Freigeben über

Grundlegendes zu NAS-Freigabeberechtigungen in Azure NetApp Files

  • Artikel

Azure NetApp Files bietet mehrere Möglichkeiten zum Schützen Ihrer NAS-Daten. Ein Aspekt dieser Sicherheit sind Berechtigungen. In NAS können Berechtigungen in zwei Kategorien unterteilt werden:

  • Freigabezugriffsberechtigungen beschränken, wer ein NAS-Volume bereitstellen kann. NFS steuert die Freigabezugriffsberechtigungen über IP-Adresse oder Hostname. SMB steuert dies über Benutzer- und Gruppenzugriffssteuerungslisten (ACLs).
  • Dateizugriffsberechtigungen schränken ein, was Benutzer und Gruppen nach der Bereitstellung eines NAS-Volumes tun können. Dateizugriffsberechtigungen werden auf einzelne Dateien und Ordner angewendet.

Azure NetApp Files-Berechtigungen basieren auf NAS-Standards und vereinfachen den Prozess von Sicherheits-NAS-Volumes für Administratoren und Endbenutzer mit vertrauten Methoden.

Hinweis

Wenn in Konflikt stehende Berechtigungen für die Freigabe und Dateien aufgeführt sind, wird die restriktivste Berechtigung angewendet. Wenn ein Benutzer beispielsweise lesegeschützten Zugriff auf Freigabeebene und Vollzugriff auf Dateiebene hat, erhält der Benutzer Lesezugriff auf allen Ebenen.

Freigabezugriffsberechtigungen

Der erste Einstiegspunkt, der in einer NAS-Umgebung gesichert werden muss, ist der Zugriff auf die Freigabe selbst. In den meisten Fällen sollte der Zugriff nur auf die Benutzer und Gruppen beschränkt werden, die Zugriff auf die Freigabe benötigen. Mit Freigabezugriffsberechtigungen können Sie sperren, wer die Freigabe überhaupt bereitstellen kann.

Da die restriktivsten Berechtigungen andere Berechtigungen außer Kraft setzen und eine Freigabe der Haupteinstiegspunkt in das Volume ist (mit den wenigsten Zugriffssteuerelementen), sollten Freigabeberechtigungen von einer Trichterlogik abhängig sein, bei der die Freigabe mehr Zugriff als die zugrunde liegenden Dateien und Ordner zulässt. Die Trichterlogik sieht präzisere, restriktivere Steuerelemente vor.

Diagramm der invertierten Pyramide der Dateizugriffshierarchie.

NFS-Exportrichtlinien

Volumes in Azure NetApp Files werden für NFS-Clients freigegeben, indem sie einen Pfad exportieren, der für einen Client oder eine Gruppe von Clients zugänglich ist. Sowohl NFSv3 als auch NFSv4.x verwenden dieselbe Methode, um den Zugriff auf eine NFS-Freigabe in Azure NetApp Files einzuschränken: Exportrichtlinien.

Eine Exportrichtlinie ist ein Container für eine Reihe von Zugriffsregeln, die in der gewünschten Reihenfolge des Zugriffs aufgeführt sind. Diese Regeln steuern den Zugriff auf NFS-Freigaben mithilfe von Client-IP-Adressen oder Subnetzen. Wenn ein Client nicht in einer Exportrichtlinienregel aufgeführt ist – entweder den Zugriff zulassen oder explizit verweigern – kann dieser Client den NFS-Export nicht bereitstellen. Da die Regeln in sequenzieller Reihenfolge gelesen werden, wenn eine restriktivere Richtlinienregel auf einen Client angewendet wird (z. B. über ein Subnetz), wird sie zuerst gelesen und angewendet. Nachfolgende Richtlinienregeln, die mehr Zugriff zulassen, werden ignoriert. Dieses Diagramm zeigt einen Client mit der IP-Adresse 10.10.10.10, der schreibgeschützten Zugriff auf ein Volume erhält, da das Subnetz 0.0.0.0/0 (jeder Client in jedem Subnetz) auf schreibgeschützt festgelegt ist und in der Richtlinie zuerst aufgeführt ist.

