Compartilhar via

Entender as permissões de compartilhamento do NAS do Azure NetApp Files

  • Artigo

O Azure NetApp Files fornece várias maneiras de proteger seus dados NAS. Um aspecto dessa segurança são as permissões. No NAS, as permissões podem ser divididas em duas categorias:

  • As permissões de acesso compartilhado limitam quem pode montar um volume NAS. O NFS controla as permissões de acesso de compartilhamento por meio do endereço IP ou nome do host. O SMB controla isso por meio de listas de controle de acesso (ACLs) de usuários e grupos.
  • As permissões de acesso a arquivos limitam o que os usuários e grupos podem fazer quando um volume NAS é montado. As permissões de acesso a arquivos são aplicadas a arquivos e pastas individuais.

As permissões do Azure NetApp Files dependem dos padrões NAS, simplificando o processo de segurança dos volumes NAS para administradores e usuários finais com métodos familiares.

Observação

Se houver permissões conflitantes listadas no compartilhamento e nos arquivos, será aplicada a permissão mais restritiva. Por exemplo, se um usuário tiver acesso somente leitura no nível do compartilhamento e controle total no nível do arquivo, ele receberá acesso de leitura em todos os níveis.

Permissões de acesso de compartilhamento

O ponto de entrada inicial a ser protegido em um ambiente NAS é o acesso ao próprio compartilhamento. Na maioria dos casos, o acesso deve ser restrito apenas aos usuários e grupos que precisam acessar o compartilhamento. Com as permissões de acesso ao compartilhamento, você pode bloquear quem pode montar o compartilhamento em primeiro lugar.

Como as permissões mais restritivas substituem outras permissões e um compartilhamento é o principal ponto de entrada para o volume (com o menor número de controles de acesso), as permissões de compartilhamento devem obedecer a uma lógica de funil, em que o compartilhamento permite mais acesso do que os arquivos e pastas subjacentes. A lógica de funil aplica controles mais granulares e restritivos.

Diagrama da pirâmide invertida da hierarquia de acesso a arquivos.

Políticas de exportação do NFS

Os volumes no Azure NetApp Files são compartilhados com clientes NFS exportando um caminho que é acessível a um cliente ou conjunto de clientes. Tanto o NFSv3 quanto o NFSv4.x usam o mesmo método para limitar o acesso a um compartilhamento NFS no Azure NetApp Files: políticas de exportação.

Uma política de exportação é um contêiner para um conjunto de regras de acesso, que são listadas na ordem de acesso desejado. Essas regras controlam o acesso aos compartilhamentos NFS usando endereços IP de clientes ou sub-redes. Se um cliente não estiver listado em uma regra de política de exportação, seja permitindo ou negando explicitamente o acesso, esse cliente não poderá montar a exportação NFS. Como as regras são lidas em ordem sequencial, se uma regra de política mais restritiva for aplicada a um cliente (por exemplo, por meio de uma sub-rede), ela será lida e aplicada primeiro. As regras de política subsequentes que permitem mais acesso são ignoradas. Este diagrama mostra um cliente com o IP 10.10.10.10 obtendo acesso somente leitura a um volume porque a sub-rede 0.0.0.0/0 (todos os clientes em todas as sub-redes) está configurada para acesso somente leitura e está listada primeiro na política.

Diagrama que modela a hierarquia de regras da política de exportação.

Opções de regras de política de exportação disponíveis no Azure NetApp Files

Ao criar um volume do Azure NetApp Files, há várias opções configuráveis para o controle de acesso a volumes NFS.

