本頁面概述 Google Cloud NetApp Volumes 的安全性考量。
網路安全注意事項
Google Cloud NetApp Volumes 提供安全的架構架構,其中包含下列獨立的安全層:
專案層級安全性:管理員用來管理 NetApp Volumes 資源 (例如儲存集區或磁碟區) 的管理安全性層,可透過 Google Cloud 控制台、Google Cloud SDK 或 API 進行管理。IAM 角色和權限會保護這個層級。如要進一步瞭解專案層級安全性,請參閱「設定 IAM 權限」。
網路層級安全防護:用於透過網路連接儲存空間 (NAS) 通訊協定 (伺服器訊息區塊 (SMB) 和網路檔案系統 (NFS)) 存取資料磁碟區的網路層。
您可以使用 NAS 通訊協定,透過虛擬私有雲網路存取磁碟區內的資料。除非您明確使用第三方解決方案取代虛擬私有雲對等互連路徑,否則只能透過虛擬私有雲存取 NetApp Volumes 的所有資料。
在虛擬私有雲中,您可以透過防火牆和通訊協定專屬的存取權控管機制設定,進一步限制存取權。
磁碟區存取權的防火牆規則
防火牆規則可保護 Google Cloud 虛擬私有雲。如要允許用戶端存取 NetApp Volumes,您必須允許特定網路流量。
NFS 磁碟區存取的防火牆規則
NFS 會使用各種通訊埠在用戶端和伺服器之間通訊。為確保通訊正常且磁碟區掛接成功,您必須在防火牆上啟用通訊埠。
NetApp Volumes 會做為 NFS 伺服器,並公開 NFS 必要的網路連接埠。請確認 NFS 用戶端有權與下列 NetApp Volumes 連接埠通訊:
111 TCP/UDP portmapper635 TCP/UDP mountd2049 TCP/UDP nfsd4045 TCP/UDP nlockmgr(僅適用於 NFSv3)4046 TCP/UDP status(僅適用於 NFSv3)
系統會從您在網路對等互連期間指派給服務的 CIDR 範圍,自動指派 NetApp Volumes 的 IP 位址。詳情請參閱「選擇 CIDR」。
搭配 NFSv3 使用諮詢鎖
如果您搭配 NFSv3 使用諮詢鎖定,就必須在用戶端執行 rpc.statd精靈,支援網路鎖定管理員。這個設施會與 NFS 合作,透過網路提供 System V 樣式的諮詢檔案和記錄鎖定。NFS 用戶端必須開啟 rpc.statd 的連入通訊埠,才能接收 Network Lock Manager 回呼。在大多數 Linux 發行版中,掛接第一個 NFS 共用時,rpc.statd 就會啟動。這項服務會使用隨機通訊埠,您可以使用 rpcinfo -p 指令識別該通訊埠。如要讓 rpc.statd 更容易通過防火牆,請將其設定為使用靜態通訊埠。
如要為 rpc.statd 設定靜態通訊埠,請參閱下列資源:
如果您未使用 NFSv3 諮詢鎖定或網路鎖定管理員,建議您使用 nolock 掛接選項掛接 NFSv3 共用項目。
NFSv4.1 會在 NFSv4.1 通訊協定本身中實作鎖定功能,該通訊協定會在通訊埠 2049 上,透過用戶端啟動的 TCP 連線執行至 NFSv4.1 伺服器。客戶不需要為輸入流量開啟防火牆通訊埠。
SMB 磁碟區存取權的防火牆規則
SMB 會使用多個通訊埠,在用戶端和伺服器之間進行通訊。為確保通訊正常運作,您必須在防火牆上啟用通訊埠。
NetApp Volumes 會做為 SMB 伺服器,並公開 SMB 要求的網路連接埠。確認 SMB 用戶端可與下列 NetApp Volumes 通訊埠通訊:
445 TCP SMB2/3135 TCP msrpc和40001 TCP SMB CA:僅用於 SMB 3.x 持續可用的共用資料夾。如果共用項目並非持續可用,則不需要這些連接埠。
服務會公開通訊埠 139/TCP,但不會使用。
系統會從您在網路對等互連期間指派給服務的 CIDR 範圍,自動指派 NetApp Volumes 的 IP 位址。詳情請參閱「選擇 CIDR」。
中小企業客戶不需要公開 SMB 的連入埠,SMB 就能正常運作。
Active Directory 存取權的防火牆規則
NetApp Volumes 必須存取Active Directory 政策中設定的 DNS 伺服器上的下列連接埠,才能識別 Active Directory 網域控制器。NetApp Volumes 會使用 DNS 查詢來探索 Active Directory 網域控制器。
