Skip to main content
本繁體中文版使用機器翻譯,譯文僅供參考,若與英文版本牴觸,應以英文版本為準。

使用儲存層級存取保護來保護檔案存取安全

貢獻者
PDF

除了使用原生檔案層級來保護存取安全、以及匯出及共用安全性、您也可以設定儲存層級的存取保護、ONTAP 這是由流通量層級的第三層安全防護。儲存層級存取保護適用於從所有NAS傳輸協定存取套用到儲存物件的存取。

僅支援NTFS存取權限。為了對UNIX使用者執行安全性檢查、以存取已套用Storage Level Access Guard的磁碟區上的資料、UNIX使用者必須對應至擁有該磁碟區的SVM上的Windows使用者。ONTAP

儲存層級存取保護行為

  • 儲存層級的存取保護適用於儲存物件中的所有檔案或目錄。

    由於某個Volume中的所有檔案或目錄都受限於儲存層級的存取保護設定、因此不需要透過傳播進行繼承。

  • 您可以設定儲存層級的存取保護、使其僅套用至檔案、僅套用至目錄、或同時套用至磁碟區內的檔案和目錄。

    • 檔案與目錄安全性

      適用於儲存物件內的每個目錄和檔案。這是預設設定。

    • 檔案安全性

      適用於儲存物件內的每個檔案。套用此安全性不會影響目錄的存取或稽核。

    • 目錄安全性

      適用於儲存物件內的每個目錄。套用此安全性不會影響檔案的存取或稽核。

  • 儲存層級的存取保護用於限制權限。

    它永遠不會提供額外的存取權限。

  • 如果您從NFS或SMB用戶端檢視檔案或目錄的安全性設定、就不會看到儲存層級的存取保護安全性。

    它會套用至儲存物件層級、並儲存在用於判斷有效權限的中繼資料中。

  • 即使是系統(Windows或UNIX)管理員、也無法從用戶端撤銷儲存層級的安全性。

    它的設計僅供儲存管理員修改。

  • 您可以將儲存層級的存取保護套用至NTFS或混合式安全型態的磁碟區。

  • 只要包含該磁碟區的SVM已設定CIFS伺服器、您就可以將儲存層級的存取保護套用至具有UNIX安全樣式的磁碟區。

  • 當磁碟區掛載於磁碟區交會路徑下、且該路徑上有儲存層級存取保護、則不會將其傳播至其下掛載的磁碟區。

  • 儲存層級的存取保護安全性描述元會透過SnapMirror資料複寫和SVM複寫來複寫。

  • 病毒掃描程式有特殊的分配。

    即使儲存層級的存取保護拒絕存取物件、這些伺服器仍可享有特殊存取權限來篩選檔案和目錄。

  • 如果因為儲存層級存取保護而拒絕存取、則不會傳送FPolicy通知。

存取檢查順序

檔案或目錄的存取權取決於匯出或共用權限、在磁碟區上設定的儲存層級存取保護權限、以及套用至檔案和/或目錄的原生檔案權限的組合效應。評估所有層級的安全性、以判斷檔案或目錄具有哪些有效權限。安全性存取檢查的執行順序如下:

  1. SMB共用區或NFS匯出層級權限

  2. 儲存層級存取保護

  3. NTFS檔案/資料夾存取控制清單(ACL)、NFSv4 ACL或UNIX模式位元