Halaman ini memberikan ringkasan pertimbangan keamanan Google Cloud NetApp Volumes.
Pertimbangan keamanan untuk jaringan
Google Cloud NetApp Volumes menyediakan framework arsitektur yang aman dengan lapisan keamanan terisolasi berikut:
Keamanan tingkat project: lapisan keamanan administratif yang digunakan administrator untuk mengelola resource NetApp Volumes seperti kumpulan penyimpanan atau volume menggunakan konsol Google Cloud , Google Cloud SDK, atau API. Peran dan izin IAM melindungi lapisan ini. Untuk mengetahui informasi selengkapnya tentang keamanan tingkat project, lihat Menyiapkan izin IAM.
Keamanan tingkat jaringan: lapisan jaringan yang digunakan untuk mengakses volume data dengan protokol Network Attached Storage (NAS) (Server Message Block (SMB) dan Network File System (NFS)).
Anda dapat mengakses data dalam volume menggunakan protokol NAS melalui jaringan Virtual Private Cloud. Semua akses data ke NetApp Volumes hanya dapat dilakukan melalui VPC Anda, kecuali jika Anda secara eksplisit menggunakan solusi pihak ketiga untuk menggantikan perutean peering VPC ke VPC Anda.
Dalam VPC, Anda dapat membatasi akses lebih lanjut dengan firewall dan melalui penyiapan mekanisme kontrol akses khusus protokol.
Aturan firewall untuk akses volume
Aturan firewall melindungi Google Cloud VPC. Untuk mengaktifkan akses dari klien ke NetApp Volumes, Anda perlu mengizinkan traffic jaringan tertentu.
Aturan firewall untuk akses volume NFS
NFS menggunakan berbagai port untuk berkomunikasi antara klien dan server. Untuk memastikan komunikasi yang tepat dan pemasangan volume yang berhasil, Anda harus mengaktifkan port di firewall.
NetApp Volumes berfungsi sebagai server NFS dan mengekspos port jaringan yang diperlukan untuk NFS. Pastikan klien NFS Anda memiliki izin untuk berkomunikasi dengan port NetApp Volumes berikut:
111 TCP/UDP portmapper635 TCP/UDP mountd2049 TCP/UDP nfsd4045 TCP/UDP nlockmgr(khusus untuk NFSv3)4046 TCP/UDP status(khusus untuk NFSv3)
Alamat IP untuk Volume NetApp secara otomatis ditetapkan dari rentang CIDR yang Anda tetapkan ke layanan selama peering jaringan. Untuk mengetahui informasi selengkapnya, lihat Memilih CIDR.
Penggunaan kunci saran dengan NFSv3
Jika Anda menggunakan kunci saran dengan NFSv3, Anda harus menjalankan daemon rpc.statd
di klien untuk mendukung Network Lock Manager, yang merupakan fasilitas
yang bekerja sama dengan NFS untuk menyediakan gaya System V dari saran
file dan penguncian catatan melalui jaringan. Klien NFS Anda harus membuka port ingress agar rpc.statd dapat menerima callback Network Lock Manager. Di sebagian besar distribusi Linux, rpc.statd dimulai saat Anda memasang berbagi NFS pertama. Server ini menggunakan port acak yang dapat Anda identifikasi menggunakan perintah rpcinfo -p. Untuk
membuat rpc.statd lebih kompatibel dengan firewall, konfigurasikan rpc.statd agar menggunakan port statis.
Untuk menyetel port statis untuk rpc.statd, lihat referensi berikut:
Jika Anda tidak menggunakan penguncian saran NFSv3, atau Network Lock Manager, sebaiknya pasang berbagi NFSv3 Anda dengan opsi pemasangan nolock.
NFSv4.1 menerapkan fungsi penguncian dalam protokol NFSv4.1 itu sendiri, yang berjalan melalui koneksi TCP yang dimulai klien ke server NFSv4.1 di port 2049. Klien tidak perlu membuka port firewall untuk traffic masuk.
Aturan firewall untuk akses volume SMB
SMB menggunakan berbagai port untuk berkomunikasi antara klien dan server. Untuk memastikan komunikasi yang tepat, Anda harus mengaktifkan port di firewall.
NetApp Volumes berfungsi sebagai server SMB dan mengekspos port jaringan yang diperlukan SMB. Pastikan klien SMB Anda diizinkan untuk berkomunikasi dengan port NetApp Volumes berikut:
445 TCP SMB2/3135 TCP msrpcdan40001 TCP SMB CA: Hanya digunakan untuk berbagi yang tersedia secara berkelanjutan SMB 3.x. Port ini tidak diperlukan untuk berbagi yang tidak tersedia secara terus-menerus.
Layanan ini mengekspos, tetapi tidak menggunakan port 139/TCP.