  • Índice: especifica a ordem em que uma regra de política de exportação é avaliada. Se um cliente se enquadrar em várias regras da política, a primeira regra aplicável se aplicará ao cliente e as regras seguintes serão ignoradas.
  • Clientes permitidos: especifica a quais clientes uma regra se aplica. Esse valor pode ser um endereço IP de cliente, uma lista de endereços IP separados por vírgula ou uma sub-rede que inclua vários clientes. Não há suporte para os valores de nome de host e netgroup no Azure NetApp Files.
  • Acesso: especifica o nível de acesso permitido a usuários não raiz. Para volumes NFS sem o Kerberos habilitado, as opções são: Somente leitura, Leitura e gravação ou Sem acesso. Para volumes com o Kerberos habilitado, as opções são: Kerberos 5, Kerberos 5i ou Kerberos 5p.
  • Acesso à raiz: especifica como o usuário raiz é tratado nas exportações de NFS para um determinado cliente. Se definido como "Ativado", a raiz será raiz. Se estiver definido como "Desativado", a raiz será squash para a ID do usuário anônimo 65534.
  • Modo chown: controla quais usuários podem executar comandos de alteração de propriedade na exportação (chown). Se definido como "Restrito", somente o usuário raiz poderá executar o chown. Se definido como "Irrestrito", qualquer usuário com as permissões adequadas de arquivo/pasta poderá executar comandos chown.

Regra de política padrão no Azure NetApp Files

Ao criar um novo volume, é criada uma regra de política padrão. A política padrão impede um cenário em que um volume é criado sem regras de política, o que restringiria o acesso de qualquer cliente que tentasse acessar a exportação. Se não houver regras, não haverá acesso.

A regra padrão tem os seguintes valores:

  • Índice = 1
  • Clientes permitidos = 0.0.0.0/0 (todos os clientes com acesso permitido)
  • Acesso = Leitura e gravação
  • Acesso raiz = Habilitado
  • Modo Chown = Restrito

Esses valores podem ser alterados na criação do volume ou após a criação do volume.

Regras de política de exportação com NFS Kerberos habilitado no Azure NetApp Files

O NFS Kerberos só pode ser habilitado em volumes que usam NFSv4.1 no Azure NetApp Files. O Kerberos fornece segurança adicional ao oferecer diferentes modos de criptografia para montagens NFS, dependendo do tipo de Kerberos em uso.

Quando o Kerberos está habilitado, os valores das regras de política de exportação são alterados para permitir a especificação de qual modo Kerberos deve ser permitido. Vários modos de segurança Kerberos podem ser habilitados na mesma regra, caso você precise de acesso a mais de um.

Esses modos de segurança incluem:

  • Kerberos 5: Somente a autenticação inicial é criptografada.
  • Kerberos 5i: Autenticação do usuário mais verificação de integridade.
  • Kerberos 5p: Autenticação do usuário, verificação de integridade e privacidade. Todos os pacotes são criptografados.

Somente clientes habilitados para Kerberos podem acessar volumes com regras de exportação que especificam o Kerberos; nenhum acesso AUTH_SYS é permitido quando o Kerberos está habilitado.

Diminuição de privilégios do usuário raiz

Há alguns cenários em que você deseja restringir o acesso de raiz a um volume do Azure NetApp Files. Como a raiz tem acesso irrestrito a qualquer coisa em um volume NFS, mesmo quando se nega explicitamente o acesso à raiz usando bits de modo ou ACLs, a única maneira de limitar o acesso à raiz é informar ao servidor NFS que a raiz de um cliente específico não é mais raiz.

Nas regras de política de exportação, selecione "Acesso à raiz: desativado" para reduzir a raiz a uma ID de usuário anônimo e não raiz de 65534. Isso significa que a raiz nos clientes especificados agora é a ID de usuário 65534 (normalmente nfsnobody em clientes NFS) e tem acesso a arquivos e pastas com base nos bits de ACLs/modo especificados para esse usuário. Para bits de modo, as permissões de acesso geralmente se enquadram nos direitos de acesso "Todos". Além disso, os arquivos gravados como "raiz" de clientes afetados pelas regras de squash raiz criam arquivos e pastas como o usuário nfsnobody:65534. Se você precisar que a raiz seja raiz, defina "Acesso raiz" como "Ativado".

