Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

Storage-Level Access Guardを使用した安全なONTAP SMBファイルアクセスについて学習します

共同作成者 netapp-aaron-holt netapp-aherbin
PDF

ネイティブのファイルレベル、エクスポート、共有セキュリティによるアクセス保護に加えて、ONTAPがボリュームレベルで適用する第3のセキュリティレイヤーであるStorage-Level Access Guardを設定できます。Storage-Level Access Guardは、適用対象のストレージオブジェクトへのすべてのNASプロトコルからのアクセスに適用されます。

NTFSのアクセス権のみがサポートされています。ONTAPがストレージレベルのアクセス保護が適用されているボリューム上のデータにアクセスするUNIXユーザのセキュリティ チェックを行うには、UNIXユーザがボリュームを所有するSVM上のWindowsユーザにマッピングされている必要があります。

ストレージレベルのアクセスガードの動作

  • Storage-Level Access Guardは、ストレージ オブジェクト内のすべてのファイルまたはすべてのディレクトリに適用されます。

    ボリューム内のすべてのファイルまたはディレクトリはStorage-Level Access Guard設定の対象となるため、伝播による継承は必要ありません。

  • Storage-Level Access Guardは、ボリューム内のファイルのみ、ディレクトリのみ、またはファイルとディレクトリの両方に適用するように設定できます。

    • ファイルとディレクトリのセキュリティ

      環境ストレージオブジェクト内のすべてのディレクトリとファイルに適用されます。これがデフォルト設定です。

    • ファイルセキュリティ

      ストレージオブジェクト内のすべてのファイルが環境になります。このセキュリティを適用しても、ディレクトリへのアクセスや監査には影響しません。

    • ディレクトリセキュリティ

      環境ストレージオブジェクト内のすべてのディレクトリに適用されます。このセキュリティを適用しても、ファイルへのアクセスや監査には影響しません。

  • Storage-Level Access Guard は、アクセス許可を制限するために使用されます。

    追加のアクセス権限を与えることはありません。

  • NFS または SMB クライアントからファイルまたはディレクトリのセキュリティ設定を表示すると、Storage-Level Access Guard セキュリティは表示されません。

    このセキュリティは、有効な権限を決定するために、ストレージ オブジェクト レベルで適用され、メタデータ内に格納されます。

  • ストレージレベルのセキュリティは、システム(Windows または UNIX)管理者であっても、クライアントから取り消すことはできません。

    ストレージ管理者のみが変更できるように設計されています。

  • ストレージ レベルのアクセス ガードは、NTFSまたはmixedセキュリティ形式のボリュームに適用できます。

  • ボリュームを含む SVM に CIFS サーバが設定されている限り、UNIX セキュリティ形式のボリュームにストレージ レベルのアクセス ガードを適用できます。

  • ボリュームがボリューム ジャンクション パスの下にマウントされ、そのパスにStorage-Level Access Guardが存在する場合、そのパスの下にマウントされたボリュームには伝播されません。

  • ストレージレベルのアクセスガードセキュリティ記述子は、SnapMirrorデータレプリケーションおよびSVMレプリケーションによって複製されます。

  • ウイルススキャナーには特別な配慮があります。

    Storage-Level Access Guardによってオブジェクトへのアクセスが拒否された場合でも、ファイルとディレクトリをスクリーニングするためにこれらのサーバーへの例外的なアクセスが許可されます。

  • Storage-Level Access Guardによりアクセスが拒否された場合、FPolicy通知は送信されません。

アクセスチェックの順序

ファイルまたはディレクトリへのアクセスは、エクスポートまたは共有権限、ボリュームに設定されたストレージレベルのアクセスガード権限、およびファイルやディレクトリに適用されたネイティブファイル権限の組み合わせによって決定されます。すべてのセキュリティレベルが評価され、ファイルまたはディレクトリに有効な権限が決定されます。セキュリティアクセスチェックは、以下の順序で実行されます:

  1. SMB 共有または NFS エクスポート レベルの権限

  2. ストレージレベルのアクセス保護

  3. NTFSのファイルやフォルダのアクセス制御リスト(ACL)、NFSv4 ACL、またはUNIXモードのビット