Konfigurieren und aktivieren Sie das CIFS-SMB-Signing and Sealing
Sie können SMB-Signaturen konfigurieren und aktivieren, die die Sicherheit der Data-Fabric-Architektur schützen, indem dafür gesorgt wird, dass der Datenverkehr zwischen den Storage-Systemen und den Clients nicht durch Replay- oder man-in-the-Middle-Angriffe beeinträchtigt wird. SMB-Signaturen schützen durch Überprüfung, ob SMB-Nachrichten über gültige Signaturen verfügen.
Ein gängiger Bedrohungsvektor für Filesysteme und Architekturen ist das SMB-Protokoll. Um diesen Vektor anzugehen, verwendet die ONTAP 9 Lösung das branchenübliche SMB-Signing and Sealing. SMB-Signaturen schützen die Sicherheit der Data-Fabric-Architektur, indem sichergestellt wird, dass der Datenverkehr zwischen den Storage-Systemen und den Clients nicht durch Replay- oder man-in-the-Middle-Angriffe beeinträchtigt wird. Dazu wird sichergestellt, dass SMB-Nachrichten über gültige Signaturen verfügen.
Obwohl die SMB-Signatur im Hinblick auf die Performance standardmäßig deaktiviert ist, empfiehlt NetApp dringend, sie zu aktivieren. Zudem unterstützt die ONTAP Lösung SMB-Verschlüsselung, die auch als Sealing bezeichnet wird. Dieser Ansatz ermöglicht einen sicheren Share-by-Share-Transport der Daten. Die SMB-Verschlüsselung ist standardmäßig deaktiviert. NetApp empfiehlt jedoch, die SMB-Verschlüsselung zu aktivieren.
LDAP-Signing und Sealing werden jetzt in SMB 2.0 und höher unterstützt. Das Signieren (Schutz vor Manipulation) und Sealing (Verschlüsselung) ermöglichen eine sichere Kommunikation zwischen SVMs und Active Directory-Servern. Beschleunigte AES New Instructions (Intel AES NI)-Verschlüsselung wird jetzt in SMB 3.0 und höher unterstützt. Intel AES NI verbessert den AES-Algorithmus und beschleunigt die Datenverschlüsselung mit unterstützten Prozessorfamilien.
-
Verwenden Sie zum Konfigurieren und Aktivieren von SMB-Signaturen den
vserver cifs security modify
Befehl und überprüfen Sie, ob der-is-signing-required
Parameter auf festgelegt isttrue
. Siehe folgendes Beispiel:cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8 -is-signing-required true
-
Verwenden Sie zum Konfigurieren und Aktivieren von SMB-Sealing und -Verschlüsselung den
vserver cifs security modify
Befehl und überprüfen Sie, ob der-is-smb-encryption-required
Parameter auf festgelegt isttrue
. Siehe folgendes Beispiel:cluster1::> vserver cifs security modify -vserver vs1 -is-smb-encryption-required true cluster1::> vserver cifs security show -vserver vs1 -fields is-smb-encryption-required vserver is-smb-encryption-required -------- ------------------------- vs1 true