Alamat IP untuk Volume NetApp secara otomatis ditetapkan dari rentang CIDR yang Anda tetapkan ke layanan selama peering jaringan. Untuk mengetahui informasi selengkapnya, lihat Memilih CIDR.
Klien UKM Anda tidak perlu mengekspos port ingress agar SMB berfungsi.
Aturan firewall untuk akses Active Directory
NetApp Volumes memerlukan akses ke port berikut di server DNS yang dikonfigurasi dalam kebijakan Active Directory Anda untuk mengidentifikasi pengontrol domain Active Directory. NetApp Volumes menggunakan pencarian DNS untuk penemuan pengontrol domain Active Directory.
ICMPV4DNS 53 TCPDNS 53 UDP
Buka port berikut di semua pengontrol domain Active Directory Anda untuk traffic yang berasal dari rentang CIDR untuk NetApp Volumes:
ICMPV4LDAP 389 TCPSMB over IP 445 TCPSecure LDAP 636 TCPKerberos 464 TCPKerberos 464 UDPKerberos 88 TCPKerberos 88 UDP
Melampirkan tag firewall ke server Active Directory
Gunakan petunjuk berikut untuk melampirkan tag firewall ke server Active Directory Anda.
Lampirkan aturan firewall ke server DNS Active Directory Anda:
gcloud compute firewall-rules create netappvolumes-to-dns \ --allow=icmp,TCP:53,UDP:53 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-dns \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Lampirkan aturan firewall ke pengontrol domain Active Directory Anda:
gcloud compute firewall-rules create netappvolumes-to-activedirectory \ --allow=icmp,TCP:88,UDP:88,TCP:389,TCP:445,TCP:464,UDP:464,TCP:636 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-activedirectory \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
Ganti informasi berikut:
NETAPP_VOLUMES_CIDR: CIDR NetApp VolumesVPC_NAME: Nama VPC
Lampirkan tag berikut ke server DNS Anda:
allow-netappvolumes-to-dns
Lampirkan tag berikut ke pengontrol domain Anda:
allow-netappvolumes-to-activedirectory
Kontrol akses volume untuk protokol NFS
NetApp Volumes mengamankan akses dengan protokol NFS menggunakan satu kebijakan ekspor dengan hingga 20 aturan ekspor. Aturan ekspor adalah daftar alamat IPv4 dan CIDR IPv4 yang dipisahkan koma yang menentukan klien mana yang memiliki izin untuk memasang volume. NetApp Volumes mengevaluasi aturan ekspor dalam urutan berurutan dan berhenti setelah kecocokan pertama. Sebaiknya urutkan aturan ekspor dari yang paling spesifik hingga yang paling umum untuk mendapatkan hasil terbaik.
Gunakan tab berikut untuk meninjau kebijakan berdasarkan versi NFS:
NFS tanpa Kerberos
Semua versi NFS tanpa Kerberos menggunakan rasa keamanan AUTH_SYS. Dalam
mode ini, Anda harus mengelola aturan ekspor dengan ketat untuk hanya mengizinkan klien
yang Anda percayai dan yang dapat memastikan integritas ID pengguna dan ID grup.
Sebagai langkah keamanan, server NFS secara otomatis memetakan panggilan NFS dengan UID=0
(root) ke UID=65535 (anonim), yang memiliki izin terbatas pada sistem
file. Selama pembuatan volume, Anda dapat mengaktifkan opsi akses root untuk
mengontrol perilaku ini. Jika Anda mengaktifkan akses root, ID pengguna 0 akan tetap 0. Sebagai praktik terbaik, buat aturan ekspor khusus yang mengaktifkan akses root untuk host administrator terkenal Anda dan nonaktifkan akses root untuk semua klien lainnya.
NFSv4.1 dengan Kerberos
NFSv4.1 dengan Kerberos menggunakan kebijakan ekspor dan autentikasi tambahan menggunakan Kerberos untuk mengakses volume. Anda dapat mengonfigurasi aturan ekspor yang akan diterapkan untuk berikut ini:
Khusus Kerberos (
krb5)Penandatanganan Kerberos (
krb5i)Privasi Kerberos (
krb5p)
Kontrol akses volume untuk protokol SMB
SMB menggunakan izin tingkat berbagi untuk melindungi akses volume dan memerlukan autentikasi terhadap Active Directory. Izin ini memungkinkan Anda mengontrol siapa yang memiliki akses ke berbagi melalui jaringan.
Volume dibuat dengan izin tingkat berbagi Semua Orang dan Kontrol Penuh. Anda dapat mengubah izin tingkat berbagi menggunakan konsol Windows atau CLI Windows.
Gunakan petunjuk berikut untuk mengubah izin tingkat berbagi SMB menggunakan konsol Windows atau CLI Windows:
Konsol Windows
Klik kanan ikon Windows start, lalu pilih Computer Management.