Para saber mais sobre como gerenciar políticas de exportação, confira Configurar políticas de exportação para NFS ou volumes de protocolo duplo.

Ordenação das regras de política de exportação

A ordem das regras de política de exportação determina como elas são aplicadas. A primeira regra na lista que se aplica a um cliente NFS é a regra usada para esse cliente. Ao usar intervalos/sub-redes CIDR para regras de política de exportação, um cliente NFS nesse intervalo pode receber acesso indesejado devido ao intervalo no qual ele está incluído.

Considere o seguinte exemplo:

Captura de tela de duas regras de política de exportação.

  • A primeira regra no índice inclui todos os clientes em todas as sub-redes por meio da regra de política padrão usando 0.0.0.0/0 como a entrada Clientes permitidos. Essa regra permite o acesso de “Leitura e gravação” a todos os clientes para esse volume NFSv3 do Azure NetApp Files.
  • A segunda regra no índice lista explicitamente o cliente NFS 10.10.10.10 e está configurada para limitar o acesso a "Somente leitura", sem acesso à raiz (a raiz é squash).

Da forma como está, o cliente 10.10.10.10 recebe acesso devido à primeira regra da lista. A próxima regra é nunca ser avaliada quanto a restrições de acesso, portanto, 10.10.10.10 obtém acesso de leitura e gravação, mesmo que a opção "Somente leitura" seja desejada. Raiz também é raiz, em vez de ser squash.

Para corrigir isso e definir o acesso no nível desejado, as regras podem ser reordenadas para colocar a regra de acesso do cliente desejado acima de qualquer regra de sub-rede/CIDR. Você pode reordenar as regras de política de exportação no portal do Azure arrastando as regras ou usando os comandos Mover no menu ... na linha de cada regra de política de exportação.

Observação

Você pode usar a CLI do Azure NetApp Files ou a API REST apenas para adicionar ou remover regras de política de exportação.

Compartilhamentos SMB

Os compartilhamentos SMB permitem que os usuários finais acessem volumes SMB ou de protocolo duplo no Azure NetApp Files. Os controles de acesso para compartilhamentos SMB são limitados no plano de controle do Azure NetApp Files apenas às opções de segurança SMB, como enumeração baseada em acesso e funcionalidade de compartilhamento não navegável. Essas opções de segurança são configuradas durante a criação do volume com a funcionalidade Editar volume.

Captura de tela das permissões em nível de compartilhamento.

As ACLs de permissão em nível de compartilhamento são gerenciadas por meio de um console do Windows MMC e não pelo Azure NetApp Files.

O Azure NetApp Files oferece várias propriedades de compartilhamento para aumentar a segurança dos administradores.

Enumeração baseada em acesso

A enumeração baseada em acesso é um recurso de volume SMB do Azure NetApp Files que limita a enumeração de arquivos e pastas (ou seja, a listagem do conteúdo) no SMB apenas a usuários com acesso permitido no compartilhamento. Por exemplo, se um usuário não tiver acesso para ler um arquivo ou pasta em um compartilhamento com a enumeração baseada em acesso ativada, o arquivo ou pasta não aparecerá nas listagens de diretório. No exemplo a seguir, um usuário (smbuser) não tem acesso para ler uma pasta chamada "ABE" em um volume SMB do Azure NetApp Files. Somente contosoadmin tem acesso.

Captura de tela das propriedades de enumeração baseadas em acesso.

No exemplo abaixo, a enumeração baseada em acesso está desabilitada, portanto, o usuário tem acesso ao diretório ABE de SMBVolume.

Captura de tela do diretório sem enumeração baseada em acesso.

No próximo exemplo, a enumeração baseada em acesso está habilitada, portanto, o diretório ABE de SMBVolume não será exibido para o usuário.

Captura de tela do diretório com dois subdiretórios.

As permissões também se estendem a arquivos individuais. No exemplo abaixo, a enumeração baseada em acesso está desabilitada e ABE-file será exibido para o usuário.

