使用存储级别访问防护保证文件访问安全

除了通过使用本机文件级别安全性以及导出和共享安全性保证访问安全之外,您还可以配置存储级别访问防护,这是 ONTAP 在卷级别应用的第三层安全保护。存储级别访问防护适用于从所有 NAS 协议访问应用它的存储对象。

仅支持 NTFS 访问权限。要使 ONTAP 对 UNIX 用户执行安全检查,以访问应用了存储级别访问防护的卷数据,UNIX 用户必须映射到卷所在 SVM 上的 Windows 用户。

存储级别访问防护行为

访问检查顺序

文件或目录访问由导出或共享权限、在卷上设置的存储级别访问防护权限以及应用于文件和/或目录的本机文件权限的整体效果确定。将评估所有级别的安全性,以确定文件或目录具备的有效权限。按以下顺序执行安全访问检查:

  1. SMB 共享或 NFS 导出级别权限
  2. 存储级别访问防护
  3. NTFS 文件/文件夹访问控制列表 (ACL)、NFSv4 ACL 或 UNIX 模式位