Skip to main content
ONTAP Technical Reports
Die deutsche Sprachversion wurde als Serviceleistung für Sie durch maschinelle Übersetzung erstellt. Bei eventuellen Unstimmigkeiten hat die englische Sprachversion Vorrang.

Konfigurieren und aktivieren Sie das CIFS-SMB-Signing and Sealing

Beitragende netapp-dbagwell
PDFs

Sie können SMB-Signaturen konfigurieren und aktivieren, die die Sicherheit der Data-Fabric-Architektur schützen, indem dafür gesorgt wird, dass der Datenverkehr zwischen den Storage-Systemen und den Clients nicht durch Replay- oder man-in-the-Middle-Angriffe beeinträchtigt wird. SMB-Signaturen schützen durch Überprüfung, ob SMB-Nachrichten über gültige Signaturen verfügen.

Über diese Aufgabe

Ein gängiger Bedrohungsvektor für Filesysteme und Architekturen ist das SMB-Protokoll. Um diesen Vektor anzugehen, verwendet die ONTAP 9 Lösung das branchenübliche SMB-Signing and Sealing. SMB-Signaturen schützen die Sicherheit der Data-Fabric-Architektur, indem sichergestellt wird, dass der Datenverkehr zwischen den Storage-Systemen und den Clients nicht durch Replay- oder man-in-the-Middle-Angriffe beeinträchtigt wird. Dazu wird sichergestellt, dass SMB-Nachrichten über gültige Signaturen verfügen.

Obwohl die SMB-Signatur im Hinblick auf die Performance standardmäßig deaktiviert ist, empfiehlt NetApp dringend, sie zu aktivieren. Zudem unterstützt die ONTAP Lösung SMB-Verschlüsselung, die auch als Sealing bezeichnet wird. Dieser Ansatz ermöglicht einen sicheren Share-by-Share-Transport der Daten. Die SMB-Verschlüsselung ist standardmäßig deaktiviert. NetApp empfiehlt jedoch, die SMB-Verschlüsselung zu aktivieren.

LDAP-Signing und Sealing werden jetzt in SMB 2.0 und höher unterstützt. Das Signieren (Schutz vor Manipulation) und Sealing (Verschlüsselung) ermöglichen eine sichere Kommunikation zwischen SVMs und Active Directory-Servern. Beschleunigte AES New Instructions (Intel AES NI)-Verschlüsselung wird jetzt in SMB 3.0 und höher unterstützt. Intel AES NI verbessert den AES-Algorithmus und beschleunigt die Datenverschlüsselung mit unterstützten Prozessorfamilien.

Schritte

  1. Verwenden Sie zum Konfigurieren und Aktivieren von SMB-Signaturen den vserver cifs security modify Befehl und überprüfen Sie, ob der -is-signing-required Parameter auf festgelegt ist true. Siehe folgendes Beispiel:

    cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8 -is-signing-required true

  2. Verwenden Sie zum Konfigurieren und Aktivieren von SMB-Sealing und -Verschlüsselung den vserver cifs security modify Befehl und überprüfen Sie, ob der -is-smb-encryption-required Parameter auf festgelegt ist true. Siehe folgendes Beispiel:

    cluster1::> vserver cifs security modify -vserver vs1 -is-smb-encryption-required true

cluster1::> vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver  is-smb-encryption-required
-------- -------------------------
vs1      true