Skip to main content
본 한국어 번역은 사용자 편의를 위해 제공되는 기계 번역입니다. 영어 버전과 한국어 버전이 서로 어긋나는 경우에는 언제나 영어 버전이 우선합니다.

CIFS SMB 서명 및 봉인을 구성하고 사용하도록 설정합니다

기여자
PDF

스토리지 시스템과 클라이언트 간의 트래픽이 재생 공격이나 메시지 가로채기 공격으로 인해 손상되지 않도록 하여 Data Fabric의 보안을 보호하는 SMB 서명을 구성하고 사용하도록 설정할 수 있습니다. SMB 서명은 SMB 메시지에 유효한 서명이 있는지 확인하여 보호합니다.

이 작업에 대해

파일 시스템 및 아키텍처의 일반적인 위협 벡터는 SMB 프로토콜에 있습니다. 이 문제를 해결하기 위해 ONTAP 9 솔루션은 업계 표준 SMB 서명 및 봉인을 사용합니다. SMB 서명을 활용하면 스토리지 시스템과 클라이언트 사이의 트래픽이 재생 공격이나 메시지 가로채기 공격으로 인해 손상되지 않도록 하여 Data Fabric의 보안을 보호할 수 있습니다. 이는 SMB 메시지에 포함되는 유효한 서명이 있는지 확인하는 것으로 간주됩니다.

SMB 서명은 성능을 위해 기본적으로 비활성화되어 있지만 NetApp에서는 이를 사용하도록 설정하는 것이 좋습니다. 또한 ONTAP 솔루션은 봉인이라고도 하는 SMB 암호화를 지원합니다. 이 접근 방식을 사용하면 공유별로 데이터를 안전하게 전송할 수 있습니다. 기본적으로 SMB 암호화는 비활성화되어 있습니다. 그러나 NetApp는 SMB 암호화를 활성화할 것을 권장합니다.

이제 SMB 2.0 이상에서 LDAP 서명 및 봉인이 지원됩니다. 서명(변조 방지)과 봉인(암호화)을 통해 SVM과 Active Directory 서버 간의 안전한 통신을 지원합니다. 이제 SMB 3.0 이상에서 AES 새 명령(Intel AES NI) 암호화가 지원됩니다. 더욱 개선된 AES 알고리즘인 Intel AES NI는 지원되는 프로세서 제품군에서 데이터 암호화의 성능을 높여 줍니다.

단계

  1. SMB 서명을 구성하고 사용하도록 설정하려면 명령을 사용하고 vserver cifs security modify 매개 변수가 (으)로 설정되어 있는지 -is-signing-required `true`확인하십시오. 다음 예제 구성을 참조하십시오.

    cluster1::> vserver cifs security modify -vserver vs1 -kerberos-clock-skew 3 -kerberos-ticket-age 8 -is-signing-required true

  2. SMB 봉인 및 암호화를 구성하고 사용하도록 설정하려면 명령을 사용하여 vserver cifs security modify 매개 변수가 으로 설정되어 있는지 -is-smb-encryption-required `true`확인하십시오. 다음 예제 구성을 참조하십시오.

    cluster1::> vserver cifs security modify -vserver vs1 -is-smb-encryption-required true

cluster1::> vserver cifs security show -vserver vs1 -fields is-smb-encryption-required
vserver  is-smb-encryption-required
-------- -------------------------
vs1      true