使用存储级别访问防护确保文件访问安全
建议更改
PDF
除了使用原生文件级别以及导出和共享安全性来保护访问之外,您还可以配置存储级别访问防护,这是 ONTAP 在卷级别应用的第三层安全保护。从所有 NAS 协议到应用它的存储对象的存储级别访问防护适用场景访问。
仅支持 NTFS 访问权限。要使 ONTAP 对 UNIX 用户执行安全检查,以访问应用了存储级别访问防护的卷上的数据, UNIX 用户必须映射到拥有该卷的 SVM 上的 Windows 用户。
存储级别访问防护行为
-
存储级别访问防护适用场景存储对象中的所有文件或所有目录。
由于卷中的所有文件或目录都受存储级别访问防护设置的限制,因此不需要通过传播进行继承。
-
您可以将存储级别访问防护配置为仅应用于文件,仅应用于目录或同时应用于卷中的文件和目录。
-
文件和目录安全性
适用场景存储对象中的每个目录和文件。这是默认设置。
-
文件安全性
适用场景存储对象中的每个文件。应用此安全性不会影响对目录的访问或审核。
-
目录安全性
适用场景存储对象中的每个目录。应用此安全性不会影响对文件的访问或审核。
-
-
存储级别访问防护用于限制权限。
它不会提供额外的访问权限。
-
如果您从 NFS 或 SMB 客户端查看文件或目录的安全设置,则看不到存储级别访问防护安全性。
它会在存储对象级别应用,并存储在用于确定有效权限的元数据中。
-
即使是系统( Windows 或 UNIX )管理员也无法从客户端撤消存储级别的安全性。
它只能由存储管理员进行修改。
-
您可以将存储级别访问防护应用于采用 NTFS 或混合安全模式的卷。
-
只要包含该卷的 SVM 配置了 CIFS 服务器,您就可以对采用 UNIX 安全模式的卷应用存储级别访问防护。
-
如果卷挂载在卷接合路径下,并且该路径上存在存储级别访问防护,则该防护不会传播到挂载在该路径下的卷。
-
存储级别访问防护安全描述符可通过 SnapMirror 数据复制和 SVM 复制进行复制。
-
病毒扫描程序具有特殊例外。
即使存储级别访问防护拒绝访问对象,也允许对这些服务器进行异常访问以筛选文件和目录。
-
如果由于存储级别访问防护而拒绝访问,则不会发送 FPolicy 通知。
访问检查的顺序
文件或目录的访问取决于导出或共享权限,卷上设置的存储级别访问防护权限以及应用于文件和 / 或目录的原生文件权限的组合效果。系统会评估所有级别的安全性,以确定文件或目录具有哪些有效权限。安全访问检查按以下顺序执行:
-
SMB 共享或 NFS 导出级别权限
-
存储级别访问防护
-
NTFS 文件 / 文件夹访问控制列表( ACL ), NFSv4 ACL 或 UNIX 模式位