Diagramm, das die Hierarchie der Exportrichtlinienregel modelliert.

Exportieren von Richtlinienregeloptionen, die in Azure NetApp Files verfügbar sind

Beim Erstellen eines Azure NetApp Files-Volumes gibt es mehrere Optionen, die für die Steuerung des Zugriffs auf NFS-Volumes konfiguriert werden können.

  • Index: Gibt die Reihenfolge an, in der eine Exportrichtlinienregel ausgewertet wird. Wenn ein Client in der Richtlinie unter mehrere Regeln fällt, gilt die erste anwendbare Regel für den Client, und nachfolgende Regeln werden ignoriert.
  • Zulässige Clients: Gibt an, für welche Clients eine Regel gilt. Dieser Wert kann eine Client-IP-Adresse, eine durch Trennzeichen getrennte Liste von IP-Adressen oder ein Subnetz sein, einschließlich mehrerer Clients. Die Hostnamen- und Netzgruppenwerte werden in Azure NetApp Files nicht unterstützt.
  • Zugriff: Gibt die Zugriffsebene an, die für Nicht-Stammbenutzer zulässig ist. Bei NFS-Volumes ohne Kerberos sind die Optionen: Schreibgeschützt, Lese- und Schreibzugriff oder kein Zugriff. Für Volumes mit aktivierter Kerberos-Funktion sind die Optionen: Kerberos 5, Kerberos 5i oder Kerberos 5p.
  • Stammzugriff: Gibt an, wie der Stammbenutzer in NFS-Exporten für einen bestimmten Client behandelt wird. Bei Festlegung auf „Ein“ ist der Stamm Stamm. Bei Festlegung auf „Aus“ wird der Stamm an die anonyme Benutzer-ID 65534 gerückt.
  • Chown-Modus: Steuert, welche Benutzer Änderungsbesitzbefehle für den Export (Chown) ausführen können. Wenn dieser Wert auf „Eingeschränkt“ festgelegt ist, kann nur der Stammbenutzer Chown ausführen. Wenn dieser Wert auf „Uneingeschränkt“ festgelegt ist, kann jeder Benutzer mit den entsprechenden Datei-/Ordnerberechtigungen Chown-Befehle ausführen.

Standardrichtlinienregel in Azure NetApp Files

Beim Erstellen eines neuen Volumes wird eine Standardrichtlinienregel erstellt. Die Standardrichtlinie verhindert ein Szenario, in dem ein Volume ohne Richtlinienregeln erstellt wird, wodurch der Zugriff auf jeden Client eingeschränkt wird, der versucht auf den Export zuzugreifen. Wenn keine Regeln vorhanden sind, gibt es keinen Zugriff.

Die Standardregel hat die folgenden Werte:

  • Index = 1
  • Zulässige Clients = 0.0.0.0/0 (alle Clients haben Zugriff)
  • Zugriff = Lesen und Schreiben
  • Root-Zugriff = Ein
  • Chown-Modus = Eingeschränkt

Diese Werte können bei der Volumeerstellung oder nach der Erstellung des Volumes geändert werden.

Exportieren von Richtlinienregeln mit NFS-Kerberos-Aktivierung in Azure NetApp Files

NFS Kerberos kann nur auf Volumes mit NFSv4.1 in Azure NetApp Files aktiviert werden. Kerberos bietet zusätzliche Sicherheit, indem verschiedene Verschlüsselungsmodi für NFS-Bereitstellungen bereitgestellt werden, je nach verwendetem Kerberos-Typ.

Wenn Kerberos aktiviert ist, ändern sich die Werte für die Exportrichtlinienregeln, um die Angabe zuzulassen, welcher Kerberos-Modus zulässig sein soll. Mehrere Kerberos-Sicherheitsmodi können in derselben Regel aktiviert werden, wenn Sie Zugriff auf mehrere benötigen.