ICMPV4DNS 53 TCPDNS 53 UDP
在所有 Active Directory 網域控制站上開啟下列連接埠,以允許來自 NetApp Volumes CIDR 範圍的流量:
ICMPV4LDAP 389 TCPSMB over IP 445 TCPSecure LDAP 636 TCPKerberos 464 TCPKerberos 464 UDPKerberos 88 TCPKerberos 88 UDP
將防火牆標記附加至 Active Directory 伺服器
請按照下列操作說明,將防火牆標記附加至 Active Directory 伺服器。
將防火牆規則附加至 Active Directory DNS 伺服器:
gcloud compute firewall-rules create netappvolumes-to-dns \ --allow=icmp,TCP:53,UDP:53 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-dns \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
將防火牆規則附加至 Active Directory 網域控制站:
gcloud compute firewall-rules create netappvolumes-to-activedirectory \ --allow=icmp,TCP:88,UDP:88,TCP:389,TCP:445,TCP:464,UDP:464,TCP:636 \ --direction=ingress \ --target-tags=allow-netappvolumes-to-activedirectory \ --source-ranges=NETAPP_VOLUMES_CIDR \ --network=VPC_NAME
請替換下列資訊:
NETAPP_VOLUMES_CIDR:NetApp Volumes CIDRVPC_NAME:虛擬私有雲的名稱
將下列標記附加至 DNS 伺服器:
allow-netappvolumes-to-dns
將下列標記附加至網域控制站:
allow-netappvolumes-to-activedirectory
NFS 通訊協定的磁碟區存取權控管
NetApp Volumes 會透過單一匯出政策 (最多 20 條匯出規則),以 NFS 通訊協定保護存取權。匯出規則是以半形逗號分隔的 IPv4 位址和 IPv4 CIDR 清單,可指定哪些用戶端有權掛接磁碟區。NetApp Volumes 會依序評估匯出規則,並在找到第一個相符項目後停止。為求最佳成效,建議您依最明確到最籠統的順序排序匯出規則。
請使用下列分頁,依據 NFS 版本查看政策:
不使用 Kerberos 的 NFS
所有不含 Kerberos 的 NFS 版本都使用 AUTH_SYS 安全性風味。在此模式下,您必須嚴格管理匯出規則,只允許您信任的用戶端,並確保使用者 ID 和群組 ID 的完整性。
為確保安全,NFS 伺服器會自動將 NFS 呼叫對應至 UID=0 (根目錄) 到 UID=65535 (匿名),後者在檔案系統中具有有限的權限。建立磁碟區時,您可以啟用根存取權選項來控管這項行為。啟用根存取權後,使用者 ID 0 會維持 0。最佳做法是建立專屬的匯出規則,為已知的管理員主機啟用根存取權,並停用所有其他用戶端的根存取權。
使用 Kerberos 的 NFSv4.1
使用 Kerberos 的 NFSv4.1 會使用匯出政策,並透過 Kerberos 進行額外驗證,以存取磁碟區。您可以設定匯出規則,套用至下列項目:
僅限 Kerberos (
krb5)Kerberos 簽署 (
krb5i)Kerberos 隱私權 (
krb5p)
SMB 通訊協定的磁碟區存取權控管
SMB 會使用共用層級的權限來保護磁碟區存取權,並要求透過 Active Directory 進行驗證。您可以透過這些權限,控管哪些人能透過網路存取共用資料夾。
磁碟區是使用「所有人」和「完全控制」共用層級權限建立。您可以使用 Windows 控制台或 Windows CLI 修改共用層級權限。
如要使用 Windows 控制台或 Windows CLI 修改 SMB 共用層級權限,請按照下列操作說明進行:
Windows 控制台
在「Windows 開始」圖示上按一下滑鼠右鍵,然後選取「電腦管理」。
