Configuration et activation de la signature et du chiffrement SMB CIFS
Vous pouvez configurer et activer la signature SMB qui protège la sécurité de la Data Fabric en veillant à ce que le trafic entre les systèmes de stockage et les clients ne soit pas compromis par des attaques par réexécution ou des attaques de l'homme du milieu. La signature SMB assure la protection en vérifiant que les messages SMB ont une signature valide.
Le protocole SMB constitue un vecteur de menaces courant pour les systèmes de fichiers et les architectures. Pour résoudre ce problème, la solution ONTAP 9 utilise la signature et le chiffrement SMB standard. La signature SMB protège la sécurité du maillage Data Fabric en s'assurant que le trafic entre les systèmes de stockage et les clients n'est pas compromis par des attaques par réexécution ou des attaques de l'homme du milieu. Il vérifie que les messages SMB ont une signature valide.
Bien que la signature SMB soit désactivée par défaut dans l'intérêt des performances, NetApp vous recommande fortement de l'activer. En outre, la solution ONTAP prend en charge le chiffrement SMB. Cette approche permet le transport sécurisé des données partage par partage. Le chiffrement SMB est désactivé par défaut. Cependant, NetApp vous recommande d'activer le chiffrement SMB.
La signature et le chiffrement LDAP sont désormais pris en charge dans SMB 2.0 et versions ultérieures. La signature (protection contre toute falsification) et le chiffrement (chiffrement) assurent une communication sécurisée entre les SVM et les serveurs Active Directory. Le chiffrement accéléré des nouvelles instructions AES (Intel AES ni) est désormais pris en charge par SMB 3.0 et les versions ultérieures. Intel AES ni améliore l'algorithme AES et accélère le chiffrement des données pour toute la gamme de processeurs compatibles.
-
Pour configurer et activer la signature SMB, utilisez
vserver cifs security modify
la commande et vérifiez que le-is-signing-required
paramètre est défini surtrue
. Voir l'exemple de configuration suivant :cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8 -is-signing-required true
-
Pour configurer et activer le chiffrement SMB et le chiffrement, utilisez
vserver cifs security modify
la commande et vérifiez que le-is-smb-encryption-required
paramètre est défini surtrue
. Voir l'exemple de configuration suivant :cluster1::> vserver cifs security modify -vserver vs1 -is-smb-encryption-required true cluster1::> vserver cifs security show -vserver vs1 -fields is-smb-encryption-required vserver is-smb-encryption-required -------- ------------------------- vs1 true