ストレージレベルのアクセス保護を使用したファイルアクセスの保護
変更を提案
PDF
ネイティブファイルレベルのセキュリティとエクスポートおよび共有のセキュリティを使用したアクセスの保護に加えて、ボリュームレベルで ONTAP によって適用される第 3 のセキュリティレイヤとしてストレージレベルのアクセス保護を設定できます。ストレージレベルのアクセス保護:すべての NAS プロトコルから適用されるストレージオブジェクトへの環境アクセスを保護します。
NTFSのアクセス権限のみがサポートされます。ONTAPがストレージレベルのアクセス保護が適用されているボリューム上のデータにアクセスするUNIXユーザのセキュリティチェックを実行するには、UNIXユーザがボリュームを所有するSVM上のWindowsユーザにマッピングされている必要があります。
ストレージレベルのアクセス保護の動作
-
ストレージレベル環境のアクセス保護:ストレージオブジェクト内のすべてのファイルまたはすべてのディレクトリを保護します。
ボリューム内のすべてのファイルまたはディレクトリがストレージレベルのアクセス保護設定の影響を受けるため、伝播による継承は必要ありません。
-
ストレージレベルのアクセス保護は、ボリューム内のファイルのみ、ディレクトリのみ、またはファイルとディレクトリの両方に適用されるように設定できます。
-
ファイルとディレクトリのセキュリティ
ストレージオブジェクト内のすべてのディレクトリとファイルを環境に格納します。これがデフォルト設定です。
-
ファイルセキュリティ
ストレージオブジェクト内のすべてのファイルを環境します。このセキュリティを適用しても、ディレクトリへのアクセスとディレクトリの監査には影響しません。
-
ディレクトリセキュリティ
ストレージオブジェクト内のすべてのディレクトリを環境します。このセキュリティを適用しても、ファイルへのアクセスとファイルの監査には影響しません。
-
-
ストレージレベルのアクセス保護は、権限の制限に使用します。
アクセス権限は付与されません。
-
NFS または SMB クライアントからファイルまたはディレクトリのセキュリティ設定を表示した場合、ストレージレベルのアクセス保護のセキュリティは表示されません。
有効な権限を決定するために、ストレージオブジェクトレベルで適用され、メタデータに格納されます。
-
システム( Windows または UNIX )管理者であっても、ストレージレベルのセキュリティをクライアントから取り消すことはできません。
このセキュリティは、ストレージ管理者のみが変更できるように設計されています。
-
ストレージレベルのアクセス保護は、 NTFS または mixed セキュリティ形式のボリュームに適用できます。
-
ストレージレベルのアクセス保護を UNIX セキュリティ形式のボリュームに適用できるのは、そのボリュームが含まれている SVM で CIFS サーバが設定されている場合に限られます。
-
ボリュームがボリュームジャンクションパス以下にマウントされていて、そのパスにストレージレベルのアクセス保護が存在している場合、その下にマウントされているボリュームには伝播されません。
-
ストレージレベルのアクセス保護のセキュリティ記述子は、 SnapMirror データレプリケーションおよび SVM レプリケーションによってレプリケートされます。
-
ウィルススキャンについては特別な免除があります。
ファイルやディレクトリのスクリーニングを行うこれらのサーバに対しては、ストレージレベルのアクセス保護によってオブジェクトへのアクセスが拒否されていても、例外的なアクセスが許可されます。
-
ストレージレベルのアクセス保護によってアクセスが拒否された場合、 FPolicy 通知は送信されません。
アクセスチェックの順序
ファイルまたはディレクトリへのアクセスは、エクスポートまたは共有の権限、ボリュームで設定されているストレージレベルのアクセス保護権限、ファイルやディレクトリに適用されるネイティブのファイル権限の各影響の組み合わせによって決まります。すべてのレベルのセキュリティが評価されて、ファイルまたはディレクトリの有効な権限が決定されます。セキュリティアクセスチェックは、次の順序で実行されます。
-
SMB 共有または NFS エクスポートレベルの権限
-
ストレージレベルのアクセス保護
-
NTFSのファイル/フォルダのAccess Control List(ACL;アクセス制御リスト)、NFSv4 ACL、またはUNIXモードビット