Zu diesen Sicherheitsmodi gehören:

  • Kerberos 5: Nur die Erstauthentifizierung ist verschlüsselt.
  • Kerberos 5i: Benutzerauthentifizierung plus Integritätsprüfung
  • Kerberos 5p: Benutzerauthentifizierung, Integritätsprüfung und Datenschutz. Alle Pakete werden verschlüsselt.

Nur Kerberos-fähige Clients können auf Volumes mit Exportregeln zugreifen, die Kerberos angeben – es ist kein AUTH_SYS-Zugriff zulässig, wenn Kerberos aktiviert ist.

Root-Squashing

Es gibt einige Szenarien, in denen Sie den Stammzugriff auf ein Azure NetApp Files-Volume einschränken möchten. Da der Stamm keinen entfesselten Zugriff auf alles in einem NFS-Volume hat – auch wenn der Zugriff explizit auf stammbasierte Bits oder ACLs verweigert wird – ist die einzige Möglichkeit, den Stammzugriff einzuschränken, dem NFS-Server mitzuteilen, dass der Stamm von einem bestimmten Client nicht mehr Stamm ist.

Wählen Sie in Exportrichtlinienregeln „Stammzugriff: aus“ aus, um den Stamm eines Stamms auf eine nicht stammbasierte, anonyme Benutzer-ID von 65534 festzulegen. Dies bedeutet, dass der Stamm auf den angegebenen Clients jetzt die Benutzer-ID 65534 (in der Regel nfsnobody auf NFS-Clients) ist und Zugriff auf Dateien und Ordner hat, die auf den für diesen Benutzer angegebenen ACLs/Modusbits basieren. Bei Modusbits fallen die Zugriffsberechtigungen im Allgemeinen unter die Zugriffsrechte „Jeder“. Darüber hinaus erstellen Dateien, die als „Stamm“ von Clients geschrieben wurden, die von Stammregeln betroffen sind, Dateien und Ordner als Benutzer nfsnobody:65534. Wenn Stamm Stamm sein muss, legen Sie „Stammzugriff“ auf „Ein“ fest.

Weitere Informationen zum Verwalten von Exportrichtlinien finden Sie unter Konfigurieren von Exportrichtlinien für NFS- oder Dualprotokollvolumes.

Reihenfolge der Exportrichtlinienregeln

Die Reihenfolge der Exportrichtlinienregeln bestimmt, wie sie angewendet werden. Die erste Regel in der Liste, die für einen NFS-Client gilt, ist die Regel, die für diesen Client verwendet wird. Wenn Sie CIDR-Bereiche/Subnetze für Exportrichtlinienregeln verwenden, erhält ein NFS-Client in diesem Bereich aufgrund des Bereichs, in dem er enthalten ist, möglicherweise unerwünschten Zugriff.

Betrachten Sie das folgende Beispiel:

Screenshot von zwei Exportrichtlinienregeln.

  • Die erste Regel im Index enthält alle Clients in allen Subnetzen mithilfe der Standardrichtlinienregel 0.0.0.0/0 als Eintrag für zulässige Clients. Diese Regel ermöglicht Lese- und Schreibzugriff auf alle Clients für dieses Azure NetApp Files-NFSv3-Volume.
  • Die zweite Regel im Index listet den NFS-Client 10.10.10.10 explizit auf und ist so konfiguriert, dass der Zugriff auf „Schreibgeschützt“ ohne Stammzugriff beschränkt wird (Stamm ist eingegrenzt).

Aktuell erhält der Client 10.10.10.10 Zugriff aufgrund der ersten Regel in der Liste. Die nächste Regel wird nie für Zugriffsbeschränkungen ausgewertet, also erhält 10.10.10.10 Lese- und Schreibzugriff, obwohl „Schreibgeschützt“ gewünscht ist. Der Stamm ist auch Stamm, anstatt eingegrenzt zu werden.