「電腦管理」主控台開啟後,依序點選「動作」 >「連線到另一部電腦」。
在「Select Computer」對話方塊中,輸入 SMB 共用的 NetBIOS 名稱,然後按一下「OK」。
連線至檔案共用後,依序前往「系統工具」 >「共用資料夾」 >「共用」,即可查詢共用項目。
按兩下「共用名稱」,然後選取「共用權限」分頁標籤,即可控管共用權限。
Windows CLI
開啟 Windows 指令列。
連線至檔案共用。
fsmgmt.msc /computer=<netbios_name_of_share>
連線至檔案共用後,依序前往「系統工具」 >「共用資料夾」 >「共用」,即可查詢共用項目。
按兩下「共用名稱」,然後選取「共用權限」分頁標籤,即可控管共用權限。
檔案存取權控管
下列各節詳細說明 NetApp Volumes 檔案層級存取權控管。
磁碟區安全防護方式
NetApp Volumes 提供 UNIX 和 NTFS 兩種磁碟區安全防護方式,可配合 Linux 和 Windows 平台的不同權限集。
UNIX:以 UNIX 安全性樣式設定的磁碟區會使用 UNIX 模式位元和 NFSv4 ACL 來控管檔案存取權。
NTFS:使用 NTFS 安全性樣式設定的磁碟區會使用 NTFS ACL 控制檔案存取權。
磁碟區的安全樣式取決於磁碟區的通訊協定選擇:
| 通訊協定類型 | 磁碟區安全防護方式 |
|---|---|
| NFSv3 | UNIX |
| NFSv4.1 | UNIX |
| 兩種通訊協定 (NFSv3 和 NFSv4.1) | UNIX |
| SMB | NTFS |
| 雙通訊協定 (SMB 和 NFSv3) | UNIX 或 NTFS |
| 雙通訊協定 (SMB 和 NFSv4.1) | UNIX 或 NTFS |
如果是雙重通訊協定,您只能在建立磁碟區時選擇安全性樣式。
UNIX 樣式磁碟區的 NFS 檔案層級存取權控管
用戶端成功掛接磁碟區後,NetApp Volumes 會使用稱為模式位元的標準 UNIX 權限模型,檢查檔案和目錄的存取權。您可以使用 chmod 設定及修改權限。
NFSv4.1 磁碟區也可以使用 NFSv4 存取控制清單 (ACL)。如果檔案或目錄同時具有模式位元和 NFSv4 ACL,系統會使用 ACL 檢查權限。使用 NFSv3 和 NFSv4.1 通訊協定類型的磁碟區也適用相同規則。您可以使用 nfs4_getfacl 和 nfs4_setfacl 設定及修改 NFSv4 ACL。
建立新的 UNIX 樣式磁碟區時,root:root 會擁有根 inode 和 0770 權限。由於這項擁有權和權限設定,非 Root 使用者在掛接磁碟區後存取時會收到 permission denied 錯誤。如要讓非超級使用者存取磁碟區,超級使用者必須使用 chown 變更根 inode 的擁有權,並使用 chmod 修改檔案權限。
NTFS 樣式磁碟區的 SMB 檔案存取權控管
如果是 NTFS 樣式的磁碟區,建議使用 NTFS 權限模式。
每個檔案和目錄都有 NTFS ACL,您可以使用檔案總管、icacls 指令列工具或 PowerShell 進行修改。在 NTFS 權限模型中,新檔案和資料夾會繼承上層資料夾的權限。
多通訊協定使用者對應
對於雙通訊協定磁碟區,用戶端可以使用 NFS 和 SMB 存取相同資料。 設定磁碟區時,請將磁碟區的安全防護方式設為 UNIX 或 NTFS 權限。
建立雙通訊協定 SMB 和 NFS 磁碟區時,強烈建議 Active Directory 包含預設使用者。如果 NFS 用戶端傳送的 NFS 呼叫含有 Active Directory 中沒有的使用者 ID,系統就會使用預設使用者。NetApp Volumes 接著會嘗試尋找名為 pcuser 的使用者,做為預設的 UNIX 使用者。如果找不到該使用者,系統會拒絕 NFS 呼叫的存取權。
建議您在 Active Directory 中建立具有下列屬性的預設使用者:
uid=pcuseruidnumber=65534cn=pcusergidNumber=65534objectClass=user
視用戶端使用的通訊協定 (NFS 或 SMB) 和磁碟區的安全防護樣式 (UNIX 或 NTFS) 而定,NetApp Volumes 可以直接檢查使用者的存取權,或需要先將使用者對應至其他平台的 ID。
