NFS. Asegúrate de que tus clientes NFS tengan permiso para comunicarse con los siguientes puertos de NetApp Volumes:
111 TCP/UDP portmapper635 TCP/UDP mountd2049 TCP/UDP nfsd4045 TCP/UDP nlockmgr(solo para NFSv3)4046 TCP/UDP status(solo para NFSv3)
Las direcciones IP de los volúmenes de NetApp se asignan automáticamente a partir del intervalo CIDR que asignaste al servicio durante el emparejamiento de redes. Para obtener más información, consulta Elegir un CIDR.
Uso de bloqueos de asesoramiento con NFSv3
Si usas bloqueos de asesoramiento con NFSv3, debes ejecutar el daemon rpc.statd
en tu cliente para admitir Network Lock Manager, que es una función
que funciona en colaboración con NFS para proporcionar un bloqueo de archivos y registros de asesoramiento de estilo System V a través de la red. Tu cliente NFS debe abrir un puerto de entrada para que rpc.statd reciba las retrollamadas de Network Lock Manager. En la mayoría de las distribuciones de Linux, rpc.statd se inicia al montar el primer recurso compartido de NFS. Usa un puerto aleatorio que puedes identificar con el comando rpcinfo -p. Para que rpc.statd sea más compatible con los cortafuegos, configúralo para que use un puerto estático.
Para definir puertos estáticos para rpc.statd, consulta los siguientes recursos:
Si no usas los bloqueos de asesoramiento de NFSv3 o Network Lock Manager, te recomendamos que montes tus recursos compartidos de NFSv3 con la opción de montaje nolock.
NFSv4.1 implementa la función de bloqueo en el propio protocolo NFSv4.1, que se ejecuta a través de la conexión TCP iniciada por el cliente con el servidor NFSv4.1 en el puerto 2049. El cliente no tiene que abrir puertos de cortafuegos para el tráfico de entrada.
Reglas de cortafuegos para acceder a volúmenes SMB
SMB usa varios puertos para comunicarse entre el cliente y un servidor. Para asegurar una comunicación adecuada, debe habilitar los puertos en sus cortafuegos.
Volúmenes de NetApp actúa como servidor SMB y expone los puertos de red que requiere SMB. Asegúrate de que tu cliente SMB pueda comunicarse con los siguientes puertos de volúmenes de NetApp:
445 TCP SMB2/3135 TCP msrpcy40001 TCP SMB CA: se usan solo para los recursos compartidos disponibles continuamente de SMB 3.x. Estos puertos no son necesarios para los recursos compartidos que no están disponibles de forma continua.
El servicio expone el puerto 139/TCP, pero no lo usa.
Las direcciones IP de los volúmenes de NetApp se asignan automáticamente a partir del intervalo CIDR que asignaste al servicio durante el emparejamiento de redes. Para obtener más información, consulta Elegir un CIDR.
Sus clientes de pymes no tienen que exponer puertos de entrada para que funcione SMB.
Reglas de cortafuegos para el acceso a Active Directory
NetApp Volumes necesita acceso a los siguientes puertos en los servidores DNS configurados en tu política de Active Directory para identificar los controladores de dominio de Active Directory. Volúmenes de NetApp usa búsquedas de DNS para detectar el controlador de dominio de Active Directory.
ICMPV4DNS 53 TCPDNS 53 UDP
Abre los siguientes puertos en todos tus controladores de dominio de Active Directory para el tráfico procedente del intervalo CIDR de los volúmenes de NetApp:
ICMPV4LDAP 389 TCPSMB over IP 445 TCPSecure LDAP 636 TCPKerberos 464 TCPKerberos 464 UDPKerberos 88 TCPKerberos 88 UDP
Adjuntar una etiqueta de cortafuegos a los servidores de Active Directory
Sigue estas instrucciones para adjuntar la etiqueta de cortafuegos a tus servidores de Active Directory.