Setelah konsol Computer Management terbuka, klik Action > Connect to another computer.
Dalam dialog Select Computer, masukkan nama netbios SMB share Anda, lalu klik OK.
Setelah terhubung ke berbagi file, buka System Tools > Shared Folders > Shares untuk mencari berbagi Anda.
Klik dua kali Nama Berbagi, lalu pilih tab Izin Berbagi untuk mengontrol izin berbagi.
CLI Windows
Buka command line Windows.
Hubungkan ke berbagi file.
fsmgmt.msc /computer=<netbios_name_of_share>
Setelah terhubung ke berbagi file, buka System Tools > Shared Folders > Shares untuk mencari berbagi Anda.
Klik dua kali Nama Berbagi, lalu pilih tab Izin Berbagi untuk mengontrol izin berbagi.
Kontrol akses file
Bagian berikut memberikan detail tentang kontrol akses tingkat file NetApp Volumes.
Gaya keamanan volume
NetApp Volumes menawarkan dua gaya keamanan untuk volume, UNIX dan NTFS, untuk mengakomodasi berbagai set izin platform Linux dan Windows.
UNIX: volume yang dikonfigurasi dengan gaya keamanan UNIX menggunakan bit mode UNIX dan ACL NFSv4 untuk mengontrol akses file.
NTFS: volume yang dikonfigurasi dengan gaya keamanan NTFS menggunakan ACL NTFS untuk mengontrol akses file.
Gaya keamanan volume bergantung pada pilihan protokol untuk volume:
| Jenis protokol | Gaya keamanan volume |
|---|---|
| NFSv3 | UNIX |
| NFSv4.1 | UNIX |
| Keduanya (NFSv3 dan NFSv4.1) | UNIX |
| SMB | NTFS |
| Ganda (SMB dan NFSv3) | UNIX atau NTFS |
| Dual (SMB dan NFSv4.1) | UNIX atau NTFS |
Untuk protokol ganda, Anda hanya dapat memilih gaya keamanan selama pembuatan volume.
Kontrol akses tingkat file NFS untuk volume gaya UNIX
Setelah klien berhasil memasang volume, NetApp Volumes akan memeriksa izin akses ke file dan direktori menggunakan model izin UNIX standar yang disebut bit mode. Anda dapat menetapkan dan mengubah izin menggunakan
chmod.
Volume NFSv4.1 juga dapat menggunakan daftar kontrol akses (ACL) NFSv4. Jika file atau
direktori memiliki bit mode dan ACL NFSv4, ACL akan digunakan untuk pemeriksaan
izin. Hal yang sama berlaku untuk volume yang menggunakan jenis protokol NFSv3 dan NFSv4.1. Anda dapat menyetel dan mengubah ACL NFSv4 menggunakan nfs4_getfacl dan
nfs4_setfacl.
Saat Anda membuat volume gaya UNIX baru, root:root memiliki kepemilikan
inode root dan izin 0770. Karena setelan kepemilikan dan izin ini, pengguna non-root akan mendapatkan error permission denied saat mengakses volume setelah pemasangan. Untuk mengaktifkan akses ke volume bagi pengguna non-root, pengguna root
harus mengubah kepemilikan inode root menggunakan chown dan mengubah izin
file menggunakan chmod.
Kontrol akses file SMB untuk volume gaya NTFS
Untuk volume gaya NTFS, sebaiknya gunakan model izin NTFS.
Setiap file dan direktori memiliki ACL NTFS yang dapat Anda ubah menggunakan File Explorer, alat command line icacls, atau PowerShell. Dalam model izin NTFS, file dan folder baru mewarisi izin dari folder induknya.
Pemetaan pengguna multi-protokol
Untuk volume protokol ganda, klien dapat menggunakan NFS dan SMB untuk mengakses data yang sama. Volume dikonfigurasi dengan menyetel gaya keamanan volume agar memiliki izin UNIX atau NTFS.
Saat Anda membuat volume SMB dan NFS protokol ganda, sebaiknya Active Directory berisi pengguna default. Pengguna default digunakan saat klien NFS mengirim panggilan NFS dengan ID pengguna yang tidak tersedia di Active Directory.
Kemudian, NetApp Volumes akan mencoba mencari pengguna bernama pcuser,
yang berfungsi sebagai pengguna UNIX default. Jika pengguna tersebut tidak ditemukan, akses ke panggilan NFS akan ditolak.