| 存取通訊協定 | 安全防護方式 | 通訊協定使用的身分 | 必要對應 |
|---|---|---|---|
| NFSv3 | UNIX | 使用者 ID 和群組 ID | 不適用 |
| NFSv3 | NTFS | 使用者 ID 和群組 ID | 使用者 ID、使用者名稱和安全 ID |
| SMB | UNIX | 安全 ID | 安全 ID 到使用者名稱到使用者 ID |
| SMB | NTFS | 安全性 ID | 不適用 |
如果需要對應,NetApp Volumes 會依據儲存在 Active Directory LDAP 中的資料。詳情請參閱「Active Directory 使用案例」。
多重通訊協定使用者對應情境:透過 SMB 存取 UNIX 磁碟區
科學家 Charlie E. (charliee) 想透過 Windows 用戶端,使用 SMB 存取 NetApp Volumes 磁碟區。由於磁碟區包含 Linux 計算叢集提供的機器生成結果,因此磁碟區會設定為儲存 UNIX 權限。
Windows 用戶端會將 SMB 呼叫傳送至磁碟區。SMB 呼叫包含使用者身分,也就是安全性識別碼。安全性 ID 無法與使用者 ID 和群組 ID 檔案權限進行比較,因此需要對應。
如要完成必要的對應,NetApp Volumes 會採取下列步驟:
NetApp Volumes 會要求 Active Directory 將安全性 ID 解析為使用者名稱,例如
S-1-5-21-2761044393-2226150802-3019316526-1224解析為charliee。NetApp Volumes 會要求 Active Directory 傳回
charliee的使用者 ID 和群組 ID。NetApp Volumes 會使用傳回的使用者 ID 和群組 ID,根據檔案的擁有者使用者 ID 和群組 ID 檢查存取權。
多重通訊協定使用者對應情境:NFS 存取 NTFS 磁碟區
工程師 Amal L. 需要透過 NFS,從 Linux 用戶端存取磁碟區上的部分資料。由於這個磁碟區主要用於儲存 Windows 資料,因此設定為 NTFS 安全性樣式。
Linux 用戶端會將 NFS 呼叫傳送至 NetApp Volumes。NFS 呼叫包含使用者 ID 和群組 ID 識別碼,但未經過對應,因此無法與安全性識別碼比對。
如要完成必要的對應作業,NetApp Volumes 會向 Active Directory 詢問使用者 ID 的使用者名稱,並傳回該使用者名稱的安全 ID,然後使用傳回的安全 ID,根據所存取檔案的擁有者安全 ID 檢查存取權。
傳輸加密
NFS
如果是 NFS 磁碟區,請使用 NFSv4.1 並啟用 Kerberos krb5p 加密,以確保最高安全性。
SMB
如果是 SMB 磁碟區,請在 Active Directory 政策中啟用 AES 加密,並在磁碟區上啟用 SMB 加密,以確保最高安全性。
磁碟區複製作業
NetApp Volumes 可跨 Google Cloud 區域複製磁碟區,提供資料保護功能。由於流量位於 Google Cloud,因此傳輸過程安全無虞,因為這項程序會使用 Google 的網路基礎架構,且存取權受到限制,可防止未經授權的攔截行為。此外,複寫流量會使用符合 FIPS 140-2 規範的 TLS 1.2 標準加密。
整合式備份
整合式備份功能會在服務中建立 NetApp Volumes 的備份。備份流量會留在 Google 的安全網路基礎架構內,並使用符合 FIPS 140-2 規範的 TLS 1.2 標準加密。此外,backup vault 會使用 Google-owned and Google-managed encryption key 儲存這些備份,進一步提升安全性。
磁碟區遷移
磁碟區遷移程序會將資料從來源 ONTAP 或 Cloud Volumes ONTAP 系統傳送至 NetApp Volumes。來源系統與 NetApp Volumes 之間的通訊會使用符合 FIPS 140-2 標準的 TLS 1.2 標準加密。
NetApp Volumes 會啟動遷移作業,並使用下列通訊協定和通訊埠:
ICMP
10000/TCP
11104/TCP
11105/TCP
請確認 ONTAP 系統的叢集間邏輯介面 (LIF) 與 NetApp Volumes 的遷移 IP 位址之間的任何防火牆,都允許使用這些通訊埠。