Asocia la regla de cortafuegos a tus servidores DNS de Active Directory:
gcloud compute firewall-rules create netappvolumes-to-dns \ --allow=icmp,TCP:53,UDP:53 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-dns \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Asocia la regla de cortafuegos a tus controladores de dominio de Active Directory:
gcloud compute firewall-rules create netappvolumes-to-activedirectory \ --allow=icmp,TCP:88,UDP:88,TCP:389,TCP:445,TCP:464,UDP:464,TCP:636 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-activedirectory \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Sustituye la siguiente información:
NETAPP_VOLUMES_CIDR: el CIDR de NetApp VolumesVPC_NAME: nombre de la VPC
Adjunta la siguiente etiqueta a tus servidores DNS:
allow-netappvolumes-to-dns
Adjunta la siguiente etiqueta a tus controladores de dominio:
allow-netappvolumes-to-activedirectory
Controles de acceso a volúmenes para protocolos NFS
NetApp Volumes protege el acceso mediante protocolos NFS con una sola política de exportación que puede incluir hasta 20 reglas de exportación. Las reglas de exportación son listas separadas por comas de direcciones IPv4 y CIDRs IPv4 que especifican qué clientes tienen permiso para montar volúmenes. NetApp Volumes evalúa las reglas de exportación en orden secuencial y se detiene después de la primera coincidencia. Para obtener los mejores resultados, te recomendamos que ordenes las reglas de exportación de la más específica a la más genérica.
Usa las siguientes pestañas para consultar las políticas según las versiones de NFS:
NFS sin Kerberos
Todas las versiones de NFS sin Kerberos usan el tipo de seguridad AUTH_SYS. En este modo, debe gestionar estrictamente las reglas de exportación para permitir solo a los clientes en los que confíe y que puedan asegurar la integridad del ID de usuario y del ID de grupo.
Como medida de seguridad, los servidores NFS asignan automáticamente las llamadas NFS con UID=0 (root) a UID=65535 (anónimo), que tiene permisos limitados en el sistema de archivos. Durante la creación del volumen, puedes habilitar la opción de acceso de administrador para controlar este comportamiento. Si habilitas el acceso root, el ID de usuario 0 seguirá siendo 0. Como práctica recomendada, crea una regla de exportación específica que habilite el acceso de superusuario para tus hosts de administrador conocidos y deshabilite el acceso de superusuario para todos los demás clientes.
NFSv4.1 con Kerberos
NFSv4.1 con Kerberos usa políticas de exportación y autenticación adicional mediante Kerberos para acceder a los volúmenes. Puedes configurar reglas de exportación para lo siguiente:
Solo Kerberos (
krb5)Firma de Kerberos (
krb5i)Privacidad de Kerberos (
krb5p)
Controles de acceso a volúmenes para el protocolo SMB
SMB usa permisos a nivel de recurso compartido para proteger el acceso a los volúmenes y requiere autenticación en Active Directory. Estos permisos te permiten controlar quién tiene acceso a los recursos compartidos a través de la red.
Los volúmenes se crean con permisos de nivel de recurso compartido Todos y Control total. Puedes modificar los permisos a nivel de recurso compartido mediante la consola de Windows o la CLI de Windows.
Sigue estas instrucciones para modificar los permisos a nivel de recurso compartido SMB mediante la consola de Windows o la CLI de Windows:
Consola de Windows
Haz clic con el botón derecho en el icono Inicio de Windows y selecciona Administración de equipos.
Cuando se abra la consola Administración de equipos, haz clic en Acción > Conectar con otro equipo.
En el cuadro de diálogo Seleccionar equipo, introduce el nombre NetBIOS de tu recurso compartido SMB y haz clic en Aceptar.
Una vez que te hayas conectado al recurso compartido de archivos, ve a Herramientas del sistema > Carpetas compartidas > Recursos compartidos para buscar tu recurso compartido.
Haz doble clic en Nombre del recurso compartido y selecciona la pestaña Permisos del recurso compartido para controlar los permisos del recurso compartido.
CLI de Windows
Abre una línea de comandos de Windows.
Conéctate al recurso compartido de archivos.
fsmgmt.msc /computer=<netbios_name_of_share>
Una vez que te hayas conectado al recurso compartido de archivos, ve a Herramientas del sistema > Carpetas compartidas > Recursos compartidos para buscar tu recurso compartido.
Haz doble clic en Nombre del recurso compartido y selecciona la pestaña Permisos del recurso compartido para controlar los permisos del recurso compartido.
Control de acceso a archivos
En las siguientes secciones se ofrece información detallada sobre el control de acceso a nivel de archivo de NetApp Volumes.
