简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

使用存储级别访问防护确保文件访问安全

提供者

除了使用原生文件级别以及导出和共享安全性来保护访问之外,您还可以配置存储级别访问防护,这是 ONTAP 在卷级别应用的第三层安全保护。从所有 NAS 协议到应用它的存储对象的存储级别访问防护适用场景访问。

仅支持 NTFS 访问权限。要使 ONTAP 对 UNIX 用户执行安全检查,以访问应用了存储级别访问防护的卷上的数据, UNIX 用户必须映射到拥有该卷的 SVM 上的 Windows 用户。

存储级别访问防护行为

  • 存储级别访问防护适用场景存储对象中的所有文件或所有目录。

    由于卷中的所有文件或目录都受存储级别访问防护设置的限制,因此不需要通过传播进行继承。

  • 您可以将存储级别访问防护配置为仅应用于文件,仅应用于目录或同时应用于卷中的文件和目录。

    • 文件和目录安全性

      适用场景存储对象中的每个目录和文件。这是默认设置。

    • 文件安全性

      适用场景存储对象中的每个文件。应用此安全性不会影响对目录的访问或审核。

    • 目录安全性

      适用场景存储对象中的每个目录。应用此安全性不会影响对文件的访问或审核。

  • 存储级别访问防护用于限制权限。

    它不会提供额外的访问权限。

  • 如果您从 NFS 或 SMB 客户端查看文件或目录的安全设置,则看不到存储级别访问防护安全性。

    它会在存储对象级别应用,并存储在用于确定有效权限的元数据中。

  • 即使是系统( Windows 或 UNIX )管理员也无法从客户端撤消存储级别的安全性。

    它只能由存储管理员进行修改。

  • 您可以将存储级别访问防护应用于采用 NTFS 或混合安全模式的卷。

  • 只要包含该卷的 SVM 配置了 CIFS 服务器,您就可以对采用 UNIX 安全模式的卷应用存储级别访问防护。

  • 如果卷挂载在卷接合路径下,并且该路径上存在存储级别访问防护,则该防护不会传播到挂载在该路径下的卷。

  • 存储级别访问防护安全描述符可通过 SnapMirror 数据复制和 SVM 复制进行复制。

  • 病毒扫描程序具有特殊例外。

    即使存储级别访问防护拒绝访问对象,也允许对这些服务器进行异常访问以筛选文件和目录。

  • 如果由于存储级别访问防护而拒绝访问,则不会发送 FPolicy 通知。

访问检查的顺序

文件或目录的访问取决于导出或共享权限,卷上设置的存储级别访问防护权限以及应用于文件和 / 或目录的原生文件权限的组合效果。系统会评估所有级别的安全性,以确定文件或目录具有哪些有效权限。安全访问检查按以下顺序执行:

  1. SMB 共享或 NFS 导出级别权限

  2. 存储级别访问防护

  3. NTFS 文件 / 文件夹访问控制列表( ACL ), NFSv4 ACL 或 UNIX 模式位