Azure NetApp Files での NAS 共有のアクセス許可について
Azure NetApp Files には、NAS データをセキュリティで保護するためのいくつかの方法が用意されています。 そのセキュリティの 1 つの側面は、アクセス許可です。 NAS では、アクセス許可は次の 2 つのカテゴリに分類できます。
- NAS ボリュームをマウントできるユーザーのアクセス許可 の制限を共有します。 NFS コントロールは、IP アドレスまたはホスト名を使用してアクセス許可を共有します。 S MB (メガバイト) は、ユーザーとグループのアクセス制御リスト (ACL) を使用してこれを制御します。
- ファイル アクセス許可 では、NAS ボリュームをマウントした後にユーザーとグループが実行できる操作が制限されます。 ファイル アクセス許可は、個々のファイルとフォルダーに適用されます。
Azure NetApp Files のアクセス許可は NAS 標準に依存するため、管理者とエンド ユーザー向けのセキュリティ NAS ボリュームのプロセスは使い慣れた方法で簡素化されます。
Note
共有とファイルに競合するアクセス許可が一覧表示されている場合は、最も制限の厳しいアクセス許可が適用されます。 たとえば、ユーザーが共有レベルで読み取り専用アクセス権を持ち、ファイル レベルでフル コントロールを持っている場合、ユーザーはすべてのレベルで読み取りアクセスを受け取ります。
アクセス許可の共有
NAS 環境で保護される最初のエントリ ポイントは、共有自体へのアクセスです。 ほとんどの場合、アクセスは、共有へのアクセスを必要とするユーザーとグループのみに制限する必要があります。 共有アクセス許可を使用すると、最初に共有をマウントできるユーザーをロックダウンできます。
最も制限の厳しいアクセス許可は他のアクセス許可をオーバーライドし、共有はボリュームへのメインエントリ ポイント (アクセス制御が最も少ない) であるため、共有のアクセス許可はじょうごロジックに従う必要があります。共有では、基になるファイルやフォルダーよりも多くのアクセスが許可されます。 じょうごロジックは、より細かく制限の厳しい制御を適用します。
NFS エクスポート ポリシー
Azure NetApp Files 内のボリュームは、クライアントまたは一連のクライアントにアクセスできるパスをエクスポートすることで、NFS クライアントと共有されます。 NFSv3 と NFSv4.x はどちらも同じ方法を使用して、Azure NetApp Files の NFS 共有へのアクセスを制限します。ポリシーをエクスポートします。
エクスポート ポリシーは、必要なアクセス順に一覧表示される一連のアクセス規則のコンテナーです。 これらの規則は、クライアント IP アドレスまたはサブネットを使用して NFS 共有へのアクセスを制御します。 クライアントがエクスポート ポリシー規則にリストされていない場合 (アクセスを許可または明示的に拒否する)、そのクライアントは NFS エクスポートをマウントできません。 規則は順番に読み取られます。より制限の厳しいポリシー規則が (サブネットを使用して) クライアントに適用される場合は、最初に読み取られ、適用されます。 それ以上のアクセスを許可する後続のポリシー 規則は無視されます。 この図は、サブネット 0.0.0.0.0/0 (すべてのサブネット内のすべてのクライアント) が読み取り専用に設定され、ポリシーの最初に一覧表示されるため、IP が 10.10.10.10 のクライアントがボリュームへの読み取り専用アクセスを取得していることを示しています。
Azure NetApp Files で使用できるポリシー ルールオプションをエクスポートする
Azure NetApp Files ボリュームを作成する場合、NFS ボリュームへのアクセスを制御するために構成可能なオプションがいくつかあります。
- インデックス: エクスポート ポリシー ルールを評価する順序を指定します。 クライアントがポリシー内の複数のルールに該当する場合、最初に適用される規則がクライアントに適用され、後続のルールは無視されます。
- 許可されるクライアント: ルールが適用されるクライアントを指定します。 この値には、クライアント IP アドレス、IP アドレスのコンマ区切りリスト、または複数のクライアントを含むサブネットを指定できます。 ホスト名と netgroup の値は、Azure NetApp Files ではサポートされていません。