Estilo de seguridad del volumen
NetApp Volumes ofrece dos estilos de seguridad para los volúmenes, UNIX y NTFS, para adaptarse a los diferentes conjuntos de permisos de las plataformas Linux y Windows.
UNIX los volúmenes configurados con el estilo de seguridad UNIX usan bits de modo UNIX y ACLs de NFSv4 para controlar el acceso a los archivos.
NTFS los volúmenes configurados con el estilo de seguridad NTFS usan ACLs NTFS para controlar el acceso a los archivos.
El estilo de seguridad del volumen depende del protocolo que se elija para el volumen:
| Tipo de protocolo | Estilo de seguridad del volumen |
|---|---|
| NFSv3 | UNIX |
| NFSv4.1 | UNIX |
| Ambos (NFSv3 y NFSv4.1) | UNIX |
| Pymes | NTFS |
| Dual (SMB y NFSv3) | UNIX o NTFS |
| Dual (SMB y NFSv4.1) | UNIX o NTFS |
En el caso de los protocolos duales, solo puedes elegir el estilo de seguridad durante la creación del volumen.
Control de acceso a nivel de archivo NFS para volúmenes de estilo UNIX
Después de que un cliente monte un volumen correctamente, NetApp Volumes comprueba los permisos de acceso a archivos y directorios mediante el modelo de permisos estándar de UNIX, denominado bits de modo. Puedes definir y modificar permisos con
chmod.
Los volúmenes de NFSv4.1 también pueden usar listas de control de acceso (ACLs) de NFSv4. Si un archivo o un directorio tiene bits de modo y una LCA de NFSv4, se usa la LCA para comprobar los permisos. Lo mismo ocurre con los volúmenes que usan los protocolos NFSv3 y NFSv4.1. Puedes definir y modificar LCAs de NFSv4 con nfs4_getfacl y nfs4_setfacl.
Cuando creas un volumen de estilo UNIX, root:root tiene la propiedad del inode raíz y los permisos 0770. Debido a esta configuración de propiedad y permisos, un usuario que no sea root recibe un error permission denied al acceder al volumen después de montarlo. Para permitir el acceso al volumen a usuarios que no sean root, un usuario root debe cambiar la propiedad del inode root con chown y modificar los permisos del archivo con chmod.
Control de acceso a archivos SMB para volúmenes de estilo NTFS
En el caso de los volúmenes de estilo NTFS, te recomendamos que uses un modelo de permisos NTFS.
Cada archivo y directorio tiene una ACL de NTFS que puedes modificar con el Explorador de archivos, la herramienta de línea de comandos icacls o PowerShell. En el modelo de permisos NTFS, los archivos y las carpetas nuevos heredan los permisos de su carpeta superior.
Asignación de usuarios multiprotocolo
En los volúmenes de protocolo dual, los clientes pueden usar NFS y SMB para acceder a los mismos datos. Un volumen se configura asignando el estilo de seguridad del volumen a permisos de UNIX o NTFS.
Cuando crees un volumen SMB y NFS de protocolo dual, te recomendamos que Active Directory contenga un usuario predeterminado. El usuario predeterminado se utiliza cuando un cliente NFS envía una llamada NFS con un ID de usuario que no está disponible en Active Directory.
A continuación, NetApp Volumes intenta buscar un usuario llamado pcuser,
que actúa como usuario UNIX predeterminado. Si no se encuentra ese usuario, se deniega el acceso a la llamada NFS.
Te recomendamos que crees un usuario predeterminado en Active Directory con los siguientes atributos:
uid=pcuseruidnumber=65534cn=pcusergidNumber=65534objectClass=user
En función del protocolo que utilice el cliente (NFS o SMB) y del estilo de seguridad del volumen (UNIX o NTFS), los volúmenes de NetApp pueden comprobar directamente los permisos de acceso del usuario o requieren que se asigne el usuario a la identidad de la otra plataforma.
| Protocolo de acceso | Estilo de seguridad | Identidad usada por el protocolo | Asignación obligatoria |
|---|---|---|---|
| NFSv3 | UNIX | ID de usuario e ID de grupo | N/A |
| NFSv3 | NTFS | ID de usuario e ID de grupo | ID de usuario a nombre de usuario a identificador de seguridad |
| Pymes | UNIX | Identificador de seguridad | Identificador de seguridad a nombre de usuario a ID de usuario |
| Pymes | NTFS | Identificador de seguridad | N/A |
Cuando se requiere una asignación, NetApp Volumes se basa en los datos almacenados en LDAP de Active Directory. Para obtener más información, consulta los casos prácticos de Active Directory.