Um dieses Problem zu beheben und den Zugriff auf die gewünschte Ebene festzulegen, können die Regeln neu angeordnet werden, um die gewünschte Clientzugriffsregel über allen Subnetz-/CIDR-Regeln zu platzieren. Sie können Exportrichtlinienregeln im Azure-Portal neu anordnen, indem Sie die Regeln ziehen oder die Befehle Verschieben im ...-Menü in der Zeile für die jeweilige Exportrichtlinienregel verwenden.

Hinweis

Sie können die Azure NetApp Files CLI oder REST-API nur verwenden, um Exportrichtlinienregeln hinzuzufügen oder zu entfernen.

SMB-Freigaben

SMB-Freigaben ermöglichen Endbenutzern den Zugriff auf SMB- oder Dualprotokollvolumes in Azure NetApp Files. Zugriffssteuerungen für SMB-Freigaben sind in der Azure NetApp Files-Steuerungsebene rein auf SMB-Sicherheitsoptionen beschränkt, z. B. zugriffsbasierte Aufzählung und nicht durchsuchbare Freigabefunktionen. Diese Sicherheitsoptionen werden während der Volumeerstellung mit der Funktion Volume bearbeiten konfiguriert.

Screenshot der Berechtigungen auf Freigabeebene.

Berechtigungs-ACLs auf Freigabeebene werden nicht über Azure NetApp Files, sondern über eine Windows MMC-Konsole verwaltet.

Azure NetApp Files bietet mehrere Freigabeeigenschaften, um die Sicherheit für Administratoren zu verbessern.

Zugriffsbasierte Aufzählung

Zugriffsbasierte Aufzählung ist ein Azure NetApp Files SMB-Volumefeature, das die Aufzählung von Dateien und Ordnern (d. h. das Auflisten des Inhalts) in SMB nur für Benutzer mit zulässigem Zugriff auf die Freigabe beschränkt. Wenn ein Benutzer beispielsweise keinen Zugriff auf das Lesen einer Datei oder eines Ordners in einer Freigabe mit aktivierter zugriffsbasierter Aufzählung hat, wird die Datei oder der Ordner nicht in Verzeichnisauflistungen angezeigt. Im folgenden Beispiel hat ein Benutzer (smbuser) keinen Zugriff, um einen Ordner namens „ABE“ in einem Azure NetApp Files SMB-Volume zu lesen. Nur contosoadmin hat Zugriff.

Screenshot der zugriffsbasierten Aufzählungseigenschaften.

Im folgenden Beispiel ist die zugriffsbasierte Aufzählung deaktiviert, sodass der Benutzer Zugriff auf das ABE-Verzeichnis von SMBVolume hat.

Screenshot des Verzeichnisses ohne zugriffsbasierte Aufzählung.

Im nächsten Beispiel ist die zugriffsbasierte Aufzählung aktiviert, sodass das ABE-Verzeichnis des SMBVolume-Benutzers nicht angezeigt wird.

Screenshot des Verzeichnisses mit zwei Unterverzeichnissen.

Die Berechtigungen erstrecken sich auch auf einzelne Dateien. Im folgenden Beispiel ist die zugriffsbasierte Aufzählung deaktiviert und ABE-file wird dem Benutzer angezeigt.

Screenshot des Verzeichnisses mit zwei Dateien.

Wenn zugriffsbasierte Aufzählung aktiviert ist, wird ABE-file dem Benutzer nicht angezeigt.

Screenshot des Verzeichnisses mit einer Datei.

Nicht durchsuchbare Freigaben

Das Feature für nicht durchsuchbare Freigaben in Azure NetApp Files schränkt Clients darin ein, nach einer SMB-Freigabe zu suchen, indem sie die Freigabe aus der Ansicht im Windows-Explorer ausblenden oder Freigaben in der „Net View“ auflisten. Nur Endbenutzer, welche die absoluten Pfade zur Freigabe kennen, können die Freigabe finden.

In der folgenden Abbildung ist die nicht durchsuchbare Freigabeeigenschaft nicht für SMBVolume aktiviert, sodass das Volume in der Auflistung des Dateiservers (mithilfe von \\servername) angezeigt wird.