- Access: 非ルート ユーザーに許可されるアクセス レベルを指定します。 Kerberos が有効になっていない NFS ボリュームの場合、オプションは [読み取り専用]、[読み取り/書き込み]、[アクセスなし] です。 Kerberos が有効になっているボリュームの場合、オプションは Kerberos 5、Kerberos 5i、または Kerberos 5p です。
- ルート アクセス: 特定のクライアントの NFS エクスポートでルート ユーザーを処理する方法を指定します。 [オン] に設定すると、ルートは root です。 "オフ" に設定すると、 ルートは匿名ユーザー ID 65534 にスカッシュされます 。
- chown モード: エクスポート (chown) で変更所有権コマンドを実行できるユーザーを制御します。 "Restricted" に設定すると、ルート ユーザーのみが chown を実行できます。 "無制限" に設定すると、適切なファイル/フォルダーのアクセス許可を持つユーザーは、chown コマンドを実行できます。
Azure NetApp Files の既定のポリシー規則
新しいボリュームを作成すると、既定のポリシー規則が作成されます。 既定のポリシーでは、ポリシー ルールなしでボリュームが作成されるシナリオを防ぎます。これにより、エクスポートへのアクセスを試みるクライアントのアクセスが制限されます。 ルールがない場合、アクセス権はありません。
既定の規則には、次の値があります。
- Index = 1
- 許可されているクライアント = 0.0.0.0/0 (すべてのクライアントがアクセスを許可)
- Access = 読み取りおよび書き込み
- ルート アクセス = オン
- Chown モード = Restricted
これらの値は、ボリュームの作成時またはボリュームの作成後に変更できます。
Azure NetApp Files で NFS Kerberos が有効になっているポリシー 規則をエクスポートする
NFS Kerberos は、Azure NetApp Files で NFSv4.1 を使用するボリュームでのみ有効にすることができます。 Kerberos では、使用されている Kerberos の種類に応じて、NFS マウントに対してさまざまな暗号化モードを提供することで、セキュリティが強化されます。
Kerberos を有効にすると、エクスポート ポリシー ルールの値が変更され、どの Kerberos モードを許可するかを指定できるようになります。 複数の Kerberos セキュリティ モードにアクセスする必要がある場合は、同じルールで複数の Kerberos セキュリティ モードを有効にすることができます。
これらのセキュリティ モードは次のとおりです。
- Kerberos 5: 初期認証のみが暗号化されます。
- Kerberos 5i: ユーザー認証と整合性チェック。
- Kerberos 5p: ユーザー認証、整合性チェックとプライバシー。 すべてのパケットが暗号化されます。
Kerberos を指定するエクスポート規則を使用してボリュームにアクセスできるのは、Kerberos 対応クライアントだけです。Kerberos が有効になっている場合、アクセスは許可されません AUTH_SYS
。
ルート スカッシュ
Azure NetApp Files ボリュームへのルート アクセスを制限するシナリオがいくつかあります。 ルートには NFS ボリューム内の何かに対する無制限のアクセス権があるため(モード ビットまたは ACL を使用してルートへのアクセスを明示的に拒否する場合でも)、ルート アクセスを制限する唯一の方法は、特定のクライアントからのルートがルートでなくなったことを NFS サーバーに伝えることです。
エクスポート ポリシー ルールで、[ルート アクセス: オフ] を選択して、ルート以外の匿名ユーザー ID (65534) にルートをスカッシュします。 これは、指定されたクライアントのルートがユーザー ID 65534 (通常 nfsnobody
は NFS クライアント) になり、そのユーザーに指定された ACL/モード ビットに基づいてファイルとフォルダーにアクセスできるようになったことを意味します。 モード ビットの場合、通常、アクセス許可は "Everyone" アクセス権に該当します。 さらに、ルート スカッシュ ルールの影響を受けたクライアントから "root" として書き込まれたファイルは、ユーザーとしてファイルとフォルダーを nfsnobody:65534
