使用儲存層級存取保護來保護檔案存取安全
除了使用原生檔案層級來保護存取安全、以及匯出及共用安全性、您也可以設定儲存層級的存取保護、ONTAP 這是由流通量層級的第三層安全防護。儲存層級存取保護適用於從所有NAS傳輸協定存取套用到儲存物件的存取。
僅支援NTFS存取權限。為了對UNIX使用者執行安全性檢查、以存取已套用Storage Level Access Guard的磁碟區上的資料、UNIX使用者必須對應至擁有該磁碟區的SVM上的Windows使用者。ONTAP
儲存層級存取保護行為
-
儲存層級的存取保護適用於儲存物件中的所有檔案或目錄。
由於某個Volume中的所有檔案或目錄都受限於儲存層級的存取保護設定、因此不需要透過傳播進行繼承。
-
您可以設定儲存層級的存取保護、使其僅套用至檔案、僅套用至目錄、或同時套用至磁碟區內的檔案和目錄。
-
檔案與目錄安全性
適用於儲存物件內的每個目錄和檔案。這是預設設定。
-
檔案安全性
適用於儲存物件內的每個檔案。套用此安全性不會影響目錄的存取或稽核。
-
目錄安全性
適用於儲存物件內的每個目錄。套用此安全性不會影響檔案的存取或稽核。
-
-
儲存層級的存取保護用於限制權限。
它永遠不會提供額外的存取權限。
-
如果您從NFS或SMB用戶端檢視檔案或目錄的安全性設定、就不會看到儲存層級的存取保護安全性。
它會套用至儲存物件層級、並儲存在用於判斷有效權限的中繼資料中。
-
即使是系統(Windows或UNIX)管理員、也無法從用戶端撤銷儲存層級的安全性。
它的設計僅供儲存管理員修改。
-
您可以將儲存層級的存取保護套用至NTFS或混合式安全型態的磁碟區。
-
只要包含該磁碟區的SVM已設定CIFS伺服器、您就可以將儲存層級的存取保護套用至具有UNIX安全樣式的磁碟區。
-
當磁碟區掛載於磁碟區交會路徑下、且該路徑上有儲存層級存取保護、則不會將其傳播至其下掛載的磁碟區。
-
儲存層級的存取保護安全性描述元會透過SnapMirror資料複寫和SVM複寫來複寫。
-
病毒掃描程式有特殊的分配。
即使儲存層級的存取保護拒絕存取物件、這些伺服器仍可享有特殊存取權限來篩選檔案和目錄。
-
如果因為儲存層級存取保護而拒絕存取、則不會傳送FPolicy通知。
存取檢查順序
檔案或目錄的存取權取決於匯出或共用權限、在磁碟區上設定的儲存層級存取保護權限、以及套用至檔案和/或目錄的原生檔案權限的組合效應。評估所有層級的安全性、以判斷檔案或目錄具有哪些有效權限。安全性存取檢查的執行順序如下:
-
SMB共用區或NFS匯出層級權限
-
儲存層級存取保護
-
NTFS檔案/資料夾存取控制清單(ACL)、NFSv4 ACL或UNIX模式位元