Sebaiknya buat pengguna default di Active Directory dengan atribut berikut:
uid=pcuseruidnumber=65534cn=pcusergidNumber=65534objectClass=user
Bergantung pada protokol yang digunakan oleh klien (NFS atau SMB) dan gaya keamanan volume (UNIX atau NTFS), NetApp Volumes dapat langsung memeriksa izin akses pengguna atau memerlukan pemetaan pengguna ke identitas platform lain terlebih dahulu.
| Protokol akses | Gaya keamanan | Identitas yang digunakan oleh protokol | Pemetaan yang diperlukan |
|---|---|---|---|
| NFSv3 | UNIX | ID pengguna dan ID grup | T/A |
| NFSv3 | NTFS | ID pengguna dan ID grup | ID pengguna ke nama pengguna ke ID keamanan |
| SMB | UNIX | ID keamanan | ID keamanan ke nama pengguna ke ID pengguna |
| SMB | NTFS | ID Keamanan | T/A |
Jika pemetaan diperlukan, NetApp Volumes mengandalkan data yang disimpan di LDAP Active Directory. Untuk mengetahui informasi selengkapnya, lihat Kasus penggunaan Active Directory.
Skenario pemetaan pengguna multi-protokol: Akses SMB ke volume UNIX
Ilmuwan Charlie E. (charliee) ingin mengakses volume NetApp Volumes menggunakan SMB dari klien Windows. Karena volume berisi hasil yang dibuat mesin yang disediakan oleh cluster komputasi Linux, volume dikonfigurasi untuk menyimpan izin UNIX.
Klien Windows mengirimkan panggilan SMB ke volume. Panggilan SMB berisi identitas pengguna sebagai ID keamanan. ID keamanan tidak dapat dibandingkan dengan izin file ID pengguna dan ID grup serta memerlukan pemetaan.
Untuk menyelesaikan pemetaan yang diperlukan, NetApp Volumes melakukan langkah-langkah berikut:
NetApp Volumes meminta Active Directory untuk menyelesaikan ID keamanan ke nama pengguna, misalnya,
S-1-5-21-2761044393-2226150802-3019316526-1224kecharliee.NetApp Volumes meminta Active Directory untuk menampilkan ID pengguna dan ID grup untuk
charliee.NetApp Volumes memeriksa akses terhadap ID pengguna kepemilikan dan ID grup file menggunakan ID pengguna dan ID grup yang ditampilkan.
Skenario pemetaan pengguna multi-protokol: Akses NFS ke volume NTFS
Engineer Amal L. perlu mengakses beberapa data di volume dari klien Linux menggunakan NFS. Karena volume terutama digunakan untuk menyimpan data Windows, volume tersebut dikonfigurasi dengan gaya keamanan NTFS.
Klien Linux mengirimkan panggilan NFS ke NetApp Volumes. Panggilan NFS berisi ID pengguna dan ID grup yang tidak dapat dicocokkan dengan ID keamanan tanpa pemetaan.
Untuk menyelesaikan pemetaan yang diperlukan, NetApp Volumes meminta Active Directory untuk nama pengguna ID pengguna dan menampilkan pengidentifikasi keamanan untuk nama pengguna, lalu memeriksa akses terhadap pengidentifikasi keamanan pemilik file yang diakses menggunakan pengidentifikasi keamanan yang ditampilkan.
Enkripsi saat Transit
NFS
Untuk volume NFS, gunakan NFSv4.1 dengan enkripsi krb5p Kerberos yang diaktifkan untuk keamanan maksimum.
SMB
Untuk volume SMB, aktifkan enkripsi AES di kebijakan Active Directory dan enkripsi SMB di volume Anda untuk keamanan maksimum.
Replikasi volume
NetApp Volumes dapat mereplikasi volume di seluruh Google Cloud region untuk memberikan perlindungan data. Karena traffic berada di Google Cloud, proses transfer aman karena menggunakan infrastruktur jaringan Google, yang memiliki akses terbatas untuk mencegah penyadapan yang tidak sah. Selain itu, traffic replikasi dienkripsi menggunakan standar TLS 1.2 yang sesuai dengan FIPS 140-2.
Pencadangan terintegrasi
Cadangan terintegrasi membuat cadangan NetApp Volumes dalam layanan. Traffic cadangan tetap berada dalam infrastruktur jaringan aman Google menggunakan enkripsi standar TLS 1.2 yang mematuhi FIPS 140-2. Selain itu, brankas cadangan menyimpan cadangan ini menggunakan Google-owned and Google-managed encryption key untuk menambah keamanan.
Migrasi volume
Migrasi volume mengirimkan data dari sistem ONTAP atau Cloud Volumes ONTAP sumber ke NetApp Volumes. Komunikasi antara sistem sumber dan NetApp Volumes dienkripsi menggunakan standar TLS 1.2 yang sesuai dengan FIPS 140-2.
NetApp Volumes memulai migrasi dan menggunakan protokol dan port berikut:
ICMP
10000/TCP
11104/TCP
11105/TCP
Pastikan firewall di antara antarmuka logis (LIF) antar-cluster sistem ONTAP dan alamat IP migrasi NetApp Volumes mengizinkan port ini.
Langkah berikutnya
Mengamankan NetApp Volumes dengan perimeter layanan.