作成します。 root を root にする必要がある場合は、"Root access" を "On" に設定します。
エクスポート ポリシーの管理の詳細については、「NFS ボリュームまたはデュアル プロトコル ボリュームのエクスポート ポリシーを構成する」を参照してください。
エクスポート ポリシー ルールの順序付け
エクスポート ポリシー ルールの順序によって、適用方法が決まります。 NFS クライアントに適用される一覧の最初の規則は、そのクライアントに使用される規則です。 エクスポート ポリシールールに CIDR 範囲/サブネットを使用する場合、その範囲内の NFS クライアントは、それが含まれている範囲のために不要なアクセスを受け取る可能性があります。
次の例を考えてみましょう。
- インデックスの最初のルールには、許可されたクライアント エントリとして 0.0.0.0/0 を使用する既定のポリシー規則を使用して、すべてのサブネット内のすべてのクライアントが含まれます。 この規則により、その Azure NetApp Files NFSv3 ボリュームのすべてのクライアントへの "読み取りと書き込み" アクセスが許可されます。
- インデックスの 2 番目の規則では、NFS クライアント 10.10.10.10 が明示的に一覧表示され、アクセスをルート アクセスなしで "読み取り専用" に制限するように構成されています (ルートはスカッシュされます)。
現状では、クライアント 10.10.10.10 は、リスト内の最初のルールによりアクセスを受け取ります。 次の規則はアクセス制限に対して評価されません。したがって、"読み取り専用" が必要な場合でも、10.10.10.10 は読み取りおよび書き込みアクセスを取得します。 ルートは、スカッシュされるのではなく、ルートでもあります。
これを修正し、目的のレベルにアクセスを設定するには、任意のサブネット/CIDR ルールの上に目的のクライアント アクセス規則を配置するように規則を並べ替えることができます。 Azure portal でエクスポート ポリシー ルールの順序を変更するには、ルールをドラッグするか、各エクスポート ポリシー ルールの行にあるメニューの ...
[移動] コマンドを使用します。
Note
Azure NetApp Files CLI または REST API は、エクスポート ポリシー規則を追加または削除する場合にのみ使用できます。
SMB 共有
S MB (メガバイト) 共有を使用すると、エンド ユーザーは Azure NetApp Files の S MB (メガバイト) またはデュアルプロトコル ボリュームにアクセスできます。 S MB (メガバイト) 共有のアクセス制御は、Azure NetApp Files コントロール プレーン内で、アクセス ベースの列挙やブロウズ不可の共有機能などの S MB (メガバイト) セキュリティ オプションのみに制限されます。 これらのセキュリティ オプションは、ボリュームの作成時にボリュームの編集機能を使用して構成されます。
共有レベルのアクセス許可 ACL は、Azure NetApp Files ではなく Windows MMC コンソールを使用して管理されます。
セキュリティ関連の共有プロパティ
Azure NetApp Files には、管理者のセキュリティを強化するための複数の共有プロパティが用意されています。
アクセス ベースの列挙型
アクセス ベースの列挙は、Azure NetApp Files S MB (メガバイト) ボリューム機能であり、S のファイルとフォルダーの列挙 (つまり、コンテンツの一覧表示) をMB (メガバイト)共有へのアクセスが許可されているユーザーのみに制限します。 たとえば、アクセス ベースの列挙が有効になっている共有内のファイルまたはフォルダーを読み取るアクセス権をユーザーが持っていない場合、ファイルまたはフォルダーはディレクトリ一覧に表示されません。 次の例では、ユーザー (smbuser
) は、Azure NetApp Files S MB (メガバイト) ボリューム内の "ABE" という名前のフォルダーを読み取るアクセス権を持っていません。 アクセス権のみを contosoadmin
持つ。
次の例では、アクセス ベースの列挙が無効になっているため、ユーザーは ABE
SMBVolume
.