Screenshot eines Verzeichnisses, das den Ordner „SMBVolume“ enthält.

Wenn nicht durchsuchbare Freigaben in Azure NetApp Files auf SMBVolume aktiviert sind, schließt dieselbe Ansicht des Dateiservers SMBVolume aus.

In der nächsten Abbildung hat die Freigabe SMBVolume nicht durchsuchbare Freigaben in Azure NetApp Files aktiviert. Wenn das aktiviert ist, ist dies die Ansicht der obersten Ebene des Dateiservers.

Screenshot eines Verzeichnisses mit zwei Unterverzeichnissen.

Auch wenn das Volume in der Auflistung nicht sichtbar ist, bleibt es zugänglich, wenn der Benutzer den Dateipfad kennt.

Screenshot von Windows Explorer mit hervorgehobenem Dateipfad.

SMB3-Verschlüsselung

Die SMB3-Verschlüsselung ist ein SMB-Volumefeature von Azure NetApp Files, das die Verschlüsselung über das Kabel für SMB-Clients für eine höhere Sicherheit in NAS-Umgebungen erzwingt. Die folgende Abbildung zeigt eine Bildschirmaufnahme des Netzwerkdatenverkehrs, wenn die SMB-Verschlüsselung deaktiviert ist. Vertrauliche Informationen wie Dateinamen und Dateihandles sind sichtbar.

Screenshot der Paketerfassung mit deaktivierter SMB-Verschlüsselung.

Wenn die SMB-Verschlüsselung aktiviert ist, werden die Pakete als verschlüsselt markiert, und es werden keine vertraulichen Informationen angezeigt. Stattdessen wird sie als „Verschlüsselte SMB3-Daten“ angezeigt.

Screenshot der Paketerfassung mit aktivierter SMB-Verschlüsselung.

SMB-Freigabe-ACLs

SMB-Freigaben können den Zugriff darauf steuern, wer eine Freigabe einbinden und darauf zugreifen kann, sowie Zugriffsebenen für Benutzer und Gruppen in einer Active Directory-Domäne steuern. Die erste Berechtigungsstufe, die ausgewertet wird, sind Freigabezugriffssteuerungslisten (Access Control Lists, ACLs).

SMB-Freigabeberechtigungen sind grundlegender als Dateiberechtigungen: Sie gelten nur für Lese-, Änderungs- oder Vollzugriff. Freigabeberechtigungen können durch Dateiberechtigungen außer Kraft gesetzt werden, und Dateiberechtigungen können durch Freigabeberechtigungen außer Kraft gesetzt werden – die restriktivste Berechtigung ist die, diejenige die gilt. Wenn beispielsweise die Gruppe „Jeder“ Vollzugriff auf die Freigabe erhält (Standardverhalten), und bestimmte Benutzer haben schreibgeschützten Zugriff auf einen Ordner über eine ACL auf Dateiebene, wird auf diese Benutzer der Lesezugriff angewendet. Alle anderen Benutzer, die nicht explizit in der ACL aufgeführt sind, verfügen über Vollzugriff

Wenn die Freigabeberechtigung hingegen für einen bestimmten Benutzer auf „Lesen“ festgelegt ist, die Berechtigung auf Dateiebene jedoch auf Vollzugriff für diesen Benutzer festgelegt ist, wird der Zugriff „Lesen“ angewendet.

In NAS-Umgebungen mit dualen Protokollen gelten SMB-Freigabe-ACLs nur für SMB-Benutzer. NFS-Clients nutzen Exportrichtlinien und -regeln für Freigabezugriffsregeln. Daher wird die Steuerung von Berechtigungen auf Datei- und Ordnerebene gegenüber ACLs auf Freigabeebene bevorzugt, insbesondere für Dual=Protokoll-NAS-Volumes.

Informationen zum Konfigurieren von ACLs finden Sie unter Verwalten von SMB-Freigabe-ACLs in Azure NetApp Files.

Nächste Schritte