Situación de mapeo de usuarios multiprotocolo: acceso SMB a un volumen UNIX
Científico Charlie E. (charliee) quiere acceder a un volumen de NetApp Volumes mediante SMB desde un cliente Windows. Como el volumen contiene resultados generados por una máquina proporcionados por un clúster de computación de Linux, el volumen se configura para almacenar permisos de UNIX.
El cliente de Windows envía una llamada SMB al volumen. La llamada SMB contiene la identidad del usuario como identificador de seguridad. El identificador de seguridad no se puede comparar con los permisos de archivo de ID de usuario e ID de grupo, y requiere una asignación.
Para completar la asignación necesaria, NetApp Volumes sigue estos pasos:
NetApp Volumes pide a Active Directory que resuelva el identificador de seguridad en un nombre de usuario. Por ejemplo,
S-1-5-21-2761044393-2226150802-3019316526-1224encharliee.NetApp Volumes pide a Active Directory que devuelva el ID de usuario y el ID de grupo de
charliee.NetApp Volumes comprueba el acceso con el ID de usuario propietario y el ID de grupo del archivo mediante el ID de usuario y el ID de grupo devueltos.
Situación de asignación de usuarios multiprotocolo: acceso NFS a un volumen NTFS
El ingeniero Amal L. necesita acceder a algunos datos de un volumen desde un cliente Linux mediante NFS. Como el volumen se usa principalmente para almacenar datos de Windows, se configura con el estilo de seguridad NTFS.
El cliente Linux envía una llamada NFS a NetApp Volumes. La llamada NFS contiene identificadores de ID de usuario y de ID de grupo que no se pueden asociar a un identificador de seguridad sin una asignación.
Para completar la asignación necesaria, NetApp Volumes pide a Active Directory el nombre de usuario del ID de usuario y que devuelva el identificador de seguridad del nombre de usuario. A continuación, comprueba el acceso con el identificador de seguridad del propietario del archivo al que se ha accedido mediante el identificador de seguridad devuelto.
Encriptado en tránsito
NFS
En el caso de los volúmenes NFS, usa NFSv4.1 con el cifrado krb5p de Kerberos habilitado para maximizar la seguridad.
Pymes
En el caso de los volúmenes SMB, habilita el cifrado AES en tu política de Active Directory y el cifrado SMB en tu volumen para maximizar la seguridad.
Replicación de volumen
NetApp Volumes puede replicar volúmenes en distintas Google Cloud regiones para proteger los datos. Como el tráfico reside en la Google Cloud, el proceso de transferencia es seguro, ya que utiliza la infraestructura de red de Google, que tiene acceso limitado para evitar intercepciones no autorizadas. Además, el tráfico de replicación se cifra mediante los estándares TLS 1.2 que cumplen el estándar FIPS 140-2.
Copia de seguridad integrada
Una copia de seguridad integrada crea copias de seguridad de los volúmenes de NetApp en el servicio. El tráfico de las copias de seguridad se mantiene en la infraestructura de red segura de Google mediante el cifrado estándar TLS 1.2, que cumple el estándar FIPS 140-2. Además, las copias de seguridad se almacenan en los almacenes de copias de seguridad mediante Google-owned and Google-managed encryption key para aumentar la seguridad.
Migración de volumen
La migración de volúmenes envía datos del sistema ONTAP o Cloud Volumes ONTAP de origen a los volúmenes de NetApp. La comunicación entre el sistema de origen y los volúmenes de NetApp se cifra mediante estándares TLS 1.2 que cumplen el estándar FIPS 140-2.
NetApp Volumes inicia la migración y usa los siguientes protocolos y puertos:
ICMP
10000/TCP
11104/TCP
11105/TCP
Asegúrate de que cualquier cortafuegos entre la interfaz lógica entre clústeres (LIF) de tu sistema ONTAP y la dirección IP de migración de los volúmenes de NetApp permita estos puertos.
Siguientes pasos
Protege los volúmenes de NetApp con un perímetro de servicio.