次の例では、アクセス ベースの列挙が有効になっているため ABE
、ユーザーの SMBVolume
ディレクトリは表示されません。
アクセス許可は、個々のファイルにも拡張されます。 次の例では、アクセス ベースの列挙が無効になり、 ABE-file
ユーザーに表示されます。
アクセス ベースの列挙が有効になっている場合、 ABE-file
ユーザーには表示されません。
非ブロウズ可能な共有
Azure NetApp Files の非ブロウズ可能な共有機能では、Windows エクスプローラーで共有を非表示にするか、共有を "net view" に一覧表示することで、クライアントが S MB (メガバイト) 共有を参照できないように制限します。共有への絶対パスを知っているエンド ユーザーのみが共有を見つけることができます。
次の図では、ブロウズ不可の共有プロパティが有効 SMBVolume
になっていないため、ボリュームはファイル サーバーの一覧に表示されます (使用 \\servername
)。
Azure NetApp Files でブロウズ不可能な共有が SMBVolume
有効になっている場合、ファイル サーバーの同じビューは除外されます SMBVolume
。
次の図では、共有 SMBVolume
に Azure NetApp Files で有効になっている、ブロウズ不可の共有があります。 これが有効になっている場合、これはファイル サーバーの最上位レベルのビューです。
リスト内のボリュームが表示されない場合でも、ユーザーがファイル パスを知っている場合はメインアクセスできます。
S MB (メガバイト)3 暗号化
S MB (メガバイト)3 暗号化は、NAS 環境のセキュリティを強化するために、S MB (メガバイト) クライアントのネットワーク経由で暗号化を適用する Azure NetApp Files S MB (メガバイト) ボリューム機能です。 次の図は、S MB (メガバイト) 暗号化が無効になっている場合のネットワーク トラフィックの画面キャプチャを示しています。 ファイル名やファイル ハンドルなどの機密情報が表示されます。
S MB (メガバイト) Encryption が有効になっている場合、パケットは暗号化済みとしてマークされ、機密情報は表示されません。 代わりに、"暗号化された S MB (メガバイト)3 データ" と表示されます。
S MB (メガバイト) 共有 ACL
S MB (メガバイト) 共有では、共有をマウントしてアクセスできるユーザーへのアクセスを制御したり、Active Directory のユーザーやグループへのアクセス レベルを制御したりできますメイン。 評価されるアクセス許可の最初のレベルは、共有アクセス制御リスト (ACL) です。
S MB (メガバイト) 共有アクセス許可は、ファイルのアクセス許可よりも基本的です。読み取り、変更、またはフル コントロールのみを適用します。 共有のアクセス許可はファイルのアクセス許可によってオーバーライドでき、ファイルのアクセス許可は共有アクセス許可によってオーバーライドできます。最も制限の厳しいアクセス許可は、従うアクセス許可です。 たとえば、グループ "Everyone" が共有に対して完全に制御され (既定の動作)、特定のユーザーがファイル レベルの ACL を介してフォルダーへの読み取り専用アクセス権を持っている場合は、それらのユーザーに読み取りアクセスが適用されます。 ACL に明示的に一覧表示されていない他のユーザーは、完全に制御できます
逆に、共有アクセス許可が特定のユーザーに対して "読み取り" に設定されているが、ファイル レベルのアクセス許可がそのユーザーのフル コントロールに設定されている場合は、"読み取り" アクセスが適用されます。
デュアルプロトコル NAS 環境では、S MB (メガバイト) 共有 ACL は S MB (メガバイト) ユーザーにのみ適用されます。 NFS クライアントは、共有アクセス規則のエクスポート ポリシーと規則を利用します。 そのため、ファイルおよびフォルダー レベルでのアクセス許可の制御は、共有レベルの ACL (特にデュアル=プロトコル NAS ボリュームの場合) よりも優先されます。
ACL を構成する方法については、「Azure NetApp Files での S MB (メガバイト) 共有 ACL の管理」を参照してください。