Captura de tela do diretório com dois arquivos.

Com a enumeração baseada em acesso habilitada, ABE-file não será exibida para o usuário.

Captura de tela do diretório com um arquivo.

Compartilhamentos não navegáveis

O recurso de compartilhamentos não navegáveis no Azure NetApp Files limita a navegação dos clientes por um compartilhamento SMB ao ocultar o compartilhamento da exibição no Windows Explorer ou ao listar compartilhamentos na "exibição de rede". Somente os usuários finais que conhecem os caminhos absolutos para o compartilhamento podem encontrar o compartilhamento.

Na imagem a seguir, a propriedade de compartilhamento não navegável não está habilitada para SMBVolume, portanto, o volume será exibido na listagem do servidor de arquivos (usando \\servername).

Captura de tela de um diretório que inclui a pasta SMBVolume.

Com os compartilhamentos não navegáveis habilitados em SMBVolume no Azure NetApp Files, a mesma exibição do servidor de arquivos excluirá SMBVolume.

Na próxima imagem, o compartilhamento SMBVolume tem compartilhamentos não navegáveis habilitados no Azure NetApp Files. Quando isso está habilitado, essa será a exibição do nível superior do servidor de arquivos.

Captura de tela de um diretório com dois subdiretórios.

Mesmo que o volume na listagem não possa ser visto, ele permanecerá acessível se o usuário souber o caminho do arquivo.

Captura de tela do Windows Explorer com o caminho do arquivo realçado.

Criptografia SMB3

A criptografia SMB3 é um recurso de volume SMB do Azure NetApp Files que impõe a criptografia por fio para clientes SMB, para maior segurança em ambientes NAS. A imagem a seguir mostra uma captura de tela do tráfego de rede quando a criptografia SMB está desabilitada. Informações confidenciais, como nomes de arquivos e identificadores de arquivos, ficam visíveis.

Captura de tela da captura de pacotes com a criptografia SMB desabilitada.

Quando a criptografia SMB está habilitada, os pacotes são marcados como criptografados e nenhuma informação confidencial pode ser vista. Em vez disso, ele é mostrado como "Dados SMB3 criptografados".

Captura de tela da captura de pacotes com a criptografia SMB habilitada.

ACLs de compartilhamento SMB

Os compartilhamentos SMB podem controlar o acesso de quem pode montar e acessar um compartilhamento, além de controlar os níveis de acesso a usuários e grupos em um domínio do Active Directory. O primeiro nível de permissões que é avaliado são as listas de controle de acesso compartilhado (ACLs).

As permissões de compartilhamento SMB são mais básicas do que as permissões de arquivo: elas só aplicam leitura, alteração ou controle total. As permissões de compartilhamento podem ser substituídas por permissões de arquivo e as permissões de arquivo podem ser substituídas por permissões de compartilhamento; a permissão mais restritiva é a que é cumprida. Por exemplo, se o grupo "Todos" tiver controle total sobre o compartilhamento (o comportamento padrão) e usuários específicos tiverem acesso somente leitura a uma pasta por meio de uma ACL no nível do arquivo, o acesso de leitura será aplicado a esses usuários. Todos os outros usuários não listados explicitamente na ACL têm controle total

Por outro lado, se a permissão de compartilhamento estiver definida como "Leitura" para um usuário específico, mas a permissão no nível do arquivo estiver definida como controle total para esse usuário, o acesso "Leitura" será aplicado.

Em ambientes NAS de protocolo duplo, as ACLs de compartilhamento SMB só se aplicam a usuários SMB. Os clientes NFS utilizam políticas e regras de exportação para regras de acesso de compartilhamento. Dessa forma, o controle de permissões no nível do arquivo e da pasta é preferível às ACLs no nível do compartilhamento, especialmente para volumes NAS de dual=protocol.

Para saber como configurar ACLs, confira Gerenciar ACLs de compartilhamento SMB no Azure NetApp Files.

Próximas etapas